Il diritto alla riservatezza nei rapporti di lavoro
La protezione dei dati nel diritto del lavoro italiano è importante sin dalla fase di selezione del personale. In primo luogo, si ricorda che l'ordinamento italiano è influenzato dal diritto europeo. Il Regolamento generale sulla protezione dei dati n. 679/2016 si applica, infatti, a tutti gli Stati membri. Tuttavia, ogni Stato ha un proprio ordinamento e una propria Autorità di controllo.
In Italia, la prima regola che il datore di lavoro deve rispettare nel rapporto di lavoro riguarda la fase di HR recruitment. L'articolo 8 dello Statuto dei lavoratori italiano, L. 300/1970, vieta di effettuare indagini su particolari categorie di dati personali dei candidati. L'accesso alla categoria dei dati sensibili potrebbe, infatti, comportare una discriminazione poiché tali informazioni sono in grado di rivelare l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, e il trattamento di dati genetici, dati biometrici per identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica.
In questo processo, vi sono alcuni obblighi relativi alla trasparenza e alle modalità di trattamento dei dati. Il datore di lavoro deve adottare misure adeguate a fornire all'interessato qualsiasi informazione sul trattamento dei dati personali che lo riguardano. Invero, il datore di lavoro deve prestare molta attenzione alle domande quando somministra un test attitudinale. Le domande non devono fare riferimento a categorie speciali di dati personali.
L'informativa sulla privacy deve includere le informazioni di cui all'articolo 13 del GDPR. In tale contesto, si ricorda che il consenso, nei rapporti di lavoro, non rappresenta, in nessun caso, può rappresentare una base giuridica valida. Secondo il Considerando 62 del GDPR, infatti, il consenso è legittimamente prestato solo quando è prestato in modo libero dal lavoratore. In particolare, lo stesso deve essere una dimostrazione chiara di un atto affermativo che stabilisca un'indicazione libera, specifica, informata e inequivocabile del consenso dell'interessato al trattamento dei dati personali che lo riguardano, ad esempio mediante una dichiarazione scritta, anche con mezzi elettronici, o una dichiarazione orale. Il rapporto di lavoro è caratterizzato da un naturale squilibrio tra le parti sicché il consenso prestato dal lavoratore sarebbe privo delle caratteristiche richieste dalla normativa.
Si tratta di una regola più volte ribadita dall'Autorità Garante. Non solo, ma il principio è stato ripreso anche dall'European Data Protection Board nelle sue specifiche Linee Guida sul trattamento dei dati sul lavoro.
I principali adempimenti privacy nel rapporto di lavoro
Come già accennato, il datore di lavoro è tenuto a fornire ai dipendenti specifiche informazioni sulle modalità di trattamento dei dati. Le informazioni devono essere il più possibile chiare e, soprattutto, comprensibili per il lavoratore, indipendentemente dalla sua funzione all'interno dell'organizzazione.
Questo obbligo è dettagliato nell'articolo 13 del GDPR e nella legislazione italiana trova specifico richiamo
nell'articolo 1 bis del Decreto Legislativo 152/1997, che è stato recentemente modificato dal cosiddetto Decreto Trasparenza.
Il decreto impone, altresì, l'obbligo del datore di lavoro di informare i lavoratori sull'uso di processi decisionali o di monitoraggio automatizzati utilizzati per fornire indicazioni rilevanti per i rapporti di lavoro. Inoltre, il decreto richiama espressamente l'obbligo di fornire indicazioni sulle misure di sicurezza applicate al trattamento dei dati personali dei lavoratori.
