E’ contro la privacy trattare i dati personali come sto facendo? Cosa posso pubblicare sulla bacheca aziendale? Viola la privacy controllare i dipendenti? Quali dati posso rendere pubblici sui siti web? Come gestire i dati sanitari? Posso usare app o software di localizzazione? Sono infinite le domande sulla privacy che i datori di lavoro si fanno -e pongono al Ministero competente in forma di interpello-, anche perché la privacy è un argomento su cui non è facile avere le idee chiare e, spesso, si rischia grosso.
Per questa ragione il Garante per la protezione dei dati personali ha pubblicato, in data 24 aprile 2015, un vademecum con le “Regole per il corretto trattamento dei dati personali dei lavoratori da parte di soggetti pubblici e privati”. Dopo le “Linee guida in materia di trattamento di dati personali” di un anno fa (12 giugno 2014), il Garante torna quindi su una questione molto sentita nella vita delle imprese.
Il documento tratta, in forma semplificata, la gestione dei dati sensibili dei lavoratori. In particolare: del cartellino identificativo; della bacheca aziendale; della pubblicazione del curriculum; della pubblicazione dei dati del lavoratore sui siti web e sulle reti interne; della gestione dei dati sanitari; dei dati biometrici; della posta aziendale (internet/intranet); dei controlli effettuati per motivi organizzativi o di sicurezza; dei controlli a distanza (videosorveglianza e geolocalizzazione).
Si parte dai principi generali. Uno di questi, molto importante, è il principio di necessità secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzo di informazioni personali e identificative: il datore di lavoro può trattare informazioni personali solo se strettamente indispensabili all’esecuzione del rapporto di lavoro. Poi c’è la correttezza: i dati possono essere trattati solo dal personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite. Sul luogo di lavoro va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità delle persone garantendo la sfera della riservatezza nelle relazioni personali e professionali. E la finalità: i dati possono essere usati solo per finalità particolari e dichiarate, oltre che, naturalmente, esplicite.
Cartellino? Sì, ma attenzione a non eccedere!
In particolare, nel settore delle imprese di pulizia/servizi integrati/multiservizi, molto sentito è il problema del cartellino di identificazione, ma attenzione a non eccedere: nelle aziende il lavoratore può essere dotato di un cartellino di riconoscimento, ma qui il principio da seguire è la necessità, che impone di ridurre le informazioni al minimo. Spesso può bastare il codice identificativo, il ruolo o il solo nome. Può essere considerato violazione delle privacy, per intenderci, mettere il recapito sul cartellino identificativo.
Dati sanitari: massima riservatezza
Altra questione piuttosto delicata è quella dei dati sanitari: qui la riservatezza è d’obbligo, e infatti i dati sanitari vanno conservati in fascicoli separati. Il lavoratore assente per malattia è tenuto, dal canto suo, a consegnare al proprio ufficio un certificato senza diagnosi ma con la sola indicazione dell’inizio e della durata presunta dell’infermità. Il datore di lavoro non può accedere alle cartelle sanitarie dei dipendenti sottoposti ad accertamenti dal medico del lavoro. Nel caso di denuncia di infortuni o malattie professionali all’Inail, il datore di lavoro deve limitarsi a comunicare solo le informazioni connesse alla patologia denunciata. E’ del tutto vietata la diffusione di “dati idonei a rivelare lo stato di salute” del lavoratore.
Bacheche e reti… con moderazione
Anche la gestione della bacheca aziendale deve essere attenta, e anche qui occorre tenere presenti i principi della correttezza, riservatezza e necessità. Mai più del dovuto e mai in modo scorretto e invadente. Nella bacheca aziendale possono essere affissi ordini di servizio, turni lavorativi o feriali. Non si possono invece affiggere documenti contenenti gli emolumenti percepiti, le sanzioni disciplinari, le motivazioni delle assenze (malattie, permessi ecc.), l’eventuale adesione a sindacati o altre associazioni. E anche per pubblicare informazioni personali (foto, curricula, ecc.) in internet (o intranet) occorre il consenso dell’interessato. Attenzione anche qui, dunque.
