L’informativa e la relazione tra titolare (del trattamento e d’azienda) e dipendente rappresentano due aspetti importanti nella gestione dei dati personali nel rapporto di lavoro.
Oggi come anche prima dell’avvento del GDPR, la gestione degli adempimenti in materia di protezione dei dati personali nei confronti del personale dipendente costituisce uno degli elementi maggiormente rilevanti nella documentazione di qualsiasi azienda, dalla microimpresa alla PMI, fino alla multinazionale.
Nonostante ciò, in molti casi, rimane un’attività svolta senza l’attenzione che dovrebbe meritare un rapporto normato dal recente Regolamento Europeo, dal D.lgs. 196/03 e anche da diverse altre direttive (si pensi per esempio al D.lgs. 81/08 sulla sicurezza nei luoghi di lavoro o allo Statuto dei lavoratori, Legge 300 del 1970) e che è da considerare tra gli ambiti più delicati per qualsiasi realtà imprenditoriale.
In questo articolo cercheremo di far luce su alcune pratiche non ideali e perfino rischiose spesso attuate dalle aziende e proveremo a suggerire procedure alternative più valide e conformi.
Indice degli argomenti
Vecchie abitudini dure a morire
Sembra banale doverlo ribadire, ma gli adempimenti in tema di protezione dei dati personali nei confronti di dipendenti e collaboratori sono attività la cui esecuzione rimane compito (e obbligo) del titolare del trattamento, quindi dell’ente/azienda stessa.
Quest’affermazione si rende necessaria perché in realtà ancora oggi sono diffuse tra molti titolari del trattamento alcune prassi abbastanza discutibili:
- molte microimprese e PMI in qualche modo “si aspettano” che sia un soggetto esterno, ovvero il consulente del lavoro, a fornire loro l’informativa sul trattamento dei dati personali per dipendenti e collaboratori, di solito inviandola allegata alla lettera di assunzione;
- la maggior parte delle informative di cui sopra sono generate in automatico dai gestionali del professionista o dalle piattaforme dei centri di elaborazione paghe.
Ora, se è certamente vero che un consulente del lavoro dovrebbe informare i propri clienti dei diversi obblighi e attività da adempiere nei confronti di un dipendente, non è altrettanto vero che egli debba specificarle tutte e soprattutto svolgerle. Infatti, non ci si aspetta che un consulente fornisca per esempio la formazione obbligatoria per il lavoratore prevista dal D.lgs. 81/08, eppure, paradossalmente, molte aziende danno per scontato che l’informativa sul trattamento dei dati personali al dipendente debba essere fornita dal professionista che offre servizi di consulenza del lavoro.
In aggiunta a quanto sopra, essendo le informative generate in automatico da modelli statici, hanno quasi sempre contenuti generici, non specifici e anche non adeguati allo scopo.
Accade così che l’informativa al dipendente, uno degli adempimenti chiave nell’attività di gestione dei dati personali di un’azienda, diventi una pratica svolta con poca consapevolezza e tramite documenti standard, spesso non conformi e uguali per decine se non centinaia di aziende diverse.
Alcune abitudini, per quanto ormai consolidate, andrebbero sicuramente abbandonate o quanto meno modificate. Non è questo il contesto per capire chi dovrebbe intervenire in tal senso: chi genera i modelli delle informative, il consulente che le somministra o l’azienda che non personalizza i testi che riceve. Ma è bene ricordare, come detto sopra, che in ultima analisi la responsabilità di un trattamento illecito o non conforme ricade sempre sul titolare del trattamento.
I rischi connessi al rapporto di lavoro in ambito privacy
Nel GDPR, nel D.lgs. 196/03 e Provvedimenti correlati, il rapporto di lavoro è uno degli ambiti maggiormente circoscritti e discussi.
Un aspetto spesso non considerato è che, secondo le normative vigenti, il trattamento di dati personali di dipendenti e collaboratori è reso di norma lecito per un titolare da ben due basi legali:
- il contratto di assunzione,
- gli obblighi legali,
cui è soggetto il datore di lavoro (Art. 6.1.b/c del GDPR).
Inoltre, il trattamento di categorie particolari di dati personali che può rendersi necessario per esempio per elaborare i cedolini paga, è anch’esso autorizzato perché necessario ad assolvere obblighi in materia di diritto del lavoro (Art. 9.1.b del GDPR).
Pertanto, piuttosto che focalizzarsi sulla raccolta di “autorizzazioni” al trattamento da parte del lavoratore, sarebbe semmai importante definirne i compiti, le responsabilità, i dati personali cui è autorizzato ad accedere e informarlo su eventuali attività aggiuntive di trattamento da parte del titolare (si pensi alla videosorveglianza) e sulle misure di sicurezza attuate dal titolare sugli strumenti assegnati (per esempio verifiche su computer o mail aziendale).
Non dimenticando che la gestione del lavoro è influenzata da diverse altre normative, prima fra tutte la Legge 300 del 1970, nota come lo Statuto dei Lavoratori, che nel noto Art. 4 stabilisce importanti prescrizioni sul controllo a distanza del lavoratore.
È dunque evidente l’importanza di predisporre adeguate informative e policy per dipendenti e collaboratori e allo scopo, per quanto non esistano schemi e modelli esaustivi, vi riportiamo alcuni suggerimenti per impostare e gestire quest’attività basilare.
Elementi per l’informativa al dipendente
Nella gestione e protezione dei dati personali, la parola chiave è trasparenza e ciò vale allo stesso modo nel rapporto con dipendenti e collaboratori. Un titolare, informando il lavoratore in modo chiaro e, appunto, trasparente, di come e perché tratterà i suoi dati personali, adempie già una prescrizione fondamentale del GDPR e delle altre normative vigenti in questo ambito.
