Il trattamento dei dati dei dipendenti

Le indicazioni del GDPR e del Garante per la protezione dei dati sanitari

Sonia Gallozzi, Consulente giuslavorista della Sede nazionale

Il tema del trattamento dei dati personali in ambito lavorativo è un argomento di estrema attualità sin dall’entrata in vigore del Regolamento Europeo 2016/679, con cui sono state previste tutele maggiormente pregnanti della privacy dei lavoratori, introducendo nel nostro ordinamento nuovi meccanismi di ponderazione tra il diritto del datore di lavoro al controllo del corretto esercizio della prestazione lavorativa e della tutela dell’immagine aziendale e il diritto del lavoratore alla propria riservatezza, con particolare riferimento ai dati dello stesso che esulano dall’ambito lavorativo.

La linea di confine tra le informazioni riguardanti l’attività lavorativa e la sfera privata del lavoratore può, talvolta, essere tracciata solo con difficoltà, come affermato anche dalla Corte Europea dei diritti dell’uomo (si veda ex plurimiis la Sentenza López Ribalda e altri c. Spagna del 17 ottobre 2019).

In argomento il Regolamento, oltre a richiamare i consolidati principi di tutela di cui agli artt. 1, 4 e 8 dello Statuto dei lavoratori, ha previsto quale principio fondamentale quello per cui ogni lavoratore, indipendentemente dal tipo di contratto a lui applicato, ha diritto al rispetto della vita privata, della sua libertà e dignità e deve essere adeguatamente informato sulle modalità di trattamento dei dati personali in maniera chiara, semplice ed esaustiva, soprattutto qualora siano previste forme di controllo del lavoratore, che comunque dovranno essere rispettose anche delle norme nazionali.

Un ulteriore principio cardine in materia è costituito dalla inidoneità del consenso del lavoratore a costituire una valida base giuridica del trattamento dei dati personali, atteso che, ad autorevole opinione del gruppo del Garanti europei, questo non potrebbe mai ritenersi liberamente prestato a causa del rapporto di “dipendenza” nei confronti del datore di lavoro.

D’altro canto, il GDPR non ha escluso la possibilità per il datore di lavoro di trattare i dati dei lavoratori, ma ha stabilito limiti e condizioni per l’esercizio di tale facoltà. In particolare, il precitato regolamento dispone che il trattamento dati dei lavoratori possa essere operato dal datore di lavoro per una delle basi giuridiche (finalità) espressamente previste, ossia alternativamente: l'esecuzione di obblighi derivanti da un contratto di lavoro, l'adempimento di un obbligo di legge del datore di lavoro (ad esempio in ambito previdenziale), la necessità di salvaguardare l’interesse vitale del dipendente o di altra persona fisica (misure di sicurezza sul lavoro) o l'interesse legittimo del datore (Art. 6 e 88 GDPR).

Come si evince chiaramente dalle suesposte casistiche, la ricorrenza dell’interesse legittimo del datore è l’ipotesi che maggiormente si presta ad interpretazioni e, pertanto, è opportuno offrire alcune delucidazioni in merito.

Il principio generale è che la liceità del trattamento basato sul legittimo interesse, discende dalla legittimità della finalità perseguita dal datore di lavoro, il quale sarà dunque chiamato, quantomeno in sede di informativa, a giustificare il trattamento di un determinato dato, il quale deve sempre essere proporzionato alle esigenze aziendali e deve essere svolto nella maniera meno intrusiva possibile, sia in termini di quantità del dato raccolto, sia con riferimento al metodo e alla tecnologia scelti.

Alla stregua dei cennati principi, sono dunque da ritenere censurabili alcune operazioni poste in essere dal datore di lavoro che, in linea teorica, sarebbero del tutto lecite, ma che, nella loro concreta attuazione, hanno comportato dei trattamenti illegittimi o, comunque, non in linea con i principi vigenti in materia.

