Luoghi di lavoro: le indicazioni del garante
Commento al Provvedimento del Garante per la protezione dei dati personali, 23 novembre 2006: “Linee Guida in materia di trattamento dei dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati”
Articolo redatto da Annamaria Stola e Alessandra Delli Ponti, pubblicato sulla rivista telematica Sapere & Consumare, Bimestrale del consumo consapevole, numero 1/2007, http://www.sapereeconsumare.net/
Sulla Gazzetta Ufficiale n. 285 del 7 dicembre 2006 sono state pubblicate le “Linee Guida” messe a punto dal Garante per il trattamento dei dati dei lavoratori dipendenti del settore privato.
Trattasi di un vero e proprio vademecum per i datori di lavoro, che non trovano nel documento alcuna nuova indicazione rispetto al passato, ma che possono avvalersi di una sinossi completa degli adempimenti di loro pertinenza nella gestione dei rapporti di lavoro con i propri dipendenti.
Il testo, infatti, è costruito come la summa degli obblighi previsti dal cd. Codice della privacy e dalle “interpretazioni autentiche” che nel corso del tempo ne ha dato il Garante.
Prima di entrare nel merito degli aspetti più interessanti del provvedimento, si ritiene utile svolgere una prima considerazione sul titolo utilizzato. Infatti, la formula “linea guida” non deve trarre in inganno, atteso che, al di là della formulazione letterale, le indicazioni fornite debbono considerarsi come veri e propri obblighi, il discostarsi dai quali può costituire per il datore di lavoro fonte di responsabilità e di eventuali sanzioni (ove espressamente previste).
Ciò premesso, vanno segnalate alcune indicazioni, a parere di chi scrive meritevoli di particolare attenzione.
1. IL TRATTAMENTO DEI DATI SANITARI DEI DIPENDENTI.
Innanzitutto il Garante raccomanda di tenere i dati sanitari dei dipendenti in fascicoli separati dal fascicolo personale. Tale garanzia deve essere rispettata anche nel caso dei certificati di malattia, che di norma, nella copia consegnata al datore di lavoro, non riportano la diagnosi ma unicamente la data di inizio e la durata della presunta infermità.
Sempre in tema di dati sanitari, nell’ipotesi di denuncia di infortunio o di malattia professionale, il Garante suggerisce di inviare all’Inail solo le informazioni connesse alla patologia denunciata.
A parere di chi scrive tale indicazione appare di non facile applicazione. Infatti, il datore di lavoro, senza possedere necessariamente la preparazione specifica, è chiamato a compiere un’attività di valutazione “medica” attinente alla pertinenza o meno di determinate informazioni sulla malattia oggetto di indagine.
2. LA “NATURA” DELLE NOTE DI VALUTAZIONE DEL PERSONALE
Il secondo aspetto meritevole di approfondimento riguarda invece le note di valutazione dei dipendenti, considerate anch’esse “dati personali” e rispetto alle quali il dipendente può pertanto esercitare i diritti di cui all’art. 7 del d.lgs. n. 196/2003.
Su tali dati il Garante ha chiarito, in particolare, che:
– per quanto concerne gli elementi di carattere obiettivo (numero di pratiche svolte o giorni di assenza dal lavoro) l’interessato può chiedere la correzione;
– per quanto concerne invece i giudizi, il dipendente non può chiedere la correzione, ma unicamente ed eventualmente l’integrazione e, in ogni caso, detta richiesta può essere formulata solo al termine della procedura di valutazione.
La nota interessante riguarda il fatto che tale disposizione si applica non solo ai dipendenti del settore privato, ma anche ai pubblici impiegati i quali, ove intendessero conoscere anche le valutazioni di altri colleghi (ad esempio, al fine di acquisire tutta la documentazione necessaria per un eventuale giudizio davanti il Giudice del Lavoro), dovranno far valere il proprio interesse mediante una richiesta formale di accesso agli atti ai sensi della legge 7 agosto 1990, n. 241.
