GUIDA NORMATIVA

Privacy e lavoro: l’utilizzo di test psicoattitudinali e le valutazioni del personale dipendente

Hanno sempre più rilevanza nell’ambito del rapporto di lavoro i test psicoattitudinali somministrati in fase preassuntiva e le valutazioni del personale in forza durante il rapporto di lavoro. Il datore di lavoro che voglia utilizzare questi strumenti deve aver presente quale siano i limiti imposti dalle normative di riferimento e come non incorrere in violazioni relative alla riservatezza dei lavoratori, soprattutto se la valutazione avviene in forma automatizzata

25 Feb 2020
M
Marco Martorana

Avvocato, studio legale Martorana, Presidente Assodata, DPO Certificato UNI 11697:2017

P
Victoria Parise

Avvocato giuslavorista in Firenze, Consulente Privacy e DPO, Consigliere e socio fondatore ASSOdata


L’utilizzo di test psicoattitudinali e di valutazioni del personale dipendente richiede che il datore di lavoro conosca i limiti imposti dalle normative di riferimento per non incorrere in violazioni relative alla riservatezza dei lavoratori, soprattutto quando le indagini in esame vengono effettuate in forma automatizzata.

Test psicoattitudinali: il contesto normativo

Il primo argomento su cui porre l’attenzione è la diversità delle indagini in esame. Le due categorie di test, infatti, sono molto diverse fra loro: il test preassuntivo assegna un punteggio relativo a determinate caratteristiche ricercate dal datore di lavoro (si pensi alla selezione di personale effettuata da strutture sanitarie o per profili che richiedano determinate attitudini cognitive); il test di personalità, per la progressione di carriera, invece indaga i profili di personalità del lavoratore.

Sono poi di grande interesse oggi le c.d. soft skills[1] che vengono richieste per entrambe le tipologie di selezione.

Non vi è dubbio che la somministrazione di tali test comporti:

  1. il trattamento di dati personali (nome, cognome, dati di contatto, dati anagrafico – professionali) ai sensi dell’art 4 del GDPR;
  2. la possibile e incidentale indagine di determinati aspetti personali che caratterizzano i candidati ad un posto di lavoro o i candidati a ricoprire un determinato ruolo in fase di progressione di carriera (soft skills ad esempio).

Diretta conseguenza di queste attività è l’applicazione delle norme in materia di diritto del lavoro e privacy.

In particolare, le norme giuslavoristiche sono quelle:

  • dello Statuto del Lavoratori L. 300/70 art. 8 “Divieto di indagini sulle opinioni” che pone il divieto, ai fini dell’assunzione e nel corso del rapporto, di effettuare indagini – anche tramite terzi – su “opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”. La tutela della riservatezza nella fase preassuntiva in particolar modo deve essere garantita non solo dal datore di lavoro, ma anche da tutti i soggetti che operano – a seguito della riforma e della liberalizzazione del collocamento – nell’ambito dell’intermediazione tra domanda e offerta di lavoro;
  • del D.lgs 276/2003 art. 10 “Divieto di indagini sulle opinioni e trattamenti discriminatori” che per le agenzie per il lavoro e gli altri soggetti pubblici e/o privati vieta – salvo che non si tratti di caratteristiche che incidano sulle modalità di svolgimento dell’attività lavorativa o che siano requisito essenziale per l’attività – “di effettuare qualsivoglia indagine o comunque trattamento dati ovvero di preselezione” anche in caso di consenso del candidato, relativamente alle:
  1. convinzioni personali;
  2. affiliazioni sindacali e politiche;
  3. credo religioso;
  4. sesso, orientamento sessuale, stato matrimoniale o di famiglia o gravidanza;
  5. età, handicap, razza, origine, etnica, ascendente, nazionale, al gruppo linguistico e stato di salute;
  6. eventuali controversie di lavoro;
  7. dati personali che non siano strettamente attinenti alle loro attitudini professionali e al loro inserimento lavorativo.