Controlli navigazione e posta: esplicitare con chiarezza su cosa si può fare e su come si controlla
A propo0sito di internet: un problema sempre più spesso sollevato riguarda i controlli sulla navigazione dei dipendenti: da un lato spetta al datore di lavoro adottare idonee misure di sicurezza per assicurare la disponibilità e l’integrità dei sistemi informativi e dei dati, anche per prevenire utilizzi indebiti. Dall’altro, però, è compito dello stesso datore informare, chiaramente e in modo particolareggiato, i dipendenti su quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengono effettuati controlli anche in accordo con le organizzazioni sindacali, utilizzando ad esempio un disciplinare interno, chiaro e aggiornato affiancato da un’idonea informativa. I controlli da parte del datore di lavoro per motivi organizzativi o di sicurezza sono leciti solo se sono rispettati i principi di pertinenza e non eccedenza. I sistemi software devono essere programmati e configurati in modo da cancellare periodicamente ed automaticamente i dati personali relativi agli accessi ad internet e al traffico telematico, la cui conservazione non sia necessaria.
Vietato il controllo a distanza dei lavoratori
Un’altra modalità di controllo sempre nell’occhio del ciclone, specie nelle imprese di pulizia che hanno più cantieri, è quella sulla persona. Oggigiorno vi sono, anche nel nostro settore, moltissimi strumenti informatici (software, chip, ecc.) potenzialmente in grado di verificare le presenze e gli spostamenti degli operatori, ma attenti: si tratta di una pratica vietata. Come sottolinea anche il Garante, infatti, è vietato ai datori di lavoro privati e pubblici di effettuare trattamenti di dati personali mediante sistemi hardware e software che mirano al controllo a distanza dei lavoratori. Tale divieto vale anche per l’uso di strumenti di controllo quali la videosorveglianza e la geolocalizzazione Non devono essere effettuati controlli a distanza al fine di verificare l’osservanza dei doveri di diligenza stabiliti per il rispetto dell’orario di lavoro e la correttezza nell’esecuzione della prestazione lavorativa (ad es. orientando la telecamera sul badge). Vanno poi osservate le garanzie previste in materia di lavoro quando la videosorveglianza o la geolocalizzazione sono rese necessarie da esigenze organizzative o produttive, o sono richieste per la sicurezza del lavoro. In tali casi, ai sensi dell’art. 4 della l. n. 300/1970, gli impianti e le apparecchiature, “dai quali può derivare anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro [oggi DTL Direzioni territoriali del lavoro], dettando, ove occorra, le modalità per l’uso di tali impianti”. E anche nei casi in cui la geolocalizzazione sia assicurata per la sicurezza stessa del dipendente (es. lavoro notturno in aree a rischio, ecc.), mediante ad esempio app sul telefonino, queste ultime devono indicare chiaramente quando il sistema di controllo remoto è attivo. Vale naturalmente sempre la regola di non diffondere informazioni sensibili più di quanto sia necessario allo scopo.
Attenzione, i rischi sono alti
Attenzione, quindi, perché il datore di lavoro troppo “curioso” o “superficiale” nel trattamento dei dati personali può incorrere in guai molto seri. Stabilirne l’entità è impossibile, in quanto ogni situazione fa caso a sé (dipende dall’entità della violazione e dai danni causati, ma si può arrivare, come mostrano anche recenti avvenimenti di cronaca, alla responsabilità penale e a risarcimenti milionari). Ciò che si può dire è che il riferimento resta il “Codice in materia di protezione dei dati personali”, riportato dal Decreto Legislativo n.196 del 2003, un testo molto complesso e articolato suddiviso per settori e ambiti di riferimento.