Privacy e dati sensibili nei rapporti di lavoro: le informazioni su religione, credo politico, appartenenza sindacale, condizioni di salute e su altri aspetti particolari possono essere trattate solo se necessario e con finalità specifiche. Con il provvedimento numero 101 del 2019, il Garante stabilisce le regole a tutela dei lavoratori.
Privacy e dati sensibili nei rapporti di lavoro: religione, credo politico, appartenenza sindacale, condizioni di salute e altri dettagli strettamente privati possono essere oggetto di trattamento solo in casi necessari e con finalità specifiche.
Quelle informazioni che, con l’introduzione del GDPR, General Data Protection Regulation nel 2018, sono state inserite nella categoria dei “dati particolari” vanno tutelate: con il provvedimento numero 101 del 2019, il Garante stabilisce le regole da seguire per il pieno rispetto degli interessati.
Le “prescrizioni” che l’Autorità per la privacy ha indicato si applicano in tutte le fasi del rapporto di lavoro, anche prima che questo nasca: vanno adottate le stesse modalità per i candidati di una selezione, così come per i lavoratori subordinati o i consulenti, per i collaboratori, per i liberi professionisti.
- Autorità Garante per la protezione dei dati personali - Provvedimento numero 101 del 5 giugno 2019
- Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101 [9124510].
Privacy, dati sensibili nei rapporti di lavoro solo se necessario: le regole del Garante
Sotto la lente di ingrandimento e protagonisti del provvedimento numero 101 del 5 giugno 2019 sono i dati particolari e il loro trattamento nella gestione nei rapporti di lavoro.
Alle istruzioni del Garante, dunque, devono attenersi non soltanto i datori di lavoro, pubblici o privati, ma anche tutti gli attori coinvolti a vario titolo: le agenzie che si occupano di intermediazione, ricerca e selezione del personale, le associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro, o anche il medico competente in materia di salute e sicurezza sul lavoro, solo per fare qualche esempio.
Chiunque sia coinvolto in prima linea deve applicare le istruzioni sul trattamento dei dati particolari ed effettuarlo solo se necessario, attenendosi alle indicazioni specifiche del Garante:
- a) il datore di lavoro tratta dati che rivelano le convinzioni religiose o filosofiche ovvero l’adesione ad associazioni od organizzazioni a carattere religioso o filosofico esclusivamente in caso di fruizione di permessi in occasione di festività religiose o per le modalità di erogazione dei servizi di mensa o, nei casi previsti dalla legge, per l’esercizio dell’obiezione di coscienza;
- b) il datore di lavoro tratta dati che rivelano le opinioni politiche o l’appartenenza sindacale, o l’esercizio di funzioni pubbliche e incarichi politici, di attività o di incarichi sindacali esclusivamente ai fini della fruizione di permessi o di periodi di aspettativa riconosciuti dalla legge o, eventualmente, dai contratti collettivi anche aziendali nonché per consentire l’esercizio dei diritti sindacali compreso il trattamento dei dati inerenti alle trattenute per il versamento delle quote di iscrizione ad associazioni od organizzazioni sindacali;
- c) il datore di lavoro in caso di partecipazione di dipendenti ad operazioni elettorali in qualità di rappresentanti di lista, in applicazione del principio di necessità, non deve trattare nell’ambito della documentazione da presentare al fine del riconoscimento di benefici di legge, dati che rivelino le opinioni politiche (ad esempio, non deve essere richiesto il documento che designa il rappresentate di lista essendo allo scopo sufficiente la certificazione del presidente di seggio);
- d) il datore di lavoro non può trattare dati genetici al fine di stabilire l’idoneità professionale di un dipendente, neppure con il consenso dell’interessato.
Sulla stessa falsa riga, le istruzioni da tener presente nelle fasi preliminari all’assunzione:
- a) le agenzie per il lavoro e agli altri soggetti che, in conformità alla legge, svolgono, nell’interesse proprio o di terzi, attività di intermediazione, ricerca e selezione del personale o supporto alla ricollocazione professionale possono trattare i dati idonei a rivelare lo stato di salute e l’origine razziale ed etnica dei candidati all’instaurazione di un rapporto di lavoro o di collaborazione, solo se la loro raccolta sia giustificata da scopi determinati e legittimi e sia necessaria per instaurare tale rapporto;
- b) il trattamento effettuato ai fini dell’instaurazione del rapporto di lavoro, sia attraverso questionari inviati anche per via telematica sulla base di modelli predefiniti, sia nel caso in cui i candidati forniscano dati di propria iniziativa, in particolare attraverso l’invio di curricula, deve riguardare, nei limiti stabiliti dalle disposizioni richiamate dall’art. 113 del Codice, le sole informazioni strettamente pertinenti e limitate a quanto necessario a tali finalità, anche tenuto conto delle particolari mansioni e/o delle specificità dei profili professionali richiesti;
- c) qualora nei curricula inviati dai candidati siano presenti dati non pertinenti rispetto alla finalità perseguita i soggetti di cui alla lettera a) o i datori di lavoro che effettuano la selezione devono astenersi dall’utilizzare tali informazioni;
- d) i dati genetici non possono essere trattati al fine di stabilire l’idoneità professionale di un candidato all’impiego, neppure con il consenso dell’interessato.
Privacy, dati sensibili nei rapporti di lavoro: come effettuare il trattamento?
Il Garante per la protezione dei dati personali, soffermandosi sulla privacy negli ambienti di lavoro, e più nello specifico sul trattamento dei dati particolari, definizione introdotta dal GDPR che comprende i dati sensibili e i dati genetici, biometrici e relativi all’orientamento sessuale, ha illustrato anche le istruzioni pratiche da seguire.
Secondo la norma le informazioni devono essere acquisite direttamente dall’interessato e devono viaggiare in “forme di comunicazione anche elettroniche individualizzate”, nel caso di documenti cartacei devono essere raccolti in un plico chiuso.
Nel testo del provvedimento si legge:
“I documenti che contengono categorie particolari di dati, ove debbano essere trasmessi ad altri uffici o funzioni della medesima struttura organizzativa in ragione delle rispettive competenze, devono contenere esclusivamente le informazioni necessarie allo svolgimento della funzione senza allegare, ove non strettamente indispensabile, documentazione integrale o riportare stralci all’interno del testo”.
Le indicazioni del Garante, infine, si concludono con un monito chiaro: nel caso in cui altri colleghi vengano a conoscenza di presenze ed assenze dal servizio dell’interessato, il datore di lavoro non deve esplicitare, nemmeno attraverso acronimi o sigle, le ragioni di eventuali permessi o ferie dalle quali sia possibile evincere categorie di dati personali, come ad esempio i permessi sindacali o i dati sanitari.
Articolo originale pubblicato su Informazione Fiscale qui: Privacy, trattamento di dati sensibili nei rapporti di lavoro solo se necessario