Feil

Federazione Italiana Lavoratori

TRATTAMENTO DATI PERSONALI DEI LAVORATI

Giugno 19, 2023 By admin1 0

Il legame tra dipendente ed azienda si basa su un rapporto contrattuale e su degli obblighi di tipo normativo che l’azienda deve assolvere nei confronti della persona che ha assunto.

Durante la vita lavorativa di una persona una azienda verrà a conoscenza di una varietà dati che può o deve trattare per le sue necessità amministrative e per la gestione del rapporto lavorativo. Tali dati andranno dai più comuni dati anagrafici a cosiddetti dati sensibili, ovvero indicatori di uno stato di salute (es. malattie, permessi 104, idoneità al lavoro), di origini etniche e razziali (es. permesso di soggiorno) e di orientamento/vita sessuale (es. certificato di matrimonio, bonus famiglia ecc.), o dati giudiziari.

I dati personali riferiti ai dipendenti sono l’oggetto della maggior parte dei trattamenti svolti da un’azienda e sono fattor comune per qualsiasi tipo di organizzazione, dalla piccola impresa alla multinazionale.

Nel rapporto di lavoro la raccolta di dati personali è indispensabile allo svolgimento del rapporto stesso; per tale motivo la normativa sulla privacy riconosce la possibilità per il lavoratore dipendente di avere il “controllo” delle informazioni raccolte dal datore di lavoro e di condizionarne l’utilizzazione. Ciò rafforza la tutela non solo della riservatezza in senso più stretto, ma anche della identità personale del lavoratore che nel contesto lavorativo ha diritto di limitare la diffusione di notizie che lo riguardano.

NORMATIVA SULLA PROTEZIONE DEI DATI PERSONALI DEL LAVORATORE

L’articolo 41 della Costituzione prevede la libertà di iniziativa economica del datore di lavoro, purchè esercitata nel rispetto della libertà e dignità umana. Quindi, il datore di lavoro detta le regole per l’esecuzione e la disciplina del lavoro, che i lavoratori sono tenuti a rispettare, pena l’irrogazione di sanzioni disciplinari. Di conseguenza il datore di lavoro ha il potere di controllare che l’attività lavorativa dei dipendenti sia eseguita conformemente alle direttive da lui impartite.

I limiti al potere di controllo del datore di lavoro derivano dal contrapposto diritto dei lavoratori al rispetto della loro riservatezza (anche in considerazione del fatto che parte significativa delle loro relazioni si sviluppano in quell’ambiente), della dignità personale, della libertà di espressione e di comunicazione. Da qui l’esigenza del contemperamento dei diritti contrapposti, e quindi della regolamentazione dei poteri del datore di lavoro, la cui disciplina è principalmente prevista dallo Statuto dei Lavoratori. 
La normativa prevede un rigoroso divieto dei controlli lesivi dei diritti inviolabili e il tendenziale sfavore per ogni tipo di controllo occulto, divieto attenuato però in presenza di determinate condizioni. 

Con la modernizzazione delle tecniche lavorative e lo sviluppo tecnologico, è ormai possibile l’implementazione di controlli a distanza, estremamente penetranti, nei confronti dei lavoratori, e che possono spingersi fino alla verifica dell’adeguatezza della stessa prestazione lavorativa. Si è reso quindi necessario aggiornare le regole volte alla tutela del lavoratore, contemperando nel frattempo il diritto del datore di lavoro alla tutela dei beni aziendali.

NORMATIVA EUROPEA TRATTAMENTO DATI DEL LAVORATORE

L’art. 88 del regolamento europeo stabilisce una riserva di legge a favore degli Stati nazionali, i quali possono emanare regole particolari atte a garantire la protezione dei diritti e delle libertà dei dipendenti durante i trattamenti dei dati nel contesto del rapporto di lavoro. Questo può avvenire tramite accordi collettivi o disposizioni legislative. Il GDPR prevede, quindi, che le attività di controllo del lavoratore siano svolte in un contesto di trasparenza e di adeguata protezione dei dati personali. 

Il controllo del datore di lavoro, e in genere il trattamento di dati del lavoratore, può, infatti, avvenire in una molteplicità di fasi: valutazione candidati e assunzione, valutazione delle prestazioni lavorative, pianificazione ed organizzazione della prestazione lavorativa, salute e sicurezza dell’ambiente di lavoro, protezione dei beni del dipendente, conclusione del rapporto di lavoro.

