La privacy non è un diritto assoluto del lavoratore ma il trattamento dei suoi dati personali deve essere ridotto al minimo necessario
Con riferimento alla materia del lavoro, la disciplina di protezione dei dati personali prevede che il datore di lavoro può trattare i dati personali, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1 del Regolamento UE 2016/679), dei dipendenti se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti da leggi, dalla normativa comunitaria, da regolamenti o da contratti collettivi (artt. 6, par. 1, lett. c), 9, par. 2, lett. b), e 4, e 88 del GDPR).
Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare del trattamento” ovvero, quando “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (artt. 6, par. 1, lett. e), 2 e 3, nonché 9, par. 2, lett. g) del Regolamento e 2-ter e 2-sexies del Codice).
Il legislatore nazionale ha definito rilevante l’interesse pubblico per il trattamento “effettuato da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri” nelle materie indicate, seppur in modo non esaustivo, dall’art. 2-sexies del Codice, stabilendo che i relativi trattamenti “sono ammessi qualora siano previsti […] da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”.
Indubbiamente va precisato che datori di lavoro e lavoratori sia nel settore pubblico che in quello privato devono avere consapevolezza del fatto che molte attività svolte normalmente nel contesto dei rapporti di lavoro comportano il trattamento di dati personali relativi ai lavoratori, e talora di dati personali sensibili.
In effetti, i datori di lavoro raccolgono dati personali dei rispettivi dipendenti per numerosi e diversi scopi, fin dall’inizio del rapporto di lavoro o persino precedentemente ad esso. Nella fase di reclutamento del personale, chi presenta una richiesta di lavoro deve fornire dati personali al datore di lavoro potenziale, il quale generalmente tratta questi dati personali al fine di valutare l’idoneità dei candidati.
La raccolta ed il trattamento ulteriore di dati personali dei lavoratori proseguono per l’intera durata del rapporto di lavoro. Queste attività di trattamento riguardano, in condizioni normali, tutti i dati personali che il datore di lavoro ha chiesto e/o ottenuto dai propri dipendenti.
Tutti i datori di lavoro raccolgono dai dipendenti dati utili al pagamento degli stipendi e all’effettuazione delle trattenute fiscali. Il trattamento di questi dati personali è necessario per l’esecuzione del rapporto di lavoro ovvero in adempimento di obblighi giuridici (previdenza sociale, pagamento di tributi) ai quali è soggetto il datore di lavoro. In alcuni Stati membri i datori di lavoro raccolgono e trattano dati sanitari che vengono registrati su apposite schede; in altri Stati membri questi dati si limitano a informazioni sulle assenze per malattia.
Naturalmente per quanto riguarda i rapporti di lavoro la base di liceità di cui alla lettera b) dell’art. 6 diventa fondamentale poiché spesso il datore di lavoro tratta i dati personali del lavoratore proprio in esecuzione del relativo contratto che regola i rapporti fra le parti.
Di conseguenza il trattamento di dati personali nell’ambito dei rapporti di lavoro, in particolare se non riguarda dati sensibili, non deve necessariamente fare affidamento sul consenso del lavoratore. Il consenso dovrebbe essere utilizzato quale riserva nel caso che non sia applicabile la precedente base di liceità.
Con riferimento, poi, al trattamento dei dati giudiziari dei propri dipendenti da parte delle aziende si ricorda che il Garante privacy con il provvedimento n. 267 del 15 giugno 2017 ha chiarito che una società può trattare i dati giudiziari del proprio personale soltanto se autorizzata da un’espressa disposizione di legge o da un provvedimento del Garante in cui siano indicate le finalità di rilevante interesse pubblico del trattamento, i tipi di dati e le operazioni eseguibili.
I datori di lavoro devono ridurre al minimo il trattamento di dati personali, limitandolo ai dati necessari per lo scopo perseguito nel singolo caso (principio della limitazione delle finalità).
Datori di lavoro e lavoratori sia nel settore pubblico sia in quello privato devono avere consapevolezza del fatto che molte attività svolte normalmente nel contesto dei rapporti di lavoro comportano il trattamento di dati personali relativi ai lavoratori, e talora di dati personali sensibili.
In effetti, i datori di lavoro raccolgono dati personali dei rispettivi dipendenti per numerosi e diversi scopi, fin dall’inizio del rapporto di lavoro o persino precedentemente ad esso.
Come sottolineato dalla Corte europea dei diritti dell’uomo nel caso Niemitz c. Germania: “Il rispetto della vita privata deve comprendere, entro certi limiti, anche il diritto di stabilire e sviluppare rapporti con altri esseri umani. Inoltre, non sembrano sussistere motivazioni di principio per ritenere che questo concetto di vita privata escluda attività di natura professionale o economica, poiché, in fondo, è proprio nel corso della vita lavorativa che la maggioranza degli individui ha un’occasione significativa, se non la più importante, di sviluppare rapporti con il mondo esterno. Questa opinione è suffragata dal fatto che, come giustamente sottolineato dalla Commissione, non sempre è possibile distinguere con chiarezza quali delle attività svolte da una persona appartengano alla sua vita professionale o economica e quali invece non vi appartengano”.
I datori di lavoro devono, inoltre, mettere a punto idonee misure per garantire il rispetto concreto dei principi e degli obblighi connessi al trattamento di dati per scopi di lavoro. Su richiesta dell’Autorità garante, i datori di lavoro devono essere in grado di dimostrare l’osservanza di tali principi e obblighi (principio di accountability). Le misure in questione devono essere adattate alla quantità e tipologia dei dati oggetto di trattamento ed alla natura delle attività intraprese, e devono tenere conto anche delle implicazioni potenziali per i diritti e le libertà fondamentali dei dipendenti.
I datori di lavoro devono raccogliere dati personali direttamente presso l’interessato. Qualora sia necessario e lecito trattare dati raccolti presso terzi, ad esempio per ottenere referenze professionali, l’interessato dovrebbe esserne debitamente informato in via preventiva.
Indubbiamente il lavoratore non lascia il diritto alla privacy fuori dalla porta quando si reca sul luogo di lavoro ogni mattina. Tuttavia, la privacy non è un diritto assoluto. Occorre ricercare un equilibrio tra privacy ed altri interessi legittimi o diritti o libertà. E ciò vale anche nell’ambito dei rapporti di lavoro.
I lavoratori, fin quando operano all’interno di un determinato soggetto, devono accettare un certo grado di invasione della loro privacy e devono fornire al datore di lavoro determinate informazioni personali. Il datore di lavoro ha un interesse legittimo a trattare dati personali dei propri dipendenti per scopi leciti e legittimi che siano necessari per il normale sviluppo del rapporto di lavoro e per lo svolgimento delle attività di impresa.
Il punto non è, pertanto, se il trattamento di dati sul luogo di lavoro sia di per sé un’attività lecita o meno. Il punto fondamentale sono i limiti che la legislazione sulla protezione dei dati impone rispetto a tali attività, ovvero, rovesciando i termini, le motivazioni che possono giustificare la raccolta ed il trattamento ulteriore di dati personali relativi ad un lavoratore.
Naturalmente non esistono risposte definitive a questi quesiti a priori. Il livello tollerato di invasione della privacy dipenderà in misura consistente dalla natura dell’attività lavorativa e dalle circostanze specifiche che si accompagnano e interagiscono con il rapporto di lavoro e possono influirvi.
Articolo ripreso da FederPrivacy