Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Parere 8/2001 sul trattamento di dati personali nell'ambito dei rapporti di lavoro - WP48 - 13 settembre 2001

[traduzione non ufficiale]

GRUPPO DI LAVORO SULLA PROTEZIONE DEI DATI – ARTICOLO 29

5062/01/EN/Definitivo
WP48

Parere 8/2001 sul trattamento di dati personali nell'ambito dei rapporti di lavoro
adottato il 13 settembre 2001

Bozza di sintesi applicativa

Il trattamento di dati personali nell'ambito dei rapporti di lavoro è oggetto di discussione sia a livello comunitario sia a livello dei singoli Stati. Governi e autorità per la protezione dei dati negli Stati membri hanno emanato o stanno per emanare norme, codici o raccomandazioni che affrontano vari temi afferenti alla protezione dei dati nell'ambito dei rapporti di lavoro. La Commissione europea ha lanciato una procedura di consultazione con le parti sociali sulla protezione dei dati nell'ambito dei rapporti di lavoro, nel quadro del Programma delle politiche sociali.

Al fine di contribuire all'applicazione uniforme delle norme nazionali adottate ai sensi della direttiva 95/46/EC sulla protezione dei dati, il Gruppo di lavoro ha costituito un sottogruppo con il compito di esaminare la questione ed ha adottato un documento dettagliato reperibile su Internet all'indirizzo seguente:

http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm

Datori di lavoro e lavoratori devono avere consapevolezza del fatto che numerose attività svolte su base routinaria nell'ambito dei rapporti di lavoro comportano il trattamento di dati personali relativi ai lavoratori, e talora di informazioni estremamente sensibili. La raccolta, l'utilizzazione o la conservazione di dati relativi ai lavoratori attraverso strumenti elettronici sono soggette con pressoché totale certezza all'applicazione della normativa in materia di protezione dei dati. Ciò vale anche per il monitoraggio da parte del datore di lavoro della posta elettronica o degli accessi ad Internet dei lavoratori. Il monitoraggio della posta elettronica comporta necessariamente il trattamento di dati personali. Il trattamento di dati in formato sonoro o visivo nell'ambito dei rapporti di lavoro è soggetto all'applicazione della normativa in materia di protezione dei dati, e la videosorveglianza dei lavoratori è regolamentata dalle disposizioni della direttiva e delle leggi nazionali di recepimento.

Nel trattare dati personali relativi ai lavoratori, il datore di lavoro deve tenere sempre conto di PRINCIPI FONDAMENTALI DELLA PROTEZIONE DEI DATI COME I SEGUENTI:

Finalità. i dati devono essere raccolti per uno scopo specifico, esplicito e legittimo e non devono essere sottoposti a trattamenti ulteriori secondo modalità incompatibili con lo scopo suddetto.

Trasparenza. I lavoratori devono sapere almeno quali dati siano raccolti nei loro confronti dal datore di lavoro (direttamente o presso altre fonti), quali siano le finalità delle operazioni di trattamento previste o effettuate con tali dati, attualmente o in futuro. Per garantire la trasparenza è inoltre necessario riconoscere all'interessato il diritto di accedere ai propri dati personali e prevedere per il titolare l'obbligo di presentare una notificazione alle autorità di controllo secondo le norme del diritto nazionale.

Legittimità. Il trattamento di dati personali relativi ai lavoratori deve essere legittimo. L'Articolo 7 della direttiva elenca i criteri di legittimità del trattamento.

Proporzionalità. I dati personali devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono raccolti e/o ulteriormente trattati. Nell'ipotesi che i lavoratori siano stati informati del trattamento e che tale trattamento sia legittimo e proporzionato, resta comunque l'obbligo di garantire la lealtà del trattamento rispetto al lavoratore.

Accuratezza e conservazione dei dati. I dati relativi ai lavoratori devono essere accurati e, se necessario, aggiornati. Il datore di lavoro deve compiere tutti i passi ragionevoli onde garantire la cancellazione o la correzione di dati inesatti o incompleti, avendo riguardo alle finalità per le quali essi sono stati raccolti o ulteriormente trattati.

Sicurezza. Il datore di lavoro deve mettere in atto idonee misure tecniche ed organizzative sul luogo di lavoro per garantire la sicurezza dei dati personali relativi ai propri lavoratori. Dovrebbero essere prese particolari cautele onde evitare la diffusione o l'accesso non autorizzati.

Sensibilizzazione del personale. Il personale incaricato o responsabile del trattamento di dati personali relativi ad altri lavoratori deve essere a conoscenza della normativa sulla protezione dei dati e ricevere una formazione adeguata. Senza una formazione adeguata del personale che tratta dati personali non potrebbe mai essere garantito il giusto rispetto della privacy dei lavoratori sul luogo di lavoro.

Consenso. Il Gruppo di lavoro ex Articolo 29 ritiene che sia fuorviante per un datore di lavoro cercare di legittimare il trattamento attraverso il consenso quando egli debba trattare dati personali perché ciò rappresenta una conseguenza necessaria ed inevitabile del rapporto di impiego. Il ricorso al consenso dovrebbe limitarsi a quei casi in cui il lavoratore sia effettivamente libero di scegliere e possa successivamente ritirare il proprio consenso senza alcun danno.

I lavoratori sono interessati che godono dei diritti riconosciuti dalla direttiva sulla protezione dei dati. Il più importante di tali diritti è il diritto di accesso previsto dall'Articolo 12 della direttiva.

Interazioni fra diritto del lavoro e legislazione sulla protezione dei dati. Il Gruppo di lavoro desidera sottolineare che la legislazione sulla protezione dei dati non opera in modo isolato dal diritto e dalla prassi in materia di lavoro, né il diritto e la prassi in materia di lavoro operano in modo isolato dalla legislazione sulla protezione dei dati. Si tratta di un'interazione utile e necessaria, che dovrebbe facilitare la messa a punto di soluzioni in grado di tutelare adeguatamente gli interessi dei lavoratori.

Sorveglianza e monitoraggio. Le norme relative alla protezione dei dati si applicano al monitoraggio ed alla sorveglianza dei lavoratori in termini di impiego della posta elettronica, accesso ad Internet, uso di videocamere o rilevazione di dati di localizzazione. Ogni attività di monitoraggio deve costituire una risposta proporzionata del datore di lavoro ai rischi che si trova ad affrontare, tenendo conto del legittimo interesse dei lavoratori alla privacy e di altri interessi. I dati personali detenuti o utilizzati nel corso delle attività di monitoraggio devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità che giustificano il monitoraggio. L'attività di monitoraggio deve essere condotta nella maniera meno invasiva possibile.

Trasferimento verso Paesi terzi di dati relativi a lavoratori. L'Articolo 25 della direttiva prevede che i trasferimenti di dati personali verso un Paese terzo non appartenente all'UE possano avvenire esclusivamente se il Paese terzo in questione garantisce un livello adeguato di protezione dei dati. Occorre ricordare che, indipendentemente dal fondamento del trasferimento ai sensi degli Articoli 25 e 26, i trattamenti connessi al trasferimento devono comunque soddisfare le condizioni fissate negli Articoli 6, 7 e 8 della direttiva e tutte le altre disposizioni di quest'ultima.

Il Gruppo di lavoro ritiene che sia preferibile fare riferimento all'esistenza di una protezione adeguata nel Paese di destinazione anziché alle eccezioni di cui all'Articolo 26 della Direttiva, come ad esempio il consenso del lavoratore. Se ci si basa sul consenso, quest'ultimo deve essere inequivocabile e deve essere prestato liberamente. I datori di lavoro sarebbero in errore se facessero esclusivo riferimento al consenso tranne in quei casi in cui l'eventuale successivo ritiro del consenso non comporterebbe problemi di sorta.

Indicazioni ulteriori. Il Gruppo di lavoro sta valutando la definizione di indicazioni ulteriori sui temi rispetto ai quali l'applicazione di principi generali della protezione dei dati solleva particolari problemi che risultano pertinenti al rapporto di lavoro – come la sorveglianza ed il monitoraggio sul luogo di lavoro, i dati valutativi dei dipendenti ed altri ancora.

IL GRUPPO DI LAVORO SULLA PROTEZIONE DELLE PERSONE FISICHE
RISPETTO AL TRATTAMENTO DI DATI PERSONALI

istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995,

visti gli Articoli 29 e 30, commi 1(a) e 3, della direttiva,

visto il proprio Regolamento, ed in particolare gli articoli 12 e 14 dello stesso,

ha adottato il presente Parere:


1. Introduzione
Il trattamento di dati personali nell'ambito dei rapporti di lavoro è oggetto di discussione sia a livello comunitario sia a livello dei singoli Stati.

