Il Garante Privacy ha rilasciato il mese scorso (aprile 2015) il vademecum sul trattamento dei dati personali da parte dei datori di lavoro pubblici e privati.
Il documento, consultabile cliccando qui, contiene le regole per il corretto trattamento dei dati personali dei lavoratori da parte di soggetti pubblici e privati in materia di cartellini identificativi, comunicazioni, bacheche aziendali, pubblicazioni di dati del lavoratore sui siti web e sulle reti interne, dati sanitari, dati biometrici, l’uso di internet/intranet e della posta elettronica aziendale, i controlli a distanza sui lavoratori, la videosorveglianza e geolocalizzazione.
Un primo paragrafo è dedicato alle informazioni personali che possono essere trattate solo se strettamente indispensabili all’esecuzione del rapporto di lavoro.
In particolare è previsto che “i dati possono essere trattati solo dal personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite”.
I trattamenti di dati personali devono rispettare:
- il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzo di informazioni personali e identificative;
- il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori.
I trattamenti devono essere effettuati per finalità determinate, esplicite e legittime in base ai principi di pertinenza e non eccedenza.
Il trattamento di dati personali anche sensibili riferibili a singoli lavoratori è lecito, se finalizzato ad assolvere obblighi derivanti dalla legge, dal regolamento o dal contratto individuale (ad esempio, per verificare l’esatto adempimento della prestazione o commisurare l’importo della retribuzione).
Un altro paragrafo è dedicato ai cartellini identificativi, essendo stato previsto che può essere eccessivo riportare per esteso tutti i dati anagrafici o le generalità complete del dipendente.
Nessuna comunicazione potrà essere data ad associazioni di datoli di lavoro, ex dipendenti o conoscenti, familiari parenti riguardanti informazioni del lavoratore senza il consenso dell’interessato. Ciò varrà soltanto per il lavoro privato. In materia di lavoro pubblico, viceversa, occorrerà una specifica norma di legge.
Un paragrafo è dedicato alle bacheche aziendali: esse non potranno più contenere documenti riportanti gli emolumenti percepiti, le sanzioni disciplinari, le motivazioni delle assenze o l’eventuale adesione a sindacati.
Riguardo le pubblicazioni su siti web o reti interni, in ambito di lavoro privato occorrerà il consenso del lavoratore interessato. In ambito di lavoro pubblico, occorrerà la previsione di un obbligo derivante da una normativa di settore.
Un paragrafo specifico è dedicato ai dati sanitari.
Viene specificato che i dati sanitari vadano conservati in fascicoli separati.
Il lavoratore assente per malattia è tenuto a consegnare al proprio ufficio un certificato senza diagnosi ma con la sola indicazione dell’inizio e della durata presunta dell’infermità.
Viene previsto un divieto del datore di lavoro di accedere alle cartelle sanitarie dei dipendenti sottoposti ad accertamenti del medico del lavoro.
Infine, nel caso di denuncia di infortuni o malattie professionali all’INAIL, il datore di lavoro deve limitarsi a comunicare solo le informazioni connesse alla patologia denunciata.
Dati biometrici: non è lecito il loro utilizzo generalizzato ed incontrollato tranne particolari eccezioni previste nel vademecum stesso (per presidiare gli accessi ad aree sensibili, oppure per consentire l’utilizzo di apparati e macchinari pericolosi ai soggetti qualificati). E’ fatto divieto di costituire banche dati centralizzate relative ai dati biometrici, quando ne è consentito il trattamento.
Di particolare importanza il paragrafo dedicato ai controlli.
Essi devono essere effettuati per motivi organizzativi o di sicurezza e devono rispettare i principi di pertinenza e non eccedenza.
Viene previsto che i sistemi software vengano programmati e configurati in modo tale da cancellare periodicamente ed automaticamente i dati personali relativi agli accessi ad internet ed in genere al traffico telematico.