3. COMUNICAZIONE DEI DATI DEL PERSONALE: LA GESTIONE DEL RAPPORTO CON IL CONSULENTE DEL LAVORO E LA DESIGNAZIONE DEGLI INCARICATI
Con riferimento al trattamento dei dati inerenti alla gestione del rapporto di lavoro assume particolare significato quanto contenuto nel provvedimento in relazione alla designazione di soggetti interni o esterni che possono conoscere di tali dati.
Distinguiamo due situazioni:
i soggetti chiamati a trattare i dati sono “interni” all’azienda; si pensi ai membri del cosiddetto “ufficio personale”
i soggetti chiamati a trattare i dati sono esterni all’azienda; si pensi al consulente del lavoro, commercialista, etc.
Dal punto di vista “interno” il titolare del trattamento dovrà preoccuparsi di effettuare la nomina, normalmente come “incaricati” del trattamento, degli addetti che per le mansioni svolte tratteranno i dati in questioni, autorizzandoli, quindi, al trattamento degli stessi. Contestualmente alla nomina, il titolare dovrà fornire poi le necessarie istruzioni per assicurare che il trattamento avvenga in maniera corretta.
Sulla nomina degli incaricati interni preme sottolineare che di prassi si predispongono nomine individuali per ciascun addetto, ma è possibile anche effettuare delle nomine collettive. Infatti, il codice privacy considera valida designazione anche “la documentata preposizione della persona fisica a una unità per la quale è individuato per iscritto l’ambito di trattamento consentito agli addetti all’unità medesima” (art. 30 D.lgs. 196/2003).
Applicando tale principio la designazione potrà quindi essere fatta mediante una lettera collettiva riguardante l’unità organizzativa di cui il singolo fa parte, evitando così comunicazioni individuali. Tale scelta organizzativa potrà essere una significativa semplificazione in aziende molto grandi.
A parere di chi scrive, qualora si scelga di effettuare nomine collettive, ci si deve assicurare che ciascun incaricato abbia coscienza e conoscenza dei dati sui quali può effettuare operazioni di trattamento.
In parte un po’ più complessa è la gestione del rapporto con i consulenti esterni chiamati a trattare i dati inerenti alla gestione dei rapporti di lavoro.
Sostanzialmente:
se il lavoratore dà il consenso alla comunicazione dei propri dati a soggetti esterni, non sarà indispensabile procedere alla nomina del consulente esterno, potendo egli agire anche come titolare autonomo dei dati;
se il lavoratore non dà il consenso alla comunicazione dei propri dati, allora il consulente esterno andrà nominato come responsabile o incaricato del trattamento.
Senza problemi, invece, è la diffusione di dati realmente in forma anonima come il numero complessivo di ore di lavoro straordinario prestate o di ore non lavorative a livello aziendale o all’interno di singole unità produttive, etc..
4. MISURE DI SICUREZZA: IL PERSONALE CHIAMATO A TRATTARE I DATI DEI DIPENDENTI DEVE ESSERE FORMATO
Il datore di lavoro, in quanto titolare del trattamento, dovrà assicurare la corretta implementazione delle misure di sicurezza previste dal Codice privacy.
Sul punto però, l’aspetto più interessante segnalato dal Garante è la precisazione circa gli obblighi sulla formazione.
Nessun dubbio in proposito.
Il datore di lavoro ha l’obbligo di preporre alla custodia dei dati il personale che «deve avere cognizioni in materia di protezione dei dati personali e ricevere una formazione adeguata. In assenza di un’adeguata formazione degli addetti al trattamento dei dati personali il rispetto della riservatezza dei lavoratori sul luogo di lavoro non potrà mai essere garantito»
Quale sarà la diretta conseguenza dell’assenza di adeguata formazione?