Governi e autorità per la protezione dei dati negli Stati membri hanno emanato o stanno per emanare norme, codici o raccomandazioni che affrontano vari temi afferenti alla protezione dei dati nell'ambito dei rapporti di lavoro.


Attività in corso ed iniziative recenti:

BELGIO: Parere 10/2000 della Commissione per la tutela della privacy. "Parere concernente il monitoraggio da parte del datore di lavoro dell'uso di sistemi informativi sul luogo di lavoro".

FRANCIA: Consultazione pubblica della CNIL basata sul Rapporto "La cibersorveglianza dei dipendenti nell'impresa".

GRECIA: Proposta di Raccomandazione sulla protezione dei dati dei dipendenti.

GERMANIA: Sulla base di indicazioni fornite dall'Autorità di controllo tedesca, il Parlamento ha sollecitato più volte il Governo a presentare un progetto di legge sulla protezione dei dati nei rapporti di lavoro.

PAESI BASSI : Rapporto della Registratiekamer "Working Well in Networks" [Lavorare bene in rete]

SPAGNA: Studio pubblicato dall'Agenzia spagnola per la protezione dei dati, relativo a "Uso e controllo di dati automatizzati nel rapporto di lavoro"

REGNO UNITO: Proposta di Codice di condotta presentata dall'Information Commissioner. "Utilizzo di dati personali nel rapporto di lavoro".

Le autorità di controllo hanno affrontato periodicamente varie questioni attinenti alla protezione dei dati nel rapporto di lavoro, ad esempio

  • accuratezza dei dati relativi ai dipendenti
  • monitoraggio dell'utilizzazione del telefono per fini personali
  • accesso ai dati sanitari
  • utilizzazione di informazioni sull'appartenenza sindacale
  • trattamenti nel corso di fusioni o acquisizioni


Le leggi in materia di protezione dei dati nell'UE riconoscono diritti individuali a tutti i soggetti interessati dal trattamento di dati personali (ad esempio, diritto di accesso, diritto di rettifica). In via di principio, tali diritti si applicano in toto al rapporto di lavoro, e le sole eccezioni consentite sono quelle citate nella direttiva 95/46/CE. Tuttavia, poiché le disposizioni della direttiva hanno carattere piuttosto generale, sarà utile fornire alcune indicazioni al fine di chiarire determinati aspetti dell'applicazione delle disposizioni suddette nell'ambito dei rapporti di lavoro.

La Commissione europea, nel quadro del Programma di politiche sociali, ha lanciato una consultazione con le parti sociali in merito alla protezione dei dati nel contesto dei rapporti di lavoro.

Al fine di contribuire all'applicazione uniforme delle disposizioni nazionali adottate ai sensi della direttiva 95/46/CE, il Gruppo di lavoro ha istituito un sottogruppo con il compito di esaminare la questione e ha adottato il presente parere.

Il sottogruppo attualmente sta lavorando ad un parere specifico che verterà sull'applicazione della direttiva 95/46/CE alla sorveglianza ed al monitoraggio delle comunicazioni elettroniche sul luogo di lavoro.


2. Trattamento di dati personali sul luogo di lavoro
Datori di lavoro e lavoratori sia nel settore pubblico sia in quello privato devono avere consapevolezza del fatto che molte attività svolte normalmente nel contesto dei rapporti di lavoro comportano il trattamento di dati personali relativi ai lavoratori, e talora di dati personali sensibili.

In effetti, i datori di lavoro raccolgono dati personali dei rispettivi dipendenti per numerosi e diversi scopi, fin dall'inizio del rapporto di lavoro o persino precedentemente ad esso. Nella fase di reclutamento del personale, chi presenta una richiesta di lavoro deve fornire dati personali al datore di lavoro potenziale, il quale generalmente tratta questi dati personali al fine di valutare l'idoneità dei candidati.

La raccolta ed il trattamento ulteriore di dati personali dei lavoratori proseguono per l'intera durata del rapporto di lavoro. Queste attività di trattamento riguardano, in condizioni normali, tutti i dati personali che il datore di lavoro ha chiesto e/o ottenuto dai propri dipendenti.

Tutti i datori di lavoro raccolgono dai dipendenti dati utili al pagamento degli stipendi e all'effettuazione delle trattenute fiscali. Il trattamento di questi dati personali è necessario per l'esecuzione del rapporto di lavoro ovvero in adempimento di obblighi giuridici (previdenza sociale, pagamento di tributi) ai quali è soggetto il datore di lavoro. In alcuni Stati membri i datori di lavoro raccolgono e trattano dati sanitari che vengono registrati su apposite schede; in altri Stati membri questi dati si limitano a informazioni sulle assenze per malattia.

I datori di lavoro, di fatto, valutano il rendimento dei dipendenti attraverso la raccolta di dati personali effettuata direttamente presso gli interessati oppure con altri mezzi – fra cui la sorveglianza ed il monitoraggio effettuati con strumenti elettronici.

Infine, benché la raccolta di dati personali relativi a un lavoratore in genere abbia termine con la conclusione del rapporto di lavoro, il trattamento dei dati personali che lo riguardano può proseguire anche successivamente. I datori di lavoro in genere conservano i dati relativi ai dipendenti per un periodo variabile, spesso in adempimento di un obbligo giuridico che prevede la conservazione dei dati per un periodo specifico.

 

Esempi di dati relativi al rapporto di lavoro per i quali si ha in genere un trattamento di dati personali ai sensi della direttiva 95/46CE 
Moduli di richiesta e referenze lavorative
Ruolino stipendi e informazioni fiscali e previdenziali
Assenze per malattia
Aspettative annuali
Aspettativa senza assegni/aspettativa per motivi particolari
Valutazione/giudizio annuale
Dati relativi a promozioni, trasferimenti, formazione, provvedimenti disciplinari
Dati relativi a incidenti sul lavoro
Informazioni generate da sistemi informatici
Dati sulle presenze
Dati relativi ai familiari [per facilitare l'accesso a determinati servizi quali asili, centri studio, servizi di trasporto/viaggio, ecc.]
Rimborsi spese (es. spese di viaggio)



Come sottolineato dalla Corte europea dei diritti dell'uomo nel caso Niemitz c. Germania,

"Il rispetto della vita privata deve comprendere, entro certi limiti, anche il diritto di stabilire e sviluppare rapporti con altri esseri umani. Inoltre, non sembrano sussistere motivazioni di principio per ritenere che questo concetto di vita privata escluda attività di natura professionale o economica, poiché, in fondo, è proprio nel corso della vita lavorativa che la maggioranza degli individui ha un'occasione significativa, se non la più importante, di sviluppare rapporti con il mondo esterno. Questa opinione è suffragata dal fatto che, come giustamente sottolineato dalla Commissione, non sempre è possibile distinguere con chiarezza quali delle attività svolte da una persona appartengano alla sua vita professionale o economica e quali invece non vi appartengano". (ECHR, 23 novembre 1992, Serie A, n. 251/B, parag. 29).

