Nella normale gestione del rapporto di lavoro il datore entra in contatto con i c.d. dati personali "comuni" del lavoratore

Regolamento Ue 2016/679 - GDPR

[Torna su]

Il Regolamento (UE) 2016/679, (in seguito GDPR o Regolamento) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, tutela i soli dati delle persone fisiche.

Il Regolamento (UE) n. 2016/679, considera la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale un diritto fondamentale e quindi è indifferente se a trattare i dati in qualità di titolare o responsabile sia un privato o la Pubblica Amministrazioni.

La disciplina privacy con l'entrata in vigore del Regolamento e l'adeguamento del codice privacy con il D. Lgs. n. 101, aggiorna e si aggiunge alla disciplina del settore giuslavoristico integrandosi con lo Statuto dei Lavoratori nella nuova lettura e tutela dei dati personali.

Dato personale e lavoratore

[Torna su]

L'art. 4 del Regolamento definisce il "dato personale" come tutte quelle informazioni che rendono identificato o identificabile una persona fisica. […]

La persona fisica identificata o identificabile viene definita dal Regolamento come "interessato".

In ambito lavoristico l'interessato è il lavoratore, per cui i dati personali e ogni informazione a lui collegabile come persona fisica può essere considerato un dato che trova tutela ai sensi del Regolamento.

L'intrusione nella vita privata del lavoratore deve ridursi al minimo indispensabile e l'utilizzo di dati personali necessari per identificare la persona fisica devono essere utilizzati per le finalità per cui sono stati raccolti.

Trattamento dei dati

[Torna su]

Il "trattamento" dei dati è quell'operazione effettuata sui dati personali, anche complessa, con o senza l'ausilio di processi automatizzati che utilizza, raccoglie, comunica, modifica o elabora i dati delle persone fisiche (art. 4 del GDPR).

Per cui ogni attività svolta sui dati personali del lavoratore persona fisica (interessato) deve essere effettuate in aderenza ai principi del GDPR e nel rispetto della normativa privacy.

Il trattamento dei dati deve rispondere ai principi di liceità, correttezza e trasparenza del trattamento, i dati così raccolti per finalità esplicite e legittime devono essere conservati dal datore di lavoro per il tempo necessario e devono essere previste verifiche nella loro esattezza e aggiornabili, nonché deve essere prevista la cancellazione dei dati dopo un congruo termine dalla cessazione del rapporto (salvo precisi obblighi previsti dalla legge).

Il "titolare del trattamento" ai sensi dell'art. 4, del GDPR è quella persona fisica o giuridica (s'intenda anche la PA), che determina le finalità e i mezzi del trattamento dei dati personali, ovvero decide senza ricevere ordini da alcuno su quali dati trattare, come trattarli con quali modalità trattarli, per quale motivo e con quali finalità.

L'European Data Protection Board (edpb) ha adottato il 7 luglio 2021 le "Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR" in cui spiega la differenza tra i due ruoli e come la responsabilità delle due figure si ripartisce in funzione degli effettivi ruoli svolti.

Il titolare del trattamento (data controller), nel rapporto di lavoro, è il Datore di Lavoro ed è l'unico responsabile del trattamento dei dati. Infatti all'art 24 del Regolamento troviamo espressamente esposto che l'onere di rispettare il GDPR spetta al titolare o al responsabile del trattamento.

I dati nel contratto di lavoro

[Torna su]

Nella normale gestione del rapporto di lavoro il datore entra in contatto con i c.d. dati personali "comuni" del lavoratore. Questi dati trattati nel rispetto degli obblighi di legge in materia di diritto del lavoro, sicurezza e protezione sociale non necessitano del consenso dell'interessato in quanto il trattamento è necessario per adempiere un obbligo legale al quale è assoggetto il datore di lavoro (titolare del trattamento).

Il datore di lavoro deve trattare i dati personali del lavoratore nel rispetto dei principi di necessità e liceità, di pertinenza e non eccedenza, compatibilmente con i fini per cui i dati sono stati raccolti e informare l'interessato sul loro trattamento come previsto dal GDPR, previo consenso ove possibile. Il "principio della minimizzazione dei dati" che il titolare deve adottare per cui i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati deve permeare le scelte del datore di lavoro titolare del trattamento.

Quando il trattamento dei dati del lavoratore non è necessario o indispensabile all'espletamento dell'attività lavorativa da compiere il lavoratore (rectius interessato) dove esser messo in condizione di scegliere liberamente di preste o meno il consenso al trattamento dei dati e parimenti di ritirarlo in un momento successivo senza alcun danno o menomazione nella sua vita lavorativa.

Per instaurare il rapporto di lavoro il lavoratore ha l'obbligo legale di fornire i suoi dati al suo datore di lavoro (titolare del trattamento), in quanto la conoscenza di tali dati personali è requisito indispensabile per la conclusione del contratto di lavoro.

I soggetti incaricati dal datore di lavoro

Il trattamento dei dati del lavoratore oltre che dal datore di lavoro può essere svolto da altri soggetti incaricati dallo stesso appositamente formati per tali compiti.

Il datore di lavoro ex art. 29 GDPR, sotto la sua autorità, può designare e autorizzare al trattare dei dati personali alcuni dei suoi dipendenti. Il Decreto Legislativo 10 agosto 2018, n. 101, al Capo IV (Disposizioni relative al titolare del trattamento e al responsabile del trattamento) all'art. 2-quaterdecies rubricato "Attribuzione di funzioni e compiti a soggetti designati" precisa che Il titolare (datore di lavoro in questo caso) sotto la propria responsabilità può affidare a personale competente della propria organizzazione compiti inerenti al trattamento dei dati personali dei loro sottoposti.

Il personale incaricato dal datore di lavoro (o dal responsabile del trattamento) di gestire o elaborare i dati personali dei dipendenti devono essere adeguatamente formati e conoscere la normativa sulla protezione dei dati per garantire il rispetto della normativa privacy sul luogo di lavoro.

Il titolare del trattamento

Nella Relazione 2019 GPDP par. 13.6, si è precisato che nel caso in cui il professionista effettui attività "esternalizzate" per conto del datore di lavoro il professionista riveste necessariamente il ruolo di responsabile del trattamento (data processor).

Il responsabile del trattamento, lo ricordiamo, è colui che tratta i dati per conto del Titolare.

