Dati trattati, on boarding, rilevamenti biometrici, videosorveglianza, regolamento aziendale, e-mail e cessazione del rapporto, il ruolo del consulente del lavoro
Nell'ambiente lavorativo, la gestione dei dati personali richiede un equilibrio tra esigenze organizzative aziendali e tutela dei diritti del personale coinvolto nel lavoro.
Indice dei contenuti
Dati personali del personale dipendente
La gestione della privacy in ambito lavorativo è un tema cruciale per le aziende: le normative europee e italiane richiedono un approccio strutturato e consapevole per garantire la conformità del trattamento dei dati nella gestione del rapporto di lavoro, dalla selezione fino ai trattamenti post-risoluzione del rapporto.
In questo modo ne esce rafforzata la tutela dell’azienda, ma anche la correttezza e solidità del rapporto di lavoro, e si riducono i rischi di sanzioni.
In un rapporto di lavoro, il titolare del trattamento può trattare varie categorie di dati personali dei suoi lavoratori e lavoratrici:
- dati comuni, come nome e cognome, CF, indirizzo di residenza o domicilio, numero di telefono, indirizzo email
- categorie particolari di dati personali (art. 9 GDPR -nota 1), come:
- dati sanitari (certificati medici, assenze per malattia, idoneità fisica alla mansione, eventuali informazioni su disabilità o maternità)
- appartenenza sindacale (se il lavoratore si iscrive a un sindacato o partecipa a scioperi)
- origine razziale o etnica, religione o convinzioni personali (ad esempio, informazioni necessarie per adattare turni o ferie in base a festività religiose)
- dati personali relativi a condanne penali (art. 10 GDPR), come eventuali carichi pendenti o casellario giudiziale, se richiesti dalla normativa per determinate mansioni o settori.
Per ogni categoria di dati personali trattati, il titolare deve individuare la corretta base giuridica sulla quale fondare il trattamento (es. l’esecuzione del contratto di lavoro, l’adempimento di un obbligo di legge, il suo legittimo interesse).
Spoiler importante
Nel trattamento dei dati personali da parte del datore di lavoro, il consenso in linea generale non è una corretta base giuridica, quindi non puoi né devi chiederlo (né ti può essere richiesto).
Si considera che nel rapporto di lavoro il consenso non sarebbe libero e, quindi, valido, neanche per i dati appartenenti a categorie particolari, dove la base giuridica può individuarsi, ad esempio, nell'adempimento di obblighi in materia di diritto del lavoro e sicurezza sociale (art. 9, par. 2, lett. b GDPR) o nell’esercizio di diritti (art. 9, par. 2, lett. f GDPR).
On boarding anche per il trattamento dei dati personali
La selezione e l’inserimento di una nuova persona in azienda è un momento chiave e può essere l’occasione, anche rispetto al profilo della privacy, per impostare una relazione di fiducia e trasparenza fin da subito.
Per la serie, chi ben comincia è a metà dell’opera.
Fin dalla fase di selezione di nuovo personale, è bene conoscere e rispettare alcune regole base: troviamo alcune indicazioni di metodo nel Codice di Condotta per le Agenzie per il Lavoro (lo trovi qui) approvato il 11.01.2024 dal Garante privacy e promosso da Assolavoro (nota 2), un punto a favore di un mondo del lavoro più inclusivo.
Il Codice definisce le “buone prassi” per il trattamento dei dati personali nell’ambito delle attività di intermediazione, ricerca e selezione del personale.
Ad esempio prevede come indicazioni di metodo:
- trattare solo i dati personali strettamente necessari all’assunzione
- niente indagini sulle opinioni politiche, religiose o sindacali
- vietate le preselezioni sulla base di informazioni relative allo stato matrimoniale, gravidanza, disabilità, nemmeno con il consenso dell’interessato
L’adesione al codice di condotta è facoltativa per le Agenzie per il Lavoro in Italia, ma può essere un elemento di responsabilizzazione (c.d. accountability) perché permette di dimostrare la conformità al GDPR.