A parere di chi scrive in caso di danni derivanti dall’assenza di adeguata formazione – si pensi solo alla non corretta archiviazione dei certificati medici dei dipendenti per le assenze – il datore di lavoro potrà essere chiamato al risarcimento dei danni.
5. DIFFUSIONE DEI DATI DEL PERSONALE: INTERNET, BACHECHE E CARTELLINI IDENTIFICATIVI
La pubblicazione di informazioni personali del dipendente – fotografie, curriculum – in Internet o in rete intranet è possibile solo se il dipendente ha dato il proprio consenso.
È necessario anche fare molta attenzione all’uso della bacheca aziendale o alle comunicazioni – tipo circolari – interne.
Sul punto il Garante ha precisato che:
– è lecita l’affissione di dati nella bacheca o la diffusione degli stessi internamente all’azienda unicamente se richiesta per dare attuazione a obblighi del contratto di lavoro o a disposizione sull’orario di lavoro (ad esempio per la comunicazione di turni di lavoro o individuazione di mansioni);
– non è lecita la diffusione di informazioni riferite ai singoli se non correlate all’esecuzione di obblighi lavorativi.
Non potranno essere comunicate: le condizioni di emolumenti percepiti o che fanno riferimento a particolari condizioni personali, le sanzioni o i provvedimenti disciplinari o informazioni relative a controversie giudiziarie, informazioni su assenze per malattie , etc..
Il Garante si è poi pronunciato sui contenuti dei cartellini del personale, precisando che è sproporzionata l’indicazione di dati personali identificativi come generalità o dati anagrafici. Sui cartellini è sufficiente l’indicazione di codici identificativi, il solo nome o il ruolo professionale svolto.
6. UTILIZZO DI DATI BIOMETRICI PER IL CONTROLLO DELLE PRESENZE
Il Garante ha ribadito la propria posizione già espressa in molteplici pronunce circa la possibilità di utilizzare i dati biometrici dei dipendenti per regolarizzare l’accesso ad aree riservate o verificare le presenze dei dipendenti.
In particolare, viene affermato che l’uso generalizzato e incontrollato di dati biometrici non è lecito. L’utilizzo di tali dati può essere giustificato solo in casi particolari, tenuto conto delle finalità e del contesto in cui essi sono trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad «aree sensibili», in considerazione della natura delle attività ivi svolte (ad esempio in caso di processi produttivi pericolosi, di locali destinati alla custodia di beni,etc).
In tutti i casi in cui l’utilizzo del dato biometrico è giustificato e consentito, è obbligatorio assicurare il rispetto di accorgimenti che garantiscano la sicurezza dei dati e dei trattamenti. Prima fra tutte la verifica preliminare imposta dall’articolo 17 del Codice Privacy.
* * *
A conclusione di tale illustrazione si consentano alcune considerazioni generali sul provvedimento del Garante.
A parere di chi scrive, il provvedimento è un’importante “guida” per il datore di lavoro che si trova a dover applicare la normativa privacy al proprio interno. Infatti pur non innovando nulla rispetto a quanto previsto dal Codice Privacy o dai precedenti pronunciamenti del Garante, esso costituisce un’importante “summa” di tutto ciò che il datore di lavoro deve o dovrebbe sapere per la gestione dei dati dei rapporti di lavoro, spesso unici dati “sensibili” trattati in azienda.
Tuttavia a parere di chi scrive il Garante avrebbe potuto cogliere l’occasione per dare importanti riferimenti in altri punti o problematiche, come l’utilizzo della posta elettronica aziendale, il controllo dell’accesso ad internet del lavoratore, temi che si ritengono invece di grande importanza per la gestione di luoghi di lavoro.
Si ritiene che la scelta del Garante non sia casuale. Probabilmente proprio l’importanza di tali temi necessita – a parere del Garante – di un esame in una sede dedicata.
Non resta quindi che attendere la stesura di ulteriori Linee Guida “monotematiche” per gli utenti.