Il Regolamento UE 2016/679, entrato in vigore il 25 maggio 2018, detta analiticamente le regole per la disciplina del trattamento dei dati nel rapporto di lavoro, sia con riferimento ai presupposti del trattamento dei dati dei lavoratori che con riferimento all’organizzazione aziendale.
Il consenso al trattamento dei dati personali è già implicito nella stipula del contratto di lavoro. Tuttavia va anche ricordato che, in deroga alla disciplina generale, non è richiesto il consenso esplicito per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui tale trattamento sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per gli interessi ed i diritti fondamentali dell’interessato.
Ogni lavoratore, indipendentemente dal tipo di contratto a lui applicato, ha diritto al rispetto della vita privata, della sua libertà e dignità; da ciò deriva l’obbligo di una adeguata informazione sulle modalità di trattamento dei dati personali in maniera chiara, semplice ed esaustiva, soprattutto qualora siano previste forme di controllo del lavoratore, che comunque dovranno essere rispettose anche delle norme nazionali.
È dunque opportuno integrare il regolamento aziendale con la disciplina sulla protezione dei lavoratori in relazione al trattamento dei dati.
Valutazione di impatto privacy – Il datore di lavoro è tenuto a elaborare una valutazione di impatto privacy, per verificare l’avvenuta adozione di misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro.
È legittimo introdurre strumenti e tecnologie per ridurre i rischi di attacchi informatici e la diffusione di informazioni riservate, ma non si può “spiare” la posta dei dipendenti o la loro navigazione Internet. L’eventuale consultazione o il monitoraggio dei social network devono essere limitati ai soli profili professionali, escludendo la vita privata di dipendenti o candidati all’assunzione.
Consenso dei lavoratori – Il datore di lavoro, prima di procedere al trattamento dei dati del lavoratore, dovrà ricevere il suo consenso che, per essere considerato valido, deve essere libero ed informato. Ciò anche, ad esempio, nel caso in cui si voglia fornire a terzi o pubblicare sul sito web aziendale il curriculum vitae del dipendente.
Nella bacheca aziendale possono essere affissi ordini di servizio, turni lavorativi o feriali ma non possono essere pubblicate notizie relative alle retribuzioni percepite, alle sanzioni disciplinari e all’eventuale adesione a sindacati dei dipendenti.
Inoltre, è vietata la pubblicazione di notizie dalle quali si può desumere lo stato di malattia o l’esistenza di patologie dei soggetti interessati.
Dati sanitari e dati biometrici dei lavoratori – I dati sanitari dei lavoratori devono essere conservati in fascicoli separati e il datore di lavoro non può accedere alle cartelle cliniche dei dipendenti sottoposti ad accertamenti dal medico del lavoro.
Nel caso di denuncia di infortuni o malattie professionali all’Inail, il datore di lavoro deve limitarsi a comunicare solo le informazioni connesse alla patologia denunciata.
L’utilizzo dei dati biometrici, come ad esempio delle impronte digitali, non è concesso. Fanno eccezione i casi in cui sia necessario presidiare gli accessi ad aree sensibili oppure consentire l’utilizzo di macchinari pericolosi ai soli soggetti qualificati.
Inoltre le impronte digitali e l’emissione vocale possono essere utilizzate per l’autenticazione informatica (accesso a banche dati o a PC aziendali) e la firma grafometrica per la sottoscrizione di documenti informatici.
Controlli dei lavoratori – Il datore di lavoro può predisporre dei controlli per motivi organizzativi o di sicurezza solo se vengono rispettati i principi di pertinenza e non eccedenza.
Sono vietate le perquisizioni personali dei lavoratori fatta eccezione di quelle necessarie e indispensabili per la tutela del patrimonio dell’impresa.
In caso di perquisizioni ammesse, tuttavia, occorre ricordare la necessità di concordarne le modalità con il sindacato, o in alternativa richiedere apposita autorizzazione alla Direzione Territoriale del Lavoro.
Le visite mediche dei lavoratori non possono essere eseguite da medici di fiducia del datore di lavoro: pertanto, per accertare le condizioni di salute del lavoratore è necessario fare riferimento alle strutture sanitarie pubbliche.