La protezione dei dati personali e più in generale la privacy nell’ambito dei rapporti di lavoro e dell’occupazione è sempre attuale e presenta svariate peculiarità normative.
Nel tempo molti sono stati gli interventi di prassi, sia nazionale che comunitaria, che hanno definito linee guida e opinioni sull’interpretazione e applicazione della normativa: l’abbondanza della produzione è un chiaro segnale della complessità, diffusione e importanza di questi temi nello scenario normativo.
È utile, quindi, analizzare i principi generali in materia relativi al trattamento dei dati in ambito lavorativo (principi di proporzionalità, sussidiarietà e minimizzazione, legittimazione del trattamento tra consenso e legittimo interesse), l’inquadramento delle figure privacy e il trattamento dei dati sanitari.
Indice degli argomenti
Ambito di applicazione: dati personali dei lavoratori e mezzi di trattamento
In quest’ambito di trattazione, i trattamenti che il datore di lavoro effettua riguardano per lo più le categorie di dati personali indicate in tabella.
Categoria | Descrizione |
---|---|
Dati comuni |
|
Categorie particolari di dati ai sensi dell’art. 9 GDPR | dati biometrici, dati idonei a rivelare il credo religioso o l’adesione a sindacati, dati relativi alla salute (di regola contenuti in certificati medici o in altra documentazione prodotta per giustificare le assenze dal lavoro o per fruire di particolari permessi e benefici previsti anche nei contratti collettivi) |
Dati giudiziari ai sensi dell’art. 10 GDPR | dati personali relativi a condanne penali e ai reati (ad esempio, casellario giudiziario) |
I medesimi dati sono solitamente:
- prodotti dai lavoratori in sede di assunzione;
- contenuti in documenti dal datore di lavoro o per suo conto in pendenza del rapporto di lavoro per finalità di esecuzione del contratto e successivamente raccolti e conservati in fascicoli personali, archivi aziendali (cartacei o elettronici);
- resi disponibili in albi e bacheche o, ancora, nelle intranet aziendali.
Principi di protezione dei dati personali e rapporto di lavoro
I principi di base trovano diretta applicazione anche ai trattamenti nell’ambito del rapporto di lavoro. Gli aspetti particolari riguardano soprattutto i casi di legittimazione del trattamento.
In particolare, i datori di lavoro devono, ai sensi dell’art. 5 GDPR:
- assicurare che i dati sono trattati per finalità specifiche e legittime, tenendo in considerazione il principio di limitazione delle finalità, assicurando che i dati raccolti sono adeguati, pertinenti e limitati per la finalità legittima prevista;
- essere trasparenti con i dipendenti in merito all’uso e alle finalità delle tecnologie di monitoraggio o di controllo a distanza;
- consentire l’esercizio dei diritti dei dipendenti/interessati;
- mantenere i dati esatti e non conservarli più a lungo del necessario;
- adottare tutte le misure necessarie per proteggere i dati dagli accessi non autorizzati, oltre a garantire che il personale sia sufficientemente consapevole degli obblighi in materia di protezione dei dati.
Si ricorda che i trattamenti di dati personali nel contesto lavorativo, dopo l’entrata in vigore del GDPR, sono considerati se effettuati da datori di lavoro sia privati che pubblici, diversamente dall’ampiamento del Codice Privacy anteriore alle modifiche del D.lgs. n. 101/2018.
Privacy e rapporti di lavoro: liceità del trattamento dei lavoratori
Il trattamento di dati personali nei rapporti di lavoro deve essere, come ogni altro trattamento, lecito e quindi basarsi su una delle basi giuridiche del trattamento di cui all’art. 6, comma 1 GDPR.
In ambito lavorativo le basi giuridiche del trattamento sono:
- la necessità di esecuzione del contratto (di lavoro in questo frangente);
- la necessità di adempire all’obbligo legale del datore di lavoro: si pensi agli adempimenti in ambito previdenziale, assistenziale, amministrativo e tributario;
- la necessità di salvaguardare l’interesse vitale del dipendente o di altra persona fisica, specie nei luoghi di lavoro che presentano rischi particolari per la salute;
- perseguimento del legittimo interesse del titolare.