Riguardo l’utilizzo dei dati in sede giudiziaria, in ambito privato (o riguardo gli enti pubblici economici) ciò può avvenire con il libero consenso del lavoratore o per un legittimo interesse; in ambito pubblico, solo per lo svolgimento delle funzioni istituzionali in base al codice della privacy, alle leggi e ai regolamenti.
Riguardo l’uso di internet, il datore di lavoro deve specificare con chiarezza ciò che il lavoratore può fare rispetto a ciò che il lavoratore non può fare, nonché individuare siti correlati o meno alla prestazione lavorativa o configurare sistemi o filtri che prevengano determinate operazioni.
Un paragrafo viene anche dedicato alla posta elettronica aziendale.
Il datore di lavoro dovrebbe rendere disponibili indirizzi di posta elettronica condivisa tra più lavoratori affiancandoli a quelli individuali.
Viene previsto che in caso di assenza programmata, può essere attivata una funzionalità che invii automaticamente dei messaggi di risposta con le “coordinate” di altro lavoratore.
Viene prevista anche la delega della lettura dei messaggi di posta ad un lavoratore “fiduciario”, previo consenso dell’interessato risultato da apposito verbale.
E’ previsto un divieto di controllo a distanza dei lavoratori, anche attraverso l’impiego di sistemi di videosorveglianza e geolocalizzazione (tranne quando sono necessarie da esigenze produttive o organizzative, o sono richieste per la sicurezza del lavoro o per rafforzare la sicurezza dei dipendenti). In tali casi, al lavoratore deve essere sempre ben chiaro quando è attiva sull’applicazione la funzione di geolocalizzazione.
Una breve riflessione.
Accogliamo con gran favore l’inserimento, all’interno di un vademecum, di un insieme di regole per il corretto trattamento dei dati personali dei lavoratori da parte dei soggetti pubblici e privati.
Ed effettivamente si tratta di un documento davvero utile nel quale si coglie lo spirito che ne sta alla base: tutelare la privacy del lavoratore e, in generale, di chi presta la propria attività lavorativa sui luoghi di lavoro.
Tra l’altro, il sempre maggiore perfezionamento e uso di tecniche e sistemi di geolocalizzazione ha posto da diverso tempo diverse domande ed interrogativi su come possa essere tutelata la privacy di chi, ad esempio, è dotato di apparati per lo svolgimento della propria attività lavorativa ma che possono essere anche utilizzati per controllare a distanza il lavoratore.
A ciò si aggiungano le informazioni che il datore di lavoro può ricavare dall’uso dei personal computers o della posta aziendale del lavoratore; o ancora alle informazioni sanitarie che il datore di lavoro può ricavare dalle cartelle cliniche relative al lavoratore sottoposto a visita aziendale.
Adesso, con il vademecum appena pubblicato, tutto ciò non sarà così semplice o, perlomeno, sarà più complicato.
Sfogliando il vademecum ci si potrà accorgere come il lavoratore, al giorno d’oggi, ha svariate occasioni di lasciare “traccia” dei propri dati personali e sensibili: nei cartellini, nelle comunicazioni che il datore di lavoro fa a terzi e nelle bacheche aziendali; nelle pubblicazioni sui siti web aziendali e sulla rete intranet aziendale; in occasione della giustificazione delle assenze per malattie; nell’utilizzo dei dati biometrici; nell’uso della posta elettronica aziendale; nei controlli; nell’uso di internet; nell’uso dei sistemi di videosorveglianza e geolocalizzazione che comportano la possibilità di un controllo a distanza del lavoratore.
E le linee guida raccolte nel vademecum appaiono di indiscussa utilità. Ma ciò solo se e nella misura in cui tale linee saranno effettivamente applicate.
Forse le grandi aziende si adegueranno più facilmente rispetto ai piccoli datori di lavori nei cui confronti l’impatto sarà più “forte” anche dal punto di vista economico.
Ma ancor prima occorre sensibilizzare, a tutti i livelli, la cultura della privacy.
Clicca qui per raggiungere il sito del garante della privacy
avv. Filippo Pagano (f.pagano@clovuell.com)
managing partner at clouvell (www.clouvell.com)