Il datore di lavoro, i suoi dipendenti e la gestione della privacy in azienda. Il nuovo Vademecum del Garante Privacy

privacy in azienda e dati biometrici

Il Garante della Privacy ha fornito indicazioni chiare e sintetiche, in relazione al trattamento dei dati personali dei dipendenti in azienda, riassumendo in un vademecum gli adempimenti a cui il datore di lavoro deve prestare attenzione.

Riportiamo qui di seguito il contenuto del Vademecum nella forma di questionario:

Quali dati personali il datore di lavoro può trattare in relazione ai suoi dipendenti?

Solo quelli indispensabili all’esecuzione del rapporto di lavoro

Chi può trattare i dati dei lavoratori in azienda?

Esclusivamente personale incaricato, sempre nel rispetto di misure idonee a garantirne la riservatezza.

Quali principi fondamentali deve rispettare il trattamento dei dati dei dipendenti?

Il trattamento deve essere effettuato nel rispetto dei diritti, della dignità e delle libertà fondamentali costituzionalmente garantite e deve avvenire secondo il principio di necessità (riducendo al minimo l’utilizzo di informazioni personali e/o identificative), quello di pertinenza e non eccedenza.

I dati possono riguardare anche la sfera privata del lavoratore?

Laddove questo sia necessario per finalità anche indirettamente connesse all’attività si, ma sempre il trattamento deve sempre avvenire nel rispetto dei principi di necessità, pertinenza e non eccedenza.

I lavoratori devono essere informati del trattamento?

Certamente, i lavoratori devono essere chiaramente informati delle modalità del trattamento, delle finalità, che devono essere legittime e dei soggetti che gestiscono i dati, secondo il principio di correttezza.

Quando un datore di lavoro può trattare anche dati sensibili?

Il trattamento dei dati sensibili riferibili ai singoli lavoratori è lecito se finalizzato ad assolvere ad obblighi di legge, regolamenti, clausole contrattuali relative al contratto di lavoro.

CARTELLINI IDENTIFICATIVI

E’ legittimo l’uso dei cartellini identificativi?

Si, ma è sufficiente che il cartellino riporti il solo nome del soggetto o un codice identificativo e il ruolo professionale ricoperto.

COMUNICAZIONE DI DATI A TERZI

Aziende private:

per comunicare i dati a soggetti terzi e’ sempre necessario il consenso dell’interessato

Aziende pubbliche ed enti pubblici:

e’ richiesta una norma di legge o di regolamento

BACHECHE

Quali dati possono essere indicati in bacheca?

COSA E’ AMMESSO: indicare ordini di servizio, turni lavorativi o feriali;

COSA NON E’ AMMESSO: documenti contenenti gli emolmenti percepiti, motivazioni assenze, adesione a sindacati o altre associazioni, sanzioni disciplinari

 PUBBLICAZIONE SUI SITI WEB DEI DATI DEL LAVORATORE

AZIENDE PRIVATE: per pubblicare dati personali del lavoratore su un sito aziendale (cv, foto, nome, ecc) è sempre necessario ottenere il consenso dell’interessato;

AZIENDE ED ENTI PUBBLICI: è possibile pubblicare dati e documenti contenenti dati personali, solo se la normativa di settore lo prevede espressamente, eliminando o oscurando quei dati non strettamente necessari alla finalità di pubblicazione; se le finalità di pubblicazione possono essere comunque perseguite utilizzare dati anonimi. La p.a. deve pubblicare cv, emolumenti o incarichi di specifici soggetti (dirigenti, consulenti, ecc).

E’ vietata la pubblicazione di dati da cui si può trarre lo stato di salute, informazioni relative a patologie, presenza di malattie, disabilità e/o invalidità.

DATI SANITARI

Come vanno conservati i dati sanitari dei dipendenti?

Devono essere custoditi in fascicoli separati e dedicati.

In caso di malattia, il lavoratore può consegnare un certificato privo di diagnosi?

Si, il lavoratore assente per malattia, deve consegnare al proprio datore un certificato senza diagnosi riportante la sola indicazione dell’inizio e della fine della malattia.

Qualora il datore di lavoro debba denunciare all’Inail un infortunio, quali dati è tenuto a comunicare?

Il datore deve comunicare solo i dati relativi alla patologia denunciata.

E’ vietato comunicare dati capaci di rivelare lo stato di salute del lavoratore.

DATI BIOMETRICI

Quando possono essere utilizzati i dati biometrici?