Misure di sicurezza accountability (responsabilizzazione)

Rientra, pertanto, tra le misure di sicurezza sia tecniche che organizzative richieste dal GDPR, autorizzare alcuni dei propri dipendenti al trattamento dei dati personali.

Il datore di lavoro, come titolare del trattamento, ha l'onere di mettere in atto quelle misure adeguate ed efficaci, in conformità al GDPR, per garantire la certezza del diritto e della trasparenza delle attività di trattamento dei dati del lavoratore, ovvero quegli obblighi di accountability (responsabilizzazione) che offrono a tutti gli interessati i diritti azionabili dal Regolamento.

Il titolare per garantire la maggiore trasparenza oltre a riconoscere all'interessato il diritto di accedere ai propri dati personali deve essere in grado di dimostrare l'efficacia delle misure di sicurezza adottate, la conformità delle attività di trattamento al GDPR in ossequio alla natura, all'ambito di applicazione, al contesto e alla finalità del trattamento.

Responsabile della protezione dei dati (DPO)

[Torna su]

Nei nuovi adempimenti che richiede il GDPR troviamo la nomina del DPO Data Protection Officer in italiano RPD, responsabile della protezione dei dati, una figura professionale importantissima nelle grandi imprese e nelle PA (art. 37 GDPR).

Il responsabile della protezione dei dati deve essere individuato sulla base delle conoscenze specifiche della normativa e può ricoprire la nomina per più imprese o per più autorità pubbliche o organismi pubblici (artt. 38 e 39).

Il responsabile dei dati riveste una posizione polifunzionale particolare nei confronti dei tre "attori" coinvolti: del titolare, perché è legato a questo da un contratto di servizio se esterno all'organizzazione; è legato agli interessati perché vigila sulla sorveglianza e l'osservanza del regolamento; infine è obbligato a cooperare col Garante privacy (cd. GPDP).

Il DPO può essere un dipendente del titolare o un professionista esterno.

Il dipendente nominato DPO può rivestire anche altri compiti all'interno dalla struttura lavorativa, ma non deve essere in conflitto con i compiti ex art 39 GDPR e in ambito pubblico dovrebbe occuparsi in via esclusiva di protezione dei dati personali.

La designazione del dipendente che veste i panni del DPO da parte della pubblica amministrazione è una valutazione molto complessa poiché il titolare risponde di culpa in vigilando, se il soggetto scelto non sia in grado di svolgere il compito affidatogli o non abbia i requisiti richiesti o ancora come precisa il considerando 97 il DPO non adempie ai compiti e alle sue incombenze in maniera indipendente.

Il DPO riveste un ruolo importante perché fornisce pareri ed assistenza al titolare in merito alla valutazione d'impatto (DPIA) sulla protezione dei dati e sorveglia sull'adempimento della normativa, nonché nell'ipotesi che si verifichino i c.d. data breach (violazione dei dati personali) riveste un ruolo di contatto sia tra l'autorità di controllo e il titolare sia tra quest'ultimo e gli interessati.

Il consenso dell'interessato

[Torna su]

L'istituto del consenso riveste il nocciolo centrale del GDPR e sottolinea l'autodeterminazione informativa dell'individuo come lo strumento di tutela più importante per garantire il rispetto dei dati personali e il requisito di legittimità del trattamento da parte del titolare.

Il consenso del lavoratore, come sostiene una parte importante della dottrina, non può ritenersi completamente libero in quanto il lavoratore è sempre sottoposto al potere che il datore di lavoro esercita inevitabilmente su di lui e su cui, a parere di chi scrive, nessuna regolamentazione potrà porre rimedio indipendentemente dalla forma di contratto (determinato, indeterminato, part time ….) o professione (docente, impiegato, operaio…)

Il trattamento dei dati in ambito lavorativo (Opinion on data processing at work 2/17- 8 June 2017 n. 2/17) trova la sua base giuridica su disposizioni normative o contrattuali in un rapporto di bilanciamento tra il principio di necessità e proporzionalità nel quadro dei principi fondamentali per cui ogni lavoratore ha diritto al rispetto della propria privacy. (Provvedimento del Garante Privacy n. 146/2019).

Il parere del n. 2/17 ribadisce come il lavoratore debba sempre essere informato in modo chiaro, esaustivo e a lui comprensibile delle modalità di trattamento dei dati acquisiti dal datore di lavoro qualora questo preveda forme di controllo del lavoratore richiamandolo al principio di responsabilizzazione nella redazione di una valutazione d'impatto (DPIA) che tenga sempre in debito conto l'impatto delle nuove tecnologie da adottare per il proprio interesse e i diritti dei lavoratori.

Il consenso dei dati c.d. particolari

Il consenso al trattamento dei dati dei lavoratori costituisce la base giuridica su cui si basa il rapporto di lavoro, ma ciò non vale come presupposto di liceità per il trattamento dei dati biometrici in quanto il trattamento di tali dati esula dal normale rapporto di lavoro.

L'informativa che il lavoratore sottoscrive ai sensi dell'art. 13 del GDPR non basta ad informare compiutamente sul trattamento dei dati biometrici.

L'interessato deve essere informato in modo chiaro, preciso e a lui comprensibile sull'utilizzo dei dati e sulla motivazione per cui vengono raccolti e delle misure di sicurezza maggiorate adottate per proteggere l'afflusso di dati.

Il consenso al trattamento di dati "sensibili" (ex art. 9 GDPR) deve essere esplicito.

Raccolta del consenso

Il titolare del trattamento deve poter dimostrare, qualora il trattamento sia basato sul consenso e non su obblighi di legge, che la prestazione del consenso da parte dell'interessato dei dati personali che lo riguardano sono una manifestazione di volontà libera, specifica, informata, inequivocabile e frutto del proprio assenso mediante dichiarazione o azione positiva e inequivocabile.

Il trattamento dei dati prima dell'entrata in vigore del GDPR

[Torna su]

Il trattamento dei dati personali già in corso al momento dell'entrata in vigore delle nuove regole possono proseguire qualora siano trattati in base a espresse disposizioni di legge o regolamento o atti amministrativi generali, ovvero nel caso in cui vengano sottoposti al vaglio preliminare o previa autorizzazione dell'autorità di controllo per la protezione dei dati personali e che questa abbia individuato misure e accorgimenti adeguati a garanzia dell'interessato (con previsto dalla Legge 3 dicembre 2021, n. 205).

L'interprete deve fare una valutazione di compatibilità tra le nuove e vecchie norme affinché resti lecito il trattamento in corso oppure deve ridisegnare quella privacy by design necessaria al trattamento attuale.

