Privacy, nel rapporto di lavoro vanno trattati solo i dati necessari
Il Garante per la protezione dei dati personali pubblica (sulla Gazzetta Ufficiale del 29 luglio) un provvedimento generale che raccoglie e aggiorna prescrizioni sul trattamento di particolari categorie di dati. La pubblicazione si inserisce nel contesto di azione generale del Garante al fine di adeguare l'intero sistema alle novità normative e regolamentari intervenute dal maggio del 2018, data di efficacia del Gdpr.
Le scelte delle autorità italiane sono state chiare: da una parte, il mantenimento del Codice della privacy accanto al Regolamento europeo; dall'altra, l'adozione di provvedimenti generali aggiornati per guidare l'attività di tutti i soggetti.
Di sicuro interesse sono le «Prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro»: in primo luogo, perché i rapporti di lavoro sono un ambito in cui le novità in materia di privacy rivestono un'importanza maggiore (basti pensare alle molte norme giuslavoristiche che rimandano o sono citate nelle disposizioni del Gdpr), in secondo luogo perché i poteri dell'Autorità garante (e dell'Ispettorato nazionale del lavoro) in materia di verifiche e sanzioni hanno aperto nuovi fronti e nuove questioni nella gestione dei dati Hr.
Va chiarito intanto cosa si intenda per dati «particolari»: il riferimento è all'articolo 9 del Gdpr, che li identifica come relativi all'origine razziale o etnica, alle idee e convinzioni nonché i dati genetici e biometrici.
Il provvedimento comincia con il definire il proprio ambito di applicazione. Come d'uso quando si parla di Gdpr è un ambito molto esteso e tendenzialmente illimitato: se si è in presenza di un dato personale (capace di identificare una persona fisica) e di un rapporto di lavoro (subordinato, autonomo, libero-professionale di amministrazione o collaborazione comunque declinata) allora trovano applicazione le prescrizioni del provvedimento.
In secondo luogo, il Garante indica le finalità del trattamento dei dati, con particolare riferimento alla «instaurazione, gestione ed estinzione del rapporto di lavoro» (quindi a ogni vicenda connessa ai rapporti stessi) e alla difesa di un diritto «in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione» (quindi per la gestione delle controversie tra datore di lavoro e lavoratore, o terze parti).
Non sono, queste, le uniche finalità per il trattamento dei dati prese in considerazione dal provvedimento; sono però le due categorie più ampie e rilevanti. Il perimetro del dato relativo ai rapporti di lavoro è individuato in ogni passaggio (potenziale) dello stesso: dal colloquio pre-assuntivo alla definizione della possibile causa relativa alla cessazione (anzi: «estinzione», un concetto ancora più ampio) del rapporto stesso.
Coerentemente, il Garante ripercorre queste fasi, prescrivendo specifiche tutele e obbligazioni per ognuna. La fase pre-assuntiva (sia se gestita da agenzie di selezione, sia direttamente dal potenziale datore di lavoro) deve comportare trattamento di dati «strettamente pertinenti» con la ricerca del candidato. In linea con la natura sostanziale delle prescrizioni del Gdpr, viene specificato che tale principio va applicato alle mansioni e ai profili professionali per i quali la ricerca è effettuata; dati esuberanti tale ambito non potranno essere oggetto di valutazione al fine dell'idoneità del candidato, con espressa esclusione dei «dati genetici», il cui trattamento è definito illegittimo ai fini di valutare l'idoneità professionale, anche ove il candidato abbia prestato il suo consenso. Una volta assunto o comunque selezionato, il lavoratore fornisce al datore di lavoro i dati necessari all'esecuzione del rapporto. Tali dati non comprendono, specifica il Garante, quelli relativi alle convinzioni religiose, alle idee politiche o all'esercizio di funzioni pubbliche e sindacali. In linea con le prescrizioni dello Statuto dei lavoratori, questi ultimi sono lecitamente trattati solo per finalità specifiche e previste dall'ordinamento (ad esempio permessi, trattenute o festività) e non per valutare il dipendente.
Anche rispetto ai trattamenti effettuati «nel corso del rapporto di lavoro» il Garante ribadisce il divieto di trattamento di dati genetici, anche in presenza di consenso.
Il provvedimento indica poi le modalità di trattamento, con prescrizioni specifiche che tengono conto della “particolarità” dei dati trattati. Si trovano, in questa sezione del provvedimento, prescrizioni pratiche cui tutti i datori di lavoro dovranno attenersi per non violare le prescrizioni normative e incorrere nelle relative sanzioni.
I dati contemplati dal provvedimento sono raccolti principalmente presso l'interessato; non quindi presso terzi o all'esterno. Se oggetto di comunicazione, o di pubblicazione anche a leciti fini relativi al rapporto di lavoro (ad esempio: definizione di turni) i dati vanno trasmessi in plico chiuso, senza riferimento alla natura degli stessi oltre l'indispensabile con esclusione in ogni caso della «conoscibilità» ai terzi; l'indicazione di un'assenza per motivi di salute non deve indicare il motivo, solo il fatto dell'assenza. Questo provvedimento di portata generale e valido quale autorizzazione al trattamento nei limiti e per i dati oggetto dello stesso, ricorda ai datori di lavoro che i processi e le cautele imposte a tutti i trattamenti di dati personali dalla legislazione sulla privacy sono ancora più importanti in presenza di dati per loro natura particolari e delicati; quelli che nella vigenza delle precedente normativa si definivano «sensibili» e oggi richiedono una cautela e protezione ancora maggiori, da inserire come modalità di default nell'organizzazione aziendale, in linea con la responsabilizzazione («accountability») che caratterizza l'intero impianto Gdpr. Altro tema di sicuro interesse compreso nel provvedimento è quello relativo al trattamento di «categorie particolari di dati da parte degli investigatori privati». Il motivo è, da una parte, la diffusione delle indagini in molti ambiti, non ultimo il rapporto di lavoro; dall'altra, la volontà del Garante di chiarire norme e limiti di questo settore, proprio in ragione del suo sviluppo. Le prescrizioni chiariscono in primis che il trattamento dei dati deve avvenire nell'ambito di uno «specifico incarico» per difendere o fare valere un diritto e che gli interessi in gioco (quelli di chi incarica l'investigatore e quelli del soggetto investigato) devono essere bilanciati.
Il provvedimento prescrive, ancora, contenuti e limiti per l'atto di incarico, definendo una guida per la formalizzazione dello stesso, utile in tutti i casi nei quali si decida di intraprendere questa strada per verificare o difendere un diritto. Il Garante si occupa poi dell'utilizzo dei risultati delle indagini: prescrivendo la cessazione di ogni attività investigativa alla fine dell'incarico e limitandone l'uso e la comunicazione agli stretti confini della difesa del diritto che sta alla base del mondato. Questo provvedimento, chiaro e conciso, costituisce un utile riferimento per effettuare verifiche, a volte necessarie, con le dovute formalità, cautele e nel rispetto dei diritti di ogni soggetto coinvolto.
Il provvedimento del Garante privacy
