Privacy e lavoro: nuove linee guida

privacy-e-lavoroIl Garante della Privacy pubblica un nuovo vademecum con le linee guida da rispettare da parte del datore di lavoro nei confronti dei dipendenti: regole generali e casi specifici.

Ci sono disposizioni di carattere generale e altre invece relative a strumenti precisi (cartellino presenze, bacheche aziendali e via dicendo) nel Vademecum su Privacy e lavoro messo a punto dal Garante per la protezione dei personali. Innanzitutto, è stabilito che il datore di lavoro possa trattare informazioni personali solo se strettamente indispensabili all’esecuzione del rapporto di lavoro.

Non solo: i dati possono essere trattati solo da personale incaricato e devono essere rispettate idonee misure di sicurezza. Sul luogo di lavoro vanno assicurate la tutela di diritti, libertà fondamentali, dignità delle persone, garantendo la sfera della riservatezza nelle relazioni personali e professionali. In generale, il trattamento dei dati personali deve rispettare il principio di necessità, per cui sistemi e programmi devono essere configurati riducendo la minimo le informazioni personali e i dati identificativi. Vanno poi rispettati i principi di correttezza, per cui le caratteristiche generali del trattamento vanno rese note ai collaboratori, di pertinenza e non eccedenza (le finalità devono essere esplicite e legittime).

Da sottolineare che il trattamento dei dati sensibili è lecito se finalizzato a obblighi di legge, o derivanti dal regolamento o dal contratto. Entrando nello specifico delle regole:

  • cartellino identificativo: è lecito utilizzarlo, senza necessariamente riportare tutti i dati anagrafici e le generalità complete del dipendente. Possono bastare codice identificativo, nome, ruolo professionale;
  • comunicazioni: nel privato per comunicare informazioni sul lavoratore ad associazioni di datori di lavoro, ex dipendenti o conoscenti è necessario il consenso dell’interessato. Nel pubblico, ci vuole un’apposita norma di legge;
  • bacheche aziendali: si possono affiggere ordini di servizio e turni, non si possono invece inserire documenti relativi a emolumenti, sanzioni disciplinari, motivazioni assenze, adesione a sindacati;
  • pubblicazione dati: qualsiasi dato personale del lavoratore (foto, curriculum) non può essere pubblicato su siti o intranet aziendali senza il consenso del lavoratore. E’ sempre vietato pubblicare qualsiasi informazione da cui si possa desumere patologie, o uno stato di malattia, disabilità, invalidità. Nel pubblico, per pubblico dati personali è necessaria apposita normativa di settore;
  • dati sanitari: vanno sempre conservati in fascicoli separati. In caso di assenza per malattia, il certificato riporta solo la data di inizio e fine, non l’indicazione della patologia. Il datore di lavoro non può mai accedere alle cartelle sanitarie, nemmeno in caso di accertamento del medico del lavoro. In caso di denuncia di malattie professionali, il datore di lavoro deve limitarsi a comunicare all’INAIL le informazioni connesse alla patologia. Anche qui, il vademecum sottolinea l’assoluto divieto di diffondere dati idonei a rivelare lo stato di salute del lavoratore;
  • dati biometrici: sono previste una serie di limitazioni, su cui il Garante ha pubblicato documenti specifici. Ad esempio, le impronte digitali o altre caratteristiche possono essere utilizzate solo per l’accesso a particolari aree sensibili o a macchinari pericolosi. Non sono ammesse banche dati centralizzate, vanno preferibilmente utilizzati altri strumenti, come le smart card ad esclusivo utilizzo del dipendente;
  • posta elettronica: il datore di lavoro garantisce sicurezza e integrità dei dati, e informa dettagliatamente il dipendente su modalità di utilizzo degli strumenti, controlli, e via dicendo, ad esempio con un disciplinare interno;
  • controllo a distanza: è vietato.