I provvedimenti sul trattamento dei dati personali nel contesto lavorativo emessi dal Garante per la protezione dei dati personali continuano ad applicarsi in quanto compatibili con il Regolamento (UE) 2016/679 e con le disposizioni del Decreto 101/2018, sia in ambito pubblico che privato, come più provvedimenti del Garante hanno confermato (Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali nn. 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016 tutti compatibili con il GDPR e il d.lgs. n. 101/2018 di adeguamento del Codice - 13 dicembre 2018 [9068972]; Provvedimento in tema di Autorizzazioni generali del Garante per la protezione dei dati personali - 19 luglio 2018 [9026901]; Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell'art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101 [9124510]).

Dati personali nel mondo del lavoro: le basi giuridiche

[Torna su]

La tutela della privacy dei lavoratori trova fondamento in una serie di provvedimenti e di fonti nazionali (Costituzione; Codice Civile; Codice Penale; Statuto dei Lavoratori; Normativa sulla privacy; D.Lgs. n. 276/2003; Jobs Act), internazionali (Dichiarazione Universale dei Diritti Umani; CEDU; Convenzione del Consiglio d'Europa; Direttive CE; Carta dei Diritti Fondamentali dell'Unione Europea; Costituzione Europea; Regolamento (UE) n. 679/2016), comunitarie (come i pareri del Gruppo di Lavoro dei Garanti Europei della tutela della privacy n. 8/2001 sul trattamento di dati personali nell'ambito dei rapporti di lavoro - 5062/01/EN/Definitivo WP48 - 13 settembre 2001; n. 4/2007 sul concetto di dati personali; n. 3/2010 sul principio di responsabilità; n. 13/2011 sui servizi di geolocalizzazione in relazione ad apparecchiature mobili; n. 15/2011 sulla definizione di consenso) e con il Regolamento UE n. 679/2016 ed il D.Lgs. n. 101/2018, si propone di garantire un livello di tutela della riservatezza più elevato rispetto alla precedente disciplina della privacy del lavoratore sul luogo di lavoro.

I dati personali nel mondo del lavoro riguardano i dati c.d. comuni e in particolari circostanze i c.d. dati particolari.

I dati personali del lavoratore, comuni e sensibili contenuti nei documenti formati in sede di primo incontro (o colloquio conoscitivo) o di assunzione o nel corso del rapporto di lavoro e che vengono acquisiti in formato cartaceo o digitalizzato, forniti dal lavoratore spontaneamente o previo consenso informato nell'esecuzione della prestazione lavorativa, devono essere trattati nel rispetto dei principi del GDPR sia in ambito pubblico che privato dal datore di lavoro il quale può accedervi solo per i fini consentiti dalla legge.

Invio del curriculum vitae

[Torna su]

Nel caso di invio del curriculum spontaneamente trasmesso dall'interessato ai fini dell'instaurazione di un rapporto di lavoro le informazioni di cui all'art. 13 del GDPR vengono differiti al primo reale contatto postumo all'invio della candidatura spontanea (art. 111-bis codice privacy). La concessione postuma del consenso non deve far pensare alla mancata applicazione del GDPR, ma ad una eccezione prevista dallo stesso Regolamento all'art. 6, che regolamenta la liceità del trattamento dei dati.

Il consenso al trattamento dei dati nei curricula non è dovuto.

Le condizioni di liceità che permettono il trattamento dei dati dell'interessato nell'ambito lavorativo si configurano in due differenti ipotesi. Una prima ipotesi, in cui il trattamento dei dati del candidato sia necessaria all'esecuzione di un contratto di cui è parte e quindi è imprescindibile l'utilizzo di dati personali. Una seconda ipotesi si base sull'esecuzione di un contratto che copre la fase antecedente del primo contatto in quanto la richiesta dell'interessato manifesta la libera volontà di questo di contattare un soggetto terzo, ovvero, il proponente l'offerta di lavoro. Quest'ultimo tratterà i dati trasmessi dall'interessato lecitamente per il solo fine di poterlo contattare e per un tempo determinato e ragionevole.

Va precisato, per dovere di completezza, che il consenso come manifestazione del diritto all'autodeterminazione informativa per essere valido deve essere espresso liberamente in forma specifica e inequivocabile con riferimento al trattamento a cui fa riferimento, possibilmente, ma non necessariamente, per iscritto.

Per completezza si precisa che l'abuso o utilizzo di dati personali per fini diversi da quelli consentiti è punito sia in sede penale che civile.

D.Lgs. n. 276/2003

[Torna su]

Il D.Lgs. n. 276/2003, Attuazione delle deleghe in materia di occupazione e mercato del lavoro, di cui alla legge 14 febbraio 2003, n. 30 (G.U. n. 235 del 9 ottobre 2003), ha l'obiettivo di rendere più flessibile il mercato del lavoro e contiene alcuni articoli a tutela della privacy.

Incontro tra domanda e offerta

L'art 9 del D. Lgs 276/2003 riguarda i flussi di informazioni personali volti a permettere l'incontro tra domanda e offerta di lavoro introducendo misure di semplificazione amministrativa volte ad assicurare la trasparenza operativa.

In particolare, l'art 9, comma 1, fa espresso divieto di utilizzare qualunque mezzo di comunicazione, nelle diverse declinazioni, per la ricerca del personale in forma anonima, infatti, l'attività di ricerca e selezione del personale deve essere effettuata da società pubbliche o private autorizzate e accreditate a far incontrare la domanda e l'offerta di lavoro.

Al comma 2 specifica che i soggetti accreditati debbono indicare gli estremi del provvedimento di autorizzazione o di accreditamento al fine di consentire al lavoratore, e a chiunque ne abbia interesse, la corretta e completa identificazione del soggetto stesso.

Infine, al comma 3 precisa che tutte le comunicazioni verso terzi debbono essere accompagnate dall'informativa ai sensi dell'art 13 del Codice privacy per rendere edotto il potenziale candidato sul trattamento dei dati trasmessi.