Col regolamento europeo si passa da una visione proprietaria del dato, in base alla quale non lo si può trattare senza consenso, ad una visione di controllo del dato, che favorisce la libera circolazione dello stesso rafforzando nel contempo i diritti dell’interessato, il quale deve poter sapere se i suoi dati sono usati e come vengono usati per tutelare lui e l’intera collettività dai rischi insiti nel trattamento dei dati. 

La Commissione Europea ha preparato un agile documento che sintetizza i punti principali del GDPR con gli adempimenti per le piccole aziende. Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in  vigore il 24 maggio 2016, ma la sua attuazione è avvenuta a distanza di due anni, quindi a partire dal 25 maggio 2018. E’ composto da 99 articoli e 173 considerando, laddove questi ultimi hanno solo un valore interpretativo. Trattandosi di un regolamento, non necessita di recepimento da parte degli Stati dell’Unione ed è attuato allo stesso modo in tutti gli Stati dell’Unione senza margini di libertà nell’adattamento (tranne per le parti per le quali si prevede espressamente delle possibilità di deroga).

Il Regolamento nasce con i seguenti obiettivi :

  • la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all’interno dell’Unione europea, questo perché col Trattato di Lisbona la protezione dei dati personali è diventata diritto fondamentale dei cittadini, e quindi va garantito allo stesso modo in tutto il territorio dell’Unione (pur lasciando margini di manovra ai legislatori nazionali in alcune materie, in particolare quelle che investono in via diretta l’esercizio di pubblici poteri;
  • lo sviluppo del Mercato Unico Digitale (Digital Single Market) europeo, grazie alla maggiore tutela dei dati si alimenta la fiducia dei cittadini nella società digitale e nell’uso dei servizi digitali;
  • rispondere alle nuove sfide derivante dalle nuove tecnologie digitali. 

Con il General Data Protection Regulation  (Regolamento Europeo n° 679/2016), l’approccio legislativo al tema è cambiato in modo sostanziale, in quanto non sono più previste misure minime di sicurezza e tutte le scelte vengono demandate al singolo titolare del trattamento.

Ciascun titolare deve tener conto delle seguenti variabili: costo di attuazione, natura dell’oggetto, contesto, finalità del trattamento, rischio, gravità per i diritti e le libertà delle persone fisiche. Da una valutazione attenta di tutti questi aspetti, il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza coerente con il grado di rischio. La medesima valutazione e adozione la deve svolgere ciascun responsabile del trattamento.

Viene chiesto infine che vengano adottate procedure per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative, al fine di garantire la sicurezza del trattamento.

 Il GDPR è un mezzo per aziende e per noi cittadini per trattare i dati personali con consapevolezza. 

NORMATIVA NAZIONALE SUL TRATTAMENTO DATI DEL LAVORATORE

In Italia la regolamentazione in materia è dettata dal D. Lgs n. 151 del 14 settembre del 2015 (Jobs Act) che ha riscritto l’art. 4 dello Statuto dei Lavoratori. Il Jobs Act ha stabilito un regime diverso a seconda del tipo di strumento:

  • strumenti che consentono il controllo del lavoratore (es. videosorveglianza);
  • strumenti di lavoro (personal computer, smartphone).
    La revisione della disciplina dei controlli sui lavoratori ha tenuto conto dell’evoluzione tecnologica e delle esigenze produttive e organizzative dell’impresa.

Il monitoraggio dell’attività del dipendente (es. installazione di impianti audiovisivi dai quali deriva anche la possibilità di controllo a distanza dell’attività dei lavoratori) era vietata fino all’approvazione del Jobs Act, che ha abrogato l’espresso divieto di controlli a distanza dell’attività lavorativa. La giurisprudenza ha però chiarito che quelle consentite sono le attività di controllo con finalità organizzative e di sicurezza, o di tutela del patrimonio aziendale. Devono quindi ricorrere due condizioni:

  • esigenze organizzative e produttive, di sicurezza del lavoro e tutela del patrimonio aziendale;
  • e preventivo accordo sindacale o, in mancanza, autorizzazione amministrativa, accordi che non possono essere sostituiti dal consenso dei lavoratori (Corte di cassazione, sez. III penale, sentenza 17 gennaio 2020, n. 1733) dato lo squilibrio esistente tra datore e lavoratore. 

In caso di modifica della titolarità dell’impresa non è necessario procedere ad una nuova autorizzazione, ma è sufficiente una comunicazione dei nuovi assetti proprietari, purché ovviamente l’impianto di sorveglianza non sia stato modificato nella struttura o nella finalità (INL nota 1881 del 15 febbraio 2019). L’utilizzo di sistemi di monitoraggio in assenza dell’accordo sindacale configura un vero e proprio reato (artt. 4 e 38 D.Lgs 300 del 1970). 

