Rapporto di lavoro: quali sono i princìpi che il datore di lavoro deve rispettare nel trattamento dei dati personali dei propri dipendenti?
Nel trattamento di dati personali per scopi di lavoro devono essere garantiti il rispetto della vita privata e la protezione dei dati personali, segnatamente al fine di consentire il libero sviluppo della personalità del dipendente ed opportunità di rapporti personali e sociali sul luogo di lavoro. I datori di lavoro devono ridurre al minimo il trattamento di dati personali, limitandolo ai dati necessari per lo scopo perseguito nel singolo caso (principio della limitazione delle finalità).
(Nella foto: Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy, è tra gli autori del nuovo libro "Privacy e Gestione del personale")
Datori di lavoro e lavoratori sia nel settore pubblico sia in quello privato devono avere consapevolezza del fatto che molte attività svolte normalmente nel contesto dei rapporti di lavoro comportano il trattamento di dati personali relativi ai lavoratori, e talora di dati personali sensibili.
I datori di lavoro devono, inoltre, mettere a punto idonee misure per garantire il rispetto concreto dei principi e degli obblighi connessi al trattamento di dati per scopi di lavoro. Su richiesta dell´autorità Garante, i datori di lavoro devono essere in grado di dimostrare l´osservanza di tali principi e obblighi (principio di accountability). Le misure in questione devono essere adattate alla quantità e tipologia dei dati oggetto di trattamento ed alla natura delle attività intraprese, e devono tenere conto anche delle implicazioni potenziali per i diritti e le libertà fondamentali dei dipendenti.
Nel rispetto del principio di trasparenza di cui all’art. 12 del GDPR l’informativa dovrà essere fornita secondo le indicazioni degli artt. 13 e 14, per cui in caso di raccolta presso l'interessato di dati che lo riguardano, il titolare del trattamento fornisce all'interessato, nel momento in cui i dati personali sono ottenuti, le informazioni previste dalle disposizioni del GDPR.
I dati personali raccolti dai datori di lavoro per scopi di lavoro devono essere pertinenti e non eccedenti, tenuto conto del tipo di lavoro e del mutare delle esigenze di informazione da parte del datore di lavoro. I datori di lavoro devono astenersi dall´esigere o dal chiedere che un dipendente o un candidato all´impiego conceda loro accesso ad informazioni da essi condivise online con altri soggetti, segnatamente attraverso reti di socializzazione.
La raccolta di dati sanitari è consentita esclusivamente qualora sia necessaria per scopi di lavoro, tali scopi non siano incompatibili con le finalità per le quali i dati sono stati inizialmente raccolti, e a condizione che il dipendente interessato o i suoi rappresentanti, se del caso, ne siano informati preventivamente; con il consenso libero, espresso e informato del dipendente interessato; oppure se la comunicazione è prevista dal diritto interno, e in particolare se risulta necessaria ai fini dell´adempimento di obblighi di legge o in conformità di accordi collettivi.
É necessario soddisfare almeno uno dei criteri fissati nell´art. 6 del GDPR per procedere al trattamento di dati personali nel contesto dei rapporti di lavoro. Ciascuno di tali criteri prevede che ogniqualvolta vi si faccia ricorso, il trattamento effettuato sia realmente "necessario per" raggiungere l´obiettivo in oggetto anziché semplicemente incidentale a tale fine.
I criteri verosimilmente più pertinenti sono i seguenti:
- Il trattamento è necessario all´esecuzione del contratto concluso con la persona interessata.
Difatti i rapporti di lavoro si fondano spesso su un contratto di impiego fra il datore di lavoro ed il lavoratore. Per adempiere gli obblighi previsti dal contratto, ad esempio ai fini del pagamento degli stipendi, il datore di lavoro deve trattare determinati dati personali.
- Il trattamento è necessario per adempiere ad un obbligo legale.
- Il trattamento è necessario per il perseguimento dell´interesse legittimo del titolare del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l´interesse o i diritti e le libertà fondamentali della persona interessata.
Se nessuno dei criteri sopra indicati risulta applicabile al trattamento dei dati di un dipendente da parte del datore di lavoro, questi può ottenere in via alternativa il consenso inequivocabile del lavoratore al trattamento (art. 7 del GDPR).