 

3. Strumenti internazionali di particolare attinenza

3.1. Comunità europea

- Direttiva 95/46/CE sulla protezione delle persone fisiche rispetto al trattamento di dati personali, e sulla libera circolazione di tali dati

- Direttiva 97/66/CE relativa al trattamento di dati personali e alla tutela della privacy nel settore delle telecomunicazioni

- Articolo 286 del Trattato CE

- Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, sulla protezione delle persone fisiche rispetto al trattamento di dati personali da parte delle istituzioni e degli organismi della Comunità, e sulla libera circolazione di tali dati 

- Carta dei diritti fondamentali dell'Unione europea  (1)

3.2 Consiglio d'Europa
- Convenzione europea per la tutela dei diritti dell'uomo e delle libertà fondamentali (CEDU), art. 8

- Convenzione del Consiglio d'Europa (108) per la protezione delle persone fisiche con riguardo al trattamento automatizzato di dati personali

- Raccomandazione (89) 2 del Consiglio d'Europa sulla protezione dei dati personali utilizzati per scopi di lavoro

- Raccomandazione (97) 5 del Consiglio d'Europa sulla protezione dei dati sanitari

- Raccomandazione (86) 1 del Consiglio d'Europa sulla protezione dei dati personali utilizzati per scopi di previdenza sociale


3.3 Ufficio internazionale del lavoro (UIL)

- Codice di condotta dell'UIL sulla protezione dei dati personali dei lavoratori (1997)

 

4. Leggi nazionali sulla protezione dei dati applicabili al rapporto di lavoro

a) Stati membri UE

Austria

  • Legge generale: Legge federale sulla protezione dei dati personali
  • Disposizione specifica relativi all'impiego di dati sensibili sul luogo di lavoro
  • Procedure di informativa e consenso necessarie prima dell'introduzione di misure di controllo sul luogo di lavoro (Consigli del lavoro)
  • Divieto specifico per i datori di lavoro di sottoporre a test genetici i dipendenti o i candidati all'impiego

Belgio

  • Legge generale: Legge dell'8 dicembre 1992 sulla protezione della privacy delle persone fisiche
  • Norme specifiche relative al trattamento di dati sanitari in rapporto agli esami sanitari condotti sui lavoratori
  • Decreto a livello regionale relativo al trattamento di dati sensibili nelle agenzie di collocamento, assunzione e selezione
  • Due accordi collettivi (n. 13 e 68) contenenti disposizioni in merito a procedure di informativa e consenso per i dipendenti

Danimarca

  • Legge generale: Legge sul trattamento di dati personali (legge n. 429 del 31 maggio 2000)
  • Norme specifiche relative al trattamento di dati sanitari in rapporto ad esami sanitari condotti su dipendenti
  • Norme specifiche riferite ai dipendenti pubblici

Finlandia

  • Legge generale : Legge sui dati personali (523/1999)
  • Norme specifiche sulla protezione della privacy nella vita lavorativa (Legge adottata dal Parlamento finlandese nel maggio 2001, di cui è prevista l'entrata in vigore entro l'autunno del 2001) (2)

Francia

  • Legge generale : Legge n. 78-17 del 6 gennaio 1978 sulla protezione della privacy delle persone fisiche
  • Norme specifiche sulla protezione dei dati dei lavoratori contenute nel Codice del lavoro

Germania

  • Legge generale : Legge federale sulla protezione dei dati (BDSG)
  • Disposizioni particolareggiate sulla protezione dei dati riferite ai dipendenti pubblici (Legge quadro dell'amministrazione dello Stato – BRRG - Artt. da 56 a 56f, e Legge sull'amministrazione federale – BBG – Artt. da 90 a 90g, entrambe promulgate nel 1997)
  • Realizzazione di installazioni tecniche utilizzabili per il monitoraggio del rendimento e del comportamento solo previo accordo con i consigli del lavoro, in base alle norme giuridiche del diritto collettivo del lavoro (settori pubblico e privato)

Grecia

  • Legge generale n. 2472/97 sulla protezione delle persone fisiche rispetto al trattamento di dati personali

Irlanda

  • Legge generale: Legge sulla protezione dei dati del 1988

Italia

  • Legge generale: Tutela delle persone e di altri soggetti rispetto al trattamento di dati personali, Legge n. 675 del 31 dicembre 1996
  • (Decreto legislativo) Legge n. 135 dell'11 maggio 1999 sui dati sensibili trattati dalle amministrazioni pubbliche
  • Legge n. 300/1970 (Statuto dei lavoratori)
  • Disposizioni specifiche tese a limitare la sorveglianza ed il monitoraggio dei lavoratori
  • Autorizzazione n. 2/2000 dell'Autorità di controllo italiana

Lussemburgo

  • Legge generale sull'uso di dati nei trasferimenti elettronici (legge 31 marzo 1979)
  • Nuovo progetto di legge presentato nel mese di ottobre 2000, primo esame previsto nell'autunno 2001

Paesi Bassi

  • Legge generale : Legge sulla protezione dei dati del 6 luglio 2000 (entrata in vigore il  1 settembre 2001)
  • Disposizioni del diritto del lavoro sulle procedure di informativa e consenso riferite ai Consigli del lavoro
  • Legge relativa alla documentazione di malattia e al pagamento dei dipendenti (gennaio 2001)
  • Legge relativa alla registrazione dell'origine etnica dei dipendenti (aprile 1998)
  • Legge sull'identificazione (dicembre 1993) e Legge sul numero identificativo personale (gennaio 2001) [Il datore di lavoro è autorizzato ad utilizzare il numero identificativo personale solo in alcuni casi nei quali esso sia necessario per l'adempimento di un obbligo di legge]

Portogallo

  • Legge generale : legge 67/98 del 26 ottobre 1998
  • Norme settoriali
    • Legge costituzionale della Repubblica portoghese
    • Legge sulla tutela della privacy nel settore delle telecomunicazioni – Legge n. 69/98 del 28 ottobre
    • Legislazione che prevede l'obbligo per il datore di lavoro di informare il dipendente sulle condizioni applicabili al contratto di lavoro – Decreto n. 5/94 dell'11 gennaio
    • Legge sul sistema di raccolta dei contributi sindacali – Legge n. 81/2001 del 5 agosto
    • Modalità di organizzazione e funzionamento dei servizi di sicurezza, igiene e sanità sul luogo di lavoro – Decreto n. 26/94 del 1 febbraio

Spagna

  • Legge generale : Legge organica 15/99 del 13 dicembre, sulla protezione dei dati personali
  • Decreto reale 994/1999 sulle misure obbligatorie di sicurezza per gli archivi informatici contenenti dati personali
  • Decreto reale 1/1995, testo unico della Legge sullo statuto dei lavoratori
  • Legge organica 11/1985 sulla libertà sindacale
  • Legge sulla prevenzione dei rischi occupazionali, 31/1995

Svezia

  • Legge generale : Legge sui dati personali del 24 ottobre 1998
  • Disposizioni specifiche relative alla consultazione dei rappresentanti dei lavoratori prima dell'introduzione di dispositivi di videosorveglianza. Regolamento che vieta il monitoraggio del rendimento dei dipendenti senza che questi ne siano a conoscenza, con la previsione dell'obbligo di consultare le rappresentanze sindacali prima di introdurre meccanismi di controllo.

Regno Unito

  • Legge generale : Legge sulla protezione dei dati 1998


b) Stati membri dello SEE

Norvegia

  • Legge generale : Legge sulla protezione dei dati personali
  • Disposizioni specifiche nel contratto collettivo generale regolano il monitoraggio sul luogo di lavoro, con la previsione di procedure di consultazione ed informazione rispetto alle rappresentanze sindacali

Islanda

  • Legge generale : Legge sulla protezione delle persone fisiche rispetto al trattamento di dati personali, n. 77/2000

 

5. Ambito e attuazione della direttiva

La direttiva 95/46/CE si applica al trattamento di dati personali effettuato in tutto o in parte con strumenti automatizzati, ed al trattamento effettuato con strumenti non di tipo automatizzato di dati personali che facciano parte o siano destinati a fare parte di un archivio pertinente. Per "dato personale" si intende qualsiasi informazione relativa ad una persona fisica identificata o identificabile. La definizione di trattamento è molto ampia: qualsiasi raccolta, utilizzazione o memorizzazione di dati relativi a lavoratori attraverso strumenti elettronici sarà pertanto soggetta, con ogni probabilità, all'applicazione della direttiva.

Il monitoraggio della posta elettronica dei dipendenti o dell'accesso ad Internet è soggetto all'ambito di applicazione della  direttiva. Il monitoraggio della posta elettronica comporta, necessariamente, il trattamento di dati personali. Il monitoraggio dell'accesso ad Internet, tranne qualora sia effettuato a livelli talmente generali da non consentire di stabilire connessioni fra l'accesso a specifici siti o tipologie di accesso e singole persone, generandosi soltanto informazioni in forma aggregata, comporta necessariamente il trattamento di dati personali relativi al dipendente  che effettua l'accesso. Il trattamento di dati in formato sonoro e visivo nell'ambito dei rapporti di lavoro è soggetto all'applicazione della direttiva, e la videosorveglianza dei lavoratori è anch'essa soggetta alle disposizioni comunitarie.

Non tutti i dati non automatizzati sono soggetti necessariamente all'applicazione della direttiva. Ciò avviene soltanto se essi fanno parte di un "archivio di dati personali", il quale è definito come "qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico". In alcuni paesi le misure di attuazione possono escludere note manoscritte conservate al di fuori di un archivio, ma considerando la natura necessariamente strutturata della documentazione relativa a rapporti di lavoro, tali disposizioni ricomprenderanno la maggioranza delle informazioni conservate in merito ai lavoratori – sia in sede centrale, sia presso i dirigenti di singoli reparti.