Al fine di ridurre gli oneri burocratici, oggi è possibile, per le imprese con più sedi dislocate sul territorio, ricorrere alle associazioni sindacali comparativamente più rappresentative e in seconda battuta al Ministero del Lavoro, invece di dover trovare accordi con ogni singola rappresentanza sindacale. E’ importante tenere presente che l’accordo sindacale o l’autorizzazione amministrativa devono precedere l’installazione dell’impianto, non solo la messa in funzione (Cass. Penale n. 4331/2014), per cui se l’impianto è installato prima dell’accordo si è in violazione delle norme (art. 38 L. 300/1970), anche nel caso in cui i dipendenti siano stati correttamente informati. Il divieto di installazione di telecamere in assenza di accordo vale, quindi, anche per le telecamere “finte”, montate al solo scopo dissuasivo e che non registrano dati. 

Il secondo comma dell’articolo 4 prevede che le garanzie non si applicano agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (es. smartphone, tablet, personal computer), e agli strumenti di registrazione degli accessi e delle presenze. In tali casi l’installazione non richiede alcun accordo sindacale. L’eccezione è limitata agli strumenti che “immediatamente servono al lavoratore per adempiere alle mansioni assegnate”. Il Ministero del Lavoro, con nota del 18 giugno 2015, ha stabilito che nel momento in cui lo strumento viene modificato (ad esempio, con l’aggiunta di software di localizzazione), non si considera più rientrante nella categoria. La definizione è comunque foriera di dubbi. Ad esempio, il GPS installato sull’auto aziendale potrebbe essere considerato servente rispetto alle mansioni assegnate (nel caso in cui il datore di lavoro utilizza il GPS per stabilire quale team è più vicino al luogo dove occorre l’intervento) ma nel contempo potrebbe essere utilizzato per controllare il lavoratore stesso (dal GPS si può ricavare che il team è fuori zona senza giustificazione). 

Infine, il comma 3 stabilisce che le informazioni raccolte tramite gli strumenti di cui al comma 1 e 2, sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che al lavoratore sia data adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli (in tale ottica l’identità degli eventuali amministratori di sistema deve essere portata a conoscenza dei lavoratori, se trattano dati dei lavoratori). Ovviamente per “fini” si intendono ricompresi anche i fini tipicamente disciplinari. 

Il Ministero del Lavoro ha chiarito che, in base al principio di trasparenza, occorre informare i lavoratori circa l’esistenza e le modalità d’uso degli strumenti di controllo, con riferimento alla finalità e alle modalità del trattamento dei dati, alla natura obbligatoria e facoltativa del conferimento dei dati, alle conseguenze di un eventuale rifiuto, ai soggetti cui tali dati possono essere comunicati e ai responsabili aziendali del trattamento dei dati, nonchè dei diritti dei lavoratori. In caso contrario i dati non possono essere utilizzati a nessun fine. 

Nuovi obblighi sono stati introdotti dal “decreto trasparenza” entrato in vigore il 13 agosto del 2022. In particolare obblighi informativi relativi all’utilizzo di sistemi di monitoraggio automatizzati, obblighi informativa verso le rappresentanze sindacali e obbligo di valutazione di impatto del trattamento. 

LE REGOLE DA RISPETTARE IN TEMA DI PRIVACY DATI

  • Liceità, correttezza e trasparenza: i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Occorre sempre valutare se l’utilizzo dei dati personali sia nelle ragionevoli aspettative delle persone, considerando anche come i metodi di raccolta e analisi dei Big Data rendano complesso essere trasparenti sul trattamento dei dati personali;
  • Consenso: il trattamento è lecito se l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità (salvo esclusioni). L’utilizzo dei Big Data deve sempre bilanciare gli interessi del titolare/responsabile con quelli degli interessati;
  • Limitazione della finalità: i dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modalità compatibili con tali finalità. Il principio di limitazione del trattamento non crea necessariamente una barriera, significa però che deve essere effettuata una valutazione della compatibilità con le finalità del trattamento. La correttezza del trattamento è un fattore chiave per determinare se quest’ultimo è incompatibile con la finalità prestabilite inizialmente;
  • Minimizzazione dei dati: i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità. Occorre predeterminare il tempo di mantenimento dei dati (con il GDPR questa informazione sarà obbligatoria nelle informative) e prevedere sistemi di cancellazione;
  • Esattezza: I dati personali devono essere esatti e, se necessario, aggiornati. Devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.

