I cartellini identificativi esibiti da alcune categorie di lavoratori devono riportare tutti i dati anagrafici? Si possono affiggere nella bacheca aziendale le informazioni sulle malattie e i permessi? Il dipendente assente per malattia deve consegnare il certificato con la diagnosi? La posta elettronica aziendale è riservata? Si possono rilevare le impronte digitali dei lavoratori? Si possono installare impianti di videosorveglianza sul posto di lavoro?

A queste e ad altre domande risponde il vademecum predisposto dal Garante per la protezione dei dati personali.Alcuni dati personali del dipendente possono essere poi trattati dal datore di lavoro soltanto se indispensabili e comunque nel rispetto delle misure di sicurezza necessarie a garantire la maggiore riservatezza possibile e il minore rischio di identificazione all’esterno.

Difatti il trattamento dei dati personali dei singoli lavoratori è lecito solo quando è finalizzato ad adempiere obblighi derivanti dalla legge, dal regolamento o dal contratto individuale.

Ogni utilizzo non necessario e non pertinente alle finalità ammesse è illecito perché lesivo della privacy e dignità del lavoratore.

Nello svolgimento dell’attività lavorativa, si creano molteplici occasioni in cui le informazioni personali dei dipendenti escono allo scoperto e sono soggette ad alto rischio di diffusione incontrollata (dati relativi alla salute, al nucleo familiare, alla residenza e ai recapiti ecc.).

Il Garante suggerisce, in un vero e proprio vademecum, le modalità e i mezzi più idonei ad evitare che la circolazione di tali dati violi la riservatezza e dignità del lavoratore.

Cartellino identificativo

Il cartellino di riconoscimento del dipendente non deve necessariamente indicare tutti i dati anagrafici e le generalità. Può infatti bastare l’indicazione di un codice identificativo, il nome o il ruolo professionale svolto.

Comunicazioni esterne

Nel settore privato, il datore può comunicare informazioni sul lavoratore ad associazioni di datori di lavoro, conoscenti o familiari, solo con il consenso dell’interessato.

Nel pubblico impiego, per le comunicazioni di dati relativi ai dipendenti è necessaria una norma di legge o di regolamento.

Bacheche aziendali

Nella bacheca aziendale possono essere affissi ordini di servizio, turni lavorativi o feriali.

Non possono invece essere affissi documenti contenenti gli emolumenti percepiti, le sanzioni disciplinari, le motivazioni delle assenze (malattie, permessi ecc.), l’eventuale adesione a sindacati o altre associazioni.

Siti web aziendali

Nel settore privato, la pubblicazione sul sito web o la rete interna aziendale di informazioni personali del dipendente (per esempio foto e curriculum vitae) è possibile solo con il consenso dell’interessato.

Nel pubblico impiego, le P.A. possono mettere a disposizione sui propri siti web istituzionali atti e documenti amministrativi contenenti dati personali, solo se la normativa di settore preveda espressamente tale obbligo.

In questo caso il datore di lavoro deve selezionare i dati personali da inserire in tali atti e documenti, evitando di divulgare dati eccedenti o non pertinenti. I dati personali non divulgabili devono essere oscurati.

È sempre preferibile, tenuto conto delle necessità della pubblicazione, indicare meno elementi di identificazione dei lavoratori, ricorrendo se possibile all’anonimato.

È sempre vietata la pubblicazione di informazioni da cui si possa desumere lo stato di salute dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici.

Dati sanitari

La diffusione di “dati idonei a rivelare lo stato di salute” del lavoratore è sempre vietata.

Per ragioni strettamente connesse all’attività lavorativa, è invece ammesso l’accesso del datore di lavoro o dei soggetti incaricati ai dati sanitari che il lavoratore fornisce, a titolo esemplificativo, per beneficiare di permessi o giustificare le proprie assenze.

In questi casi i dati sanitari del dipendente devono essere conservati in fascicoli separati e riservati, non accessibili a chiunque.

Il lavoratore assente per malattia è tenuto a consegnare al proprio ufficio un certificato senza diagnosi ma con la sola indicazione dell’inizio e della durata presunta dell’infermità.

Il datore di lavoro non può accedere alle cartelle sanitarie dei dipendenti sottoposti ad accertamenti dal medico del lavoro.

Nel caso di denuncia di infortuni o malattie professionali all’Inail, il datore di lavoro deve limitarsi a comunicare solo le informazioni connesse alla patologia denunciata.

Impronte digitali e altri dati biometrici

Aziende e P.A. non possono fare un uso generalizzato e incontrollato dei cosiddetti “dati biometrici” dei dipendenti.

Le impronte digitali o della topografia della mano, ad esempio, possono essere usate per gli accessi ad “aree sensibili” (processi produttivi pericolosi, locali destinati a custodia di beni di particolare valore e/o alla conservazione di documenti riservati) o per l’utilizzo di apparati e macchinari pericolosi da parte dei soli soggetti qualificati.

L’impronta digitale o l’emissione vocale possono essere utilizzate per l’autenticazione informatica (accesso a banche dati o a pc aziendali); la firma grafometrica per la sottoscrizione di documenti informatici.

