Privacy e Lavoro
Diritti e doveri a tutela dei dati personali dei lavoratori dipendenti
Secondo quanto disposto dall’art.41 della Costituzione italiana, al datore di lavoro viene riconosciuta la piena libertà di iniziativa economica, purché esercitata nel rispetto della libertà e dignità umana. Egli potrà dettare le regole disciplinanti l’esecuzione del lavoro nonché operare il controllo dell’attività lavorativa e dei dipendenti affinché i compiti siano svolti secondo le direttive loro impartite, pena l’irrogazione di sanzioni disciplinari.
Di contro, tali poteri incontrano i limiti disciplinati in origine dallo Statuto dei Lavoratori (legge n. 300/1970) a tutela dei diritti dei lavoratori dipendenti, che fungono da contrappeso per il rispetto della riservatezza, della libertà e della dignità dei lavoratori stessi, vincolando il datore di lavoro al rispetto dei princìpi in materia dei dati personali quali: il principio di necessità, di finalità, di trasparenza, di proporzionalità e di sicurezza.
Princìpi a cui si
ispira l’art. 5 del Regolamento Ue 679/2016 (GDPR) laddove dispone che i dati
personali debbano essere trattati in modo lecito, corretto e trasparente nei
confronti dell'interessato e che debbano essere adeguati, pertinenti e limitati
a quanto necessario rispetto alle finalità per le quali sono trattati
(«minimizzazione dei dati»), responsabilizzando il titolare del trattamento ai
fini di una corretta conservazione degli stessi.
L’entrata in vigore del recente Decreto legislativo 10 agosto 2018, n.
101 che adegua il codice in materia di protezione dei dati personali (Decreto
legislativo 30 giugno 2003, n. 196) alle disposizioni del Regolamento UE
2016/679, ha apportato profonde modifiche a tutto
il sistema normativo italiano sulla tutela dei dati personali.
Anche il diritto del lavoro ha così subìto
adeguamenti in merito al trattamento dei dati personali dei lavoratori
dipendenti. Il datore di lavoro difatti potrà trattare i dati di questi ultimi
solo a condizione che siano strettamente indispensabili all’esecuzione
del rapporto di lavoro, ma non prima di aver ricevuto il consenso da parte
degli interessati e di aver predisposto misure di sicurezza a tutela di una
illecita divulgazione.
Dove troviamo la
definizione di dati personali? All’interno dell’art. 4 del Regolamento UE
679/2016 (GDPR) il quale li qualifica come “le informazioni che identificano o
rendono identificabile, direttamente o indirettamente, una persona
fisica e che possono fornire informazioni sulle sue caratteristiche, le sue
abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di
salute, la sua situazione economica, ecc…”.
Lo stesso articolo inoltre esplica come gestire
questi dati, come dover effettuare un trattamento e quali siano i tempi da
rispettare ai fini della conservazione, cosa si intenda per profilazione, come
adoperarsi per garantire una maggior tutela dei dati mediante l’adozione di
sistemi di pseudonimizzazione, quali siano le modalità di archiviazione degli
stessi, nonché le figure soggettive che a diverso titolo possono trattare i
dati in qualità di titolare o responsabile del trattamento.
Sarà così compito del titolare o del responsabile del
trattamento dover mettere in atto misure tecniche e organizzative idonee a
garantire un livello di sicurezza adeguato al rischio (art. 32, par. 1, del
Regolamento).
È questo una sorta di richiamo implicito (all’interno
del GDPR) alla figura dell’amministratore di sistema (ADS), emersa per poter sopperire a quelle che spesso sono mancanze
tecnico-professionali del titolare o del responsabile del trattamento a favore
di una tutela dei dati più efficace. Seppur non menzionata all’interno del GDPR
troviamo invece una chiara definizione nel
Provvedimento del Garante del 27 novembre 2008, ovvero “una figura professionale dedicata alla gestione e alla manutenzione di
impianti di elaborazione con cui vengano effettuati trattamenti di dati
personali…”.
Ma cosa comporta al datore di lavoro il trattare
dati personali? Di certo l’onere di valutare preventivamente se il trattamento
di essi sia proporzionale e necessario per il perseguimento di una legittima
finalità, spesse volte avvalendosi di una valutazione d’impatto, prevista
obbligatoriamente dagli art. 35 e 36 del Regolamento Ue qualora il trattamento
dei dati presenti particolari rischi per i diritti e le libertà degli
interessati, così da poter evitare di incorrere in sanzioni.
Nel nostro paese
anche il Garante della privacy si è pronunciato sul tema, dettando linee guida (suscettibili di
periodico aggiornamento) tese a fornire
indicazioni e raccomandazioni concernenti le operazioni circa il trattamento
dei dati personali (anche sensibili) dei lavoratori alle dipendenze di datori di
lavoro privati, di come questi ultimi siano tenuti ad adottare ogni misura di
sicurezza prescritta dal Codice a protezione dei dati personali dei dipendenti,
ponendo particolare attenzione all'eventuale natura sensibile dei medesimi e di
come dette informazioni debbano essere conservate separatamente da ogni altro
dato personale dell'interessato.
Tutto ciò al fine
di evitare al datore di lavoro di incorrere nelle sanzioni previste negli
articoli 38 dello Statuto dei Lavoratori, 166 del Codice Privacy e 83 del GDPR,
con pene previste fino a 20 milioni di euro o fino ad un ammontare pari al 4% del
fatturato mondiale totale dell’anno precedente.
Articolo di
Dott. Emanuele Di Stefano