STRATEGIA EUROPEA PER UN MERCATO SICURO DI DATI

Nel febbraio 2020, per supportare le pubbliche amministrazioni e le aziende nell’arricchire il patrimonio informativo a disposizione, la Commissione Europea ha presentato la Strategia Europea in materia di dati. Come scritto nel documento, “l’obiettivo è creare uno spazio unico europeo di dati – un autentico mercato unico di dati, aperto ai dati provenienti da tutto il mondo – nel quale sia i dati personali sia quelli non personali, compresi i dati commerciali sensibili, siano sicuri e le imprese abbiano facilmente accesso a una quantità pressoché infinita di dati industriali di elevata qualità, che stimolino la crescita e creino valore, riducendo nel contempo al minimo la nostra impronta ambientale.” Il primo Regolamento approvato dal Parlamento nell’aprile 2022 nel contesto dell’European Data Strategy è stato il Data Governance Act (DGA), in vigore dal 24 settembre 2023. Attraverso questo documento gli organi dell’UE si propongono di realizzare un quadro normativo che sia adeguato alle attuali necessità di accesso e condivisione dei dati. Il Data Governance Act, infatti, è volto sia a facilitare la condivisione dei dati sia ad accrescere la fiducia in tutti gli attori coinvolti. Parallelamente, vuole evitare pratiche lesive dei diritti del singolo individuo o non concorrenziali e derive discriminatori.

Nel febbraio 2022 è stato proposto il Data Act. Si tratta di un’ulteriore iniziativa legislativa il cui obiettivo è quello di andare oltre il Data Governance Act: se quest’ultimo vuole creare un contesto che favorisca la condivisione dei dati, il Data Act vuole favorire un accesso e uno riutilizzo equo dei dati, attraverso diritti e obblighi sulla condotta delle imprese e dei consumatori. A differenza del GDPR, il Data Act non riguarderà solo dati personali. La discussione sul Data Act è tuttora in corso.

DATA GOVERNANCE ACT (DGA)

Data Governance Act (DGA) recentemente approvato dal Consiglio Europeo nasce con l’intento di organizzare gli scambi di informazioni per ottenere maggiori prestazioni e innovazione per le aziende europee.

Il Data Governance Act è un regolamento europeo sulla governance dei dati che mira a trasformare le pratiche delle organizzazioni private e pubbliche. Questo testo permetterà di organizzare e regolarizzare il futuro mercato della condivisione delle informazioni attraverso i fondamentali principi di sicurezza, conformità, sovranità ed etica.

La Commissione europea vuole porre fine allo scambio globale di dati e farne un pilastro dell’economia.

I quattro obiettivi principali di questo nuovo quadro normativo sono:

  1. la promozione del riutilizzo dei dati del settore pubblico;
  2. la creazione di un nuovo modello di business per l’intermediazione dei dati;
  3. l’incoraggiamento all’altruismo in questo settore;
  4. la creazione di un comitato europeo che promuova l’innovazione dei dati.

Il Data Governance Act riguarda la condivisione di tutti i tipi di dati, personali e non. Inoltre, mira a motivare tutte le organizzazioni del settore pubblico e privato (ad esempio, della sanità), senza distinzioni, a facilitare e istituire nuovi scambi.

DATA ACT

Il Data act è la legislazione europea disegnata per un mondo di smart objects e prodotti connessi, ovvero la Internet of things, in cui i dati saranno raccolti e analizzati da un numero crescente di oggetti, sia a livello industriale che consumer. I dati nel cloud sono un altro elemento di attenzione per la normativa europea, così come il macro-tema dell’accesso degli enti pubblici e governativi ai dati privati in nome di una necessità imposta dal bene comune.  Data act proposto al fine di garantire equità nell’ambiente digitale, stimolare un mercato dei dati competitivo, creare opportunità di innovazione basata sui dati e rendere i dati più accessibili a tutti.

La proposta mira inoltre ad agevolare il passaggio ad altri fornitori di servizi di trattamento dei dati, istituisce garanzie contro il trasferimento illecito di dati da parte dei fornitori di servizi cloud e prevede l’elaborazione di norme di interoperabilità per il riutilizzo dei dati tra i vari settori.

La legislazione punta ad aprire il mercato dei dati in modo da evitare che ci siano grandi attori che ne detengono il controllo – come le grandi piattaforme web o i grandi fornitori cloud – a scapito di attori più piccoli. I dati coincidono con la capacità di fare innovazione, secondo la visione della Commissione europeo. Sono anche un tipo di informazione spesso privata o sensibile, e in ogni caso economicamente di valore, e va quindi protetta in linea con le norme sulla privacy.

CategoriaUncategorized

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *