La gestione della privacy nei rapporti di lavoro in azienda

19 Ottobre 2021

Il datore di lavoro ha diversi obblighi per quanto riguarda la gestione dei dati relativi all’amministrazione del personale. Scopriamo assieme quali sono e come affrontarli.

Il D.Lgs. 196/2003, modifica poi dal D.Lgs. 101/2018 che ha recepito il reg. UE 2016/679 (GDPR), disciplina la tutela della persona nei confronti del trattamento dei dati personali, originando diversi obblighi per il datore di lavoro relativi alla gestione dei dati utili all’amministrazione del personale.

Le norme in materia di privacy hanno lo scopo di tutelare le persone che sono soggette alla raccolta e alla registrazione di dati personali e alle altre operazioni connesse. Vengono quindi disciplinate anche l’elaborazione, la selezione, la comunicazione e la cancellazione dei dati. Il GDPR stabilisce che la raccolta dei dati deve essere limitata a quelli strettamente necessari e gli stessi devono essere eliminati quando non sono più necessari. Deve essere garantita la puntualità dei dati e il loro aggiornamento, in quanto quelli inesatti o obsoleti devono essere eliminati o cancellati. Anche la loro conservazione deve avvenire con modalità idonee a garantirne l’integrità e la riservatezza.

La tutela garantita dalla norma cambia in base al tipo di dato raccolto. Ad esempio, nel rapporto di lavoro, la tutela è più o meno intensa a seconda che i dati riguardino direttamente i diritti soggettivi del lavoratore o altri aspetti la cui raccolta è imposta al datore da norme di legge.

I dati del rapporto di lavoro secondo il GDPR

In base a quanto stabilito dal GDPR, il trattamento di alcuni dati è generalmente vietato, salvo specifiche eccezioni. In particolare, è vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Tali dati possono essere oggetto di trattamento, però, in occasione del rapporto di lavoro. A tal fine, ai sensi del GDPR, è necessario che l’interessato abbia prestato il proprio consenso esplicito. Inoltre, il trattamento deve essere necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale. Il trattamento dei dati già menzionati è inoltre permesso anche se è necessario per finalità di medicina preventiva o di medicina del lavoro, ai fini della valutazione della capacità lavorativa del dipendente.

Ferme restando le disposizioni in materia di privacy, tali dati possono essere trattati anche dai fornitori di servizi HR e non solo dal datore di lavoro per i propri dipendenti.

Risorse Umane e privacy: altre attività di profilazione e trattamento dei dati

Ricordiamo che nella gestione del personale da parte degli uffici HR potrebbero essere compiute operazioni riconducibili al concetto di profilazione che, in base alle disposizioni del GDPR, consiste nel trattamento automatizzato di dati personali da utilizzare per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti della persona (ad esempio tramite dispostivi di geolocalizzazione).

Inoltre potrebbe rendersi necessario il trattamento di dati biometrici, che il GDPR definisce come dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici. Non solo, ma spesso vengono trattati anche dati relativi alla salute, fisica o mentale, di un lavoratore.

I dati del lavoratore rilevanti ai fini della privacy

Tra i vari dati che il datore di lavoro deve raccogliere in forza di adempimenti legali o contrattuali, ai fini di ottemperare alle disposizioni del GDPR, assumono particolare rilievo in materia privacy i seguenti: delega sindacale per la trattenuta in busta paga; stato di invalidità in relazione ad un’assunzione obbligatoria; gestione della malattia, della maternità, degli infortuni e delle malattie professionali del dipendente; orari di lavoro abituali del lavoratore; situazioni familiari o reddituali (ad esempio ai fini dell’ANF e delle detrazioni); credenze religiose (si pensi all’ipotesi di chi chiede la concessione delle festività ebraiche); orientamento sessuale, perché nel modulo detrazioni il dipendente potrebbe indicare di essere unito civilmente ad una persona dello stesso sesso.

Gli adempimenti del datore per la raccolta dati

Per la raccolta dei dati necessari alla gestione del rapporto di lavoro, in base alle previsioni del GDPR, il datore deve procedere ad una serie di adempimenti, prima e durante la raccolta. Innanzitutto, come già anticipato, l’effettuazione di un trattamento dati richiede di norma il consenso dell’interessato. Il consenso deve essere necessariamente dato per iscritto nel caso di raccolta di dati sensibili. Solo in alcuni casi il consenso non è necessario, in particolare: se il trattamento è necessario ad adempiere un obbligo previsto dalla legge; se è necessario per eseguire obblighi derivanti dal contratto; quando il dato sulla salute è necessario per valutare la capacità professionale del lavoratore; se deriva da un interesse pubblico rilevante.

Il GDPR prevede che il lavoratore, quale interessato al trattamento, ha il diritto di conoscere il tipo e quali dati sono trattati e le modalità di trattamento. Inoltre può aggiornare o cancellare i dati, nei casi in cui ciò gli sia permesso (trattamento illegittimo, cessazione del trattamento ecc.). Chiaramente può anche opporsi a un trattamento illegittimo.

Il datore di lavoro deve informare l’interessato sul nominativo del responsabile della protezione dati (se presente); sulle finalità del trattamento; sull’eventuale trasferimento all’estero dei dati; sul periodo di conservazione dei dati; sul diritto dell’interessato ad accedere ai dati personali per la rettifica o la cancellazione degli stessi; sul diritto alla limitazione o all’opposizione al trattamento.
Deve inoltre indicare se il trattamento è frutto di un obbligo legale o contrattuale o di un’altra base giuridica (consenso/interesse legittimo); se sussiste il diritto di revocare il consenso; se si tratta di dati da profilare.

L’informativa prevista dal GDPR non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare e tenuto però a fornire l’informativa all’interessato.

Il datore deve inoltregarantire un livello di sicurezza adeguato al rischio del trattamento. In qualità di titolare designa un responsabile del trattamento attribuendogli specifici compiti, attraverso la stipulazione di un contratto o di un accordo.

L’archiviazione e conservazione dei dati aziendali

Un aspetto molto rilevante e spesso trascurato riguarda la conservazione dei documenti di lavoro. Si tratta di un’attività che deve avvenire nel rispetto del D.Lgs. 196/2003 e quindi i documenti devono essere custoditi in modo tale che non sia violata la privacy del lavoratore. Questo significa, ad esempio, che l’accesso ai documenti non deve essere libero, ma limitato ai soggetti che hanno la necessità di utilizzare i documenti per attività connesse alla gestione del rapporto di lavoro e che siano preventivamente autorizzati. L’archiviazione deve avvenire con modalità tali da evitare che possa realizzarsi una fuga di dati o che, anche involontariamente, gli stessi siano smarriti o diffusi a persone non autorizzate. Diversamente si verificherebbe un data breach con rilevanti conseguenze sanzionatorie in capo al datore.

Al fine di gestire al meglio i documenti relativi al rapporto di lavoro puoi ricorrere alle App di Fluida.io. Non potrai perderti più un documento! Organizza e archivia tutto in 6 categorie consultabili da dipendenti e dall’azienda.