Divieto di trattare dati non pertinenti con le attitudini professionali

L'art. 10 del decreto recita: "È fatto divieto alle agenzie per il lavoro e agli altri soggetti pubblici e privati autorizzati o accreditati di effettuare qualsivoglia indagine o comunque trattamento di dati ovvero di preselezione di lavoratori, anche con il loro consenso, in base alle convinzioni personali, alla affiliazione sindacale o politica, al credo religioso, al sesso, all'orientamento sessuale, allo stato matrimoniale o di famiglia o di gravidanza, alla età, all'handicap, alla razza, all'origine etnica, al colore, alla ascendenza, all'origine nazionale, al gruppo linguistico, allo stato di salute nonché ad eventuali controversie con i precedenti datori di lavoro, a meno che non si tratti di caratteristiche che incidono sulle modalità di svolgimento delle attività lavorativa o che costituiscono un requisito essenziale e determinante ai fini dello svolgimento dell'attività lavorativa. È altresì fatto divieto di trattare dati personali dei lavoratori che non siano strettamente attinenti alle loro attitudini professionali e al loro inserimento lavorativo".

I divieti di cui fa menzione l'art. 10 non si applicano alle agenzie per il lavoro e agli altri soggetti autorizzati o accreditati di fornire specifici servizi o azioni mirate al collocamento di lavoratori svantaggiati nella ricerca di una occupazione.

Le agenzie per il lavoro nel 2013 sono state oggetto di un provvedimento del Garante privacy (Provv. 4 aprile n. 162), in merito al trattenere presso le loro sedi copie di documenti di riconoscimento dei candidati al fine di assicurarne la loro identità. Il Garante ha affermato che sono lecite le operazioni poste in essere dagli incaricati della società necessarie alla corretta identificazione nell'ambito dello svolgimento dell'attività di ricerca e selezione del personale se l'identificazione dei candidati avvenga senza provvedere alla conservazione di documenti identificativi dei candidati ma chiedendo l'esibizione di un valido documento di identità ed eventualmente annotandone gli estremi al fine di provare la diligente esecuzione della prestazione dovuta.

Dati sanitari del lavoratore

[Torna su]

I dati sanitari, che come tali entrano più in profondità nella privacy del lavoratore, sono conservati in un fascicolo separato dal fascicolo della carriera del lavoratore questo si accessibile al datore.

Il datore di lavoro non può accedere alle cartelle sanitarie dei dipendenti sottoposti ad accertamenti dal medico del lavoro. Infatti, il certificato medico consegnato al datore deve riportare solamente indicazione dell'inizio e della durata presunta dell'infermità e non la diagnosi, questo vale sia in ambito pubblico che privato.

Alcuni autori e anche lo stesso Garante (Linee Giuda sul trattamento dei dati dei lavoratori in ambito pubblico e nel Provv. 194 del 27/04/2016) sostengono che il medico del lavoro ai sensi del d.lgs. 81/2008 debba inquadrarsi nella veste di titolare autonomo del trattamento dei dati.

Dati biometrici del lavoratore

[Torna su]

Il GDPR include i dati biometricidefinendoli all'art. 4, par. 1, come: "dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici".

Per i dati sensibili vige un generale divieto di utilizzo. Il Garante privacy considera il trattamento dei dati biometrici non leciti se non usati per casi circoscritti tenuto conto delle finalità e del contesto lavorativo.

La base giuridica per il trattamento dei dati personali sensibili o c.d. particolari è l'art. 9 del GDPR.

I dati biometrici rientrano nella categoria dei dati particolari ex art. 9 del GDPR ed il loro utilizzo di per sé può rappresentare rischi elevati per i diritti e le libertà delle persone fisiche.

L'art. 2 sexies del Codice Privacy, richiama l'art. 9 del GDPR sul trattamento delle categorie particolari di dati personali e ammette che i dati biometrici siano trattati se necessari per motivi di interesse pubblico rilevante. In merito poi a quali tipi di dati possono essere trattati, le operazioni eseguibili, le misure appropriate e specifiche per tutelare gli interessi e i diritti fondamentali degli interessati trattati sono previsti nel nostro ordinamento o dal diritto dell'Unione europea.

Al comma 2 dell'art. 9 del GDPR sono previste tassativamente alcune deroghe sul trattamento dei dati biometrici accomunati da uno specifico riferimento al GDPR o sulla base del diritto dell'Unione o degli Stati membri che giustifica il trattamento.

Al comma 3 dello stesso articolo si precisa che tali dati possono essere trattati solo da professionisti soggetti al segreto professionale o soggetta all'obbligo di segretezza, come regolamentato dal diritto dell'Unione o degli Stati membri.

All'art. 2-septies, comma 1, (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute) del Decreto Legislativo 10 agosto 2018, n. 101, si precisa quanto previsto dall'articolo 9, paragrafo 4 del Regolamento, sui dati genetici, biometrici e relativi alla salute, ovvero che possono essere oggetto di trattamento in presenza di una delle condizioni previste dallo stesso articolo, in conformità alle misure di garanzie disposte dal Garante.

Nel contesto lavorativo sono previste due ipotesi di trattamento di dati biometrici (Relazione 2019 GPDP par. 13.1).

La prima ipotesi si rinviene nell'art. 2-septies, comma 7, del Codice privacy ove si consente il trattamento dei dati biometrici nell'ambito dell'accesso fisico e logico ai dati da parte di soggetti autorizzati.

La seconda ipotesi riguarda esclusivamente l'ambito lavorativo pubblico che prevede l'utilizzo di sistemi biometrici per finalità di verifica dell'osservanza dell'orario di lavoro.

Per essere considerata lecita la base giuridica per il trattamento del dato biometrico deve perseguire un obiettivo di interesse pubblico e legittimo, ma la normativa necessaria per colmare i vuoti lasciati dal GDPR e dal codice privacy dove essere colmato da un DPCM su proposta del Ministro della funzione pubblica per mezzo del Dipartimento della Funzione Pubblica, con rilascio del parere da parte del Garante Privacy, che al momento non è stato adottato.

Allo stato attuale il parere positivo del Garante italiano su un sistema di controllo biometrico non è stato concesso, optando sempre per l'utilizzo di sistemi di controllo della presenza sul luogo di lavoro con strumenti meno invasivi come i badge.

Il datore di lavoro deve sempre trattare i dati nel rispetto dei principi di proporzionalità, non eccedenza e gradualità sanciti dall'art. 5, del GDPR, e del principio di proporzionalità previsto dall'articolo 52 della Carta dei diritti fondamentali dell'Unione europea.

Valutazione d'impatto preutilizzo dati biometrici

L'utilizzo delle tecnologie più avanzate comporta inevitabilmente l'intromissione nella vita privata delle persone e una più grande attenzione da parte di tutti sul concedere il consenso al trattamento dei dati e una maggiore attenzione nel trattamento degli stessi se i dati da trattare sono quelli biometrici.