Negli ultimi tempi si pone un tema molto interessante in merito ai processi decisionali automatizzati per la ricerca e selezione del personale e la successiva conclusione del contratto di lavoro. Due brevi cenni.Il Codice di condotta per le Agenzie per il lavoro approvato dal Garante, citato appena sopra, prevede che, per le decisioni basate su un trattamento automatizzato, le Agenzie dovranno fare una valutazione di impatto e indicare nell’informativa ai candidati i meccanismi alla base dell’automatizzazione e le valutazioni periodiche previste per verificare l’affidabilità del sistema. Inoltre, nel caso di trattamenti totalmente automatizzati, ai lavoratori deve essere sempre garantito il diritto di ottenere l'intervento umano, di esprimere la propria opinione e di contestare la decisione.In secondo luogo, l’AI Act (nota 3) impone alle aziende, che usano i sistemi di intelligenza artificiale nella gestione dei rapporti di lavoro, di rispettare determinati adempimenti poiché vengono considerati sistemi a c.d. “alto rischio”: ad esempio, informare i dipendenti mediante una specifica informativa; adottare una policy aziendale con indicazioni chiare sui sistemi di AI utilizzati; rispettare le normative giuslavoristiche (innanzitutto l’art. 4 dello Statuto dei Lavoratori).
Anche al momento dell’assunzione, è fondamentale dare un’informativa chiara e comprensibile sul trattamento dei dati personali e garantire che la nuova persona comprenda come avviene il trattamento dei dati in azienda, i suoi diritti (ad esempio rispetto all’uso della mail aziendale) e le regole da rispettare se, per le funzioni che svolgerà, sarà lei stessa a essere incaricata del trattamento di dati.
In quest’ultimo caso, all’informativa si dovrà affiancare la designazione quale persona autorizzata al trattamento dei dati personali con l’indicazione delle banche dati a cui può accedere e dei trattamenti che può svolgere, con precise istruzioni (di solito raccolte in policy o regolamenti) e adeguata formazione.
Sistemi di rilevamento biometrici per la registrazione delle presenze
In alcuni casi abbiamo sentito di aziende che hanno deciso di sostituire per il rilevamento delle presenze il tradizionale badge con sistemi biometrici, come il riconoscimento facciale, il rilevamento delle impronte o la scansione dell’iride.
La pratica va però valutata con molta attenzione e al momento non trova l’opinione favorevole del Garante privacy.
Case history
Il Garante privacy italiano è infatti intervenuto più volte in merito all’uso del riconoscimento facciale per il controllo delle presenze, sempre in maniera critica rispetto a questo tipo di scelta.
Trovi uno dei provvedimenti recenti qui.
Il Garante ha osservato che al momento non esiste una norma che consenta l’uso di dati biometrici per rilevare le presenze e, quindi, il sistema va ritenuto illegittimo. Il Garante ha anche evidenziato i rischi per i diritti dei lavoratori e che le aziende dovrebbero usare sistemi meno invasivi per controllare la presenza del personale (es. il badge).
In tutti i casi, il Garante ha ordinato il pagamento di sanzioni e la cancellazione dei dati raccolti illecitamente.
Videosorveglianza
L’installazione sempre più frequente di telecamere in azienda richiede un equilibrio tra esigenze di sicurezza aziendale e tutela della privacy.
Va infatti rispettata la normativa sulla protezione dei dati personali e lo Statuto dei Lavoratori.
È obbligatorio, innanzitutto, ottenere l'autorizzazione delle rappresentanze sindacali o, in assenza, rivolgersi all’Ispettorato del Lavoro, ricordandosi anche che i filmati devono essere conservati per un periodo di tempo limitato.
È fondamentale poi informare tramite cartelli contenenti un’informativa breve e mettere poi a disposizione informative più complete conformi ai requisiti dell’art.13 GDPR.
Case history
Lo ha ricordato il Garante privacy anche in un recente provvedimento dell’11.4.2024 emesso a seguito della segnalazione di una dipendente che lamentava l’installazione di una telecamera di sorveglianza nell’atrio del Comune, vicino ai dispositivi di rilevazione delle presenze, senza il rispetto delle norme sui controlli a distanza.