Come visto, tuttavia, l’informativa è purtroppo in molti casi un documento che, per rispondere al requisito della “maggior tutela” diventa complesso, non completo e corredato di diverse richieste di consenso spesso non necessarie.
Oltre a quanto dettagliato dall’Art. 13 del GDPR e alla raccomandazione di preparare testi in linguaggio semplice e per quanto possibile sintetici, si riportano a seguire alcuni elementi rilevanti:
- per quanto attiene il rapporto di lavoro, a meno di specifici casi (si veda il punto C) l’informativa per il lavoratore non necessita di riportare consensi o autorizzazioni al trattamento. Come chiarito in precedenza, infatti, il trattamento di dati personali di un lavoratore poggia, si può dire dire quasi naturalmente, su solide basi legali (contratto e obbligo di legge) e utilizzare il consenso quale unica o ulteriore base legale non solo non è necessario ma è anche vivamente sconsigliato, poiché in questo caso il consenso non si ritiene liberamente prestato e non è peraltro revocabile (si vedano per esempio a riguardo le linee guida sul consenso WP259 del 2018 elaborate dal Gruppo Art. 29). Nella maggior parte dei casi è quindi più appropriato basare legalmente il trattamento sulle condizioni già citate;
- ricordare al lavoratore che i suoi dati personali potranno essere comunicati a terzi per adempiere alle finalità riportate e possibilmente elencare le principali categorie di soggetti destinatari, avendo cura di includere eventuali casi particolari (si pensi per esempio alla comunicazione a terzi di dati personali del lavoratore che alcune aziende devono effettuare per accedere ai cantieri). Si ricorda che anche in questo caso, a meno di specifiche condizioni, non è necessario chiedere un consenso (anch’esso spesso presente in alcune informative) là dove la comunicazione sia funzionale alla gestione del rapporto, ma rimane centrale informare con maggior chiarezza possibile;
- se vi è un trattamento di dati aggiuntivo che esula dall’attività di normale gestione del rapporto di lavoro, allora può essere necessario richiedere un consenso specifico al lavoratore (anche in un secondo momento). È il caso per esempio di un titolare che desideri fare un video sulla propria fabbrica e nel filmato possano essere ripresi dei lavoratori. In tal caso chiederà un consenso a questo trattamento, che sarà in questa circostanza liberamente prestato e potrà essere rifiutato senza alcuna conseguenza per il dipendente;
- sarebbe importante segnalare già nell’informativa, anche genericamente, la presenza di altri strumenti che possano raccogliere dati del personale. Per esempio, impianti di videosorveglianza o badge di rilevazione presenze (si veda il punto successivo).
Valutazione di altre eventuali attività di trattamento
Come già evidenziato, la relazione con il dipendente potrebbe prevedere attività di trattamento aggiuntive rispetto alla semplice esecuzione di quanto connesso alla gestione amministrativa del lavoratore.
Uno dei motivi che rendono in molti casi inadeguati o insufficienti i modelli generici di informativa, è proprio il fatto di non considerare quelle attività specifiche che ogni azienda potrebbe compiere al suo interno. Aspetti peculiari che quasi per certo il consulente del lavoro o il service per l’elaborazione paghe non conoscono.
Un titolare del trattamento dovrebbe essere consapevole che alcune attività implicano un’ulteriore raccolta di dati personali e dovrebbe pertanto valutarle con attenzione.
A tal proposito, a titolo non esaustivo, elenchiamo alcuni elementi che possono richiedere azioni aggiuntive:
- badge, app su smartphone o altri sistemi per la rilevazione presenze;
- diffusione di immagini del personale tramite social media o altri canali di comunicazione dell’azienda;
- impianto di videosorveglianza;
- sistemi di rilevazione GPS su veicoli aziendali;
- sistemi di controllo accessi tramite impronta digitale.
Si tenga presente che molte di queste attività richiedono informative e procedure specifiche aggiuntive e in alcuni casi anche il rispetto delle prescrizioni previste dal già citato Art. 4 L. 300/70 sul controllo a distanza dei lavoratori.
Inoltre, qualora a dipendenti e collaboratori siano affidati degli strumenti di lavoro, quali indirizzo di posta elettronica e computer, si devono predisporre policy e/o regolamenti interni che descrivano le misure di sicurezza applicate e le modalità di gestione ed eventuale controllo/verifica di questi mezzi da parte del titolare. In tal senso possono essere utili le Linee guida del Garante per posta elettronica e internet del 2007.
Stabilire una procedura per la consegna dei documenti ai fini privacy
Una volta definiti i contenuti da predisporre è necessario attuare una procedura, il più possibile semplice, per la consegna e l’attestazione di ricezione di tutti i documenti relativi al trattamento che il titolare intende fornire al dipendente.
Vi sono diversi modi di svolgere quest’attività, l’importante è che sia chiaramente definita e possibilmente limiti le copie di documenti in circolazione, poiché più firme su più fogli vuol dire anche maggior sforzo per tracciare e archiviare il materiale.
Un approccio valido a tal fine potrebbe essere aggiungere un’informativa breve sull’attività di trattamento in fondo alla lettera di assunzione. Il testo dovrebbe descrivere brevemente finalità e modalità del trattamento, i diritti dell’interessato e rimandare all’informativa completa, alle policy e agli altri documenti che verranno consegnati in copia. Apponendo la firma all’assunzione il dipendente, oltre ad accettare le condizioni proposte, attesterà anche la ricezione dei documenti ai fini privacy. Questo sempre che non sia necessario firmare moduli specifici.