Il datore di lavoro, prima di procedere al trattamento del dato biometrico, è tenuto a svolgere una valutazione d'impatto (DPIA) sulla protezione dei dati ai sensi dell'art. 35 del GDPR e sui rischi legati a una specifica tipologia di trattamento.

Come si dirà in seguito, il titolare deve effettuare una valutazione dettagliata sulla natura dei dati, sul contesto di utilizzo e sulle finalità per determinare, minimizzare e limitare il più possibile il rischio che corrono i dati trattati e le metodologie più idonee a ridurlo prima di raccoglie i dati dai lavoratori. Non solo, deve fornire all'interessato un'informativa sull'utilizzo dei dati che si appresta a fornire in modo chiaro, preciso e comprensibile affinché il destinatario sia messo a conoscenza di ogni aspetto rilevante. Ciò perché il GDPR ribalta la vecchia concezione dell'interesse legittimo del datore di lavoro e mette in primo piano quello del lavoratore.

Trattamento dei dati da parte del datore

[Torna su]

Il legislatore italiano cogliendo il margine che la normativa europea consente agli Stati membri di prevedere norme più specifiche per il trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro (Art. 88 GDPR) ha previsto il Titolo VIII del Codice Privacy, rubricato "Trattamenti nell'ambito del rapporto di lavoro" (rubrica così sostituita dall'art. 9, comma 1, lett. a), D.Lgs. 10 agosto 2018, n. 101, che precedentemente recitava: «Lavoro e previdenza sociale») antecedentemente suddiviso in quattro Capi dagli artt. 111 sino al 116 compreso.

I Capi nel nuovo codice privacy sono riportati all'Art. 9 e riguardano: i) Art. 111 (Regole deontologiche per trattamenti nell'ambito del rapporto di lavoro); ii) «Art. 111-bis (Informazioni in caso di ricezione di curriculum); iii) «Trattamento di dati riguardanti i prestatori di lavoro»; iv) «Controllo a distanza, lavoro agile e telelavoro»; v) Art. 113 sono aggiunte, in fine, le seguenti parole: «nonché dall'articolo 10 del decreto legislativo 10 settembre 2003, n. 276.»; vi) Art. 114 sostituito dalla seguente: «Garanzie in materia di controllo a distanza»); vii) all'articolo 115: 1) la rubrica è sostituita dalla seguente: «(Telelavoro, lavoro agile e lavoro domestico)», al comma 1, le parole «e del telelavoro» sono sostituite dalle seguenti: «del telelavoro e del lavoro agile»; viii) Art. 116, comma 1, le parole «ai sensi dell'articolo 23» sono sostituite dalle seguenti: «dall'interessato medesimo».

L'art. 2-quater del Decreto Legislativo 10 agosto 2018, n. 101, sollecita il Garante a promuovere l'adozione di regole deontologiche del trattamento dei dati personali effettuato nell'ambito del rapporto di lavoro come condizione essenziale per la liceità e la correttezza del trattamento dei dati personali del lavoratore.

Trattamento dei dati effettuato da datori pubblici e privati

L'Autorità Garante con il Provvedimento del 5 giugno 2019, recante le prescrizioni relative al trattamento di categorie particolari di dati, (pubblicato sulla G.U n. 176 del 29-7-2019), sul tema del trattamento dei dati nel contesto lavorativo, specifica che il trattamento dei dati effettuati dal datore di lavoro (pubblico o privato), debbano essere trattati ai sensi dell'art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101 alla luce del Regolamento (UE) 2016/679.

Pc, Internet e posta elettronica sul luogo di lavoro

I nuovi strumenti tecnologicamente avanzati di lavoro forniti al lavoratore fuoriescono dalla tradizionale concezione di strumento, ma sono necessari all'espletamento delle mansioni, che per scelte organizzative e produttive dei nuovi modelli di business devono essere fornite al lavoratore per conseguire i risultati produttivi.

Fornire al lavoratore un pc per accedere alla rete ed una email aziendale per svolgere il proprio lavoro non autorizza il datore di lavoro ad invadere la privacy del dipendente. Gli strumenti in dotazione al lavoratore che penetrano più in fondo nella privacy obbligano ad una rilettura dei canoni della riservatezza nel nostro ordinamento.

L'implementazione di strumenti informatici con software in grado di controllare la posizione del dispositivo e le operazioni che vengono svolte, anche in tempo reale, comporta per il datore di lavoro che non voglia incorrere in violazioni del GDPR l'adozione di misure di sicurezza nel rispetto dei principi di riservatezza redigendo una DPIA molto accurata sui rischi connessi, in modo da garantire il rispetto dei principi di proporzionalità e correttezza prima di affidare i dispositivi ai suoi sottoposti.

Con diversi Provvedimenti il Garante (Provv. 2 febbraio 2006; Provv. 9 luglio 2003; Provv. 18 ottobre 2012, n. 307) ha contestato al datore di lavoro la violazione della riservatezza dei dati del dipendente contenuti nel pc aziendale.

Potere di controllo del datore e tutela privacy lavoratore

Il Garante con una delibera dell'1 marzo 2007, n. 13, ha stabilito per i datori di lavoro, pubblici e privati, le linee guida per la protezione dei dati personali in materia di utilizzo di posta elettronica e della rete internet sul posto di lavoro.

Il Garante ha fornito al datore di lavoro uno strumento (delibera n. 13) per definire termini e modalità di utilizzo della posta elettronica e di internet sul posto di lavoro. Il Garante ha stabilito per il datore di lavoro (pubblico o privato) il divieto di controllare la posta elettronica e la navigazione in rete dei dipendenti se non in casi eccezionali e nel rispetto dell'art. 4 dello Statuto dei Lavoratori.

Il datore di lavoro, seguendo le linee guida del Garante sul corretto utilizzo dei pc sul luogo di lavoro può procedere a eventuali controlli di monitoraggio mirati in modo graduale, mediante verifiche di reparto, d'ufficio e di gruppo di lavoro, prima di passare a controlli individuali sull'effettivo e corretto utilizzo degli strumenti di lavoro tecnologici affidati per l'adempimento della prestazione lavorativa nel pieno rispetto della libertà e della dignità del lavoratore.

Il datore deve informare anticipatamente il lavoratore della possibilità che effettuerà controlli a campione e del tipo di trattamento a cui saranno sottoposti i dati trovati nei dispositivi e la cronologia delle ricerche in rete.