Oltre alla direttiva generale sulla protezione dei dati (95/46/CE), può risultare pertinente anche la direttiva sulla protezione dei dati nelle telecomunicazioni (97/66/CE). Quest'ultima specifica ed integra la direttiva 95/46/CE rispetto al trattamento di dati personali nel settore delle telecomunicazioni. Oltre ad essere soggetto all'applicazione della direttiva 95/46/CE, il monitoraggio di comunicazioni elettroniche da parte dei datori di lavoro, riferito anche a posta elettronica ed accessi ad Internet, potrebbe ricadere nell'ambito di applicazione della direttiva 97/66/CE; quest'ultima è attualmente oggetto di revisione nel contesto del riesame del quadro giuridico comunitario riferito alle telecomunicazioni.

Il Gruppo di lavoro desidera sottolineare che la legislazione sulla protezione dei dati non opera in modo isolato dal diritto e dalla prassi in materia di lavoro, né il diritto e la prassi in materia di lavoro operano in modo isolato dalla legislazione sulla protezione dei dati. Fra i due mondi esiste un'interazione, la cui precisa natura varia da Stato membro a Stato membro, anche se si può affermare in linea generale che

  • l'uso crescente delle tecnologie dell'informazione e della comunicazione nel settore del lavoro amplia l'entità di tale interazione, poiché la prassi in questo settore fa affidamento in misura crescente sul trattamento di dati personali al quale si applicano principi generali della protezione dati;
  • non tutti i problemi che sorgono nell'ambito dei rapporti di lavoro e riguardano il trattamento di dati personali sono legati in modo esclusivo alla protezione dei dati;
  • si tratta di un'interazione necessaria ed utile, che dovrebbe facilitare la definizione di soluzioni in grado di tutelare adeguatamente gli interessi dei lavoratori.

 

6. Liceità del trattamento di dati personali

Tutti i trattamenti di dati personali, anche nell'ambito dei rapporti di lavoro, devono soddisfare i requisiti fissati nella Sezione II della direttiva 95/46/CE ai fini della loro liceità. Ad ogni modo, è necessario individuare un fondamento giuridico del trattamento ai sensi degli Articoli 6, 7 e 8 della direttiva (quest'ultimo articolo in caso il trattamento riguardi dati sensibili).

Il titolare deve inoltre rispettare altri requisiti, ossia

 

Requisiti ulteriori rispetto agli Articoli 6, 7 e 8 
INFORMATIVA AGLI INTERESSATI (Artt. 10 e 11)
DIRITTO DELL'INTERESSATO DI ACCEDERE AI DATI (Articolo 12)
DIRITTO DELL'INTERESSATO DI OPPORSI AL TRATTAMENTO (Artt. 14 e 15)
RISERVATEZZA E SICUREZZA DEL TRATTAMENTO (Artt. 16 e 17)
NOTIFICA ALL'AUTORITA' DI CONTROLLO (Artt. 18,19,20,21)

La direttiva ammette alcune limitate deroghe ad alcuni dei requisiti sopra indicati, ma non agli articoli 7 ed 8 (artt. 9 e 13).

 

7. Principi relativi alla legittimazione del trattamento dei dati. Articolo 7

É necessario soddisfare almeno uno dei criteri fissati nell'Articolo 7 per procedere al trattamento di dati personali nel contesto dei rapporti di lavoro. Ciascuno di tali criteri prevede che ogniqualvolta vi si faccia ricorso, il trattamento effettuato sia realmente "necessario per" raggiungere l'obiettivo in oggetto anziché semplicemente incidentale a tale fine.

I criteri verosimilmente più pertinenti sono i seguenti:

 

Il trattamento è necessario all'esecuzione del contratto concluso con la persona interessata... (Art. 7(1)b)


I rapporti di lavoro si fondano spesso su un contratto di impiego fra il datore di lavoro ed il lavoratore. Per adempiere gli obblighi previsti dal contratto, ad esempio ai fini del pagamento degli stipendi, il datore di lavoro deve trattare determinati dati personali.

 

Il trattamento è necessario per adempiere un obbligo legale... (Art. 7(1)c)


Il diritto del lavoro può imporre alcuni obblighi giuridici a carico del datore di lavoro, che comportano necessariamente il trattamento di dati personali. Il datore di lavoro può essere tenuto per legge a comunicare determinati dati personali, ad esempio agli organi del fisco, oppure a trattare i dati per scopi di natura previdenziale.

 

Il trattamento è necessario per il perseguimento dell'interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l'interesse o i diritti e le libertà fondamentali della persona interessata... (Art. 7(1)f)


Questo principio prevede un bilanciamento fra gli interessi del datore di lavoro e quelli dei lavoratori. Alcune autorità di controllo si sono pronunciate sulle modalità di definizione di tale bilanciamento fra gli interessi del titolare e quelli dell'interessato. É importante ricordare che se ci si richiama a questo principio, il lavoratore conserva il diritto di opporsi al trattamento per motivi preminenti e legittimi (Articolo 14).

Altri criteri che rivestono verosimilmente minore rilevanza nell'ambito dei rapporti di lavoro sono i seguenti:

- Il trattamento è necessario per la salvaguardia dell'interesse vitale della persona interessata (Art. 7(1)d)

É un principio che può risultare pertinente nel contesto della tutela della salute.

- Il trattamento è necessario per l'esecuzione di un compito di interesse pubblico... (Art. 7(1)e)

Probabilmente sono assai rare le situazioni in cui tale criterio può risultare pertinente nell'ambito dei rapporti di lavoro.

Se nessuno dei criteri sopra indicati risulta applicabile al trattamento dei dati di un dipendente da parte del datore di lavoro, questi può ottenere in via alternativa il consenso inequivocabile del lavoratore al trattamento. Per il significato di "consenso" si rimanda al paragrafo 11, infra.

 

8. Il trattamento di dati sensibili. Articolo 8

La direttiva identifica categorie particolari di dati, ossia quelli che rivelano l'origine razziale o etnica, le opinioni politiche, le credenze religiose o filosofiche, l'appartenenza sindacale e quelli relativi alla salute o alla vita sessuale. La direttiva prevede inoltre una speciale tutela per i dati relativi a infrazioni, reati penali o misure di sicurezza. Gli Stati membri non hanno la possibilità di ampliare o ridurre questa elencazione: naturalmente possono prevedere particolari garanzie per alcune categorie di dati, come ad esempio i dati genetici.

L'Articolo 8 parte dall'affermazione che il trattamento di dati appartenenti alle categorie particolari ("dati sensibili") è vietato. Vengono poi introdotte varie eccezioni, che prevedono particolari circostanze nelle quali il divieto non si applica. Il diritto nazionale degli Stati membri può limitare la possibilità per i datori di lavoro di sfruttare le eccezioni in oggetto. Gli Stati membri fanno dunque un uso più o meno ampio di tali eccezioni. La direttiva permette agli Stati membri di prevedere ulteriori eccezioni per motivi di interesse pubblico rilevante.

Se nessuna delle eccezioni previste risulta applicabile, il datore di lavoro può fare affidamento sul consenso espresso dell'interessato ai fini del trattamento di dati sensibili – a meno che il diritto nazionale stabilisca che il divieto di trattare dati sensibili non sia derogabile sulla base del consenso dell'interessato, come avviene ad esempio in Belgio qualora ricorrano specifiche circostanze. Tuttavia, il consenso può essere utilizzato nell'ambito dei rapporti di lavoro solo in misura limitata, come si vedrà nel paragrafo 11, infra.

 

Esempio:
Casi nei quali il diritto nazionale limita il trattamento di dati sensibili da parte di un datore di lavoro nonostante l'applicabilità di una delle eccezioni di cui all'Articolo 8 sono il trattamento di dati relativi a patologie del lavoratore, in Francia, e il trattamento di dati genetici, in Austria. Un esempio di deroghe ulteriori previste dagli Stati membri è rappresentato dal trattamento di dati sensibili relativi all'origine razziale o etnica al fine di garantire parità di trattamento. Numerosi Stati membri prevedono norme specifiche al riguardo.

A titolo di ulteriore esempio, nell'ambito dei rapporti di lavoro i dati sensibili che con maggiore probabilità sono detenuti dai datori di lavoro, purché ciò sia consentito dal diritto nazionale e nel rispetto del principio di finalità, sono i seguenti:

 

Appartenenza sindacale

ad esempio, per consentire al datore di lavoro di effettuare le trattenute salariali riferite alla quota di iscrizione per conto dell'organizzazione sindacale

Sanità  

 ad esempio, in rapporto al pagamento dello stipendio durante malattie, per soddisfare requisiti sanitari e di sicurezza, per la gestione della salute occupazionale, per fornire contributi assicurativi o pensionistici

Reati penali  

 ad esempio, in rapporto ad indagini su frodi commesse da dipendenti, per garantire che lavoratori già condannati per reati di truffa non occupino posizioni di fiducia

Le deroghe all'Articolo 8 sono molto più limitate rispetto a quanto avviene per l'Articolo 7.

Quelle verosimilmente più pertinenti al rapporto di lavoro sono le seguenti:

 

Il trattamento [è] necessario, per assolvere gli obblighi e i diritti specifici del responsabile del trattamento in materia di diritto del lavoro, nella misura in cui il trattamento stesso sia autorizzato da norme nazionali che prevedono adeguate garanzie (Articolo 8(2)b) 


Si tratta di una disposizione chiaramente rivolta al mondo del lavoro, con effetti potenzialmente di ampio respiro. Molto dipende dalla misura in cui, nei singoli Stati membri, gli obblighi e i diritti del datore di lavoro sono fissati nel diritto del lavoro ovvero sono lasciati alle consuetudini ed alla prassi.

 

Il trattamento (è) necessario per costituire, esercitare o difendere un diritto per via giudiziaria (Articolo 8(2)e) 


Questa disposizione è in parte attinente ai rapporti di lavoro, soprattutto per quanto riguarda le cause intentate da dipendenti nei confronti del datore di lavoro magari per licenziamento senza giusta causa (ad esempio, ai fini del trasferimento a legali ed autorità giudiziarie dei dati relativi ai dipendenti). La disposizione è limitata, tuttavia, ad azioni in giudizio effettive e realmente imminenti; non può giustificare il trattamento di dati sensibili riferiti a tutti i dipendenti sulla base del fatto che un giorno uno di essi o un terzo potrebbe intentare un'azione in giudizio.

 

(...) il trattamento dei dati è necessario alla prevenzione o alla diagnostica medica, alla somministrazione di cure o alla gestione di centri di cura e quando il trattamento dei medesimi dati viene effettuato da un professionista in campo sanitario soggetto al segreto professionale sancito dalla legislazione nazionale, comprese le norme stabilite dagli organi nazionali competenti, o da un'altra persona egualmente soggetta a un obbligo di segreto equivalente (Articolo 8(3) ).


Questa disposizione avrà attinenza nel quadro delle attività connesse all'igiene occupazionale.

Inoltre, l'Articolo 20 della direttiva prevede ulteriori garanzie in quanto stabilisce che i trattamenti che potenzialmente presentano rischi specifici per i diritti e le libertà degli interessati siano soggetti ad un esame preliminare da parte delle autorità di controllo.

 

9. Principi relativi alla qualità dei dati. Articolo 6


Il titolare del trattamento deve rispettare i requisiti fissati dalla legge nazionale che recepisce l'Articolo 6 della direttiva, oltre a soddisfare i criteri indicati nell'Articolo 7 e, nel caso di dati sensibili, rientrare in una delle deroghe previste dall'Articolo 8.  L'Articolo 6 prevede che i dati personali devono essere:

a) trattati lealmente e lecitamente;

b) rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità.

c) adeguati, pertinenti e non eccedenti;

d) esatti e, se necessario, aggiornati;

e) conservati in modo da consentire l'identificazione delle persone interessate per un arco di tempo non superiore a quello necessario.

Tali principi si applicano al trattamento di dati personali nell'ambito dei rapporti di lavoro così come in altri ambiti. Essi tengono conto delle circostanze del trattamento, fra cui la possibilità che  i dati personali siano trattati da un incaricato esterno.

 

Esempio:
Un documento detenuto da una banca in cui sia riportato il numero di previdenza sociale del cliente può essere eccedente, ma se il documento detenuto dal datore di lavoro non reca questa informazione può risultare insufficiente agli scopi che gli sono propri. Varie autorità di controllo hanno giudicato che la raccolta di numeri di previdenza sociale effettuata in modo indiscriminato fra tutti i candidati ad un posto di lavoro sia verosimilmente eccedente e quindi violi i principi della protezione dati. Solo il candidato che risulterà vincitore dovrebbe avere l'obbligo di fornire questa informazione.


Il principio secondo cui i dati personali devono essere trattati lealmente e lecitamente garantisce una protezione significativa. Perché il trattamento di dati personali sia lecito, occorre che esso non comporti una violazione della normativa sulla protezione dei dati o di altre norme di legge. Può trattarsi di norme di legge generali che hanno attinenza al rapporto di lavoro, per esempio l'obbligo di fiducia del datore di lavoro nei confronti dei propri dipendenti, ovvero di norme di legge specifiche riferite al rapporto di lavoro, per esempio una legge che vieti determinate forme di discriminazione sul luogo di lavoro.

Perché il trattamento di dati personali sia leale, occorre che esso non comporti una slealtà nei confronti dell'interessato. Si tratta di un requisito potenzialmente ad ampio spettro. Per esempio, il monitoraggio dei lavoratori, anche se conforme ai principi della direttiva sotto ogni altro aspetto, deve essere comunque effettuato secondo modalità "leali" nei confronti dei lavoratori sottoposti a controllo. É un ulteriore test di proporzionalità.

É bene ricordare che gli Articoli 6, 7 e 8 hanno effetti cumulativi. I principi fissati dall'Articolo 6 rappresentano una componente essenziale della tutela che la direttiva offre ai lavoratori rispetto al trattamento dei loro dati personali. I dati personali detenuti da un datore di lavoro possono risultare eccedenti anche se sono stati forniti volontariamente dal lavoratore e questi ha dato il proprio consenso alla loro conservazione. Ad ogni modo, il diritto nazionale di alcuni Stati membri può vietare la raccolta di determinati dati anche con il consenso dell'interessato.

Il trattamento di dati personali nell'ambito delle attività di monitoraggio dei lavoratori può risultare sleale nonostante il lavoratore abbia acconsentito a tale monitoraggio oppure si garantisca il rispetto di uno degli altri criteri fissati dall'Articolo 7. Il fatto che vi sia stata la prestazione del consenso può essere tenuto in considerazione al fine di stabilire se il trattamento sia conforme con l'Articolo 6; la misura in cui tale criterio è ritenuto valido varia da uno Stato membro all'altro, ma in ogni caso l'esistenza del consenso non costituisce una argomentazione prevalente su tutte le altre.


9.1. Principi fondamentali da tenere presenti per quanto concerne la protezione dei dati nell'ambito dei rapporti di lavoro

Il lavoratore non lascia il diritto alla privacy fuori della porta quando si reca sul luogo di lavoro ogni mattina. Tuttavia, la privacy non è un diritto assoluto. Occorre ricercare un equilibrio fra privacy ed altri interessi legittimi o diritti o libertà. E ciò vale anche nell'ambito dei rapporti di lavoro.

I lavoratori, fin quando operano all'interno di un determinato soggetto, devono accettare un certo grado di invasione della loro privacy e devono fornire al datore di lavoro determinate informazioni personali. Il datore di lavoro ha un interesse legittimo a trattare dati personali dei propri dipendenti per scopi leciti e legittimi che siano necessari per il normale sviluppo del rapporto di lavoro e per lo svolgimento delle attività di impresa.

Il punto non è, pertanto, se il trattamento di dati sul luogo di lavoro sia di per sé un'attività lecita o meno. Il punto fondamentale sono i limiti che la legislazione sulla protezione dei dati impone rispetto a tali attività, ovvero, rovesciando i termini, le motivazioni che possono giustificare la raccolta ed il trattamento ulteriore di dati personali relativi ad un lavoratore.

Naturalmente non esistono risposte definitive a questi quesiti a priori. Il livello tollerato di invasione della privacy dipenderà in misura consistente dalla natura dell'attività lavorativa e dalle circostanze specifiche che si accompagnano e interagiscono con il rapporto di lavoro e possono influirvi.

 

Esempio:
Quanti dati personali su un candidato all'impiego dovrebbe essere consentito raccogliere al datore di lavoro?
La risposta a questa domanda sarebbe molto diversa se l'impiego fosse quello di responsabile della sicurezza della Banca europea per gli investimenti anziché quello di operatore presso il bar situato nello stesso edificio.