Consenso
Il consenso è definito come qualsiasi manifestazione di volontà libera, specifica e informata con la quale l’interessato accetta che i dati personali che lo riguardano siano oggetto di un trattamento. Affinché il consenso sia valido, esso deve essere anche revocabile.
Fatte queste premesse, il consenso del dipendente mal si presta ad essere invocato come base giuridica del trattamento da parte del datore di lavoro[1].
In generale, infatti, per la maggior parte dei trattamenti in ambito lavorativo, la base giuridica non può e non dovrebbe essere il consenso del dipendente perché spesse volte la mancata espressione del consenso può tradursi in un effettivo o potenziale pregiudizio per il lavoratore, come la perdita del lavoro (o di un’opportunità di lavoro) o l’assoggettamento a pressioni o penalizzazioni da parte del datore di lavoro.
Ciò non significa che il consenso non possa in alcun caso legittimare il trattamento: nel caso, ad esempio, dell’uso di fotografie o filmati di luoghi aziendali allo scopo di promuovere l’organizzazione, il consenso risulta valido se non viene effettuata pressione sul personale e questo può liberamente scegliere di fare o meno parte della campagna pubblicitaria.
Legittimo interesse del datore di lavoro
Affinché sia legittimo il trattamento basato sul legittimo interesse, la finalità perseguita dal datore di lavoro deve essere legittima. Il metodo scelto o la tecnologia specifica con cui verrà effettuato il trattamento devono essere necessari, il trattamento deve essere proporzionato alle esigenze aziendali e deve essere svolto nella maniera meno intrusiva possibile.
Ancora, è essenziale che siano presenti misure specifiche di attenuazione che garantiscano un adeguato equilibrio tra il legittimo interesse del datore di lavoro e i diritti e le libertà fondamentali dei lavoratori.
A seconda della forma di monitoraggio, tali misure dovrebbero includere restrizioni al monitoraggio in maniera da garantire che la vita privata del lavoratore non sia violata.
Tali restrizioni potrebbero essere[2]:
- geografiche (ad esempio monitoraggio solo in luoghi specifici; si dovrebbe proibire il monitoraggio di aree sensibili quali luoghi religiosi e, ad esempio, zone ad uso sanitario e locali destinati alle pause);
- orientate ai dati (ad esempio non si dovrebbero monitorare comunicazioni e file elettronici personali);
- definite in termini temporali (ad esempio monitoraggio a campione, anziché continuo).
Il trattamento di categorie particolari di dati
Il trattamento di particolari categorie di dati[3] è disciplinato dall’art. 9, co. 1 GDPR, che dispone il divieto generalizzato del loro trattamento, esclusi i casi indicati nel comma 2. La normativa nazionale (norma di legge o contratto collettivo) può:
- autorizzare – ai sensi dell’art. 9.2.b) GDPR – il trattamento per l’assolvimento di obblighi e l’esercizio di diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
- specificare – ai sensi dell’art. 9.4 – ulteriori condizioni per il trattamento di dati genetici, biometrici o dati relativi alla salute.
Il legislatore nazionale ha quindi introdotto misure particolari da rispettare, aggiunte dall’art. 2-septies del Codice Privacy, novellato dal D.lgs. n. 101/2018. Il trattamento dei dati genetici, biometrici e relativi alla salute deve quindi essere effettuato in presenza di una delle condizioni previste dall’art. 9, comma 2 e in conformità alle misure di garanzia disposte dal Garante, che attualmente non sono state emanate.
Ad oggi e finché non verranno adottate tali misure di garanzia valgono le prescrizioni generali del Garante di cui all’autorizzazione generale n. 1/2016, da ultimo modificata dal provvedimento del Garante n. 146 del 5 giugno 2019, in corso di pubblicazione sulla Gazzetta Ufficiale.