Il monitorare a distanza del processo produttivo tramite sistemi informatici si configura come violazione del principio di necessità se l'utilizzo dei dati personali e identificativi non sono conformi alle finalità perseguite e il loro utilizzo non sono ridotti al minimo indispensabile.

Il Garante ha precisato che è illecito monitorare in modo sistematico e continuativo la navigazione in rete del lavoratore poiché viola anche l'art. 4 dello Statuto dei Lavoratori (più volte richiamato in ambito lavorativo) qualora i controlli effettuati non siano motivati da esigenze organizzative e produttive.

Il Garante con Provv. 23 dicembre 2010, ha dato il benestare al datore di lavoro, che si trovi a doversi difendersi in tribunale di conservare i files del dipendente al fine di poterli acquisire, su espressa disposizione del giudice, come prova nell'ambito del processo penale, sempre bilanciando il diritto alla riservatezza del lavoratore con la possibilità per il datore di tutelarsi in giudizio.

Il Garante raccomanda al datore di lavoro la predisposizione di una policy interna sull'utilizzo degli strumenti informatici anche da concertare con le rappresentanze sindacali. Il datore di lavoro deve fornire un'idonea informativa al lavoratore sull'utilizzo del bene aziendale e sui possibili controlli a cui il bene può essere sottoposto ad esempio: dal salvataggio dei dati (back up) agli aggiornamenti (upgrade).

Il datore di lavoro prima di fornire questi strumenti oramai imprescindibili per lo svolgimento di alcune mansioni deve essere conscio dei limiti entro i quali muoversi per effettuare quei controlli necessari a prevenire distorsioni ed eventuali abusi commessi con tali strumenti.

La corte di Strasburgo nel 2018 si è pronunciata favorevolmente per il datore di lavoro ritenendo legittimo il diritto del titolare dell'azienda di controllare i files contenuti nel PC in dotazione al dipendente identificati come "personali" in presenza dello stesso per controllare se le dotazioni informatiche a questo assegnate siano usate nel rispetto della legge e dei regolamenti interni all'azienda.

Resta fermo il principio del divieto d'indagine sulle opinioni sancito nell'art. 8 dello Statuto nel monitoraggio del lavoratore in smart working, ossia il lavoro svolto all'esterno dell'abituale luogo di lavoro.

Accesso agli strumenti informatici dei lavoratori assenti o licenziati

Un appunto merita la gestione della posta elettronica aziendale in caso di assenza prolungata (es. ferie) del dipendente, in quanto una mancata lettura della posta comporterebbe un danno per la struttura/organizzazione lavorativa. In casi del genere il datore di lavoro deve essere messo in condizione di accedere alla posta elettronica o delegare un incaricato a verificare il contenuto dei messaggi e a smistare quelli ritenuti rilevanti per il regolare svolgimento dell'attività lavorativa da quelli personali del dipendente momentaneamente assente.

Nel caso di cessazione del rapporto di lavoro, mantenendo salvo il rispetto sulla riservatezza della posta ricevuta dal lavoratore, gli indirizzi riconducibili al dipendente devono essere cancellati o reindirizzati previa informativa ai terzi sul trattamento dei dati (Garante Privacy, Registro dei provvedimenti n. 547/2016; n. 216/2019).

Utilizzo dei GPS

Impiegare gli strumenti che la nuova tecnologia mette a disposizione è lecito se il loro impiego rispetta i diritti riconosciuti dall'ordinamento dei soggetti coinvolti. Ciò significa che servirsi di tali impianti seguendo le procedure dettate dalla normativa di riferimento per tutelare i beni aziendali è permesso.

L'utilizzo di alcune apparecchiature come i dispositivi GPS rientra nel legittimo interesse del datore di lavoro finalizzato alla tutela del bene aziendale e del suo contenuto, inteso anche come dati personali del cliente. L'installazione di tale apparecchio richiede l'attivazione delle procedure di consultazione ex art. 4 dello Statuto dei Lavoratori. Il controllo sui dati fornito da tali dispositivi non deve invadere il campo dell'effettiva necessità del trattamento dei dati o violare la finalità perseguita ma essere utilizzati solo in casi eccezionali e previa idonea informativa fornita al lavoratore, nel pieno rispetto dei principi in materia di protezione dei dati personali e con modalità concretamente idonee a garantirli, diversamente il datore di lavoro non potrebbe utilizzare i dati raccolti.

Dati del dipendente PA e D.Lgs. n. 33/2013

[Torna su]

Il d.lgs. n. 33/2013 poi modificato dal d.lgs. n. 97/2016, introduce nel nostro ordinamento il riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni, dando vita alla c.d. "Amministrazione trasparente".

Il d.lgs. n. 33/2013 introduce inoltre la nozione di accesso civico, quale diritto di chiunque di richiedere alle pubbliche amministrazioni i documenti, le informazioni e i dati oggetto di pubblicazione obbligatoria, nei casi in cui questa sia stata omessa.

La normativa amplia la probabilità che i dati personali riferiti ai lavoratori della PA inseriti su particolari categorie di documenti ed atti amministrativi, attraverso le modalità tradizionali (rilascio copie di atti) o on-line (sito Web dell'ente), possano essere diffusi.

I dati personali dei dipendenti contenuti in tali atti devono essere trattati in ossequio alle Linee guida del Garante del 7 febbraio 2013 [2243168].

L'ANAC (Autorità nazionale Anticorruzione) ha approvato le Linee Guida per l'attuazione dell'accesso civico generalizzato e degli obblighi di pubblicazione previsti dal d.lgs. n. 97/2016, il c.d. FOIA, poi modificato dall'art. 5 bis comma 6 del d.lgs. n. 33/2013, e le Linee guida sull'attuazione degli obblighi di pubblicazione previsti dal decreto Trasparenza.

Con delibera n. 1310 nell'adunanza del 28 dicembre 2016 e pubblicate sul sito istituzionale l'ANAC ha approvato le "Prime linee guida recanti indicazioni sull'attuazione degli obblighi di pubblicità, trasparenza e diffusione di informazioni contenute nel d.lgs. 33/2013 come modificato dal d.lgs. 97/2016".

Esclusioni e limiti all'accesso civico

[Torna su]

Le ipotesi di esclusione e dei limiti di accesso civico menzionate all'art. 5-bis (articolo introdotto dall'art. 6, comma 2, d.lgs. n. 97 del 2016) prevedono una serie di ipotesi (di cui all'art. 5, comma 2) per evitare pregiudizi concreti alla tutela degli interessi pubblici o privati.

