Rapporti di lavoro: il Garante della privacy ha dettato le linee guida per il trattamento di dati dei dipendenti privati
di Edo Berti (Studio Impresa srl)
Marzo 2007
A fine 2006 (provvedimento n. 53 del 23 novembre) il Garante ha raccolto in un unico documento le
norme che devono essere seguite dalle aziende in materia di trattamento di dati personali di
lavoratori per la gestione del rapporto di lavoro stesso. Questo documento si riferisce a
precedenti pronunce e chiarimenti del Garante e ne costituisce una raccolta che vuole essere
d'ausilio dei datori di lavoro per una corretta applicazione della norma nei rapporti di lavoro;
vengono fornite indicazioni e raccomandazioni relative alle operazioni di trattamento di dati
personali, in particolare sensibili, di lavoratori operanti alle dipendenze di datori di lavoro
privati.
Per la delicatezza e l'attualità dell'argomento, che si fonda anche su un ormai datato statuto dei
lavoratori, dove non erano previsti i mezzi oggi a disposizione delle aziende (vedi personal
computer, internet, ecc.) sono da prevedere futuri aggiornamenti da parte dell'autorità; questi
dovrebbero affrontare specifiche tematiche come l'uso di e-mail (in uscita in questi giorni!) e la
navigazione in internet. Vediamo in sintesi i punti principali.
1. Principi generali
Il datore di lavoro può trattare solo quei dati di carattere personale necessari per la gestione
del rapporto di lavoro e deve permettere l'accesso e l'elaborazione di questi dati solo al
personale da lui preposto; deve parimenti adottare ed assicurare idonee misure di sicurezza atte a
preservare i dati da accessi ed utilizzi indebiti; in ragione di questi doveri può anche essere
chiamato a risponderne civilmente e penalmente.
Inoltre lo scopo perseguito in concreto dal datore di lavoro deve essere assolutamente compatibile
con le finalità per le quali i medesimi sono stati raccolti, finalità che devono essere
dettagliatamente e chiaramente esposte nell'informativa consegnata al dipendente.
E' necessaria una chiara puntuale individuazione dei riferimenti aziendali per garantire un agevole
esercizio dei diritti dell'interessato, cioè del lavoratore di cui all'articolo 7. Questo, specie
nelle realtà imprenditoriali più articolate, non sempre è sufficientemente evidente.
2. Medico competente (disciplina in materia di sicurezza e igiene del lavoro (D. Lgs. 626/1994)
Vengono confermate le disposizioni in base alle quali i dati trattati dal medico competente possono
essere messi a disposizione del solo interessato, i datori di lavoro non possono conoscerne il
contenuto se non in relazione alle eventuali non idoneità del lavoratore; le cartelle sanitarie,
opportunamente sigillate, sono sotto la diretta responsabilità del medico, e il datore di lavoro
deve unicamente concorrere ad assicurarne una efficace custodia nei locali aziendali.
3. Dati biometrici
L'uso generalizzato ed incontrollato di dati biometrici (come ad esempio l'impronta digitale) non è
lecito. Può essere giustificato solo in casi particolari, tenuto conto delle finalità e del
contesto in cui sono trattati e in relazione al luogo di lavoro, per regolare accessi ad aree
particolarmente "delicate" (ad esempio: ree contenenti documenti segreti o riservati, oggetti di
valore, luoghi di lavoro fortemente delimitati perché caratterizzati da processi produttivi
particolarmente pericolosi).
Inoltre, nei rari casi in cui ne è permesso l'utilizzo, il trattamento dei dati biometrici deve
comunque sottostare a particolari cautele e limiti, come ad esempio i tempi di conservazione.
4. Comunicazione e diffusione
Il conferimento di dati personali relativi ad un lavoratore a terzi è ammessa solo se l'interessato
acconsente; se il datore di lavoro non può avvalersi di uno dei presupposti evidenziati
dall'art. 24 del codice (adempimenti di obblighi previsti dalla legge, esecuzione obblighi
derivanti da un contratto del quale è parte l'interessato o ancora se relativi allo svolgimento di
attività economiche, ecc.) non può prescindere dal consenso per comunicare dati personali a terzi
(ead esempio, associazioni di datori di lavoro, familiari ecc).
Allo stesso modo il consenso è necessario per pubblicare informazioni internamente all'azienda,
vedi intranet o anche bacheca aziendale, e quindi a maggior ragione esternamente (ad esempio,
internet); queste comunicazioni di dati personali non risultano generalmente necessarie per
seguire obblighi derivanti dal contratto di lavoro. E' quindi considerato lecito, per esempio,
l'affissione in bacheca di ordini di servizio, turni lavorativi o feriali, ecc.; mentre non è
consentito l'affissione di assenze dal lavoro per malattia, sanzioni disciplinari, ecc.
Enfasi particolare è stata data all'uso di cartellini identificativi, appuntati talvolta sugli
abiti dei lavoratori allo scopo di migliorare il rapporto fra operatori e clienti; generalmente
si ravvisa una sproporzione nell'indicazione sul cartellino di dati personali identificativi,
potendo quasi sempre essere sufficienti il solo nome o il ruolo professionale.
La modalità di comunicazione che il datore deve usare principalmente con il lavoratore è quella di
tipo "individuale", adottando le misure più opportune per evitare indebite divulgazioni di dati
personali, in particolare se sensibili.
5. Dati idonei a rivelare lo stato di salute dei lavoratori
I dati sanitari dei lavoratori sono i tipici dati sensibili che più facilmente circolano in azienda
e come tali devono essere trattati con le massime cautele, come conservarli in fascicoli separati
ben custoditi e ad accesso limitato.
Risulta particolarmente articolata la normativa di settore in merito ai casi di malattia ed
infermità che determinano un impedimento lavorativo, invalidità, appartenenza a categorie protette,
in riferimento a stati di salute propri o di terzi (congiunti o familiari) anche al fine di godere
di determinati benefici di legge; casi tipici per i quali il datore di lavoro si trova a dover
gestire informazioni sensibili con obblighi di comunicazioni al lavoratore stesso ed agli Enti
previdenziali preposti.
Nel caso di denunce di infortuni all'INAIL, il datore di lavoro deve limitarsi a comunicare solo
le informazioni connesse alla patologia denunciata. Può inoltre comunicare all'INPS i dati del
dipendente assente, anche per un solo giorno, al fine di farne controllare lo stato di malattia.
Consigliando comunque, per la delicatezza dell'argomento, di prendere visione dell'intero
provvedimento generale del Garante
(www.garanteprivacy.it),
vi rimandiamo al prossimo appuntamento dove cercheremo di darvi buoni spunti per la stesura di un
regolamento interno ormai indispensabile.
Nota: il contenuto del documento deve essere interpretato in relazione al periodo
in cui è stato redatto.
|