Il Gruppo di lavoro desidera identificare alcuni principi tratti dalla direttiva 95/46/CE che devono regolare tutti i trattamenti di dati personali nell'ambito dei rapporti di lavoro. Le autorità di controllo degli Stati membri sono chiamate a svolgere un ruolo fondamentale nell'applicazione di questi principi generali ai casi concreti, tenendo conto in misura adeguata delle specificità della legislazione nazionale.

 

PRINCIPI FONDAMENTALI IN MATERIA DI PROTEZIONE DATI CHE REGOLANO IL TRATTAMENTO DI DATI PERSONALI RELATIVI A LAVORATORI

FINALITÀ
TRASPARENZA
LEGITTIMITÀ
PROPORZIONALITÀ
ACCURATEZZA E CONSERVAZIONE DEI DATI
SICUREZZA
SENSIBILIZZAZIONE DEL PERSONALE



FINALITÀ
I dati devono essere raccolti per uno scopo determinato, esplicito e legittimo e non devono essere ulteriormente trattati secondo modalità incompatibili con tale scopo. Il Gruppo di lavoro sta attualmente elaborando indicazioni utili al riguardo.

 

Esempio
Gli indirizzi personali dei lavoratori raccolti ai fini della corresponsione degli stipendi non possono essere utilizzati o trattati successivamente per scopi di marketing diretto senza un consenso specifico. Tuttavia, uno scopo compatibile potrebbe consistere nel trattamento ulteriore di tali dati per calcolare e ricomprendere nello stipendio nuovi importi di indennità di missione. 

TRASPARENZA

È il principio che dovrebbe regolare ogni attività di trattamento. Numerosi trattamenti effettuati nell'ambito dei rapporti di lavoro negli Stati membri talvolta violano la normativa sulla protezione dei dati non tanto perché siano di per sé illeciti, ma perché i lavoratori non hanno ricevuto un'informativa adeguata in merito. I lavoratori devono essere  informati almeno dei dati che il datore di lavoro raccoglie nei loro confronti (direttamente o da altre fonti) e delle finalità dei trattamenti effettuati o previsti in futuro sulla base di tali dati.

Per garantire la trasparenza è inoltre necessario riconoscere all'interessato il diritto di accedere ai propri dati personali, prevedendo l'obbligo per il titolare di presentare una notifica all'autorità di controllo secondo le norme di diritto interno.

 

Esempio
Un datore di lavoro può avere un interesse legittimo a verificare il rendimento dei propri dipendenti attraverso la valutazione dei risultati ottenuti (ad esempio, quanti casi siano stati trattati, quante chiamate telefoniche abbiano avuto risposta, ecc.). Oltre all'applicazione dei principi sopra menzionati, e in particolare del principio di proporzionalità, il datore di lavoro potrà trattare dati di questo tipo solo se i lavoratori hanno ricevuto un'informativa adeguata. Se un'attività di sorveglianza del genere dovesse svolgersi senza fornire al personale le opportune informazioni, il trattamento dei dati relativi ai dipendenti sarebbe in contrasto con le disposizioni della direttiva 95/46/CE. 

LEGITTIMITÀ

Qualunque trattamento, anche se effettuato in modo pienamente trasparente nei confronti dei lavoratori, può avere luogo solo se è un trattamento legittimo. Benché questo punto sia già stato esaminato in modo puntuale in un altro paragrafo, è importante ricordare in questa sede che l'Articolo 7, lettera f), della direttiva non dà al datore di lavoro un assegno in bianco che autorizzi ad effettuare qualsiasi tipo di trattamento rispetto ai dati dei dipendenti. Non soltanto occorre rispettare il requisito di proporzionalità, ma è necessario che il trattamento non pregiudichi in modo ingiustificato i diritti e le libertà degli interessati.

 

Esempio
Il datore di lavoro ha un interesse legittimo a valutare il rendimento dei dipendenti, e spesso dovrà trattare dati personali per farlo. Potrà però soddisfare il criterio di legittimità solo se il monitoraggio del rendimento non pregiudica in modo ingiustificato i diritti e le libertà degli interessati. Come ciò possa avvenire, ad esempio per alcune forme di controllo della posta elettronica o degli accessi ad Internet, costituisce il tema del paragrafo 12. 

PROPORZIONALITÀ

Infine, nell'ipotesi che i lavoratori abbiano ricevuto un'informativa e che il trattamento sia legittimo, occorre che i dati personali siano adeguati, pertinenti e non eccedenti rispetto agli scopi per cui sono raccolti e/o ulteriormente trattati.

Supponendo che i lavoratori siano stati informati del trattamento e supponendo che il trattamento sia legittimo e proporzionato, resta comunque l'obbligo di garantire che il trattamento sia leale nei confronti dei lavoratori.

Il principio di proporzionalità ha un ambito potenzialmente assai ampio, e presenta numerose sfaccettature per quanto riguarda i rapporti di lavoro. Tuttavia, il suo effetto primario è la necessità per il datore di lavoro di trattare i dati personali nella maniera meno invasiva possibile. A tale riguardo, si dovrebbero tenere in considerazione vari elementi: i rischi connessi, la quantità di dati oggetto del trattamento, le finalità di quest'ultimo, ecc. .

 

Esempio
Il datore di lavoro può avere l'esigenza di sapere se i candidati ad un determinato impiego dispongano di un'automobile e della patente di guida. Il datore di lavoro potenziale ha diritto di chiedere queste informazioni, ma sarebbe contrario al principio di proporzionalità chiedere il modello o il colore dall'automobile posseduta dal singolo candidato. 


ACCURATEZZA E PERIODO DI CONSERVAZIONE DEI DATI

I dati relativi al rapporto di lavoro devono essere accurati e, se necessario, aggiornati. Il datore di lavoro deve prendere tutte le misure ragionevoli onde garantire che i dati non siano inesatti o incompleti, avendo riguardo alle finalità per cui sono stati raccolti o ulteriormente trattati, e che siano cancellati o rettificati. I dati relativi al rapporto di lavoro devono essere conservati in una forma che consenta l'identificazione dei lavoratori per un periodo di tempo non superiore a quello necessario per gli scopi per cui i dati sono stati raccolti o sono ulteriormente trattati.

 

Esempio
La scheda valutativa annuale del dipendente contiene informazioni relative ad un colloquio specifico svoltosi in un dato giorno. Dopo alcuni anni, non c'è alcun bisogno, in linea di principio, di conservare le informazioni relative a tali valutazioni. Pertanto, il periodo di conservazione dovrebbe limitarsi ai 2 o 3 anni successivi alla valutazione stessa.
I datori di lavoro possono garantire l'accuratezza dei dati personali dei lavoratori, ad esempio, fornendo ad essi ogni anno uno stampato contenente la rispettiva scheda personale.

SICUREZZA

Il datore di lavoro deve mettere in atto misure tecniche e organizzative adeguate sul luogo di lavoro onde garantire la sicurezza dei dati personali dei propri dipendenti. Dovrebbe essere posta particolare attenzione nel prevenire la comunicazione o l'accesso non autorizzati. I dati personali devono essere al sicuro dalla curiosità di altri lavoratori o di terzi. Oggi, la tecnologia offre strumenti ragionevoli per impedire accessi o comunicazioni non autorizzati, permettendo in ogni caso l'identificazione del personale che accede ai files. Qualora sia stato nominato un responsabile del trattamento, deve esservi un contratto fra il datore di lavoro ed il soggetto terzo che offra garanzie in termini di sicurezza e assicuri che il responsabile agisca solo sulla base delle istruzioni impartite dal datore di lavoro.

 

Alcuni esempi di misure di sicurezza sul luogo di lavoro
- Sistemi basati sull'uso di password/identificativi per l'accesso a dati informatizzati relativi al rapporto di impiego
- Login e tracciamento di accessi e comunicazioni
-
 
Copie di backup
- Cifratura dei messaggi, in particolare qualora i dati siano trasferiti all'esterno


SENSIBILIZZAZIONE DEL PERSONALE 

Il personale incaricato o responsabile del trattamento di dati personali riferiti ad altri lavoratori deve essere a conoscenza delle norme di protezione dati e ricevere una formazione adeguata. Sarebbe opportuno che i contratti relativi a tale personale comprendessero una clausola in cui si richiami il segreto professionale. È necessario che vi sia consapevolezza delle eventuali conseguenze associate al trattamento illecito di dati personali, sia per quanto riguarda il personale, sia per quanto concerne l'ente e, ovviamente, la privacy degli altri colleghi. Senza un'adeguata formazione del personale  che gestisce questi dati non si potrebbe in alcun modo garantire il rispetto della privacy dei lavoratori.