Tale prescrizione stabilisce che il trattamento delle categorie particolari di dati nei rapporti di lavoro è effettuato solo per perseguire specifiche finalità, ivi indicate:
- per adempiere o per esigere l’adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa o da contratti collettivi, in particolare ai fini dell’instaurazione, gestione ed estinzione del rapporto di lavoro, nonché del riconoscimento di agevolazioni ovvero dell’erogazione di contributi, dell’applicazione della normativa in materia di previdenza ed assistenza, in materia di igiene e sicurezza del lavoro, nonché in materia fiscale e sindacale;
- in conformità alla legge e per scopi determinati e legittimi, ai fini della tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori;
- per perseguire finalità di salvaguardia della vita o dell’incolumità fisica del lavoratore o di un terzo;
- per far valere o difendere un diritto, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento;
- per adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di salute e sicurezza del lavoro e di malattie professionali o per i danni cagionati a terzi nell’esercizio dell’attività lavorativa o professionale;
- per garantire le pari opportunità nel lavoro;
- per perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi, in materia di assistenza sindacale ai datori di lavoro.
Oltre a definire i casi di legittimo trattamento, il Garante dispone specifiche indicazioni per i trattamenti effettuati sia preliminarmente all’assunzione, sia in costanza di rapporto di lavoro, declinando di fatto in specifici casi i principi generali di limitazione delle finalità e di minimizzazione.
Fase di trattamento | Categorie di dati coinvolti | Prescrizioni del Garante al datore di lavoro |
---|---|---|
Fase preliminare all’assunzione | Dati idonei a rivelare lo stato di salute e l’origine razziale ed etnica | Trattamento solo se la loro raccolta sia giustificata da scopi determinati e legittimi e sia necessaria per instaurare tale rapporto |
Art. 9 | Il trattamento effettuato ai fini dell’instaurazione del rapporto di lavoro deve riguardare le sole informazioni strettamente pertinenti e limitate a quanto necessario a tali finalità, anche tenuto conto delle particolari mansioni e/o delle specificità dei profili professionali richiesti | |
Dati genetici | Trattamento vietato al fine di stabilire l’idoneità del candidato, neppure col consenso dell’interessato | |
Durante il rapporto di lavoro | Dati che rivelano le convinzioni religiose o filosofiche ovvero l’adesione ad associazioni od organizzazioni a carattere religioso o filosofico | Trattamento esclusivamente in caso di fruizione di permessi in occasione di festività religiose o per le modalità di erogazione dei servizi di mensa o, nei casi previsti dalla legge, per l’esercizio dell’obiezione di coscienza |
Dati che rivelano le opinioni politiche o l’appartenenza sindacale, o l’esercizio di funzioni pubbliche e incarichi politici, di attività o di incarichi sindacali | Trattamento esclusivamente ai fini della fruizione di permessi o di periodi di aspettativa riconosciuti dalla legge o, eventualmente, dai contratti collettivi anche aziendali nonché per consentire l’esercizio dei diritti sindacali compreso il trattamento dei dati inerenti alle trattenute per il versamento delle quote di iscrizione ad associazioni od organizzazioni sindacali | |
Dati genetici | Divieto di trattamento al fine di stabilire l’idoneità professionale di un dipendente, neppure con il consenso dell’interessato |
Infine, il Garante prescrive specifiche modalità di trattamento di comunicazioni e documenti contenenti particolari categorie di dati:
- la raccolta dei dati deve avvenire di regola presso l’interessato;
- i mezzi utilizzati per le comunicazioni contenente particolari categorie di dati devono essere destinati individualmente direttamente all’interessato o a un suo delegato; in caso di comunicazione cartacea, questa deve avvenire in plico chiuso;
- i documenti destinati a circolare all’interno dell’organizzazione devono contenere esclusivamente le informazioni necessarie al reparto o funzione destinatari del documento; devono inoltre essere prese misure volte a garantire la ricezione del documento ai soli uffici competenti e del solo personale autorizzato;
- gli avvisi e le comunicazioni di assenze del personale all’interno dell’organizzazione non devono contenere motivazioni o causali dalle quali sia possibile venire a conoscenza di dati personali del soggetto assente.
