Fonti normative: Allegato 1 al provvedimento Garante Privacy n. 146/2019 del 5.6.2019, pubblicato in Gazzetta Ufficiale il 29.7.2019.
Oggetto: prescrizioni per il trattamento delle “categorie particolari di dati personali nei rapporti di lavoro”: si tratta dei c.d. “dati sensibili” di cui all’art. 9 GDPR, ossia dati genetici e biometrici, dati relativi alla salute o alla vita sessuale, dati che rivelano origine razziale od etnica, opinioni politiche, convinzioni religiose o filosofiche, orientamento sessuale. Dati per i quali vige il PRINCIPIO DI NECESSITA’: possono essere trattati solo quando strettamente necessario.
Ambito di applicazione: trattamento di dati personali per l’instaurazione, la gestione e l’estinzione di un rapporto di lavoro di qualsiasi natura (subordinato, autonomo, collaborazione, agenzia). Le disposizioni devono essere osservate da parte di tutti coloro che a vario titolo (quale titolare o responsabile del trattamento) trattano i dati perciò: uffici HR, consulenti del lavoro, società di ricerca e intermediazione del personale, medico competente, associazioni di categoria, RLS, ecc.
Il provvedimento distingue il trattamento dei dati particolari:
a) In fase preliminare all’assunzione:
− il trattamento effettuato ai fini dell’instaurazione del rapporto di lavoro sia attraverso questionari inviati anche per via telematica sulla base di modelli predefiniti, sia nel caso in cui i candidati forniscano dati di propria iniziativa, in particolare attraverso l’invio di cv, deve riguardare le sole informazioni strettamente pertinenti e limitate a quanto necessario, anche tenuto conto delle particolari mansioni e/o delle specificità dei profili professionali richiesti;
− i dati idonei a rivelare lo stato di salute e l’origine razziale/ etnica dei candidati possono essere trattati solo se pertinenti e necessari rispetto alla finalità di assunzione tenuto conto delle particolari mansioni e/o delle specificità dei profili professionali richiesti;
− qualora nei cv inviati dai candidati siano presenti dati non pertinenti, chi effettua la selezione deve astenersi dall’utilizzare tali informazioni;
− i dati genetici non possono essere trattati al fine di stabilire l’idoneità professionale di un candidato all’impiego, neppure con il consenso dell’interessato.
b) In costanza di rapporto di lavoro:
− i dati che rivelano le convinzioni religiose o filosofiche ovvero l’adesione ad associazioni od organizzazioni a carattere religioso o filosofico posso essere trattati esclusivamente per la fruizione di permessi in occasione di festività religiose, per le modalità di erogazione dei servizi di mensa o, nei casi previsti dalla legge, per l’esercizio dell’obiezione di coscienza;
− i dati che rivelano le opinioni politiche o l’appartenenza sindacale, o l’esercizio di funzioni pubbliche e incarichi politici, di attività o di incarichi sindacali, possono essere trattati esclusivamente per la fruizione di permessi o di periodi di aspettativa riconosciuti dalla legge o, dai contratti collettivi anche aziendali nonché per l’esercizio dei diritti sindacali (anche per le trattenute per il versamento delle quote di iscrizione ad associazioni od organizzazioni sindacali);
− i dati che rivelano le opinioni politiche possono essere trattati in caso di partecipazione di dipendenti ad operazioni elettorali in qualità di rappresentanti di lista (in applicazione del principio di necessità non deve essere richiesto il documento che designa il rappresentante di lista essendo allo scopo sufficiente la certificazione del presidente di seggio);
− il datore di lavoro non può trattare dati genetici al fine di stabilire l’idoneità professionale di un dipendente, neppure con il consenso dell’interessato.
Prescrizioni specifiche circa le modalità di trattamento:
− i dati devono essere raccolti, di regola, presso l’interessato;
− le comunicazioni, anche elettroniche, all’interessato che contengono suoi dati particolari devono avvenire in forma individualizzata. Il documento cartaceo deve essere trasmesso in plico chiuso, salva la necessità di acquisire, anche mediante la firma per ricevuta, la prova della ricezione dell’atto;
− i documenti che contengono dati particolari da trasmettere ad altri uffici o funzioni della medesima struttura organizzativa in ragione delle rispettive competenze, devono contenere esclusivamente le informazioni necessarie allo svolgimento della rispettiva funzione specifica, senza allegare, ove non strettamente indispensabile, documentazione integrale;
− quando per ragioni di organizzazione del lavoro e nell’ambito della predisposizione di turni di servizio si metta a disposizione di più soggetti (ad es. colleghi) dati relativi a presenze ed assenze dal servizio, non devono esplicitarsi, nemmeno attraverso acronimi o sigle, le causali delle assenze da cui sia possibile evincere la conoscibilità di dati particolari (es. permessi sindacali o dati sanitari).
Sanzioni: la violazione delle prescrizioni in oggetto comporta una sanzione amministrativa pecuniaria fino a euro 20.000.000 o sino al 4% del fatturato mondiale annuo.
Servizio di monitoraggio dei dati sensibili dei dipendenti
(C.D. “Dark-web Monitoring”)
Nell’ambito della gestione del rischio aziendale di utilizzo illecito delle informazioni sensibili, si sta diffondendo l’uso di offrire gratuitamente ai dipendenti una piattaforma nella quale indicare i loro dati che intendono tutelare – quali nome, cognome, codice fiscale, casella mail, carta di identità, patente, passaporto, ecc.-, da potere monitorare sul web.
L’Agenzia delle Entrate con risoluzione n. 77/E del 12.8.2019 ha chiarito che detto servizio non costituisce reddito per il lavoratore e non è tassabile a suo carico; riconoscendo inoltre che si tratta di uno strumento fondamentale per lo svolgimento in sicurezza e in maggiore libertà dell’attività lavorativa, visto che i furti d’identità̀ e di informazioni privilegiate costituiscono eventi sempre più̀ diffusi sia sulla rete internet sia sui social network.
Accesso dei dipendenti ai dati aziendali
Secondo un rapporto GetApp il 48% dei dipendenti delle piccole e medie imprese ha un accesso ai dati aziendali eccessivo rispetto al necessario, e addirittura talvolta (nel 12% dei casi) i lavoratori hanno accesso a tutti i dati aziendali senza restrizioni. Il che aggrava il rischio di perdita/diffusione (ad es. da parte di dipendenti infedeli o che passino alla concorrenza) dei dati aziendali.
Viene perciò suggerito di procedere ad una classificazione dei dati aziendali in modo da determinare chi può accedervi in ragione delle mansioni svolte. A tale fine è stata anche resa gratuitamente disponibile una tabella utile a tale scopo, qui allegata e tradotta in italiano