Nel trattamento di dati personali per scopi di lavoro devono essere garantiti il rispetto della vita privata e la protezione dei dati personali, segnatamente al fine di consentire il libero sviluppo della personalità del dipendente ed opportunità di rapporti personali e sociali sul luogo di lavoro.
I datori di lavoro devono ridurre al minimo il trattamento di dati personali, limitandolo ai dati necessari per lo scopo perseguito nel singolo caso (principio della limitazione delle finalità).
Datori di lavoro e lavoratori sia nel settore pubblico sia in quello privato devono avere consapevolezza del fatto che molte attività svolte normalmente nel contesto dei rapporti di lavoro comportano il trattamento di dati personali relativi ai lavoratori, e talora di dati personali sensibili.
In effetti, i datori di lavoro raccolgono dati personali dei rispettivi dipendenti per numerosi e diversi scopi, fin dall’inizio del rapporto di lavoro o persino precedentemente ad esso.
Come sottolineato dalla Corte europea dei diritti dell’uomo nel caso Niemitz c. Germania: “Il rispetto della vita privata deve comprendere, entro certi limiti, anche il diritto di stabilire e sviluppare rapporti con altri esseri umani. Inoltre, non sembrano sussistere motivazioni di principio per ritenere che questo concetto di vita privata escluda attività di natura professionale o economica, poiché, in fondo, è proprio nel corso della vita lavorativa che la maggioranza degli individui ha un’occasione significativa, se non la più importante, di sviluppare rapporti con il mondo esterno. Questa opinione è suffragata dal fatto che, come giustamente sottolineato dalla Commissione, non sempre è possibile distinguere con chiarezza quali delle attività svolte da una persona appartengano alla sua vita professionale o economica e quali invece non vi appartengano”.
I datori di lavoro devono, inoltre, mettere a punto idonee misure per garantire il rispetto concreto dei principi e degli obblighi connessi al trattamento di dati per scopi di lavoro. Su richiesta dell’Autorità garante, i datori di lavoro devono essere in grado di dimostrare l’osservanza di tali principi e obblighi (principio di accountability). Le misure in questione devono essere adattate alla quantità e tipologia dei dati oggetto di trattamento ed alla natura delle attività intraprese, e devono tenere conto anche delle implicazioni potenziali per i diritti e le libertà fondamentali dei dipendenti (Raccomandazione CM/Rec(2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale).
I datori di lavoro devono raccogliere dati personali direttamente presso l’interessato. Qualora sia necessario e lecito trattare dati raccolti presso terzi, ad esempio per ottenere referenze professionali, l’interessato dovrebbe esserne debitamente informato in via preventiva.
La trasparenza dell’informativa
Nel rispetto del principio di trasparenza di cui all’art. 12 del GDPR, l’informativa dovrà essere fornita secondo le indicazioni degli artt. 13 e 14, per cui in caso di raccolta presso l’interessato di dati che lo riguardano, il Titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
a) l’identità e i dati di contatto del Titolare del trattamento e, ove applicabile, del suo rappresentante;
b) i dati di contatto del Responsabile della protezione dei dati, ove applicabile;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
d) qualora il trattamento si basi sull’art. 6, par. 1, lett. f), i legittimi interessi perseguiti dal Titolare del trattamento o da terzi;
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
f) ove applicabile, l’intenzione del Titolare del trattamento di trasferire dati personali a un Paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’art. 46 o 47, o all’art. 49, comma 2, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
Le ulteriori informazioni per garantire un trattamento equo e trasparente
Inoltre, sempre l’art. 13 chiarisce che nel momento in cui i dati personali sono ottenuti, il Titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento equo e trasparente:
a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
b) l’esistenza del diritto dell’interessato di chiedere al Titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
c) qualora il trattamento sia basato sull’art. 6, par. 1, lett. a), oppure sull’art. 9, par. 2, lett. a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
d) il diritto di proporre reclamo a un’autorità di controllo;
e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’art. 22, parr. 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
L’art. 14 del GDPR
L’art. 14, invece, chiarisce che qualora i dati non siano stati ottenuti presso l’interessato, il Titolare del trattamento fornisce all’interessato le seguenti informazioni:
a) l’identità e i dati di contatto del Titolare del trattamento e, ove applicabile, del suo rappresentante;
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
d) le categorie di dati personali in questione;
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
f) ove applicabile, l’intenzione del Titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’art. 46 o 47, o all’art. 49 secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
Trasferimento dei dati a un destinatario in un paese terzo: le ulteriori informazioni da fornire all’interessato
Inoltre, anche in tale caso, oltre alle informazioni precedenti, il Titolare del trattamento fornisce all’interessato ulteriori informazioni necessarie per garantire un trattamento equo e trasparente nei confronti dell’interessato:
a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
b) qualora il trattamento si basi sull’art. 6, par. 1, lett. f), i legittimi interessi perseguiti dal Titolare del trattamento o da terzi;
c) l’esistenza del diritto dell’interessato di chiedere al Titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
d) qualora il trattamento sia basato sull’art. 6, par. 1, lett. a), oppure sull’art. 9, par. 2, lett. a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;
e) il diritto di proporre reclamo a un’autorità di controllo;
f) la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico;
g) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’art. 22, parr. 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Pertinenza e non eccedenza dei dati raccolti
I dati personali raccolti dai datori di lavoro per scopi di lavoro devono essere pertinenti e non eccedenti, tenuto conto del tipo di lavoro e del mutare delle esigenze di informazione da parte del datore di lavoro. I datori di lavoro devono astenersi dall’esigere o dal chiedere che un dipendente o un candidato all’impiego conceda loro accesso ad informazioni da essi condivise online con altri soggetti, segnatamente attraverso reti di socializzazione.
