Dati personali in rete solo con il consenso del dipendente

di Rossella Schiavone

04 Maggio 2015

Il Garante per la protezione dei dati personali ha pubblicato un nuovo vademecum con le regole per il corretto trattamento dei dati personali dei lavoratori da parte di soggetti pubblici e privati. Il vademecum è una sorta di riepilogo delle principali norme ed accorgimenti, tratte dalle linee guida nonché da provvedimenti emanati nel tempo in materia, anche a seguito di richieste di verifiche preliminari.

Principi generali
Innanzitutto viene confermato che il datore di lavoro può trattare informazioni personali solo se strettamente indispensabili all'esecuzione del rapporto di lavoro e che, all'interno dell'azienda, tali dati possono essere trattati solo dal personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni e/o divulgazioni illecite.
Le informazioni personali trattate possono riguardare non solo la mera attività lavorativa, ma anche la sfera personale e la vita privata dei lavoratori (si pensi ai dati sulla residenza, recapiti telefonici, ecc.) e dei terzi (come in caso di dati relativi al nucleo familiare per garantire determinate provvidenze).
A tal proposito è bene ricordare che è ammesso anche il trattamento di dati personali di tipo sensibile, purché tale trattamento sia finalizzato ad assolvere obblighi derivanti dalla legge, dal regolamento o dal contratto individuale (ad esempio, per verificare l'esatto adempimento della prestazione o commisurare l'importo della retribuzione).
Interessante è la specifica relativa ai cartellini identificativi sui quali può essere eccessivo riportare per esteso tutti i dati anagrafici o le generalità complete del dipendente per cui occorre valutare, caso per caso, se sia sufficiente indicare un codice identificativo o il solo nome o solo il ruolo professionale del prestatore di lavoro.

Pubblicazione di dati su siti internet e reti interne
Per quanto concerne il lavoro privato, il Garante ricorda che per pubblicare informazioni personali (foto, curricula, ecc.) nella intranet aziendale e in internet è necessario il consenso dell'interessato. Diverso è il lavoro pubblico in quanto le Pa possono mettere a disposizione sui propri siti web istituzionali atti e documenti amministrativi contenenti dati personali solo se la normativa di settore preveda espressamente tale obbligo. In tal caso, al fine di evitare di divulgare dati eccedenti o non pertinenti, è prevista una selezione dei dati personali da inserire negli atti e documenti destinati alla pubblicazione, verificando la presenza di determinate informazioni che vanno oscurate. In merito si ricorda che è assolutamente vietata la pubblicazione di informazioni da cui si possa desumere lo stato di malattia o l'esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici.

Internet, intranet e posta aziendale
Per i sistemi informativi, viene ricordato che è compito del datore di lavoro adottare idonee misure di sicurezza per assicurare la disponibilità e l'integrità degli stessi nonché dei dati, anche per prevenire utilizzi indebiti.
I dipendenti vanno, inoltre, informati in modo chiaro e particolareggiato, utilizzando ad esempio un disciplinare interno (Policy) - il quale va aggiornato - sulle corrette modalità di utilizzo degli strumenti messi a loro disposizione e se, in che misura e con quali modalità possano essere effettuati controlli, anche in accordo con le organizzazioni sindacali.
Ad ogni modo, i controlli sono ritenuti leciti se giustificati da motivi organizzativi o di sicurezza e a patto che siano comunque rispettati i principi di pertinenza e non eccedenza.
A tal proposito il vademecum sottolinea che i sistemi software vanno programmati e configurati in modo da cancellare periodicamente e automaticamente i dati personali relativi agli accessi a internet e al traffico telematico, la cui conservazione non sia necessaria.
Particolare attenzione va, inoltre, posta alla navigazione in internet, con la sussistenza dell'obbligo datoriale di specificare i comportamenti ammessi e quelli vietati (ad esempio il download di software o di file musicali o l'uso di internet con finalità ludiche e/o estranee all'attività lavorativa) nonché le conseguenze, anche disciplinari, in caso di utilizzo indebito di posta elettronica e internet. In particolare, per la posta elettronica viene suggerito di rendere disponibili indirizzi condivisi tra più lavoratori (ad es. ufficioreclami@società.com) affiancandoli a quelli individuali (ad es. rossi@società.com) e di valutare la possibilità di attribuire al lavoratore un indirizzo destinato a un uso privato.
Per evitare problemi alla propria organizzazione, l'azienda può inoltre mettere a disposizione di ciascun lavoratore apposite funzionalità di sistema che consentano di inviare automaticamente, in caso di assenze programmate, messaggi di risposta che contengano le “coordinate” di un altro lavoratore, tenendo presente che, in caso di assenze prolungate, è possibile consentire al lavoratore di delegare un altro lavoratore (fiduciario) a leggere i messaggi di posta e a inoltrare, al titolare del trattamento, quelli ritenuti rilevanti per l'attività lavorativa. Tuttavia, in quest'ultimo caso, data la delicatezza dell'operazione, il Garante suggerisce di redigere apposito verbale e informare il lavoratore interessato.
Qualora, invece, ci siano assenze non programmate (ad es. per malattia o infortunio), nel caso in cui il lavoratore non possa attivare la suddetta procedura, il datore di lavoro può incaricare altro personale per la gestione della posta del lavoratore, avvertendo l'interessato e i destinatari.

Controllo a distanza
Posto che è vietato, per i datori di lavoro, effettuare trattamenti di dati personali mediante sistemi hardware e software finalizzati al controllo a distanza dei lavoratori, il vademecum ricorda che tale divieto vale anche per l'uso di strumenti di controllo quali la videosorveglianza e la geolocalizzazione.
In materia viene rammentato che non è lecito il controllo a distanza al fine di verificare l'osservanza dei doveri di diligenza stabiliti per il rispetto dell'orario di lavoro e la correttezza nell'esecuzione della prestazione lavorativa, nonché la necessità di osservare le garanzie previste dall'articolo 4 della legge 300/1970, quando la videosorveglianza o la geolocalizzazione siano rese necessarie da esigenze organizzative o produttive, o siano richieste per la sicurezza del lavoro.
Particolare attenzione viene posta infine alla geolocalizzazione che può essere utile a rafforzare le condizioni di sicurezza dei dipendenti, permettendo l'invio mirato di soccorsi in caso di difficoltà. A tal proposito viene evidenziato che si possono utilizzare i dati di localizzazione geografica, rilevati da una app attiva sugli smartphone in dotazione ai lavoratori, purché vengano adottate adeguate cautele a protezione della loro vita privata.