All’interno del patrimonio di informazioni conservate da un’azienda una buona percentuale è costituita da dati che, ai sensi della normativa europea in materia di protezione dei dati personali di cui al Gdpr – Regolamento (UE) 2016/679, vengono definiti come “dati personali”, ossia come “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (cfr. art. 4, par. 1, punto 1).
All’interno dell’insieme dei dati personali troveremo, ad esempio, anagrafiche e dati di contatto di clienti o fornitori persone fisiche, oppure i nominativi dei referenti delle aziende clienti. Tuttavia, è importante sottolineare come l’azienda si trovi a eseguire anche il trattamento (a partire dalle semplici attività di raccolta e conservazione) dei dati personali dei propri dipendenti e collaboratori, ai fini dell’esecuzione del contratto di cui il dipendente è parte, nonché per l’assolvimento dei relativi obblighi giuslavoristici. Vediamo come vanno gestiti.
Tra i dati dei dipendenti figurano dati anagrafici e fiscali, relativi alla salute o all’opinione sindacale, dati di contatto, di navigazione e accesso, sono tutte informazioni riferite al dipendente delle quali l’azienda entra in possesso. Ciò implica la preliminare considerazione per cui anche il dipendente o il collaboratore, al pari, ad esempio, di un cliente o di un fornitore, debba essere considerato quale “interessato” ex art. 4, par. 1, punto 1, GDPR) e, pertanto, anche nei suoi confronti dovranno essere rispettate le tutele stabilite dal legislatore europeo.
Indice degli argomenti
Informativa e obblighi di trasparenza per la privacy aziendale dei dipendenti
Già nella fase antecedente all’assunzione, nella quale il soggetto, ad esempio, trasmette spontaneamente il proprio curriculum ai fini di un’eventuale assunzione, all’azienda spettano specifici obblighi nella sua qualità di titolare del trattamento.
Il riferimento è all’articolo 111-bis del codice privacy novellato (D. Lgs. 196/2003, così come modificato ai sensi del D. Lgs. 101/2018) che prevede come, nel momento di primo contatto con il soggetto candidato, vengano fornite a quest’ultimo tutte le informazioni di cui all’art. 13 GDPR, ossia, in altri termini, venga posta all’attenzione del soggetto una specifica informativa privacy.
Anche nel momento della successiva assunzione l’azienda è chiamata a informare, tramite apposito modello reso secondo le modalità di cui all’art. 12 e conforme al contenuto dell’art. 13 GDPR, le caratteristiche dei trattamenti effettuati sui dati del soggetto, nella sua qualità di dipendente. Invero, qualora il soggetto fosse straniero, l’informativa andrebbe resa in versione tradotta, al fine di un sostanziale rispetto del criterio di intelligibilità esplicitamente richiamato all’art. 12 GDPR.
Non risulta invece necessaria la raccolta del consenso, in quanto l’esecuzione del contratto di lavoro e i relativi obblighi legali costituiscono condizioni di liceità ex art. 6 GDPR per i trattamenti de quo. Anche l’eventuale raccolta e utilizzo di dati particolari ex art. 9 GDPR (es. quelli relativi a condizioni di salute od opinioni sindacali) ricadrebbero nell’ambito applicativo dell’art. 9, par. 2, lett. b) del regolamento europeo, che consente il trattamento dei dati particolari qualora risulti “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro”.
A ciò si andrebbero ad aggiungere gli specifici obblighi stabiliti dal decreto trasparenza (D. Lgs. 104/2022), nel caso in cui l’azienda dovesse utilizzare sistemi decisionali o di monitoraggio integralmente automatizzati aventi un impatto sul rapporto di lavoro (da intendersi in maniera ampia, dalla prima fase di assunzione a quella della cessazione del rapporto). È il caso, ad esempio, di un software che in via del tutto automatizzata, effettua una scrematura dei curricula ricevuti in azienda o che stabilisce in autonomia i turni di lavoro dei dipendenti.
La tutela del dipendente tra privacy aziendale e diritto del lavoro
Occorre poi considerare, sempre nell’ottica della tutela del lavoratore, come l’eventuale implementazione di sistemi quali, ad esempio, videosorveglianza, geolocalizzazione, o comunque qualsiasi strumento dal quale possa derivare la possibilità di un controllo a distanza del lavoratore, non andrà a configurare soltanto obblighi sotto il profilo privacy, ma anche in materia di diritto del lavoro.
Prendendo il caso dei sistemi di videosorveglianza in azienda, occorrerà individuare quale base giuridica almeno una tra le finalità di cui all’art. 4 dello Statuto dei lavoratori (Legge 300/1970), ossia esigenze organizzative e produttive, sicurezza del lavoro o tutela del patrimonio aziendale. Inoltre, tanto l’installazione quanto la messa in esercizio dell’impianto dovranno esser precedute dal raggiungimento di un accordo sindacale o – laddove ciò non avvenga o non siano presenti RSA/RSU – dall’ottenimento dell’autorizzazione amministrativa da parte della sede territoriale dell’Ispettorato nazionale del lavoro.
Lato privacy, dovranno essere presenti un’apposita cartellonistica (c.d. “informativa minima”), un modello di informativa estesa, il censimento dei trattamenti connessi all’utilizzo del sistema all’interno del registro delle attività di trattamento, lo svolgimento di una valutazione d’impatto (cfr. Allegato 1 al provvedimento n. 467 del Garante privacy dell’11 ottobre 2018), nonché la previsione di adeguate misure di sicurezza ex art. 32 GDPR. è opportuno sottolineare come, nel contesto lavorativo, un eventuale consenso del dipendente all’installazione della videosorveglianza non sarebbe da considerare valido rispetto a quanto richiesto dall’art. 7 GDPR: è lo stesso regolamento europeo a chiarire nel Considerando 43 come “il consenso non costituisca un valido fondamento giuridico per il trattamento dei dati personali […] qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento”, come avviene proprio nel rapporto lavoratore e datore di lavoro.
