Privacy

La legislazione sulla privacy in Italia è attualmente contenuta nel Decreto Legislativo 30 Giugno 2003, n° 196, “Codice in materia di protezione dei dati personali” noto anche come Testo unico sulla privacy. La Legge sulla Privacy, ovvero sulla protezione dei dati personali ha definito, per la prima volta in un quadro unitario, misure ed accorgimenti per disciplinare la raccolta e l'uso dei dati personali nella gestione del rapporto di lavoro. Il datore di lavoro può trattare informazioni di carattere personale strettamente indispensabili per dare esecuzione al rapporto di lavoro. Deve individuare il personale che  può trattare tali dati e assicurare idonee misure di sicurezza per proteggerli da indebite intrusioni o illecite divulgazioni. Il lavoratore deve essere informato in modo puntuale sull'uso che verrà fatto dei suoi dati e  gli deve essere consentito di esercitare agevolmente i diritti che la normativa sulla privacy gli riconosce (accesso ai dati, aggiornamento, rettifica, cancellazione etc.). Entro 15 giorni dalla richiesta il datore di lavoro è tenuto a comunicare in modo chiaro tutte le informazioni in suo possesso. Tutte le aziende che trattano dati personali e sensibili mediante strumenti elettronici e non, sono tenute a rispettare la nuova normativa, la cui corretta applicazione consente, non solo di adempiere agli obblighi di legge, ma anche di migliorare l’organizzazione aziendale, i processi di lavoro e la qualità dei risultati. Il Codice richiede l’adozione di diverse misure di sicurezza per garantire che i dati trattati siano custoditi e controllati secondo alcune misure minime di sicurezza al fine di ridurre al minimo, i rischi di distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta. Le misure di sicurezza adottate devono essere riportate in un Documento Programmatico annuale sulla Sicurezza (DPS). Le tematiche prese in considerazione si riferiscono prevalentemente alla comunicazione e alla diffusione dei dati, all’informativa che il datore di lavoro deve rendere ai lavoratori (art. 13 del Codice), ai dati idonei a rivelare lo stato di salute e il diritto d’accesso. Le operazioni di trattamento riguardano per lo più:

dati anagrafici di lavoratori (assunti o cessati dal servizio)

· dati biometrici, fotografie e dati sensibili riferiti anche a terzi, idonei in particolare a rivelare il credo religioso o l’adesione a sindacati;

· dati idonei a rivelare lo stato di salute, di regola contenuti in certificati medici o in altra documentazione prodotta per giustificare le assenze dal lavoro o per fruire di particolari permessi e benefici previsti anche nei contratti collettivi;

informazioni più strettamente connesse allo svolgimento dell’attività lavorativa, quali

· la tipologia del contratto (a tempo determinato o indeterminato, a tempo pieno o parziale, etc.), qualifica e il livello professionale,

· la retribuzione individuale corrisposta anche in virtù di provvedimenti “ad personam”, l’ammontare di premi, il tempo di lavoro anche straordinario;

· ferie e permessi individuali (fruiti o residui), l’assenza dal servizio nei casi previsti dalla legge o dai contratti anche collettivi di lavoro, trasferimenti ad altra sede di lavoro;

· procedimenti e provvedimenti disciplinari.

I medesimi dati sono:

· contenuti in atti e documenti prodotti dai lavoratori in sede di assunzione (rispetto ai quali, con riferimento alle informazioni raccolte mediante annunci contenenti offerte di lavoro, questa Autorità si è già pronunciata o nel corso del rapporto di lavoro;

· contenuti in documenti e/o file elaborati dal (o per conto del) datore di lavoro in pendenza del rapporto di lavoro per finalità di esecuzione del contratto e successivamente raccolti e conservati in fascicoli personali, archivi cartacei o elettronici aziendali;

· resi disponibili in albi e bacheche o, ancora, nelle intranet aziendali.

Cartellini identificativi, Intranet, bacheche aziendali

Nelle aziende private può essere eccessivo indicare sul cartellino identificativo del dipendente dati anagrafici o generalità: a seconda dei casi può bastare un codice identificativo o il solo nome o solo il ruolo professionale.

Senza consenso non si possono comunicare informazioni  ad associazioni di datori di lavoro, di ex dipendenti o a conoscenti, familiari, parenti.

Il consenso è necessario anche per pubblicare informazioni personali (foto, curricula) nella Intranet aziendale e a maggior ragione in Internet. Nella bacheca aziendale possono essere affissi solo ordini di servizio,  turni lavorativi o feriali. Non si possono invece diffondere emolumenti percepiti,  sanzioni disciplinari, assenze per malattia, adesione ad associazioni.

Dati sanitari

I dati sanitari vanno conservati in fascicoli separati. Il lavoratore  assente per malattia è tenuto a consegnare al proprio ufficio un  certificato senza la diagnosi ma con la sola indicazione dell'inizio e della durata presunta dell'infermità.  Il datore di lavoro non può accedere alle cartelle sanitarie dei dipendenti sottoposti ad accertamenti dal medico del lavoro. Nel caso di denuncia  di infortuni o malattie professionali all'Inail, il datore di lavoro deve limitarsi a  comunicare solo le informazioni connesse alla patologia denunciata.

Dati biometrici

Non è lecito l'uso generalizzato e incontrollato di dati biometrici, specie se ricavati dalle impronte digitali. L'uso può essere giustificato solo in casi particolari, per presidiare, ad esempio, accessi ad "aree sensibili" (processi produttivi pericolosi, locali destinati a custodia di beni, documenti riservati).  Anche quando l'uso è consentito non è ammessa la costituzione di banche dati centralizzate: è infatti sufficiente la memorizzazione su una smart card in uso esclusivo del dipendente.