Impronte digitali, topografia della mano, fattezze del volto, ecc possono essere usate:

  • per controllare gli accessi ad “aree sensibili”;
  • consentire l’uso di macchinari pericolosi o apparati;
  • impronta digitale o riconoscimento vocale possono essere usati per accedere ad un pc o banche dati;
  • firma grafometrica per sottoscrivere documenti informatici.

In merito, il Garante con provvedimenti ad hoc ha specificato (doc web n. 3556992 e doc web n. 3563006) le misure di sicurezza che le imprese devono adottare in caso di utilizzo di dati biometrici.

Il datore di lavoro è tenuto ad informare i propri dipendenti su diritti, finalità e modalità dei trattamenti dei dati biometrici.

Come devono essere conservati tali dati biometrici?

Non è ammessa la costituzione di una banca dati centralizzata, ma è concesso l’uso di altre forme di memorizzazione dei dati, come smart card ad uso esclusivo del dipendente. Qualora la tecnologia biometrica non sia tra quelle specificate dal Garante nei suoi provvedimenti, è necessario richiedere alla stessa Autorità una verifica preliminare prima di adottare la tecnologia.

INTERNET E POSTA ELETTRONICA

Quali sono gli obblighi del datore di lavoro in merito all’uso di internet, intranet e delle email?

Il datore di lavoro è tenuto ad adottare misure di sicurezza idonee in relazione ai sistemi informativi e informatici aziendali per evitare usi indebiti.

Il datore deve informare i suoi dipendenti in modo dettagliato sulle modalità d’uso degli strumenti informatici e telematici messi a disposizione, chiarendo i comportamenti ammessi e quelli vietati, controlli eventuali, conseguenze e sanzioni disciplinari in caso di violazione dei regolamenti interni.

In che modo deve essere effettuata la comunicazione ai dipendenti circa le modalità d’uso dei sistemi informatici e telematici?

Il datore di lavoro deve stilare un disciplinare interno che definisca in modo chiaro e preciso modalità d’uso di tali strumenti e gli eventuali controlli effettuati, insieme ad un’idonea informativa.

CONTROLLI

Il datore di lavoro può controllare i suoi dipendenti mediante gli strumenti informatici?

Si, ma solo per motivi di sicurezza e organizzativi, sempre nel rispetto dei principi di pertinenza e non eccedenza. I dati personali utilizzati per accedere ad internet devono cancellarsi periodicamente e automaticamente (i software devono essere programmati in tal senso).

UTILIZZO DELLA POSTA ELETTRONICA AZIENDALE

Come può il datore di lavoro gestire il fatto che il contenuto della posta elettronica dei suoi dipendenti sia protetto dal principio costituzionale della segretezza della corrispondenza, ma comunque riguarda l’attività professionale?

Il Garante suggerisce di creare indirizzi email condivisi e indirizzi privati individuali. In caso di assenza prolungata del lavoratore, questi può delegare un collega a leggere i messaggi della postazione dell’assente, inoltrando al titolare quelli rilevanti per l’attività. E’ necessario redigere apposito verbale in merito a tale attività e renderlo noto all’interessato. Qualora l’assenza è improvvisa, il datore può incaricare altro lavoratore (o anche l’amministratore di sistema) di gestire l’account di posta dell’assente, informandolo opportunamente.

VIDEOSORGEGLIANZA E GEOLOCALIZZAZIONE DEI LAVORATORI

Il datore di lavoro può adottare sistemi hardware e/o software di controllo a distanza dei propri dipendenti?

No, è vietato, in particolare se tali sistemi sono utilizzati per controllare il rispetto degli orari, la disciplina nello svolgimento delle mansioni e attività simili. Qualora per esigenze di sicurezza organizzativa tali strumenti debbano essere comunque adottati, vanno rispettate tutte le garanzie previste dalla normativa sul lavoro (cfr Statuto dei lavoratori art. 4) e le specifiche disposizioni previste in merito dal Garante.

I dipendenti devono comunque essere informati sulle modalità del trattamento effettuato mediante sistemi di videosorveglianza e geolocalizzazione e sulle finalità del trattamento. Opportune cautele vanno adottate in relazione alla rilevazione dei dati, per quanto riguarda, in particolare, la geolocalizzazione, non deve trattarsi di attività continuativa. L’ultima rilevazione effettuata mediante geolocalizzazione deve eliminare la precedente.

Il Garante deve essere previamente informato, qualora il datore intenda effettuare il trattamento di dati mediante geolocalizzazione.

Per richiedere consulenza sulla gestione dei dati personali in azienda, Contattaci

Autore Annalisa Spedicato

Avvocato Esperto in IP ICT e Privacy