Privacy e rapporto di lavoro: vanno trattati solo i dati necessari

A seguito del GPDR 2018 (Regolamento generale sulla protezione dei dati) adottato dall’Unione Europea, il Garante italiano per la protezione dei dati personali ha pubblicato un provvedimento generale sulla Gazzetta Ufficiale del 29 Luglio.

Tralasciando le questioni generali (il Garante ha inteso mantenere in vita il Codice della Privacy previgente al GPDR adeguandolo alle novità normative) l’Autority italiana ha dedicato un capitolo ad hoc al «trattamento di categorie particolari di dati nei rapporti di lavoro».

Per “dati particolari” si intendono quelli riferiti all'origine razziale o etnica, alle idee e convinzioni nonché i dati genetici e biometrici dei lavoratori.

Il provvedimento ripercorre tutte le fasi del rapporto di lavoro,  prescrivendo specifiche tutele e obbligazioni per ognuna:

•             la fase pre-assuntiva (sia se gestita da agenzie di selezione, sia direttamente dal potenziale datore di lavoro) deve comportare trattamento di dati «strettamente pertinenti» con la ricerca del candidato. Viene specificato che tale principio va applicato alle mansioni e ai profili professionali per i quali la ricerca è effettuata; dati esuberanti tale ambito non potranno essere oggetto di valutazione al fine dell'idoneità del candidato, con espressa esclusione dei «dati genetici», il cui trattamento è definito illegittimo ai fini di valutare l'idoneità professionale, anche ove il candidato abbia prestato il suo consenso.

•             Una volta assunto o comunque selezionato, il lavoratore fornisce al datore di lavoro i dati necessari all'esecuzione del rapporto. Tali dati non comprendono, specifica il Garante, quelli relativi alle convinzioni religiose, alle idee politiche o all'esercizio di funzioni pubbliche e sindacali. In linea con le prescrizioni dello Statuto dei lavoratori, questi ultimi sono lecitamente trattati solo per finalità specifiche e previste dall'ordinamento (ad esempio permessi, trattenute o festività) e non per valutare il dipendente.

•             Anche rispetto ai trattamenti effettuati «nel corso del rapporto di lavoro» il Garante ribadisce il divieto di trattamento di dati genetici, anche in presenza di consenso.

I dati contemplati dal provvedimento sono raccolti principalmente presso l'interessato; non quindi presso terzi o all'esterno. Se oggetto di comunicazione, o di pubblicazione anche a leciti fini relativi al rapporto di lavoro (ad esempio: definizione di turni) i dati vanno trasmessi in plico chiuso, senza riferimento alla natura degli stessi oltre l'indispensabile con esclusione in ogni caso della «conoscibilità» ai terzi; l'indicazione di un'assenza per motivi di salute non deve indicare il motivo, solo il fatto dell'assenza.

•             Altro tema di sicuro interesse compreso nel provvedimento è quello relativo al trattamento di «categorie particolari di dati da parte degli investigatori privati», data la diffusione delle indagini in molti ambiti, non ultimo il rapporto di lavoro; le prescrizioni chiariscono in primis che il trattamento dei dati deve avvenire nell'ambito di uno «specifico incarico» per difendere o fare valere un diritto e che gli interessi in gioco (quelli di chi incarica l'investigatore e quelli del soggetto investigato) devono essere bilanciati.

 

Il provvedimento prescrive, ancora, contenuti e limiti per l'atto di incarico, definendo una guida per la formalizzazione dello stesso, utile in tutti i casi nei quali si decida di intraprendere questa strada per verificare o difendere un diritto. Il Garante si occupa poi dell'utilizzo dei risultati delle indagini: prescrivendo la cessazione di ogni attività investigativa alla fine dell'incarico e limitandone l'uso e la comunicazione agli stretti confini della difesa del diritto che sta alla base del mondato. Questo provvedimento, chiaro e conciso, costituisce un utile riferimento per effettuare verifiche, a volte necessarie, con le dovute formalità, cautele e nel rispetto dei diritti di ogni soggetto coinvolto.