Privacy sul lavoro: le linee guida generali
Tutela della privacy sul posto di lavoro: problema acuito dall'uso di Internet
e sul quale le decisioni legali non sempre sono coerenti. Sull'argomento ritorna il Garante con un intervento interessante
nel tentativo di uniformare le disposizioni.
Il Garante per la privacy, Mauro Paissan, ha emanato il 13 dicembre un
provvedimento
generale che definisce, per la prima volta in un quadro unitario, misure ed accorgimenti per regolamentare la raccolta
e l'uso dei dati personali nella gestione del rapporto di lavoro. Il provvedimento si è reso necessario anche a
causa delle numerose istanze portate avanti da lavoratori, organizzazioni sindacali e imprese. Questo intervento di
carattere generale dovrebbe essere seguito a breve da altri che metteranno a fuoco specifici temi problematici, come l'uso
delle e-mail e la navigazione in Rete.
Una risposta dovuta
Le "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di
lavoro alle dipendenze di datori di lavoro privati" si possono sintetizzare in alcuni punti principali: sono vietati gli
archivi centralizzati per i dati biometrici; i dati sanitari devono essere conservati in fascicoli separati; i cartellini
identificativi non devono fornire dati personali; i lavoratori devono essere informati precisamente sui loro diritti. Gli
aspetti di criticità evidenziati più volte da dipendenti, organizzazioni e aziende al proposito hanno
trovato una prima risposta nell'iniziativa del Garante.
Le linee guida in dettaglio
Le linee guida dettate dal Garante mirano proprio a produrre una maggiore trasparenza e chiarezza sull'argomento:
| - |
Il datore di lavoro può trattare informazioni di
carattere personale strettamente indispensabili per dare esecuzione al rapporto di lavoro, e solo a questo scopo.
Egli deve individuare il personale che può trattare tali dati e assicurare idonee misure di sicurezza
per proteggerli da indebite intrusioni o illecite divulgazioni. |
| - |
Il lavoratore deve essere informato in modo puntuale sull'uso che
verrà fatto dei suoi dati e gli deve essere consentito di esercitare agevolmente i diritti che la
normativa sulla privacy gli riconosce (accesso ai dati, aggiornamento, rettifica, cancellazione). Entro 15
giorni dalla richiesta il datore di lavoro è tenuto a comunicare in modo chiaro tutte le informazioni in
suo possesso. |
|
| - |
Nelle aziende private può essere eccessivo indicare sul
cartellino identificativo del dipendente dati anagrafici o generalità: a seconda dei casi può
bastare un codice identificativo o il solo nome o il ruolo professionale. |
|
| - |
Senza consenso non si possono comunicare informazioni ad
associazioni di datori di lavoro, di ex dipendenti o a conoscenti, familiari, parenti. Il consenso è
necessario anche per pubblicare informazioni personali nella Intranet aziendale e a maggior ragione in Internet.
Nella bacheca aziendale possono essere affissi solo ordini di servizio, turni lavorativi o feriali. Non si
possono invece diffondere emolumenti percepiti, sanzioni disciplinari, assenze per malattia, adesione ad
associazioni. |
|
| - |
I dati sanitari vanno conservati in fascicoli separati. Il
lavoratore assente per malattia è tenuto a consegnare al proprio ufficio un certificato senza la diagnosi
ma con la sola indicazione dell'inizio e della durata presunta dell'infermità. Il datore di lavoro non
può accedere alle cartelle sanitarie dei dipendenti sottoposti ad accertamenti dal medico del lavoro.
Nel caso di denuncia di infortuni o malattie professionali all'Inail, il datore di lavoro deve limitarsi a
comunicare solo le informazioni connesse alla patologia denunciata. |
|
| - |
Non è lecito l'uso generalizzato e incontrollato di dati
biometrici, specie se ricavati dalle impronte digitali. L'uso può essere giustificato solo in casi
particolari, per limitare e controllare gli accessi ad "aree sensibili" (processi produttivi pericolosi, locali
destinati a custodia di beni, documenti riservati). Anche quando l'uso è consentito non è ammessa
la costituzione di banche dati centralizzate: è infatti sufficiente la memorizzazione su una smart card
in uso esclusivo del dipendente. |
|
La sicurezza dei dati
Il Garante per la Privacy fa anche riferimento alla sicurezza dei dati posseduti, in risposta probabilmente all'escalation
di violazioni degli archivi di grandi aziende degli ultimi anni. Le linee guida sottolineano l'importanza dell'adozione di
tutte quelle misure di sicurezza (anche fisiche ed organizzative) per la tutela e la salvaguardia dei dati personali in
possesso alle aziende. La premessa generale valida per tutti i punti è che il datore di lavoro titolare del
trattamento è tenuto ad adottare ogni misura di sicurezza, anche minima, prescritta dal Codice sulla Privacy. In
particolare:
Dati sanitari. Le informazioni sanitarie devono essere conservate separatamente da ogni
altro dato personale dell'interessato. Ciò, deve trovare attuazione anche con riferimento ai fascicoli personali
cartacei dei dipendenti. Per esempio, utilizzando sezioni appositamente dedicate alla custodia dei dati sensibili, inclusi
quelli idonei a rivelare lo stato di salute del lavoratore, da conservare separatamente o in modo da non consentirne
un'indistinta consultazione nel corso delle ordinarie attività amministrative.
Formazione degli incaricati. Resta fermo l'obbligo del datore di lavoro di preporre alla
custodia dei dati personali dei lavoratori apposito personale, specificamente incaricato del trattamento, che "deve avere
cognizioni in materia di protezione dei dati personali e ricevere una formazione adeguata. In assenza di un'adeguata
formazione degli addetti al trattamento dei dati personali il rispetto della riservatezza dei lavoratori sul luogo di
lavoro non potrà mai essere garantito".
Misure fisiche ed organizzative. Le strutture fisiche e organizzative devono essere tali da
essere protette da indebite intrusioni. Parimenti, le comunicazioni personali dei singoli lavoratori devono avvenire con
modalità tali da escluderne l'indebita presa di conoscenza da parte di terzi o di soggetti non incaricati. Gli
incaricati devono essere istruiti in ordine alla scrupolosa osservanza del segreto d'ufficio, anche con riguardo ai
colleghi. Bisogna prevenire l'acquisizione e riproduzione di dati personali trattati elettronicamente da parte di
personale non autorizzato. Ugualmente bisogna prevenire l'involontaria acquisizione di informazioni personali da parte di
terzi o di altri dipendenti: opportuni accorgimenti, per esempio, devono essere presi in presenza di una particolare
conformazione o dislocazione degli uffici.
 |