Obblighi formativi e misure di sicurezza organizzative
Occorre poi osservare come, da una diversa prospettiva, non solo i dipendenti entrano in gioco quali “interessati” del trattamento, ma rappresentano anche i soggetti attraverso i quali l’azienda pone in essere i trattamenti riferiti agli altri dati personali in suo possesso, come quelli di clienti e fornitori. Sono i dipendenti e i collaboratori interni che, attraverso la propria attività lavorativa, svolgono decine attività di trattamento ogni giorno, tanto tramite supporti cartacei che informatici.
La definizione di “trattamento” offerta dalla normativa europea privacy – alla quale di rinvia – è infatti molto ampia e tale da ricomprendere attività quotidiane, tra cui la raccolta, l’uso e la cancellazione.
L’azienda, pertanto, nella sua qualità di titolare del trattamento è chiamata a una rigorosa attività di informazione e formazione circa le modalità con cui l’attività lavorativa dovrà essere portata avanti in merito al trattamento dei dati personali. È l’articolo 32, par. 4 del GDPR a sottolineare come chiunque agisca sotto l’autorità del titolare e abbia accesso a dati personali “non tratti tali dati se non è istruito in tal senso”.
Inoltre, tale obbligo è riconducibile a quelle “misure di sicurezza organizzative” richiamate a più riprese nel GDPR e che, in ottica di accountability, devono essere attuate dal titolare del trattamento (cfr. art. 24 GDPR). L’azienda dovrà pertanto formalizzare specifici atti di nomina per i dipendenti, da inquadrare quali designati o autorizzati al trattamento, al fine di perimetrare i rispettivi obblighi e divieti, nonché impegnare tali soggetti alla riservatezza.
Parimenti, appare fondamentale tanto lo svolgimento di un’apposita attività formativa in materia di protezione dei dati personali e di cybersicurezza, quanto la stesura di policy aziendali e mansionari per il corretto utilizzo degli strumenti informatici (soprattutto nel caso di smartworking o ricorso al BYOD – Bring Your Own Device), anche al fine di formare e sensibilizzare il personale sulle minacce informatiche e accrescere il livello di consapevolezza per ridurre il rischio di errori umani.
Sicurezza adeguata per la tutela dei dati conservati
Nel rispetto del principio di integrità e riservatezza di cui all’art. 5, par. 1, lett. f) GDPR, spetta all’azienda implementare misure tecniche e organizzative adeguate al fine di proteggere i dati personali dei dipendenti. Ciò si traduce non solo nella previsione di misure di sicurezza sotto il profilo fisico (ad esempio conservazione dei documenti in appositi arredi chiusi a chiave) o informatico (ad esempio conservazione dei documenti informatici in sistemi in cui siano presenti password per l’accesso o sistemi di backup), ma anche organizzativo, prevedendo l’accesso e il trattamento di certe informazioni da parte di una cerchia ristretta di soggetti.
Nel caso in cui poi le informazioni dovessero costituire oggetto di trattamento svolto da società o professionisti in outsourcing (come, ad esempio, nel caso dell’elaborazione delle buste paga da parte del consulente del lavoro), questi ultimi dovranno formalmente essere individuati e assumere il ruolo di responsabili a norma dell’articolo 28 GDPR.
Infine, laddove sia stato nominato un responsabile della protezione dei dati (o DPO – Data Protection Officer) ex art. 37 GDPR, quest’ultimo rappresenta senz’altro valido alleato dei dipendenti, al fine di fornire supporto sulla materia. Tra i vari compiti del DPO elencati all’articolo 39 del regolamento europeo, infatti, vi è quello di “informare e fornire consulenza […] ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal […] regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati”.
Un altro fondamentale principio, quello della limitazione della conservazione (art. 5, par. 1, lett e), GDPR), richiede la conservazione dei dati personali “in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”. Nel caso dei dati dei dipendenti, dunque, informazioni come quelle relative alle buste paga, al versamento dei contributi e a tutte le evidenze di aver adempiuto agli obblighi di legge come datore di lavoro, è corretto che vengano mantenute per dieci anni a seguito della rescissione del rapporto di lavoro.
Privacy aziendale dei dipendenti, il futuro
Quello della privacy dei dipendenti nel contesto aziendale è un tema poliedrico, del quale in questa sede è stato possibile tracciare gli aspetti maggiormente importanti, senza pretesa di esaustività. È importante, tuttavia, sottolineare come rappresenti una responsabilità fondamentale per ciascuna azienda, a prescindere dall’attività svolta o dalle sue dimensioni.
Al pari dei dati personali di clienti e fornitori, le aziende devono prevedere anche per le informazioni riferite ai dipendenti un adeguato ecosistema di misure di sicurezza, che risulti efficace rispetto al contesto nel quale è inserito e alle minacce che possono verificarsi.
La protezione dei dati dei dipendenti non deve costituire un ostacolo alla produttività ed efficienza aziendale, quanto piuttosto la precondizione per creare un rapporto di responsabilità e fiducia con i lavoratori, oltre che consentire una piena e sostanziale compliance normativa.