Un ulteriore divieto previsto dalla legge italiana è quello di non conoscere i dati sanitari del dipendente. Per questo motivo, il datore di lavoro deve nominare il medico del lavoro che, secondo il Decreto Legislativo 81/2008, è l'unico soggetto deputato a conoscere lo stato di salute dei dipendenti. Ne discende che all'interno dell'ambiente di lavoro, il datore di lavoro deve prestare particolare attenzione alla conservazione dei dati sanitari dei dipendenti. Se le idoneità mediche del lavoratore sono inviate in formato cartaceo, devono essere conservate in armadi chiusi a chiave, mentre se sono digitali, è necessario predisporre specifiche misure tecniche allo scopo di salvaguardare la sicurezza dei dati. In tale contesto, si rileva, altresì, l'importanza di istruire gli autorizzati al trattamento.
Il tempo di conservazione dei dati
Un altro aspetto importante riguarda il tempo di conservazione dei dati dei lavoratori.
Innanzitutto, va detto che il tempo di conservazione dei dati raccolti durante il rapporto di lavoro non può essere definito in modo uniforme. Per citarne alcuni, la conservazione dei dati relativi agli obblighi previdenziali e assicurativi può essere giustificata per un massimo di 10 anni, sulla base della Circolare Inps n. 31/2012, che stabilisce che dal 1° gennaio 1996 i contributi dei lavoratori dipendenti e di tutti gli altri regimi pensionistici obbligatori si prescrivono in 5 anni. Tuttavia, questo periodo può essere esteso a 10 anni se il lavoratore o gli eredi presentano all'Inps una richiesta di recupero dei contributi precedentemente non ottenuti. Infatti, il legislatore con l'art. 6, primo comma, del D.M. 9/07/2008 determina il tempo di conservazione del LUL (Libro Unico del Lavoro) in 5 anni dalla data dell'ultima registrazione.
Il tempo di conservazione deve essere individuato e inserito nei registri delle attività di trattamento ai sensi dell'art. 30 GDPR. L'indicazione del tempo di conservazione deve poi essere resa nota all'interessato attraverso l'informativa privacy. Come evidenziato dal Garante per la protezione dei dati personali nel Provvedimento del 10 giugno 2021, la generica indicazione “i dati sono trattati solo per il tempo strettamente necessario al perseguimento delle finalità” si pone in violazione del principio di limitazione della conservazione de del principio di trasparenza.
In ogni caso, il succitato Decreto Trasparenza chiarisce che le informazioni devono essere conservate e rese accessibili al dipendente dal datore di lavoro, che deve conservare la prova della trasmissione o la registrazione della ricezione per cinque anni dalla cessazione del rapporto di lavoro.
Controllo tecnologico dei lavoratori
Un altro aspetto importante del sistema giuridico italiano riguarda l'applicazione dell'articolo 4 dello Statuto dei lavoratori, che regola il controllo tecnologico da parte del datore di lavoro. Questa disposizione è molto importante soprattutto nell'era della digitalizzazione, dove la differenza tra strumento di lavoro e strumento di controllo è sempre meno visibile.
Il legislatore italiano permetto il controllo a distanza entro limiti specifici e condizioni legittime. Inoltre, è specificato che per gli strumenti necessari a rendere la prestazione lavorativa e per quelli necessari a registrare le presenze, il controllo sarà possibile senza la necessaria autorizzazione amministrativa o accordo aziendale e senza la necessaria presenza delle condizioni legittimanti previste dalla legge. Infine, è fondamentale sapere che se il datore di lavoro vuole utilizzare i dati raccolti dal monitoraggio tecnologico, deve rispettare le prescrizioni privacy.
Il primo passo da compiere è quello di comprendere la natura dello strumento ovverosia se lo stesso è strettamente necessario per rendere la prestazione lavorativa, oppure se dal suo utilizzo può derivare un controllo per il lavoratore. Nel primo caso, prima dell'installazione dovrà essere stipulato uno specifico accordo con i sindacati o con una specifica amministrazione italiana. Nel secondo caso, invece, non sarà necessario alcun accordo o autorizzazione preventiva.
Resta fermo che, in entrambi i casi, il datore di lavoro dovrà rispettare gli adempimenti privacy, in particolare l'obbligo di fornire informazioni sulle modalità di utilizzo dello strumento e sulle modalità di controllo.