Dati personali dei dipendenti…facciamo un ripasso

Indice del contenuto

Abstract

I dati personali riferiti ai dipendenti sono l’oggetto della maggior parte dei trattamenti svolti da un’azienda e sono fattor comune per qualsiasi tipo di organizzazione, dalla piccola impresa alla multinazionale. In questo articolo facciamo un ripasso dei principali aspetti cui fare attenzione nel trattamento dati personali dei dipendenti.

Proprio per questo sono comuni anche le perplessità che possono sorgere circa il loro trattamento, ad esempio se e quando sia necessario o meno il consenso oppure quale sia il modo corretto di gestire l’indirizzo e-mail aziendale di un dipendente dal momento della cessazione del suo contratto.

Il trattamento dei dati personali dei dipendenti è non solo la tipologia di trattamento più diffusa nel mondo del lavoro ma anche la più critica, poiché comprende tutte le tipologie di dati previste dal Regolamento UE 679/16-GDPR, ovvero dati personali, categorie particolari di dati e ove necessario dati giudiziari, e si presta a dubbi sul quale sia la corretta modalità di trattamento dato l’intersecarsi di norme nazionali e comunitarie.

Il trattamento dati dei dipendenti

Il legame tra dipendente ed azienda si basa su un rapporto contrattuale e su degli obblighi di tipo normativo che l’azienda deve assolvere nei confronti della persona che ha assunto.

Durante la vita lavorativa di una persona una azienda verrà a conoscenza di una varietà dati che può o deve trattare per le sue necessità amministrative e per la gestione del rapporto lavorativo. Tali dati andranno dai più comuni dati anagrafici a cosiddetti dati sensibili, ovvero indicatori di uno stato di salute (es. malattie, permessi 104, idoneità al lavoro), di origini etniche e razziali (es. permesso di soggiorno) e di orientamento/vita sessuale (es. certificato di matrimonio, bonus famiglia ecc.), o dati giudiziari.

Dati personali “comuni”

Il trattamento dei dati comuni, si poggia su più basi giuridiche, diverse a seconda della categoria di dato oggetto di elaborazione. Per i dati personali comuni (dati anagrafici, coordinate bancarie ecc.) il trattamento trova fondamento nell’esecuzione del contratto di lavoro in essere tra le parti, e negli obblighi normativi (e.s. contabili e fiscali) cui è soggetta l’azienda. Per queste tipologie di trattamenti il GDPR identifica due basi giuridiche ben chiare e distinte all’articolo 6 comma 1 lettere b) e c), rispettivamente trattamenti derivanti da attività contrattuali e da obblighi di legge .

Esula da quanto detto il trattamento di dati effettuato per gestione organizzativa interna, ad esempio la creazione dei turni di lavoro, che va a concretizzare un legittimo interesse del Titolare, descritto all’articolo 6 comma 1 lettera f).

Categorie particolari di dati

Per le informazioni che rientrano tra le categorie particolari di dati la questione è più complessa, tanto che l’Autorità Garante ha così elencato in un recente provvedimento le finalità accettabili per il loro trattamento in contesto lavorativo:

  • adempiere ad obblighi normativi o a previsioni contrattuali per:
    • l’instaurazione, la gestione e la chiusura di un rapporto di lavoro;
    • il riconoscimento di agevolazioni (es. dati di orientamento religioso per il servizio mensa);
    • il rispetto di norme in materia di previdenza e assistenza sociale, igiene e sicurezza sui luoghi di lavoro, fiscale e sindacale;
    • la tenuta della contabilità ed il pagamento di stipendi, benefit e simili;
    • salvaguardare la vita o l’incolumità fisica dell’interessato;
    • far valere o difendere un diritto, anche esercitato da un terzo, in sede giudiziaria, amministrativa, in arbitrato o conciliazione; per il tempo strettamente necessario a tale finalità;
    • obblighi derivanti da contratti di assicurazione, per i rischi connessi alla responsabilità del datore di lavoro in materia di salute e sicurezza, malattie professionali o danni a terzi;
    • garantire pari opportunità nel lavoro.

Questo al fine di far rientrare tali trattamenti nelle previsioni dell’articolo 9 comma 1 lettere b) ed f) rispettivamente obblighi in materia di diritto del lavoro e esercizio e difesa di un diritto in sede giudiziaria.

Da notare che anche in questo caso, come per i dati comuni sopra, il consenso non rappresenta la base giuridica corretta.

Dati giudiziari

In particolari casistiche previste dalla legge, ad esempio in caso di contratti con la pubblica amministrazione o se il lavoratore ha contatti diretti con i minori, l’azienda potrebbe dover trattare anche autodichiarazioni rispetto ai carichi pendenti o certificazioni del casellario giudiziale che riportano informazioni su eventuali condanne o misure di sicurezza in capo al dipendente.

Il trattamento di dati relativi a condanne penali e reati è normato dall’articolo 10 del GDPR che prevede la possibilità di trattamento solo sotto il controllo dell’Autorità Pubblica o se previsto dal diritto dell’Unione o degli Stati Membri. A seguito dell’entrata in vigore del D.lgs. 101/2018 che armonizza il Codice Privacy alla normativa Europea, il trattamento di questa categorie di dati si è fatto ancor più difficile per le aziende. In attesa di provvedimenti ad hoc allo stato attuale i dati giudiziari sono trattati legittimamente nella pubblica amministrazione o se il lavoratore verrà a contatto con minori. Anche la richiesta di autocertificazioni al dipendente potrebbe essere considerata alla pari del casellario giudiziario e di conseguenza comportare un trattamento illecito. Da notare che anche se previsto nelle previsioni di alcuni CCNL la richiesta non sarebbe a norma di legge come richiesto e dunque di nuovo non lecita ai sensi del D.lgs. 101/2018.