Tale complessiva regolamentazione (peraltro tenuta presente dal Garante in occasione dell’emanazione dell’autorizzazione generale n.1/2009), rende palese l’intenzione del legislatore di tutelare con particolare attenzione i candidati alla ricerca di un posto di lavoro, vietando espressamente – ed indipendentemente dal consenso dagli stessi eventualmente manifestato – (per quanto qui interessa) in fase assuntiva, la raccolta di talune tipologie di informazioni chiaramente individuate al fine di proteggere, oltre al diritto alla tutela della vita privata, la dignità della persona.

Dignità che ben può risultare lesa in relazione a soggetti – ad esempio i candidati di una procedura selettiva – quando tenuti a fornire dettagliati elementi informativi attinenti la propria sfera affettiva, sessuale, sanitaria e/o lavorativa nonché ad altre abitudini personali o vicende individuali, che l’ordinamento stima irrilevanti ai fini della loro valutazione professionale; informazioni suscettibili di determinare turbamenti e comunque idonei ad incidere, per il tramite di un’ingiustificata intrusione nella sfera intima, sulla dignità personale e sociale dei partecipanti ad una procedura selettiva[2].

LIVE STREAMING 11 GIUGNO
Security Intelligence: investire in sicurezza per prevenire i rischi
Intelligenza Artificiale
Sicurezza

Notizie, la cui raccolta è vietata, non solo in quanto relative alla sfera intima di ogni candidato e quindi idonee ad incidere sul diritto alla riservatezza degli stessi, ma (più radicalmente) perché non significative rispetto all´accertamento dell´attitudine professionale al lavoro, da intendersi come obiettiva capacità, intellettiva o manuale, di svolgere una determinata attività lavorativa (cfr. Cass., Sez. lav., 13 dicembre 1985 n. 6371; Consiglio di Stato, sezione IV, 10 novembre 1999, n. 1671).

Le altre norme che vanno ad impattare sulla somministrazione dei test psicoattitudinali sono quelle in materia di privacy, sopra già in parte richiamate. Oggi la disciplina si compone delle norme introdotte dal GDPR (Reg. Ue 2016/679) e da quelle nazionali:

  1. del Codice Privacy (come novellato dal D.lgs. 101/18);
  2. dai provvedimenti del Garante;
  3. dai provvedimenti amministrativi degli organi dell’Unione Europea (EDPB, WP 29 ecc.);
  4. nonché quelli interni, come ad esempio le Circolari dell’INL – Ispettorato Nazionale del Lavoro.

Sono di particolare rilevanza per il tema che si tratta:

  • l’art 22 del GDPR – il quale specifica il diritto dei soggetti interessati “a non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardino o che incida in modo analogo significativamente sulla sua persona”;
  • art. Art. 171 Codice Privacy (Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori) “La violazione delle disposizioni di cui agli articoli 4, comma 1, e 8 della legge 20 maggio 1970, n. 300, è punita con le sanzioni di cui all’articolo 38 della medesima legge[3]”.

La riservatezza dei lavoratori è dunque doppiamente tutelata e il datore di lavoro sia pubblico che privato deve tenerne conto, in particolare nei casi in cui siano raccolte, trattate e conservate informazioni personali dei lavoratori non strettamente attinenti all’esecuzione del contratto intercorrente.

La rilevanza delle opinioni e dei fatti, ai fini della valutazione dell’attitudine professionale del dipendente, deve essere stabilita in concreto, avuto riguardo al contenuto della prestazione richiesta. Di conseguenza, le indagini attitudinali che coinvolgono la personalità individuale del lavoratore possono considerarsi legittime nei limiti in cui sono funzionali[4] ad accertare la competenza, la preparazione e la compatibilità con i compiti assegnati al lavoratore[5].

