Il Garante per la protezione dei dati personali ha predisposto un vademecum che si propone - facendo sintesi dei numerosi provvedimenti ed interventi dell’Autorità sulla tematica - di illustrare in modo semplice ed immediato il complesso tema della privacy sul posto di lavoro, materia che spesso genera contenziosi tra dipendenti e datori di lavoro. 

Il vademecum, composto di dieci sezioni, cerca di dare risposte ad alcune domande frequenti in materia di gestione del rapporto di lavoro subordinato, quali ad esempio: i cartellini identificativi devono riportare tutti i dati anagrafici? Si possono affiggere nella bacheca aziendale le informazioni sulle malattie e i permessi? Il dipendente assente per malattia deve consegnare il certificato con la diagnosi? La posta elettronica aziendale è riservata? Si possono installare impianti di videosorveglianza sul posto di lavoro?

Di seguito una sintesi dei principali punti trattati.

Principi generali

Il datore di lavoro può trattare informazioni personali solo se strettamente indispensabili all’esecuzione del rapporto di lavoro. 

I dati possono essere trattati solo dal personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite. 

Sul luogo di lavoro va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità delle persone garantendo la sfera della riservatezza nelle relazioni personali e professionali. 

Le informazioni personali trattate possono riguardare, oltre all’attività lavorativa, la sfera personale e la vita privata dei lavoratori (ad esempio i dati sulla residenza e i recapiti telefonici) e dei terzi (ad esempio dati relativi al nucleo familiare per garantire determinate provvidenze). 

I trattamenti di dati personali devono rispettare il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzo di informazioni personali e identificative. 

Si deve inoltre rispettare il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori. 

I trattamenti devono essere effettuati per finalità determinate, esplicite e legittime in base ai principi di pertinenza e non eccedenza. 

Il trattamento di dati personali anche sensibili riferibili a singoli lavoratori è lecito, se finalizzato ad assolvere obblighi derivanti dalla legge, dal regolamento o dal contratto individuale (ad esempio, per verificare l’esatto adempimento della prestazione o commisurare l’importo della retribuzione).

Controlli

Spetta al datore di lavoro adottare idonee misure di sicurezza per assicurare la disponibilità e l’integrità dei sistemi informativi e dei dati, anche per prevenire utilizzi indebiti. 

Il datore di lavoro ha l’onere di informare i dipendenti, in modo chiaro e particolareggiato, su quali siano le modalità di utilizzo degli strumenti messi a disposizione e se vengono effettuati controlli (anche in accordo con le organizzazioni sindacali), in che misura e con quali modalità, utilizzando ad esempio un disciplinare interno, chiaro ed aggiornato, affiancato da un’idonea informativa.

Internet

Il datore di lavoro deve specificare con chiarezza se la navigazione in internet, o la gestione di file nella rete interna, autorizzi o meno specifici comportamenti come il download di software o di file musicali o l’uso dei servizi di rete con finalità ludiche o estranee all’attività lavorativa. 

Occorre, inoltre, specificare quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica o la rete internet sono utilizzate indebitamente. 

Al fine di ridurre il rischio di usi impropri di internet, il datore può adottare opportune misure che possono prevenire controlli successivi sul lavoratore, che possono risultare leciti o meno a seconda dei casi e possono comportare il trattamento di dati sensibili, come le convinzioni religiose, filosofiche, politiche, lo stato di salute o la vita sessuale. 

Ad esempio si possono individuare i siti correlati o meno alla prestazione lavorativa o configurare sistemi o filtri che prevengano determinate operazioni.

Posta elettronica

I contenuti e le informazioni della posta elettronica sono tutelati costituzionalmente da garanzie di segretezza ma riguardano anche l’organizzazione del lavoro. 

In questo quadro è opportuno che il datore di lavoro renda disponibili indirizzi di posta elettronica condivisi tra più lavoratori (ad es. ufficioreclami@società.com) affiancandoli a quelli individuali (ad es. rossi@società.com) e valuti la possibilità di attribuire al lavoratore un diverso indirizzo destinato ad un uso privato. Il datore di lavoro può mettere a disposizione di ciascun lavoratore apposite funzionalità di sistema che consentano di inviare automaticamente, in caso di assenze programmate, messaggi di risposta che contengano le “coordinate” di un altro lavoratore. 

Si può altresì consentire al lavoratore di delegare un altro lavoratore (fiduciario) in caso di assenze prolungate, a leggere i messaggi di posta e ad inoltrare al titolare del trattamento quelli ritenuti rilevanti per l’attività lavorativa. Di tale attività dovrebbe essere redatto apposito verbale e informato il lavoratore interessato. 

In caso di assenze non programmate (ad es. per malattia), qualora il lavoratore non possa attivare la procedura descritta (anche avvalendosi di servizi webmail), il datore di lavoro può incaricare altro personale (ad esempio l’amministratore di sistema) di gestire la posta del lavoratore, avvertendo l’interessato e i destinatari.

Controllo a distanza e Videosorveglianza

È vietato ai datori di lavoro effettuare trattamenti di dati personali mediante sistemi hardware e software che mirino al controllo a distanza dei lavoratori. 

Non devono essere effettuati controlli a distanza al fine di verificare l’osservanza dei doveri di diligenza stabiliti per il rispetto dell’orario di lavoro e la correttezza nell’esecuzione della prestazione lavorativa (ad es. orientando la telecamera sul badge). 

Vanno poi osservate le garanzie previste in materia di lavoro quando la videosorveglianza si renda necessaria per esigenze organizzative o produttive, o sia richiesta per la sicurezza del lavoro. 

In tali casi, ai sensi dell’art. 4 della l. n. 300/1970, gli impianti e le apparecchiature “dai quali può derivare anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti”.

Il vademecum può essere consultato o scaricato a questo indirizzo.

Informazioni

Ufficio legislativo dott.ssa Mila Bertoldi (tel. 0461 880326)