È sempre necessario tuttavia il rispetto di rigorose misure di sicurezza. Inoltre, il datore di lavoro è tenuto ad informare i dipendenti sui loro diritti, sugli scopi e le modalità del trattamento dei loro dati biometrici.

In alcuni casi di tecnologia biometrica, il datore di lavoro, prima di iniziare il trattamento dei dati, richiedere un’apposita verifica preliminare al Garante.

Per la conservazione dei dati biometrici non è generalmente ammessa la costituzione di banche dati centralizzate ma è preferibile l’utilizzo di altre forme di memorizzazione (per esempio smart card ad uso esclusivo del dipendente).

Controllo della navigazione internet

I controlli effettuati dal datore sull’uso di internet durante il lavoro sono leciti solo se effettuati per motivi organizzativi o di sicurezza e nel rispetto dei principi di pertinenza e non eccedenza.

I sistemi software devono essere programmati e configurati in modo da cancellare periodicamente ed automaticamente i dati personali relativi agli accessi ad internet e al traffico telematico, la cui conservazione non sia necessaria.

I datori di lavoro privati e gli enti pubblici economici possono trattare i dati personali del lavoratore, diversi da quelli sensibili, per il legittimo esercizio di un diritto in sede giudiziaria, a fronte della manifestazione di un libero consenso o per un legittimo interesse.

I datori di lavoro pubblici, invece, possono trattare i dati del lavoratore soltanto per lo svolgimento delle funzioni istituzionali, in base al Codice privacy, alle leggi e ai regolamenti.

Il datore di lavoro deve chiarire ai dipendenti se la navigazione in Internet o la gestione di file nella rete interna autorizzi o meno specifici comportamenti come il download di software o di file musicali o l’uso dei servizi di rete con finalità ludiche o estranee all’attività lavorativa.

Il datore deve anche specificare quali conseguenze, anche di tipo disciplinare, si riserva di trarre quando la posta elettronica o la rete internet sono utilizzate indebitamente.

Il datore di lavoro per ridurre il rischio di usi impropri di Internet può adottare opportune misure (filtri alla navigazione, blocco di alcuni siti) che possono prevenire controlli successivi sul lavoratore.

Accesso alla posta elettronica del dipendente

I contenuti della posta elettronica del dipendente sono tutelati costituzionalmente da garanzie di segretezza ma riguardano anche l’organizzazione del lavoro.

In questo quadro è opportuno che il datore di lavoro renda disponibili indirizzi di posta elettronica condivisi tra più lavoratori (ad es. ufficioreclami@società.com) affiancandoli a quelli individuali.

Il datore di lavoro può mettere a disposizione di ciascun lavoratore apposite funzionalità di sistema che consentano di inviare automaticamente, in caso di assenze programmate, messaggi di risposta che contengano le “coordinate” di un altro lavoratore.

Si può altresì consentire al lavoratore di delegare un altro lavoratore (fiduciario) in caso di assenze prolungate, a leggere i messaggi di posta e ad inoltrare al titolare del trattamento quelli ritenuti rilevanti per l’attività lavorativa. Di tale attività dovrebbe essere redatto apposito verbale e informato il lavoratore interessato.

In caso di assenze non programmate (ad es. per malattia), qualora il lavoratore non possa attivare la procedura descritta, il datore di lavoro può incaricare altro personale (ad esempio l’amministratore di sistema) di gestire la posta del lavoratore, avvertendo l’interessato e i destinatari.

Controlli a distanza: geolocalizzazione

I datori di lavoro pubblici e privati non possono controllare a distanza i lavoratori.

Tuttavia in alcuni casi la geolocalizzazione può essere utile per una maggiore sicurezza dei dipendenti permettendo l’invio mirato di soccorsi in caso di difficoltà.

Se viene utilizzata a tale scopo un’app attiva sugli smartphone in dotazione ai lavoratori, devono essere adottate misure volte a garantire che le informazioni visibili dall’app siano solo quelle di geolocalizzazione, impedendo l’accesso ad altri dati (sms, posta elettronica, traffico telefonico).

I dipendenti dovranno essere ben informati sulle caratteristiche dell’applicazione (ad es., sui tempi e le modalità di attivazione) e sui trattamenti di dati effettuati dalle società.

Prima di attivare il sistema, le società devono notificare all’Autorità il trattamento di dati sulla localizzazione.

Videosorveglianza

Per quanto riguarda il ricorso alla videosorveglianza, è vietato il controllo a distanza al fine di verificare l’osservanza dei doveri di diligenza stabiliti per il rispetto dell’orario di lavoro e la correttezza nell’esecuzione della prestazione lavorativa (ad es. orientando la telecamera sul badge).

Vanno poi osservate le garanzie previste in materia di lavoro quando la videosorveglianza o la geolocalizzazione sono rese necessarie da esigenze organizzative o produttive, o sono richieste per la sicurezza del lavoro.

Difatti, in tali casi, gli impianti e le apparecchiature, dai quali può derivare anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna.

In difetto di accordo, su istanza del datore di lavoro, provvede la Direzione Territoriale del Lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti [2].

[1] Garante per la protezione dei dati personali, vademecum dal titolo “Privacy e lavoro. Le regole per il corretto trattamento dei dati personali dei lavoratori da parte di soggetti pubblici e privati”, aprile 2015.

[2] Art. 4 della L. n. 300/1970.