Il breve quadro normativo
Il Regolamento UE 2016/679, all’articolo 2, disciplina il proprio ambito di applicazione materiale precisando che le norme ivi contenute si applicano al trattamento dei dati personali da intendersi come qualsiasi informazione riguardante una persona fisica identificata o identificabile.
Sulla base di queste brevissime premesse si può considerare che nell’ambito del rapporto di lavoro che si instaura tra l’Azienda (datore di lavoro) e il dipendente (la persona fisica) il trattamento dei dati personali riferiti a quest’ultimo sarà necessariamente soggetto alla previsione normativa sopra richiamata nonché a quella italiana specifica di settore.
Quali dati può trattare il datore di lavoro?
La raccolta dei dati personali del dipendente da parte del datore di lavoro inizia con la ricezione del curriculum vitae.
L’invio spontaneo della richiesta di assunzione con l’allegazione del curriculum vitae comporta, da parte dell’Azienda, la gestione di dati personali riferiti alla persona fisica e, in alcuni contesti, di dati personali che per loro natura rientrano nell’alveo dei dati particolari (ex dati sensibili).
Ulteriori dati personali vengono poi raccolti, per essere trattati, a seguito dell’assunzione del lavoratore. Si pensi, a titolo di esempio, a tutti i dati anagrafici e identificativi necessari alla gestione del rapporto di lavoro, alle coordinate bancarie del lavoratore per il pagamento dello stipendio e al dato riferito all’appartenenza sindacale del lavoratore.
Vi sono poi altre tipologie di dati personali (per esempio le immagini raccolte per mezzo di un impianto di videosorveglianza) che possono essere raccolti dal datore di lavoro per esigenze organizzative e produttive, di sicurezza del lavoro e tutela del patrimonio aziendale purché sussista un accordo sindacale o, in mancanza, un’autorizzazione rilasciata dall’Ispettorato Territoriale del Lavoro.
In ragione, dunque, della diversa tipologia dei dati raccolti (si veda la differenza tra dato comune e dato particolare), della diversa modalità di raccolta, della diversa finalità per cui i dati sono raccolti, il datore di lavoro dovrà adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure (tecniche ed organizzative) finalizzate ad assicurare la protezione del dato del lavoratore.
Cosa fare, dunque, per gestire correttamente il dato del dipendente?
Partendo dalla nozione di accountability che impone al titolare il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento – nel contestato riferito al dato del personale dipendente, il datore di lavoro dovrà procedere con attività di compliance che gli permettano di dimostrare che il trattamento su tali dati rispetta i principi imposti dal Regolamento Ue 2016/679.
In sintesi, l’Azienda dovrà, preliminarmente, svolgere uno specifico assessment finalizzato ad ottenere informazioni essenziali circa l’esatta tipologia dei dati personali che saranno oggetto di trattamento, attraverso quali strumenti verranno trattati, quali soggetti interni ed esterni all’Azienda vi avranno accesso e i tempi di conservazione.
Sarà poi necessario verificare se le misure di sicurezza, tanto tecniche che organizzative, presenti in Azienda siano sufficienti per garantire la protezione dei dati personali del dipendente.
Infine, l’Azienda dovrà predisporre tutta la documentazione atta a:
- informare il dipendente su come i suoi dati vengono trattati dall’Azienda. A tal proposito potrebbe essere necessario redigere una pluralità di Informative ex art. 13 Reg. UE 2016/679. Si pensi, per l’appunto, ad un’azienda che abbia installato – nel rispetto delle forme di legge – un impianto di videosorveglianza e di geolocalizzazione
- garantire, attraverso una specifica policy, che il dipendente possa in qualsiasi momento esercitare i diritti previsti a suo favore
- nominare al proprio interno il personale autorizzato ad accedere e gestire tali dati
- contrattualizzare i soggetti esterni all’Azienda che gestiranno i dati del personale dipendente. Si pensi, per esempio, al ruolo rivestito dal consulente del lavoro
- adottare, in caso di trattamenti specifici quali videosorveglianza o geolocalizzazione, un regolamento avente finalità regolatoria delle modalità di gestione del dato e di accesso e ciò per garantire il rispetto delle previsioni contenute nello Statuto dei Lavoratori
- riepilogare i trattamenti che si svolgono in un apposito registro
In conclusione
La gestione del dato personale del dipendente è attività dinamica che richiede, per potersi svolgere correttamente, un’ottima analisi preliminare e un costante monitoraggio rispetto alle attività di compliance svolte. Infatti, il dinamismo aziendale e l’innovazione tecnologica sono le cause (positive) che determinano cambiamenti sulle modalità di trattamento del dato del dipendente, con la conseguenza che un’impostazione di oggi, sicuramente, non vale per il domani.
Vuoi saperne di più sulla raccolta dei dati del lavoratore?