 

10. Consenso

Le considerazioni sopra riportate dovrebbero aver chiarito che il trattamento di dati personali nell'ambito dei rapporti di lavoro, in particolare se non riguarda dati sensibili, non deve necessariamente fare affidamento sul consenso del lavoratore. Il consenso dovrebbe essere utilizzato quale riserva nel caso che non sia applicabile alcuna delle eccezioni di cui all'Articolo 7 o all'Articolo 8. Anche se ci si basa sul consenso, deve trattarsi di un consenso validamente prestato e il datore di lavoro deve comunque rispettare altri criteri fissati dalla direttiva – fra cui l'Articolo 6 e l'Articolo 15, che riguarda le decisioni automatizzate. Inoltre il lavoratore deve essere informato del trattamento come previsto dagli Articoli 10 e 11.

La direttiva definisce il consenso "qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento". Rispetto ai dati sensibili il consenso deve inoltre essere "esplicito". Il Gruppo di lavoro ex Art. 29 ritiene che, qualora si chieda il consenso del lavoratore, e sussista un pregiudizio reale o potenziale derivante dalla mancata prestazione del consenso, il consenso non sia valido in quanto non soddisfa i requisiti fissati dall'Articolo 7 e dall'Articolo 8 poiché non si tratta di una manifestazione di volontà libera. Se il lavoratore non ha la possibilità di rifiutare, allora non si può parlare di consenso. Il consenso deve essere sempre prestato liberamente. Dunque, il lavoratore deve avere la possibilità di ritirare il proprio consenso senza soffrire alcun pregiudizio.

Un aspetto di particolare difficoltà è connesso alla prestazione del consenso come condizione per l'ottenimento di un impiego. Il lavoratore è teoricamente in grado di rifiutare il proprio consenso, ma la conseguenza di ciò può essere la perdita di un'opportunità lavorativa. In casi del genere, il consenso non è prestato liberamente e, pertanto, non è valido. La situazione è ancora più chiara se, come spesso avviene, tutti i datori di lavoro impongono questa o una simile condizione ai fini dell'assunzione.

 

Il Gruppo di lavoro istituito ai sensi dell'Articolo 29 della direttiva ritiene che, se il datore di lavoro deve trattare dati personali in quanto ciò costituisce una conseguenza necessaria ed inevitabile del rapporto di lavoro, sia fuorviante tentare di legittimare tale trattamento attraverso il consenso. Il riferimento al consenso dovrebbe limitarsi a quei casi in cui il lavoratore è effettivamente libero di scegliere e può successivamente ritirare il consenso senza alcun pregiudizio.



Negli altri casi il lavoratore dovrebbe ricevere ovviamente anche le informazioni previste (Articolo 10) e i criteri fissati dall'Articolo 7 e dall'Articolo 8 dovrebbero essere sufficientemente ampi da legittimare il trattamento sulla base di motivazioni diverse dal consenso dell'interessato.

Il Gruppo di lavoro è a conoscenza del fatto che la legislazione di numerosi Stati membri ha attribuito alle rappresentanze locali dei lavoratori il compito di contribuire alla tutela dei diritti dei lavoratori nel settore della protezione dei dati. Ad esempio, in alcuni Stati membri le imprese devono concordare con i consigli del lavoro l'introduzione di meccanismi di controllo sul luogo di lavoro.


11. Diritti della persona e protezione dei dati

In quanto interessati, i lavoratori godono dei diritti previsti dalla direttiva 95/46/CE.

Il più importante di tali diritti è il diritto di accesso sancito dall'Articolo 12 della direttiva, in base al quale ciascun interessato ha il diritto di ottenere dal titolare (in questo caso, dal datore di lavoro):

a) liberamente e senza costrizione, ad intervalli ragionevoli e senza ritardi o spese eccessivi:

  • la conferma dell'esistenza o meno di trattamenti di dati che lo riguardano, e l'informazione almeno sulle finalità dei trattamenti, sulle categorie di dati trattati, sui destinatari o sulle categorie di destinatari cui sono comunicati i dati;
  • la comunicazione in forma intelligibile dei dati che sono oggetto dei trattamenti, nonché di tutte le informazioni disponibili sull'origine dei dati;
  • la conoscenza della logica applicata nei trattamenti automatizzati dei dati che lo interessano, per lo meno in caso di decisioni automatizzate;

b) a seconda dei casi, la rettifica, la cancellazione o il congelamento dei dati il cui trattamento non è conforme alle disposizioni della direttiva, in particolare a causa del carattere incompleto o inesatto dei dati;

c) la notificazione ai terzi, ai quali sono stati comunicati i dati, di qualsiasi rettifica, cancellazione o congelamento, effettuati conformemente agli obblighi sopra indicati, se non si dimostra che è impossibile o implica uno sforzo sproporzionato.

Gli interessati hanno inoltre il diritto di opporsi, per motivi preminenti e legittimi derivanti dalla loro situazione particolare, al trattamento da parte del datore di lavoro di dati che li riguardino, salvo disposizione contraria prevista dalla normativa nazionale (Articolo 14 della direttiva), e di ottenere il risarcimento del pregiudizio subito a seguito di un trattamento illecito o di altri atti non compatibili con la normativa sulla protezione dei dati.

Il Gruppo di lavoro ha già elaborato una Raccomandazione sui dati valutativi dei dipendenti (1/2001) e potrà fornire in futuro ulteriori indicazioni.


12. Sorveglianza e monitoraggio

Numerosi aspetti connessi all'applicazione delle due direttive (95/46 e 97/66) alla sorveglianza ed al monitoraggio dei lavoratori sono già stati esaminati. Non dovrebbero ormai sussistere dubbi quanto al fatto che i principi della protezione dati si applicano al monitoraggio ed alla sorveglianza dei lavoratori, riguardino essi la posta elettronica, l'accesso ad Internet, l'impiego di videocamere o i dati di localizzazione.

L'applicazione della direttiva al monitoraggio ed alla sorveglianza, e l'importanza attribuita al tema, sono comprovati dagli sviluppi occorsi negli Stati membri – in particolare, dagli studi e dalle iniziative menzionate nell'Introduzione.

Dovrebbe inoltre essere chiaro che

- qualsiasi monitoraggio, specialmente se effettuato in base all'Articolo 7(f) della direttiva 95/46/CE, e comunque per soddisfare i criteri fissati nell'Articolo 6, deve costituire una risposta proporzionata da parte del datore di lavoro ai rischi che si trova ad affrontare, tenendo conto del legittimo interesse alla privacy e di altri interessi in capo ai lavoratori

Qualsiasi dato personale utilizzato o detenuto nel corso delle attività di monitoraggio deve essere adeguato, pertinente e non eccedente rispetto alle finalità per cui il monitoraggio trova giustificazione. Le attività di monitoraggio devono essere condotte nel modo meno invasivo possibile, e devono essere mirate sull'area a rischio, tenendo conto della normativa sulla protezione dei dati e, se pertinente, del principio di segretezza della corrispondenza.

Il monitoraggio, fra cui la sorveglianza attraverso videocamere, deve rispettare il requisito della trasparenza previsto dall'Articolo 10. I lavoratori devono essere informati dell'esistenza di attività di sorveglianza, delle finalità del trattamento dei loro dati personali e di ogni altro elemento necessario a garantire la lealtà del trattamento stesso. La direttiva non tratta con minore rigidità il monitoraggio dell'impiego di Internet o della posta elettronica da parte del lavoratore se tale monitoraggio ha luogo attraverso una telecamera situata nell'ufficio.

Un esempio specifico di cui i lavoratori probabilmente sono all'oscuro riguarda i dati di localizzazione. E' vero che la proposta di direttiva sul trattamento di dati personali e la tutela della privacy nel settore delle comunicazioni elettroniche comprenderà disposizioni sulla tutela dei dati di localizzazione. Tale direttiva è destinata a sostituire la 97/66/CE. Benché dei dati di localizzazione si faccia specifica menzione nella nuova direttiva, tali dati sono comunque soggetti all'applicazione sia della direttiva 95/46/CE, sia della direttiva 97/66/CE. Il requisito di proporzionalità esaminato nel paragrafo precedente si applica in pieno al trattamento da parte del datore di lavoro di dati di localizzazione relativi a dipendenti.

