Nella sua accezione originaria, la “privacy” è costruita come tutti i diritti afferenti alla vita privata ed è concepita come il diritto del singolo di tutelare il proprio spazio di intimità.
Oggi, con lo sviluppo della tecnologia, il termine “privacy” ha ampliato il suo ventaglio di significati, includendo il c.d. diritto alla protezione dei dati personali.
Quando si parla di legge sulla privacy si fa riferimento, innanzitutto, al decreto legislativo n. 196 del 2003, meglio conosciuto come Codice della Privacy, aggiornato al dlgs 101/2018 contenente le disposizioni per l’adeguamento della normativa nazionale ai principi del Reg. Eu 679/2016.
Il Reg. Eu 679/2016 ci consente di affermare che, salvo rare eccezioni, ogni azienda e ogni professionista è chiamato al rispetto delle disposizioni ivi contenute.
Per cui, tutti coloro che trattano dati personali di persone fisiche, dalla multinazionale al libero professionista, sono chiamati ad adeguarsi attraverso la predisposizione di apposita documentazione e allo sviluppo di misure tecniche ed organizzative adeguate perla protezione dei dati ed adottare comportamenti proattivi e tali da dimostrare la concreta attuazione delle disposizioni contenute nel Regolamento.
Nello specifico, il datore di lavoro tratta i seguenti dati dei lavoratori: nome, cognome, indirizzo di residenza, dati retributivi, dati relativi allo stato di salute (es. idoneità alla mansione), dati relativi all’eventuale condizione di disabilità, ecc.
Quando un trattamento dei dati personali nei rapporti di lavoro è lecito?
Il trattamento di dati personali nei rapporti di lavoro deve essere, come ogni altro trattamento, lecito e quindi basarsi su una delle basi giuridiche del trattamento di cui all’art. 6, comma 1 GDPR.
In ambito lavorativo le basi giuridiche del trattamento sono:
- la necessità di esecuzione del contratto (di lavoro in questo frangente);
- la necessità di adempiere all’obbligo legale del datore di lavoro: si pensi agli adempimenti in ambito previdenziale, assistenziale, amministrativo e tributario;
- la necessità di salvaguardare l’interesse vitale del dipendente o di altra persona fisica, specie nei luoghi di lavoro che presentano rischi particolari per la salute;
- perseguimento del legittimo interesse del titolare.
In ambito della tutela alla riservatezza e alla privacy, per quanto concerne il monitoraggio dell’attività del dipendente (es. installazione di impianti audiovisivi), la giurisprudenza ha chiarito che quelle consentite sono le attività di controllo con finalità organizzative e di sicurezza, o di tutela del patrimonio aziendale. Devono quindi ricorrere due condizioni:
- esigenze organizzative e produttive, di sicurezza del lavoro e tutela del patrimonio aziendale;
- e preventivo accordo sindacale o, in mancanza, autorizzazione amministrativa.
Ad ogni modo, il Ministero del Lavoro ha chiarito che, in base al principio di trasparenza, occorre informare i lavoratori circa l’esistenza e le modalità d’uso degli strumenti di controllo, con riferimento alla finalità e alle modalità del trattamento dei dati, alla natura obbligatoria e facoltativa del conferimento dei dati, alle conseguenze di un eventuale rifiuto, ai soggetti cui tali dati possono essere comunicati e ai responsabili aziendali del trattamento dei dati, nonché dei diritti dei lavoratori. In caso contrario i dati non possono essere utilizzati a nessun fine.
Altro aspetto importante è quello della Geolocalizzazione dei veicoli. Nello specifico, il trattamento dei dati di geolocalizzazione dei veicoli aziendali è legittimo per la tutela della sicurezza dei veicoli e dei lavoratori, o anche per la pianificazione in tempo reale dell’attività lavorativa. Illecita è la geolocalizzazione nel caso in cui i veicoli aziendali possano essere usati anche per finalità private. Il dipendente deve poter disabilitare il monitoraggio nel momento in cui svolge un’attività di natura personale con l’auto aziendale. Quindi è utile applicare un’informativa all’intero del veicolo, ben leggibile, che ricordi al dipendente l’esistenza del dispositivo di monitoraggio e le modalità di blocco temporaneo. Occorre l’accordo sindacale.
Cosa rischiano le imprese che non gestiscono correttamente i dati personali dei loro dipendenti?
Il trattamento non legittimo dei dati dei dipendenti può far scattare non solo un reato con relativa sanzione penale ma anche una ulteriore sanzione amministrativa. Ed invero, il Garante della privacy è intervenuto a sanzionare imprese che non hanno gestito in maniera adeguata i dati dei loro dipendenti.
Spesso si crede, erroneamente, di non trattare dati personali e quindi di essere “esentati” dal rispetto della normativa.
La corretta gestione degli adempimenti previsti dalla normativa privacy non deve essere considerata come l’ennesima inutile imposizione ma, al contrario, come l’opportunità di tutelare una delle risorse più preziose che l’azienda possegga: i dati.
La cura della privacy per una partita iva, pertanto, è un aspetto che non va sottovalutato.
Area Privacy Meleam
Se necessiti di un adeguamento al GDPR, contatta Meleam al 800 621 247.