Il Garante Privacy ha emanato un nuovo prezioso vademecum sul trattamento dei dati personali da parte dei datori di lavoro pubblici e privati in cui indica i principi e le regole da seguire in materia di cartellini identificativi, comunicazioni, bacheche aziendali, pubblicazioni di dati del lavoratore sui siti web e sulle reti interne, dati sanitari, dati biometrici, l’uso di internet/intranet e della posta elettronica aziendale, i controlli a distanza sui lavoratori, videosorveglianza e geolocalizzazione.
Il vademecum raccoglie anche tutta la documentazione e la giurisprudenza di riferimento. Struttura contributo Principi generali Il vademecum “Privacy e lavoro” specifica che, nell’ambito lavorativo, deve essere assicurata la tutela dei diritti, delle libertà fondamentali e della dignità delle persone e garantita la sfera della riservatezza nelle relazioni personali e professionali. Il datore di lavoro può trattare informazioni personali solo se strettamente indispensabili all’esecuzione del rapporto di lavoro. I dati possono essere trattati solo da soggetti designati incaricati al trattamento articolo 30, Codice della Privacy e devono essere adottate idonee misure di sicurezza di protezione da intrusioni o divulgazioni illecite. I trattamenti devono essere effettuati per finalità determinate, esplicite e legittime in base ai principi di pertinenza e non eccedenza. Le caratteristiche dei trattamenti devono essere note ai lavoratori, tramite specifica informativa, nell’ottica di trasparenza e correttezza. Dati sanitari. I dati sanitari devono essere conservati in fascicoli separati. Il lavoratore assente per malattia è tenuto a consegnare al proprio ufficio un certificato senza diagnosi, ma con la sola indicazione dell’inizio e della durata presunta dell’infermità. Il datore di lavoro non può accedere alle cartelle sanitarie dei dipendenti sottoposti ad accertamenti dal medico del lavoro. Dati biometrici. Non è lecito l’uso generalizzato e incontrollato dei cosiddetti “dati biometrici” quelli ricavati ad esempio dalle impronte digitali o dalla topografia della mano dal riconoscimento vocale . Le impronte digitali o della topografia della mano possono essere usate per presidiare gli accessi ad “aree sensibili” processi produttivi pericolosi, locali destinati a custodia di beni di particolare valore e/o alla conservazione di documenti riservati oppure per consentire l'utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati l’impronta digitale o l'emissione vocale possono essere utilizzate per l’autenticazione informatica accesso a banche dati o a pc aziendali la firma grafometrica per la sottoscrizione di documenti informatici. Il vademecum richiama il provvedimento generale del Garante del 12 novembre 2014 in cui sono state previste anche alcune ipotesi di esonero dall’obbligo di richiesta verifica preliminare al Garante articolo 17. Codice della privacy e specifiche misure di sicurezza. Controlli. Risulta vietato ai datori di lavoro privati e pubblici effettuare trattamenti di dati personali mediante sistemi hardware e software che mirano al controllo a distanza dei lavoratori. Nel caso in cui i sistemi di controllo es. attraverso telecamere o geolocalizzazione, monitoraggio navigazione internet siano resi necessari da esigenze organizzative o produttive, o sono richieste per la sicurezza del lavoro vanno rispettate le specifiche garanzie previste dall'articolo 4, l. numero 300/1970 gli impianti e le apparecchiature, «dai quali può derivare anche la possibilità di controllo a distanza dell'attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l'Ispettorato del lavoro, dettando, ove occorra, le modalità per l'uso di tali impianti». Internet e posta elettronica. Il datore di lavoro deve adottare idonee misure di sicurezza per assicurare la disponibilità e l’integrità dei sistemi informativi e dei dati, anche per prevenire utilizzi indebiti e ha l’onere di informare, chiaramente e in modo particolareggiato attraverso, ad esempio un disciplinare interno, chiaro e aggiornato affiancato da un’idonea informativa i dipendenti su quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengono effettuati controlli anche in accordo con le organizzazioni sindacali e quali siano le conseguenze disciplinari nel caso di violazioni. I contenuti e le informazioni della posta elettronica sono tutelati costituzionalmente da garanzie di segretezza ma riguardano anche l’organizzazione del lavoro. In questo quadro è opportuno che il datore di lavoro renda disponibili indirizzi di posta elettronica condivisi tra più lavoratori ad es. ufficioreclami@società.com affiancandoli a quelli individuali ad es. rossi@società.com e valuti la possibilità di attribuire al lavoratore un diverso indirizzo destinato ad un uso privato. Videosorveglianza. Non devono essere effettuati controlli a distanza, tramite telecamere, al fine di verificare l'osservanza dei doveri di diligenza stabiliti per il rispetto dell'orario di lavoro e la correttezza nell'esecuzione della prestazione lavorativa ad es. orientando la telecamera sul badge . Geolocalizzazione. La rilevazione dei dati di geolocalizzazione non deve essere continuativa e deve avvenire in modo che l’ultima rilevazione cancelli quella precedente. Prima di attivare il sistema, le società devono notificare al Garante Privacy il trattamento di dati sulla localizzazione. I dipendenti dovranno essere ben informati sulle caratteristiche dell'applicazione ad es., sui tempi e le modalità di attivazione e sui trattamenti di dati effettuati dalle società.
PP_AMM_vademecumPrivacy_alovisio_s