Il Comune aveva fatto delle contestazioni disciplinari alla dipendente utilizzando le immagini registrate.
Il Garante privacy:
- ha ritenuto illegittimo l’operato del Comune perché contrario alla disciplina in materia di impiego di strumenti che possono comportare un monitoraggio dell’attività lavorativa
- lo ha sanzionato perché non aveva informato il personale in merito all’uso delle immagini raccolte
- ha imposto al Comune di dare a tutti gli interessati, sia lavoratori che visitatori, un’idonea informativa sui dati personali trattati mediante l’utilizzo della telecamera in questione.
Regolamento aziendale sul trattamento dei dati
Un regolamento interno ben redatto è indispensabile per definire le figure e i ruoli rilevanti per il trattamento dei dati personali, i dati trattati, le modalità del trattamento cartacee ed elettroniche, le misure di sicurezza tecniche e organizzative (es. controllo accessi, backup), l’uso corretto di strumenti come e-mail aziendali, PC e smartphone, i data breach.
In questo caso, così anche come per le informative, grazie al legal design il regolamento può diventare una guida pratica e accessibile, riducendo i rischi legati al trattamento dei dati personali, i conflitti e migliorando la produttività, l’organizzazione e la sicurezza aziendale.
E-mail aziendale e cessazione del rapporto di lavoro
Al termine del rapporto di lavoro, un aspetto delicato può rivelarsi la gestione delle e-mail aziendali dell’ex dipendente, che va programmata con attenzione.
Case history
Il Garante privacy ha di recente sanzionato un’azienda che alla cessazione di un rapporto lavoro non si è limitata - come consentito - a impostare un messaggio automatico per informare della prossima disattivazione dell’account e della possibilità di contattare altri indirizzi e-mail ma ha attivato un sistema che inoltrava le mail in arrivo all’ex dipendente a un diverso indirizzo aziendale a cui avevano accesso altre persone.
Il Garante ha ritenuto questo comportamento illegittimo e ha sanzionato l’azienda per € 10.000,00. Ha, infatti, ritenuto che lo scopo di mantenere i contatti con la propria clientela può essere realizzato in modi diversi e conformi alla disciplina di protezione dei dati personali.
Il ruolo del consulente del lavoro esterno
Spesso le PMI non hanno un ufficio del personale interno che si occupa della gestione del rapporto di lavoro e si rivolgono a un consulente esterno, con cui stipulano un contratto di prestazione d’opera professionale, ad esempio per l’elaborazione delle buste paga e la gestione contrattuale.
È importante definire il suo ruolo nel trattamento dei dati personali, perché viene a conoscenza di numerose informazioni relative al personale.
Il Garante privacy, con provvedimento del 22.01.2019, ha precisato che il consulente del lavoro:
- è Titolare quando tratta, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure quelli dei propri clienti quando sono persone fisiche
- è Responsabile del trattamento (nota 4) quando tratta i dati dei dipendenti dei propri clienti (es: per l’elaborazione dei cedolini paga, l’assunzione e la fine del rapporto, gli adempimenti della disciplina previdenziale o assistenziale).
In questo caso, è bene ricordarsi che, secondo l’art. 28 GDPR, “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico …, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento” e altre indicazioni specifiche previste dalla norma.
Nella gran parte dei casi, dunque, sarà fondamentale che il consulente del lavoro e il datore di lavoro stipulino un accordo specifico conforme alla normativa.
Note:
1 - Il riferimento è al Regolamento europeo relativo alla protezione dei dati personali - Reg. 2016/679/UE
2 - Associazione Nazionale delle Agenzie per il Lavoro
3 - Regolamento UE 2024/1689, approvato il 13.3.2024, a questo link
5 - Bene ricordarsi che per il GDPR è Responsabile del trattamento “la persona fisica, giuridica, PA o ente che elabora i dati personali per conto del titolare del trattamento”