Il Gruppo di lavoro riconosce l'esigenza di ulteriori indicazioni sull'applicazione della direttiva alla sorveglianza ed al monitoraggio delle comunicazioni elettroniche dei lavoratori (ad esempio, posta elettronica, Internet). La definizione di tali indicazioni è un compito arduo, e pertanto il Gruppo di lavoro ha chiesto al sottogruppo che ha redatto il presente parere preliminare di iniziare ad esaminare la questione.

 

13. Trasferimento verso paesi terzi di dati relativi a lavoratori

L'Articolo 25 della direttiva prevede che il trasferimento di dati personali verso un Paese terzo non appartenente all'UE possa avvenire solo se il paese terzo in questione garantisce un livello adeguato di protezione dei dati.

Occorre ricordare che, indipendentemente dal fondamento su cui si procede al trasferimento dei dati ai sensi degli Articoli 25 e 26, il trattamento associato al trasferimento deve comunque soddisfare i criteri fissati negli Articoli da 6 a 8 e tutte le altre disposizioni della direttiva.

L'Articolo 26 prevede una serie di deroghe, fra cui:

- la persona interessata ha manifestato il proprio consenso in maniera inequivocabile al trasferimento previsto, (valgono le stesse considerazioni esposte nel paragrafo 10)  oppure

- il trasferimento è necessario per l'esecuzione di un contratto tra la persona interessata ed il titolare del trattamento

- il trasferimento è necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, oppure per costatare, esercitare o difendere un diritto per via giudiziaria, oppure

- il trasferimento avviene in base a soluzioni contrattuali autorizzate da uno Stato membro in quanto forniscono adeguate garanzie, oppure

- il trasferimento avviene in base a clausole contrattuali modello approvate dalla Commissione in quanto forniscono adeguate garanzie.

 

Il Gruppo di lavoro ritiene che sia preferibile procedere sul fondamento dell'esistenza di una protezione adeguata nel paese di destinazione, anziché sulla base delle deroghe elencate nell'Articolo 26 – come ad esempio il consenso del lavoratore. Se ci si basa sul consenso, questo deve essere inequivocabile e frutto di una libera scelta. I datori di lavoro sbaglierebbero a fare esclusivo affidamento sul consenso se non in quei casi in cui il successivo ritiro del consenso non comporti problemi. 


Se il Paese terzo non garantisce un livello adeguato di protezione, e nessuna delle deroghe previste risulta applicabile, il datore di lavoro può, in alternativa, ottenere il consenso inequivocabile del dipendente al trasferimento programmato.

Il Gruppo di lavoro riconosce l'importanza di queste disposizioni nell'ambito dei rapporti di lavoro. È indubbio che una porzione significativa dei trasferimenti internazionali di dati riguardi dati sui dipendenti elaborati da imprese o gruppi di imprese multinazionali. Si dovrebbe ricordare che numerosi trasferimenti avvengono a partire da titolari situati nell'UE con destinazione responsabili situati al di fuori dell'UE. In un caso del genere, il datore di lavoro nell'UE continua ad essere il titolare del trattamento, ed è tenuto a rispondere alle richieste dei dipendenti di accedere ai dati che li riguardano ed a rispettare gli altri diritti loro riconosciuti.

Il Gruppo di lavoro ha dedicato grande attenzione al tema dei flussi internazionali di dati, ed ha pubblicato numerosi pareri in merito [Parere 5/99, Parere 6/99, Documento WP12/1998].


13.1 Il trasferimento di dati relativi al rapporto di lavoro in base all'Accordo di "Safe Harbor"

Il sistema denominato "Safe Harbor" [Porto sicuro] contiene disposizioni specifiche sul trasferimento ed il trattamento ulteriore di dati relativi a lavoratori europei da parte di soggetti statunitensi con sede negli USA.

Benché non sia questa la sede più opportuna per esaminare in dettaglio tali disposizioni, può essere utile sottolineare che i dati relativi al rapporto di lavoro hanno ottenuto un rafforzamento della loro tutela all'interno del Safe Harbor. Per esempio, si è riconosciuto che "determinate condizioni di carattere generale riferite al trasferimento di dati a partire da alcuni Stati membri possono vietare altri utilizzi di tali dati anche dopo il loro trasferimento dall'UE, e tali condizioni devono essere rispettate".

Inoltre, le autorità di controllo europee mantengono la competenza sulle misure da adottare in caso di violazioni della normativa sulla protezione dei dati in questo settore. Aderendo al Safe Harbor le imprese USA si impegnano a collaborare nelle indagini ed a rispettare le indicazioni fornite dalle competenti autorità della Comunità.


13.2 Il trasferimento di dati relativi al rapporto di lavoro in base alle clausole contrattuali modello

È possibile effettuare trasferimenti di dati in base alla decisione della Commissione che definisce le clausole contrattuali modello in quei casi in cui il destinatario funge da titolare e le incorpora in un contratto con l'esportatore dei dati, che ha sede nella Comunità.

Le clausole contrattuali modello approvate dalla Commissione offrono un meccanismo alternativo per il trasferimento di dati personali relativi a lavoratori verso società affiliate o controllate aventi sede in Paesi terzi nei quali non sussiste un livello adeguato di protezione dei dati. In base a tali clausole, tutte le categorie di dati utilizzati nell'ambito dei rapporti di lavoro, anche di tipo sensibile, possono essere oggetto di trasferimento. Le garanzie previste dal contratto possono essere fatte valere dal lavoratore nei confronti del datore di lavoro oppure del titolare avente sede nel Paese terzo.

 

14. Conclusioni

La direttiva 95/46/CE si applica in modo pieno e totale ai dati personali relativi ai lavoratori. Benché essa lasci a ciascuno Stato membro un certo margine di manovra nel precisare le condizioni applicabili a tali operazioni di trattamento, si riconosce generalmente in modo unanime l'applicazione dei principi contenuti nel presente parere. Il presente parere intende contribuire all'applicazione uniforme delle disposizioni nazionali adottate ai sensi della direttiva 95/46/CE.

Esiste un'interazione necessaria e positiva fra le norme sulla protezione dei dati, da un lato, e il diritto e la prassi del lavoro dall'altro. Non tutti i problemi che attengono al trattamento di dati personali sono esclusivamente legati alla protezione dei dati, ma l'interazione in oggetto è importante al fine di garantire la definizione di soluzioni che tutelino gli interessi dei lavoratori.

Gli interessi legittimi del datore di lavoro giustificano determinate limitazioni della privacy individuale sul luogo di lavoro. In alcuni casi tali limitazioni sono imposte dalla legge o dagli interessi di altri soggetti. Tuttavia, nessun interesse economico può mai prevalere sui principi di trasparenza, liceità del trattamento, legittimazione, proporzionalità, necessità e sugli altri principi contenuti nella direttiva 95/46/CE. I lavoratori possono sempre opporsi al trattamento qualora esso sia suscettibile di recare un pregiudizio ingiustificabile ai loro diritti e libertà fondamentali.

In considerazione della specificità del rapporto di lavoro, il consenso non può costituire in via generale uno strumento di legittimazione del trattamento nell'ambito dei rapporti di lavoro. Se ci si basa sul consenso, esso deve essere sempre libero, specifico e informato.

Il Gruppo di lavoro intende fornire indicazioni ulteriori in merito alle attività di sorveglianza e monitoraggio sul luogo di lavoro, ma tutti i principi descritti nel presente parere si applicano pienamente a tali attività.

 

Fatto a Bruxelles, addì 13 settembre 2001

Per il Gruppo di lavoro
Il Presidente
Stefano RODOTÀ


 

Torna al testo (1) Articolo 8 : Protezione dei dati di carattere personale

1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.
2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica.
3. Il rispetto di tali regole è soggetto al controllo di un'autorità indipendente.
 

Torna al testo (2) Si tratta della prima legge in ambito comunitario che regoli in modo specifico la protezione dei dati sul luogo di lavoro. La Legge affronta la maggioranza dei temi esaminati nel presente documento, oltre a questioni più specifiche quali i test per valutare l'idoneità dei dipendenti (Art. 5), gli esami sanitari e di altra natura (Art. 6), i test genetici (Art. 7), i dati sullo stato di salute del dipendente (Art. 8) o procedure connesse a forme di sorveglianza tecnica e a disposizioni sull'impiego di reti informatiche (Art. 9).