La violazione del diritto alla riservatezza, tutelato dall’art. 8 st. lav., si configura quando il soggetto – indipendentemente dalla pubblicazione o dalla divulgazione dei fatti afferenti alla sua vita privata[6] – sia comunque costretto a fornire notizie o elementi attinenti alla propria sfera sentimentale, affettiva, lavorativa e/o sanitaria, che possano comportargli turbamenti psichici o possano farlo sentire diminuito proprio nella sua dignità di persona, subendo un’intrusione ingiustificata nella sfera della propria intimità.

Così, è stato ritenuto[7] che i test psicologici, pur non essendo, in quanto tali, lesivi del diritto alla riservatezza, ben possono contenere singoli quesiti, specificamente individuati, che violano il precetto di cui all’art. 8 Statuto dei Lavoratori. Pertanto, le metodologie di indagine devono essere trasparenti e pertinenti[8].

Lo strumento particolarmente utile per i datori di lavoro dovrà dunque essere impiegato alla luce dei limiti normativi sopracitati.

Test psicoattitudinali: regole pratiche

Vediamo quindi 10 regole “per non sbagliare” nel caso in cui sia deciso di somministrare test psicoattitudinali ai propri dipendenti:

  1. Prima di tutto affidarsi a professionisti del settore che conoscano la normativa e possano affiancare il datore di lavoro nelle operazioni di raccolta, trattamento e conservazione / distruzione dei dati – informazioni personali.
  2. Verificare che i quesiti dei test siano pertinenti allo scopo fissato, nei limiti della normativa citata.
  3. Assicurarsi di rendere ai lavoratori informativa idonea sul trattamento (NB l’obbligo di informativa è sempre compito del Titolare del Trattamento – datore di Lavoro, non della società eventualmente incaricata esterna del trattamento).
  4. Conservare la prova dell’avvenuta consegna delle informazioni, di cui al punto 3, al lavoratore. Infatti, è onere a carico del Titolare del trattamento dimostrare in caso di accertamento di aver consegnato l’informativa prima del trattamento.
  5. Nel rispetto dei principi del Regolamento UE 2016/679 limitare il trattamento, raccogliere sono le informazioni indispensabili agli obbiettivi e finalità perseguite; conservarli per il tempo strettamente necessario e successivamente cancellarli.
  6. Qualora l’attività venga svolta in outsourcing selezionare accuratamente i soggetti a cui affidare il trattamento (formalizzato con nomina art. 28), verificando che adottino adeguate misure di sicurezza art. 32 del GDPR.
  7. Per l’attività di trattamento che avvenga internamente ricordarsi di prevedere un sistema di autorizzazione (accessi diversificati) che possa limitare la consultazione dei risultati ai solo soggetti che in ragione delle proprie mansioni possano o debbano conoscere le informazioni.
  8. Adottare misure di sicurezza idonee a scongiurare i rischi privacy (c.d. approccio basato sul rischio) quali: perdita, distruzione, modifica, accesso illegale e divulgazione non autorizzata degli interessati.
  9. Progettare procedure interne idonee a realizzare l’esercizio dei diritti dei soggetti interessati (v. artt. da 15 a 22 del GDPR).
  10. Procedere, in via autonoma o con il DPO se presente, ad una valutazione di impatto ex art. 35 del GDPR se del caso. In particolare, quando e se il trattamento preveda l’uso di nuove tecnologie e considerata la natura, l’oggetto, il contesto e le finalità del trattamento ci possano essere dei rischi elevati per i diritti e libertà degli interessati.

Considerazioni finali

A proposito dell’ultimo punto, nel 2010 il Garante è stato chiamato ad effettuare una verifica preliminare su di un trattamento di dati personali per finalità di valutazione del personale[9] ed eventuale erogazione di incentivi economici.

