Il Garante della privacy ha dettato e raccolto in un vademecum le regole per il corretto trattamento dei dati personali dei lavoratori da parte dei datori di lavoro, soggetti pubblici e privati, intitolato «Privacy e lavoro». La guida si apre con la fissazione dei principi generali che ruotano attorno al cardine della necessità, cioè si trattano solo quei dati personali, e anche quelli cosiddetti sensibili, utili a svolgere le attività lecite cui è chiamato il datore di lavoro: assolvimento di obblighi di legge o derivanti dal regolamento o dal contratto individuale. La Guida sintetica si divide per brevi capitoli: principi generali, cartellini identificativi, comunicazioni, bacheche aziendali, pubblicazioni di dati del alvortaore sui siti web e sulle reti interne, dati sanitari, dati biometrici, controlli sull’uso di internet/intranet e della posta elettronica aziendale, controllo a distanza dei lavoratori (videosorveglianza e geolocalizzazione) e, infine, l’elenco dei documenti di riferimento.
In generale la guida sintetica si propone di illustrare con un linguaggio semplice e immediato il complesso tema della privacy sul posto di lavoro sia in ambiente pubblico che privato, materia che spesso genera contenziosi tra dipendenti e datori di lavoro. Il vademecum riporta anche i riferimenti alle linee guida e ai principali provvedimenti dell’Autorità in tema di trattamento dei dati dei lavoratori.
La prima precisazione generale riguarda i cartellini identificativi e si prescrive che le generalità complete sono eccessive e vanno esposte solo se strettamente necessario.
Per quanto attiene, invece, le comunicazioni di informazioni sui dipendenti, queste sono lecite solo con il consenso degli interessati, ma, in ambito pubblico – si legge sulla Guida – è richiesta una norma di legge o di un regolamento.
L’affissione interna al luogo di lavoro nelle cosiddette bacheche aziendali può contenere solo ordini di servizio, turni lavorativi o feriali, e non sanzioni disciplinari retribuzioni, motivi di assenza dal lavoro o adesione a sindacati o altro.
Altre regole ad hoc in ambito pubblico
Le pubbliche amministrazioni possono mettere a disposizione sui propri siti web istituzionali atti e documenti amministrativi (in forma integrale o per estratto) contenenti dati personali, solo se la normativa di settore preveda espressamente tale obbligo. Quando adempie a un obbligo il datore di lavoro pubblico deve selezionare i dati personali da inserire, evitando dati eccedenti o non pertinenti, verificando, caso per caso, se ricorrono determinate informazioni che vanno oscurate dagli atti e documenti destinati alla pubblicazione.
I soggetti pubblici, infatti, sono tenuti a ridurre al minimo l’utilizzo in generale di dati identificativi e personali. Inoltre, devono evitarne il trattamento quando sia possibile in chiave anonima o criptata realizzare le finalità perseguite. Invece, in base alla normativa sulla trasparenza le pubbliche amministrazioni sono tenute a pubblicare sui siti istituzionali curricula, emolumenti o incarichi di determinati soggetti (dirigenti, consulenti, titolari di incarichi di indirizzo politico, eccetera).
Il Sole 24 Ore – 20 maggio 2015