Il trattamento dei dati giudiziari
Anche la normativa riguardante il trattamento di dati giudiziari ha subito variazioni profonde dal Regolamento europeo.
Escluso il trattamento sotto il controllo dell’autorità pubblica, che è consentito, l’attuale normativa è stabilita dall’art. 2-octies del rinnovato Codice Privacy, che prevede che il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza è consentito solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati.
In mancanza delle predette disposizioni di legge o di regolamento, il trattamento deve essere autorizzato da un apposito decreto del Ministro della giustizia, sentito il Garante, ad oggi non ancora emanato.
Attualmente, quindi, il datore di lavoro non è autorizzato a trattare dati giudiziari. Il caso più frequente di trattamento consiste nella richiesta al lavoratore di presentare il certificato generale del casellario al fine di valutare l’idoneità al lavoro o decidere l’assunzione.
Al riguardo, il Garante ha avuto modo di ribadire la necessità di apposita norma di legge che autorizzi il trattamento, negando la validità di disposizione di rango secondario, come ad esempio il contratto collettivo del lavoro[4].
Alcuni esempi di settori per cui esistono specifiche autorizzazioni sono i seguenti:
- svolgimento di attività professionali o volontarie organizzate che comportino contatti diretti e regolari con minori (art. 25-bis, D.P.R. 14.11.2002, n. 313);
- trattamenti per soggetti che svolgono funzioni di amministrazione, di direzione e di controllo presso le imprese di assicurazione e di riassicurazione (art. 76, D.lgs. 7 settembre 2005, n. 209 e D.M. 11.11.2011, n. 220);
- trattamenti di dipendenti del titolare di un’autorizzazione generale nel settore postale (D.M. 29.7.2015, art. 2, comma 4).
Al di fuori dei casi disciplinati dalla legge, attualmente è quindi necessario attendere il decreto del Ministero della Giustizia, previsto dall’art. 2-octies del Codice Privacy.
Titolare e responsabile del trattamento nei gruppi di imprese
Il datore di lavoro riveste, di regola, il ruolo di titolare del trattamento nei confronti del dipendente. Nel caso in cui il datore di lavoro faccia parte di un gruppo di imprese, la legge prevede[5] la possibilità di delegare gli adempimenti in materia di lavoro, previdenza ed assistenza sociale alla capogruppo.
In questo caso, ogni datore di lavoro dovrà correttamente individuare i trattamenti delegati e procedere a nominare la capogruppo come responsabile del trattamento ai sensi dell’art. 28 GDPR.
Costituisce un caso particolare, ma non così infrequente, quello in cui il contratto di lavoro sia sottoscritto tra il lavoratore e una società diversa da quella che effettivamente impiega il lavoratore.
Ciò si può verificare, ad esempio, al fine di ridurre il carico fiscale del datore di lavoro “formale” o per eludere disposizioni di legge in ambito amministrativo (per non superare determinate soglie di numero di dipendenti).
In questi casi, la giurisprudenza[6] ha già avuto modo di affermare il principio, secondo il quale rileva l’effettivo centro di imputazione del rapporto di lavoro per individuare il titolare del trattamento.
Privacy e rapporti di lavoro: il medico competente
Nei casi previsti dalla legge, il datore di lavoro è tenuto a nominare un medico competente al fine di adempiere agli obblighi in materia di tutela e sicurezza nei luoghi di lavoro.