Il consenso del lavoratore

Da quanto esposto emerge che l’azienda non ha necessità di chiedere un consenso al trattamento dati da parte del dipendente per le sue normali attività organizzativo-amministrative. Da stigmatizzare anche il ricorso “cautelativo” al consenso che si configura come trattamento non trasparente verso l’interessato.

Laddove invece l’azienda ponga in essere un trattamento cui fattivamente il dipendente può sottrarsi senza conseguenza come ad esempio l’uso dell’immagine del lavoratore per attività promozionali dell’azienda il consenso diventa necessario.

Tale finalità di trattamento, infatti, non rientra nelle normali attività aziendali e non sono pertanto coperte dalle basi giuridiche sopra elencate.

Fa eccezione l’uso della foto per il cartellino identificativo poiché il suo uso è obbligatorio per legge.

Il trattamento dati dei candidati

In quanto potenziali dipendenti anche il trattamento dati dei candidati merita qui di essere analizzato brevemente.

All’interno del curriculum o della lettera di presentazione sono riportati generalmente dati comuni, come i titoli di studio, ma potrebbero essere inseriti anche dati “sensibili” come l’appartenenza alle categorie protette.

Secondo il Codice privacy recentemente aggiornato, il trattamento dei dati contenuti nel curriculum spontaneamente inviato o reso disponibile alla consultazione attraverso strutture specializzate nella selezione del personale non richiede consenso, ai sensi dell’art. 111-bis D.Lgs. 196/2003; i dati presenti nel curriculum e raccolti durante il colloquio saranno quindi trattabili a fini precontrattuali ai sensi dell’art. 6 c.1 lett. b).

Rimane il divieto, anche ove fossero spontaneamente indicati, di utilizzare ai fini della selezione/valutazione del candidato dati “sensibili” della persona che potrebbero agire come fattore discriminante.

La posta elettronica dell’ex-dipendente

Al momento dell’assunzione, se necessita, può venire assegnata al dipendente una casella di posta aziendale da utilizzare durante la sua attività lavorativa. Ma che fare di quella casella e del suo contenuto una volta che il dipendente non è più tale?

Nelle linee guida sulla posta elettronica il Garante sancisce che “il contenuto dei messaggi di posta elettronica –come pure i dati esteriori delle comunicazioni e i file allegati– riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente”, pertanto spetta al datore di lavoro stabilire in modo chiaro tramite policy interne se la casella e-mail è utilizzabile esclusivamente a fini lavorativi o meno.

Una volta stabilito l’uso esclusivamente lavorativo della casella e-mail, nel caso di cessazione del contratto lavorativo con la persona tale casella deve essere disabilitata.

Il Garante ha stabilito che “subito dopo la cessazione del rapporto di lavoro, un’azienda deve infatti rimuovere gli account di posta elettronica riconducibili a un dipendente, adottare sistemi automatici con indirizzi alternativi a chi contatta la casella di posta e introdurre accorgimenti tecnici per impedire la visualizzazione dei messaggi in arrivo.”

L’adozione di tali misure tecnologiche – ha spiegato il Garante – permette di bilanciare l’interesse del datore di lavoro di accedere alle informazioni necessarie alla gestione della propria attività con la legittima aspettativa di riservatezza sulla corrispondenza.

In un recente provvedimento, infatti, l’Autorità ha ammonito un’azienda per aver mantenuto attiva la casella e-mail di un ex dipendente definendo che “commette un illecito la società che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e accede alle mail contenute nella sua casella di posta elettronica”.

Dagli accertamenti svolti dall’Autorità era emerso che l’account di posta era rimasto attivo per oltre un anno e mezzo dopo la conclusone del rapporto di lavoro prima della sua eliminazione, e che la società aveva avuto accesso alle comunicazioni. L’azienda può, per un tempo congruo, accedere alla casella di posta in dismissione tramite un fiduciario scelto dall’ex dipendente o dalla società e ad esso comunicato, al fine di verificare se vi siano messaggi che necessitano di essere trasmessi all’azienda per permettere la continuità dell’attività ma al termine di tale periodo la casella e-mail va eliminata.

Action to do

Fonti

© Copyright Axsym Srl – Riproduzione riservata

Condividi articolo:

Condividi su facebook
Condividi su linkedin
Condividi su twitter
Condividi su email

Leggi anche

Iscriviti alla nostra newsletter

per rimanere aggiornato su novità e servizi

Cliccando sul pulsante di invio del modulo acconsenti a ricevere le comunicazioni Axsym su novità, servizi e attività promozionali secondo quanto indicato nell’informativa privacy

Compila il form per essere ricontattato

Cliccando il pulsante di invio si dichiara di accettare le condizioni di trattamento come indicato nell’informativa privacy

Richiedi informazioni

Cliccando il pulsante di invio si dichiara di accettare le condizioni di trattamento come indicato nell’informativa privacy

Richiedi informazione su Atena

Cliccando il pulsante di invio si dichiara di accettare le condizioni di trattamento come indicato nell’informativa privacy

INVIA UN MESSAGGIO