La tutela dei dati personali nei luoghi di lavoro

Il 7 maggio scorso è stata pubblicata la Relazione annuale dell’Autorità Garante della protezione dei dati personali con riferimento all’anno 2018 e aldilà del cambio di vertice il documento è interessante perchè l’anno passato è da considerarsi il punto di non ritorno in materia di protezione dei dati personali.

Ci si riferisce all’entrata in vigore (il 25 maggio 2018) del Reg. UE n. 2016/679, meglio noto come GDPR (acronimo di General Data Protection Regulation), recepito in Italia con il d. lgs. n. 101/2018 (in vigore dal 19.9.2018). Il Regolamento assolutamente moderno nell’impianto data la matrice europea ha modificato il d.lgs. n. 196/2003 (cd. Codice della Privacy). Tra i vari e innumerevoli aspetti approfonditi spicca naturalmente la materia dei rapporti di lavoro, contenuta al Capitolo 13 della Relazione. In particolare la Relazione del Garante si concentra sui principi c.d. di accountability, di privacy by design e by default contenuti nell’art. 25 del GDPR (che impongono la minimizzazione dei dati trattati tanto in fase di progettazione del trattamento quanto in modalità di impostazione predefinita a trattamento già intrapreso), nonché quelli più generali e già noti di liceità, correttezza e trasparenza, non eccedenza e necessità, minimizzazione dei dati, esattezza, limitazione delle finalità e della conservazione.

I principi dianzi indicati sono da considerare corollari del più ampio principio di proporzionalità ed elevati dall’art. 5 del GDPR a condizione di liceità di ogni trattamento. Da questi principi deriva che in materia di rapporti di lavoro, il trattamento dei dati relativi alle convinzioni religiose sembra essere ammesso solo «in caso di fruizione di permessi in occasione di festività religiose o per individuare le corrette modalità di erogazione dei servizi di mensa o (…) per l’esercizio dell’obiezione di coscienza». E sempre come applicazione pratica di quei principi l’Autorità sottolinea di non indicare, nell’organizzazione del lavoro, le causali dell’assenza ogni qualvolta si evincano particolari categorie di dati, in primis quelli di natura sindacale e sanitaria. Similmente nell’erogazione di dati valutativi e disciplinari occorre non ledere la dignità personale, illecito che si commette se si espongono i dipendenti all’osservazione continua dei colleghi e ad una concorrenza esasperata coi medesimi.

Per quanto concerne la materia dei controlli a distanza, è evidente una restrizione delle ipotesi di legittimità in nome dei principi di necessità e proporzionalità. In riferimento ai controlli sulla posta elettronica aziendale è stato confermato l’orientamento fondato sulla centralità e completezza dell’informativa da rilasciare ai dipendenti e sulla limitazione del periodo di conservazione dei dati raccolti. È invece piuttosto recente l’attenzione riposta dall’Autorità al rispetto dei meccanismi classificati dalla Relazione come “sistemi di videosorveglianza mobile”, per tali intendendosi quelli realizzati per il tramite di dispositivi indossabili (c.d. wearables, di cui le c.d. body cams costituiscono un esempio). Stante la consapevolezza dell’Autorità di doversi confrontare con gli alti livelli di innovazione tecnologico-digitale, cio’ che emerge è il ruolo centrale del principio di accountability da intendersi come approccio responsabile che ogni organizzazione è tenuta ad adottare quando tratta dati personali. Già prima ancora di gestire il dato è quindi necessario stabilire che il suo trattamento sia possibile in quanto il cosiddetto rischio residuale risulterà basso. In altre parole, il GDPR chiede alle aziende – e nello specifico alle figure del titolare o del responsabile – di verificare il trattamento prima ancora che lo stesso avvenga cosi’ da prevenire ogni lesione alla sfera privata del lavoratore.

Lascia un commento

X

Newletter - La Rivista