La raccolta di dati sanitari è consentita esclusivamente qualora sia necessaria per scopi di lavoro, tali scopi non siano incompatibili con le finalità per le quali i dati sono stati inizialmente raccolti, e a condizione che il dipendente interessato o i suoi rappresentanti, se del caso, ne siano informati preventivamente; con il consenso libero, espresso e informato del dipendente interessato; oppure se la comunicazione è prevista dal diritto interno, e in particolare se risulta necessaria ai fini dell’adempimento di obblighi di legge o in conformità di accordi collettivi.
La memorizzazione di dati personali per scopi di lavoro è consentita esclusivamente se i dati sono stati raccolti in conformità dei principi sanciti dal GDPR ed esclusivamente per il periodo necessario al perseguimento dello scopo legittimo del trattamento. I dati in questione devono essere pertinenti, idonei e non eccedenti. In caso si memorizzino dati valutativi concernenti la prestazione o le potenzialità di un dipendente, tali dati devono essere utilizzati esclusivamente allo scopo di valutare le competenze professionali.
I criteri fissati nell’art. 6 del GDPR
É necessario soddisfare almeno uno dei criteri fissati nell’art. 6 del GDPR per procedere al trattamento di dati personali nel contesto dei rapporti di lavoro. Ciascuno di tali criteri prevede che ogniqualvolta vi si faccia ricorso, il trattamento effettuato sia realmente “necessario per” raggiungere l’obiettivo in oggetto anziché semplicemente incidentale a tale fine.
I criteri verosimilmente più pertinenti sono i seguenti:
- Il trattamento è necessario all’esecuzione del contratto concluso con la persona interessata.
Difatti i rapporti di lavoro si fondano spesso su un contratto di impiego fra il datore di lavoro ed il lavoratore. Per adempiere gli obblighi previsti dal contratto, ad esempio ai fini del pagamento degli stipendi, il datore di lavoro deve trattare determinati dati personali.
- Il trattamento è necessario per adempiere ad un obbligo legale.
Il diritto del lavoro può imporre alcuni obblighi giuridici a carico del datore di lavoro, che comportano necessariamente il trattamento di dati personali. Il datore di lavoro può essere tenuto per legge a comunicare determinati dati personali, ad esempio agli organi del Fisco, oppure a trattare i dati per scopi di natura previdenziale.
- Il trattamento è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata.
Questo principio prevede un bilanciamento fra gli interessi del datore di lavoro e quelli dei lavoratori. Alcune autorità di controllo si sono pronunciate sulle modalità di definizione di tale bilanciamento fra gli interessi del Titolare e quelli dell’interessato. É importante ricordare che se ci si richiama a questo principio, il lavoratore conserva il diritto di opporsi al trattamento per motivi preminenti e legittimi (art. 21 del GDPR).
Altri criteri che rivestono verosimilmente minore rilevanza nell’ambito dei rapporti di lavoro sono i seguenti:
- Il trattamento è necessario per la salvaguardia dell’interesse vitale della persona interessata. É un principio che può risultare pertinente nel contesto della tutela della salute.
- Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico (probabilmente sono assai rare le situazioni in cui tale criterio può risultare pertinente nell’ambito dei rapporti di lavoro).
Il consenso inequivocabile del lavoratore al trattamento
Se nessuno dei criteri sopra indicati risulta applicabile al trattamento dei dati di un dipendente da parte del datore di lavoro, questi può ottenere in via alternativa il consenso inequivocabile del lavoratore al trattamento (art. 7 GDPR).
La stessa disposizione prevede che qualora il trattamento sia basato sul consenso, il Titolare del trattamento deve essere in grado di dimostrare che l’interessato ha espresso il proprio consenso al trattamento dei propri dati personali.
Se il consenso dell’interessato è espresso nel contesto di una dichiarazione scritta che riguarda anche altre materie, la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte della dichiarazione cui l’interessato abbia dato il consenso e che costituisca una violazione del Regolamento è vincolante.
L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato viene informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.
Nel valutare se il consenso sia stato liberamente espresso, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, dipenda dal consenso al trattamento di dati non necessario all’esecuzione di tale contratto.