Tale figura tratta i dati relativi alla salute dei dipendenti e archivia i dati richiesti dalla normativa in una cartella sanitaria, la cui conservazione è disciplinata dall’art. 25, comma 1, lett. c), TUSL (D.lgs. 9 aprile 2008, n. 81). La normativa prevede sostanzialmente che:
- in vigenza di rapporto, il medico competente custodisce la documentazione sanitaria mantenendo il segreto professionale e nel luogo concordato con il datore di lavoro al momento dell’assegnazione dell’incarico;
- al termine dell’incarico, il medico competente consegna la documentazione sanitaria in originale la datore di lavoro, rispettando il Codice Privacy e il segreto professionale;
- lo stesso datore di lavoro deve conservare la documentazione in originale per almeno 10 anni o per il diverso termine particolare specificato dal TUSL;
- alla cessazione del rapporto di lavoro o su richiesta del lavoratore, il medico competente consegna copia della cartella sanitaria e di rischio al lavoratore.
In questo quadro, il datore di lavoro non può accedere alla cartelle sanitarie e concorre unicamente ad assicurarne un’efficace custodia nei locali aziendali.
Inoltre, non può conoscere le eventuali patologie accertate dal medico, ma solo la valutazione finale circa l’idoneità – dal punto di visto sanitario – del dipendente allo svolgimento della mansione affidata.
L’inaccessibilità alle cartelle sanitarie da parte del datore di lavoro è stata ribadita dal Ministero del lavoro e delle politiche sociali, secondo il quale i dati possono essere memorizzati su supporti elettronici, anche all’interno del sistema informativo del datore di lavoro, a condizione di adottare soluzioni che «garantiscano l’accessibilità […] soltanto al medico competente e non permettano né al datore di lavoro né all’amministratore di sistema di potervi accedere»[7].
Visti i rapporti tra datore di lavoro e medico competente, sorge spontaneo chiedersi se sia corretto qualificare il medico competente come titolare o come responsabile del trattamento.
Risulta quindi necessario riflettere sui i trattamenti eseguiti dai due soggetti e sulla definizione di titolare del trattamento.
Titolare è il soggetto che «determina le finalità e i mezzi di trattamento». A ben vedere, è il medico competente che decide le finalità di trattamento rispettando i suoi obblighi che scaturiscono, formalmente, dall’incarico ricevuto dal datore di lavoro, ma sono sostanzialmente definiti dalla legge (TUSL).
Decide, inoltre, anche i mezzi del trattamento, di accordo con il datore di lavoro. Il datore di lavoro è difficilmente configurabile come titolare, in quanto di fatto svolge un trattamento di sola archiviazione terminato l’incarico.
Di contro, la qualifica del medico compente quale responsabile del trattamento non è condivisibile: il medico ha ampio spazio di manovra sebbene risponda alle obbligazione contrattuali derivanti dall’incarico ricevuto e tratta i dati come un professionista soggetto al segreto professionale, senza ricevere istruzioni dal datore di lavoro.
NOTE
- L’argomento è abbondantemente trattato dall’autorità di controllo italiana nonché da quelle comunitarie. Vedi, ad esempio, Article 29 Working Party, Opinion 2/2017 on data processing at work (WP249), 8 giugno 2017; Handbook on European data protection law, aprile 2018, pag. 330; Garante della Protezione dei Dati Personali, Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati, 23 novembre 2006, doc web n. 1364099; Article 29 Working Party, Opinion 08/2001 on the processing of personal data in the employment context (WP 48), 13 September 2001, pag. 23. ↑
- Vedi op.cit. Opinion 2/2017 on data processing at work (WP249), pag. 8. ↑
- Per particolari categorie di dati si intendono quelle definite dall’art. 9.1 GDPR e afferenti a «dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona». ↑
- Vedi Provvedimento del Garante n. 314 e 315 del 22 maggio 2018 [doc. web n. 9005845 e n. 9005857]. ↑
- Vedi art. 31, comma 1, d.lgs. 10 settembre 2003, n. 276. ↑
- Cfr. Cass. 24 marzo 2003, n. 4274; Cass. 1° aprile 1999, n. 3136. ↑
- Vedi Interpello n. 4 del 28 maggio 2019 della Commissione per gli interpelli in materia di salute e sicurezza sul lavoro. ↑