Nel caso di specie l’azienda ha chiesto la possibilità di utilizzare uno strumento volto all’introduzione di un nuovo modello di competenze aziendali basato sul “riscontro” (c.d. feedback) fornito da interlocutori con cui i dipendenti si relazionavano: colleghi, superiori, fornitori e via dicendo. In quel caso è stato ritenuto lecito in ragie delle seguenti circostanze:

  • il trattamento trovava la sua ragion d’essere nelle “specifiche dinamiche di tipo contrattuale” concordate tra singolo lavoratore e il suo diretto superiore, volte a consentire una valutazione completa dei lavoratori nel loro interesse (incentivo) e per la società (finalità sottesa all’incentivo);
  • il trattamento era limitato ad uno specifico n. di soggetti e su base volontaria;
  • le società coinvolte nell’iniziativa erano destinatarie di una reportistica sintetica (c.d. dati aggregati), senza possibilità di indagare i singoli feedback dei lavoratori, conosciute soltanto dal fornitore in outsourcing;
  • i dati personali erano cancellati per un anno dal titolare al fine di poter operare un confronto con l’anno successivo.

Anche in quell’occasione il Garante non ha mancato di indicare che il Titolare era tenuto, ieri come oggi, a rispettare le prescrizioni di cui all’art 8 dello Statuto Lavoratori, L. 300/70.

NOTE

  1. Quella serie di competenze trasversali che nella vita lavorativa assumono importanza come o più delle competenze tecniche e professionali acquisite con l’esperienza (hard skill). Fra le soft skill, le principali e più richieste nel mondo del lavoro troviamo: saper comunicare efficacemente; saper lavorare in gruppo; essere in grado di gestire e resistere allo stress. Si tratta quindi di capacità relazionali e comportamentali, che caratterizzano la nostra persona e indicano il modo in cui ci poniamo rispetto il contesto lavorativo nel quale operiamo o vorremmo operare. Le soft skill sono importantissime anche per potersi rapportare in modo ottimale con tutte le persone che fanno parte del proprio ecosistema lavorativo: colleghi, responsabili ed eventualmente clienti.
  2. (cfr. anche Cass., Sez. lav., 2.3.1988, n. 2225)
  3. Salvo che il fatto non costituisca più grave reato è punito con l’ammenda da euro 154 a 1549 o con l’arresto da 15 gg a 1 anno. Nei casi ritenuti più gravi lee pene dell’ammenda e dell’arresto sono applicate congiuntamente. In determinati casi – osservate le condizioni del reo e ritenuta l’ammenda nel massimo inefficace – il giudice ha facoltà di aumentarla fino a un quintuplo.
  4. Sciarra, sub art. 8, in Lo statuto dei lavoratori. Commentario, diretto da Giugni, Milano, 1979;
  5.  sub art. 8, in Assanti, Pera (a cura di), Commento allo Statuto dei diritti dei lavoratori, Padova, 1972;
  6. Diritto sindacale – Libertà sindacale a cura di Massimo Lanotte commento a L. 20-05-1970, n. 300, Art. 8 – (Divieto di indagini sulle opinioni)
  7. T.A.R. Emilia-Romagna, Bologna, Sez. II, 31.3.1999, n. 128 e dall’Autorità Garante doc. web 1825852.
  8. Qualora invece siano coinvolgenti aspetti della personalità non funzionali alla valutazione dell’attitudine professionale e realizzate con modalità ingannevoli e non trasparenti di acquisizione dei dati e delle notizie, tali da costituire strumento di costringimento e di pressione psicologica sul lavoratore, eludono il divieto sancito dall’art. 8 st. lav. (P. Pisa, 30.3.1999).
  9. Linee guida sul trattamento di dati personali dei lavoratori privati – 23 novembre 2006 [1364939] (v. anche Autorizzazione n. 1/2016 – Autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro – 15 dicembre 2016 [5800451])
DIGITAL EVENT 18 GIUGNO
Think Digital Summit: tecnologie e trend verso una nuova normalità
Cloud
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 4