Ciò nonostante il limite all'accesso civico non è assoluto. La Pubblica Amministrazione a sua discrezione e ricorrendo al principio di proporzionalità, tra il beneficio nel concedere l'accesso generalizzato e il sacrificio causato agli interessi pubblici e privati contrapposti, può derogare a tali limiti e concedere l'accesso civico.

Normativa privacy e legge n. 300/1970

[Torna su]

L'art. 4 dello Statuto dei Lavoratori non ammetteva l'installazione di telecamere negli ambienti di lavoro salvo casi particolari riportati al comma 2 dello stesso articolo, integrato poi dal D.Lgs. 14 settembre 2015, n. 151 c.d. Jobs Act e sostituito dall'art. 5, D.Lgs. 24 settembre 2016, n. 185, cd Decreto Correttivo al Jobs Act, permette ora l'installazione di impianti e strumenti audiovisivi previa autorizzazione della sede territoriale dell'Ispettorato nazionale del lavoro o nel caso in cui unità produttive dell'impresa sia dislocate negli ambiti di competenza di più sedi territoriali della sede centrale dell'Ispettorato nazionale del lavoro.

Gli impianti installati nel rispetto delle procedure e previamente controllati e verificati delle autorità competenti, possono raccogliere informazioni utilizzabili a tutti i fini connessi al rapporto di lavoro, a condizione che sia data al lavoratore adeguata informazione nel rispetto di quanto disposto in materia di tutela della privacy e GDPR.

Il sistema di videosorveglianza deve essere affidato e gestito da personale qualificato come le "guardia particolare giurata" fornito di licenza prefettizia.

Il Decreto legislativo 10/08/2018 n. 101, art. 22 (Altre disposizioni transitorie e finali) al comma 6 precisa che: "Dalla data di entrata in vigore del presente decreto, i rinvii alle disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, abrogate dal presente decreto, contenuti in norme di legge e di regolamento, si intendono riferiti alle corrispondenti disposizioni del Regolamento (UE) 2016/679 e a quelle introdotte o modificate dal presente decreto, in quanto compatibili".

Ciò significa che quanto stabilito dall'art. 4, comma 3, L. n. 300/1970 (Statuto dei Lavoratori) sull'utilizzo di tutte le informazioni lecitamente raccolte con i sistemi di videosorveglianza ed altri strumenti di controllo a distanza dell'attività del lavoratore rimane lecito se raccolto nel rispetto del Regolamento UE 2016/679, in primis, fornendo al lavoratore un adeguata informazione ex art. 13 del regolamento ed in seconda battuta redigendo un'apposita policy che specifichi le modalità d'utilizzo degli strumenti di controllo (si segnala la Linee Guida del Comitato dei Garanti sul trattamento dei dati attraverso sistemi di videosorveglianza n. 3/2019 del 29 gennaio 2020).

La policy dovrà essere conosciuta dagli interessati/lavoratori e rispettare quanto previsto dall' art. 7 dello Statuto.

La violazione dell'art. 4 dello Statuto dei Lavoratori comporta non solo l'inutilizzabilità del dato informativo così acquisite, ma anche un illecito penale ex art. 38 dello Statuto integrato dall'art. 171, D.Lgs. n. 196/2003, sostituito dal D.Lgs. 10 agosto 2018, n. 101, disposto nell'art. 15, comma 1, lettera f)) e viola l'art. 28 dello Statuto (Repressione della condotta antisindacale).

È vietato installare videocamere in luoghi riservati esclusivamente ai lavoratori e non utilizzati per fini lavorativi come zone ricreative per pause caffè o pranzo, spogliatoi ecc..

Inoltre, occorre tener presente che l'utilizzo di nuove tecnologie sempre più invasive della sfera personale con dispositivi tecnologicamente avanzati (videosorveglianza, geolocalizzazione, trattamento di dati biometrici ecc…) presenta un rischio elevato per le libertà e i diritti individuali delle persone fisiche.

Il titolare del trattamento deve effettuare, prima di procedere al trattamento dei dati dei lavoratori, una valutazione dell'impatto dei trattamenti ex art. 35 GDPR, considerando la natura, l'oggetto, il contesto e le finalità del trattamento.

L'intelligenza artificiale applicata al mondo del lavoro

[Torna su]

L'Intelligenza Artificiale (IA) è un termine che indicare, a grandi linee, una tecnologia con cui si tenta di emulare l'intelligenza umana anche se non vi è una definizione universalmente riconosciuta, poiché è una materia che copre diversi campi che spazia dalla filosofia alla neuroscienza.

L'applicazione di questa tecnologia al mondo del lavoro non può passare inosservata visto i molteplici campi applicativi che ricopre ed i diversi effetti che riverbera sui lavoratori.

Infatti, l'utilizzo di algoritmi implementati dai dati sui lavoratori possono invadere quella privacy che l'ordinamento attuale protegge.

L'applicazione della tecnologia dell'IA non regolamentata nell'organizzazione e nello svolgimento del lavoro può portare ad un controllo diretto del lavoratore, pratica ovviamente vietata.

L'art. 4 dello Statuto dei Lavoratori come detto limita il potere di controllo a distanza del datore di lavoro, ma non fa menzione sull'utilizzo di questa tecnologia poiché ancora non normata specificamente. Quindi a parere di chi scrive solo un'interpretazione estensiva dello Statuto dei Lavoratori e della normativa in materia di trattamento dei dati personali può portare ad un giusto equilibrio sino all'adozione di una normativa specifica.

Il registro delle attività di trattamento

[Torna su]

Il datore di lavoro nella veste di titolare del trattamento (e il responsabile del trattamento), ai sensi dell'art. 30 del GDPR, è obbligato alla tenuta del Registro delle Attività di Trattamento.

Il Registro è un documento contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare. Il registro così formato può essere redatto su supporto cartaceo o elettronico e su richiesta del Garante deve essere esibito.

L'art. 30 del GDPR stabilisce il contenuto del Registro e ne esclude la tenuta per alcune categorie di soggetti, tuttavia il Garante raccomanda la tenuta di questo documento a tutti i titolari e responsabili del trattamento, in quanto strumento utile a fornire immediata conoscenza del tipo di trattamento svolto e strumento che coopera più soddisfacentemente a realizzare il principio di accountability.