Il controllo della strumentazione informatica

Il trattamento dei dati dei lavoratori relativo l’utilizzo della strumentazione informatica data loro in dotazione da parte dell’azienda (mail, cronologia delle ricerche, telefonate ecc.)  è legittimo, in quanto è riconducibile ai c.d. “controlli difensivi” che l’azienda può predisporre per verificare l’effettivo svolgimento della prestazione da parte del dipendente, ovvero la qualità della stessa.

Tuttavia, tale facoltà del datore di lavoro non può tradursi in un controllo indiscriminato, ma è soggetta a diversi limiti che influiscono sui tempi e sulle modalità del controllo. In particolare, sono da considerare illegittime alcune tipologie di verifica, quali il monitoraggio dei movimenti del mouse, l’utilizzo di webcam o di tecnologie di screen capture (si vedano in argomento il Parere 2/2017 sul trattamento dei dati sul posto di lavoro del WP29 – gruppo di cui fanno parte i Garanti Europei). Parimenti è da ritenersi censurabile il trattamento dei dati operato dal datore di lavoro che non abbia i requisiti della “necessità” e della “proporzionalità”.

A tal riguardo, il WP29 ha suggerito alcune specifiche misure di sicurezza idonee a prevenire eventuali violazioni della riservatezza degli interessati, tra cui, ad esempio: l'esclusione delle cd. "aree sensibili" dalle zone sottoposte a monitoraggio; il divieto di monitoraggio delle cartelle/dei file e/o delle comunicazioni personali dei dipendenti; la previsione di un monitoraggio "a campione", rispetto ad una sorveglianza continuata nel tempo (sul punto, per l'Italia, Prov. Garante Privacy n. 247/2017).

Il WP29 ricorda, infine, che nel caso in cui il trattamento dei dati dei lavoratori si fondi sull'interesse legittimo del titolare, quest'ultimo è sempre tenuto a garantire agli interessati il diritto di opporsi al trattamento, esercitando l'omonimo diritto loro conferito dall'art. 21 del GDPR.

Utilizzo dati dei lavoratori presenti sui social network

Tra gli “scenari” previsti dal richiamato Parere 2/2017 del WP29, di particolare interesse per le aziende risulta essere l’utilizzo da parte del datore di lavoro dei dati liberamente reperibili sui profili social dei lavoratori, o di potenziali candidati.

In particolare, nel documento si legge che i datori di lavoro non sono aprioristicamente autorizzati a trattare tali dati per le proprie finalità, per il solo fatto che gli stessi siano tratti da un profilo pubblicamente accessibile, ma “anche per poter procedere ad un simile trattamento è necessario disporre di un fondamento giuridico, ad esempio un legittimo interesse”.

In questo contesto, prima di esaminare il profilo del candidato sui media sociali, il datore di lavoro dovrebbe innanzitutto considerare se il profilo ha finalità commerciali o private, in quanto ciò può rappresentare un'indicazione importante dell'ammissibilità giuridica dell'esame di tali dati. Inoltre, il datore di lavoro è autorizzato a raccogliere e trattare i dati personali del candidato soltanto nella misura in cui tale raccolta è necessaria e pertinente per l'esecuzione del lavoro per il quale è stata presentata domanda.

In altre parole, al fine di poter utilizzare i dati raccolti sui social media, è necessario che le aziende possano dimostrare di aver perseguito un proprio legittimo interesse, ovvero che il trattamento sia connesso con il rapporto di lavoro.

Alla stregua dei cennati principi, è dunque legittimo procedere ad elevare una contestazione disciplinare al dipendente che diffonda sui social media dei contenuti lesivi per l’immagine aziendale (si veda in argomento la Sentenza n. 10280 del 26 aprile 2018, con cui  la Cassazione ha respinto il ricorso di un lavoratore licenziato per aver pubblicato sui social un contenuto ritenuto diffamatorio dalla Corte).