Diritti e doveri a tutela dei dati personali dei lavoratori dipendenti
Secondo quanto disposto dall’art.41 della Costituzione italiana, al datore di lavoro viene riconosciuta la piena libertà di iniziativa economica, purché esercitata nel rispetto della libertà e dignità umana. Egli potrà dettare le regole disciplinanti l’esecuzione del lavoro nonché operare il controllo dell’attività lavorativa e dei dipendenti affinché i compiti siano svolti secondo le direttive loro impartite, pena l’irrogazione di sanzioni disciplinari.
Di contro, tali poteri incontrano i limiti disciplinati in origine dallo Statuto dei Lavoratori (legge n. 300/1970) a tutela dei diritti dei lavoratori dipendenti, che fungono da contrappeso per il rispetto della riservatezza, della libertà e della dignità dei lavoratori stessi, vincolando il datore di lavoro al rispetto dei princìpi in materia dei dati personali quali: il principio di necessità, di finalità, di trasparenza, di proporzionalità e di sicurezza.
Princìpi a cui si ispira l’art. 5 del Regolamento Ue 679/2016 (GDPR) laddove dispone che i dati personali debbano essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato e che debbano essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»), responsabilizzando il titolare del trattamento ai fini di una corretta conservazione degli stessi.
L’entrata in vigore del recente Decreto legislativo 10 agosto 2018, n. 101 che adegua il codice in materia di protezione dei dati personali (Decreto legislativo 30 giugno 2003, n. 196) alle disposizioni del Regolamento UE 2016/679, ha apportato profonde modifiche a tutto il sistema normativo italiano sulla tutela dei dati personali.
Anche il diritto del lavoro ha così subìto adeguamenti in merito al trattamento dei dati personali dei lavoratori dipendenti. Il datore di lavoro difatti potrà trattare i dati di questi ultimi solo a condizione che siano strettamente indispensabili all’esecuzione del rapporto di lavoro, ma non prima di aver ricevuto il consenso da parte degli interessati e di aver predisposto misure di sicurezza a tutela di una illecita divulgazione.
Dove troviamo la definizione di dati personali? All’interno dell’art. 4 del Regolamento UE 679/2016 (GDPR) il quale li qualifica come “le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc…”.
Lo stesso articolo inoltre esplica come gestire questi dati, come dover effettuare un trattamento e quali siano i tempi da rispettare ai fini della conservazione, cosa si intenda per profilazione, come adoperarsi per garantire una maggior tutela dei dati mediante l’adozione di sistemi di pseudonimizzazione, quali siano le modalità di archiviazione degli stessi, nonché le figure soggettive che a diverso titolo possono trattare i dati in qualità di titolare o responsabile del trattamento.
Sarà così compito del titolare o del responsabile del trattamento dover mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio (art. 32, par. 1, del Regolamento).
È questo una sorta di richiamo implicito (all’interno del GDPR) alla figura dell’amministratore di sistema (ADS), emersa per poter sopperire a quelle che spesso sono mancanze tecnico-professionali del titolare o del responsabile del trattamento a favore di una tutela dei dati più efficace. Seppur non menzionata all’interno del GDPR troviamo invece una chiara definizione nel Provvedimento del Garante del 27 novembre 2008, ovvero “una figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali…”.
Ma cosa comporta al datore di lavoro il trattare dati personali? Di certo l’onere di valutare preventivamente se il trattamento di essi sia proporzionale e necessario per il perseguimento di una legittima finalità, spesse volte avvalendosi di una valutazione d’impatto, prevista obbligatoriamente dagli art. 35 e 36 del Regolamento Ue qualora il trattamento dei dati presenti particolari rischi per i diritti e le libertà degli interessati, così da poter evitare di incorrere in sanzioni.
Nel nostro paese anche il Garante della privacy si è pronunciato sul tema, dettando linee guida (suscettibili di periodico aggiornamento) tese a fornire indicazioni e raccomandazioni concernenti le operazioni circa il trattamento dei dati personali (anche sensibili) dei lavoratori alle dipendenze di datori di lavoro privati, di come questi ultimi siano tenuti ad adottare ogni misura di sicurezza prescritta dal Codice a protezione dei dati personali dei dipendenti, ponendo particolare attenzione all’eventuale natura sensibile dei medesimi e di come dette informazioni debbano essere conservate separatamente da ogni altro dato personale dell’interessato.
Tutto ciò al fine di evitare al datore di lavoro di incorrere nelle sanzioni previste negli articoli 38 dello Statuto dei Lavoratori, 166 del Codice Privacy e 83 del GDPR, con pene previste fino a 20 milioni di euro o fino ad un ammontare pari al 4% del fatturato mondiale totale dell’anno precedente.
Articolo di
Dott. Emanuele Di Stefano