In ambito lavorativo sia sul fronte del datore di lavoro (pubblico o privato) sia sul fronte del dipendente (impiegato, consulente, avvocato, commercialista ecc…), i dati personali sono trattati nello stesso modo non mutando il trattamento a seconda dell'attività pubblica o privata da prestare.

Il "capo" deve trattare i dati personali dei dipendenti all'ombra del GDPR, seguendo quei principi ormai entrati a far parte della "quotidianità normativa".

L'esecuzione del contratto di lavoro comporta che il trattamento dei dati personali dell'interessato siano conformi ai canoni di necessità, liceità, pertinenza e non eccedenza, compatibilità con le finalità per cui i dati personali sono stati raccolti ed il consenso prestato, senza dimenticare, infine, i principi di proporzionalità e limitazione della conservazione dei dati (ex art. 5 del GDPR).

Data Breach

[Torna su]

Il trattamento dei dati personali dei collaboratori da parte del datore di lavoro resta legata all'attività connessa alla prestazione lavorativa, nel senso che ogni attività annessa o connessa ai dati del lavoratore ha una base giuridica e una finalità ben chiara al lavoratore in ogni sua fase evolutiva.

Resta in capo al datore di lavoro l'adozione di adeguate misure tecniche ed organizzative per ridurre al minimo la possibilità di un Data Breach (Violazioni di dati personali).

Il data breach, lo ricordiamo, consiste in una violazione della sicurezza accidentale o illecita che comporta una perdita dei dati o la distruzione, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi o conservati a soggetti non autorizzati (si pensi ad un accesso da remoto su un data base dell'azienda o alla perdita dell'hard drive).

Il titolare del trattamento (datore di lavoro) deve documentare qualsiasi violazione dei dati personali, comprese le circostanze ad essa relative, le sue conseguenze e tutti i provvedimenti che ha adottato per porvi rimedio. Il titolare ex art. 33, GDPR, deve notificare l'avvenuta violazione, entro 72 ore dal momento in cui ne è venuto a conoscenza senza ingiustificato ritardo, salvo il caso in cui non sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Responsabilizzazione e valutazione d'impatto

[Torna su]

Il datore di lavoro è responsabile per qualsiasi trattamento di dati personali del lavoratore e deve attivarsi in virtù del principio di accountability, principio di responsabilizzazione, per assicurare il rispetto del trattamento dei dati in conformità al GDPR.

Il datore di lavoro in veste di titolare del trattamento è tenuto a svolgere una Valutazione d'Impatto ex art. 35 GDPR (DPIA, cioè Data Protection Impact Assessment) sulla protezione dei dati personali del lavoratore volto a descrivere il trattamento e valutarne la necessità, la proporzionalità nella gestione degli eventuali rischi per i diritti e le libertà delle persone fisiche soprattutto se è un processo che raccoglie molti dati e li elabora con strumenti di controllo a distanza.

Il titolare deve adottare tutte quelle misure che ritiene utili a ridurre l'eventuale rischio.

Il Garante con Provvedimento n. 467 ha fornito un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell'art. 35, comma 4, del Regolamento (UE) n. 2016/679 - 11 ottobre 2018 [9058979]

Il datore di lavoro deve mettere in atto misure adeguate ed efficaci e deve essere in grado di dimostrare la conformità delle attività di trattamento con il regolamento, compresa l'efficacia delle misure adottate (WP 29: «Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità? che il trattamento possa presentare un rischio elevato» ai fini del Regolamento (UE) 2016/679»).

Il titolare del trattamento, nell'ambiente lavorativo, deve bilanciare le esigenze aziendali con la salvaguardia della dignità e dei diritti fondamentali come è il diritto alla privacy del lavoratore nell'ottica dell'accountability sin dalla progettazione delle misure tecniche e organizzative di privacy by default e privacy by design, anche per minimizzare, ove previste nell'organizzazione aziendale il monitoraggio a distanza del lavoratore.

Il datore di lavoro che utilizza strumenti di monitoraggio deve preventivamente effettuare una prova sulla proporzionalità dello strumento scelto e valutare se la misura adottata sia adeguata e che incida lo stretto necessario sulla privacy dei dipendenti. Deve in ogni caso valutare se i dati che ha intenzione di trattare siano strettamente necessari e il trattamento garantisce i diritti alla vita privata e alla segretezza delle comunicazioni di cui il lavoratore gode anche sul posto di lavoro come prevede il "Parere 2/2017 sul trattamento dei dati sul posto di lavoro", 8 giugno 2017, [WP 249].

Risk based

Il titolare deve effettuare l'analisi del rischio derivante dal trattamento che vuole porre in essere.

Il concetto di rischio (risk based) è ben descritto nel considerando 75 del Regolamento, ma può riassumersi come l'impatto negativo che un evento esterno o interno alla struttura possa avere sulle libertà e i diritti degli interessati.

Il titolare deve valutare in termini di gravità e probabilità l'evento negativo e identificare le minacce che possono mettere a rischio i dati per tentare di ridurre o eliminare se possibile i rischi relativi al trattamento dei dati.

Consultazione preventiva

Nel caso in cui l'esito della valutazione di impatto (DPIA) risultati estremamente elevato in negativo e tale per cui il titolare (datore di lavoro) non potrebbe adottare misure adeguate ad attenuare il rischio, ma l'utilizzo dei dati sia necessaria allo svolgimento dell'attività lavorativa, il datore di lavoro potrà avvalersi dell'istituto della consultazione preventiva (art. 36 GDPR) e rimettersi al parere del Garante.

I diritti degli interessati

[Torna su]

Tutti i lavoratori - sia nel settore pubblico che privato - in quanto soggetti interessati, possono esercitare nei confronti del datore di lavoro tutti i diritti riconosciuti dal GDPR dall'Art. 12 all'Art. 22, compreso revocare eventuali consensi già prestati, ex art. 7 del GDPR, nonché proporre reclamo al Garante, ex art. 77 del GDPR, qualora ritengano che il Trattamento dei loro Dati Personali sia contrario alla normativa privacy in vigore.

Avv. Pietro Bilotta

Via Teresa Augruso 6 - 88022 Curinga (cz)

pietro.bilotta@avvlamezia.legalmail.it

cell 3333081936 linkedin.com/in/avvocato-pietro-bilotta-1a429b39


Foto: 123rf.com
Altri articoli che potrebbero interessarti:
In evidenza oggi: