Il Garante dei dati personali il 10 luglio scorso ha presentato alla Camera dei deputati la propria relazione sul lavoro svolto nel 2017. Il documento, non solo costituisce una sintesi dei più rilevanti provvedimenti emanati dal Garante nel corso dello scorso anno, ma è anche un’utile riepilogo di prassi operative cui i titolari del trattamento possono fare riferimento per comprendere le giuste azioni da compiere nell’ambito delle attività di trattamento dei dati personali. Il Garante, nella relazione, si sofferma su diversi ambiti di intervento dell’Autorità, tra questi il trattamento dei dati personali dei dipendenti nel contesto del rapporto di lavoro.
Dalla lettura della relazione emerge come la valutazione su come rendere corretto un trattamento di dati personali non possa prescindere dall’analisi del caso concreto, del resto è anche quello che ci sta insegnando il GDPR con l’introduzione del principio dell’accountability, ad ogni modo, partendo dai provvedimenti e dagli esempi forniti dal Garante nel rapporto, possono essere individuati dei capisaldi generali cui prestare attenzione quando si decide di implementare una nuova iniziativa o sistema che implichi anche il trattamento dei dati personali, per quel che qui interessa dei propri lavoratori.
Localizzazione geografica dei dipendenti
Ad esempio, il Garante nel riferire il modo in cui molte situazioni sono state risolte, argomenta sul trattamento effettuato mediante sistemi che consentono la localizzazione geografica dei dipendenti, chiarendo innanzitutto che la prima operazione da svolgere, in tali casi, è quella di verificare se, in virtù dello strumento impiegato, si applica l’art. 4 comma 1 o 2 dello Statuo dei lavoratori e, dunque, se lo strumento è indispensabile per rendere la prestazione lavorativa, si applicherà il comma 2 e quindi non saranno necessari l’accordo sindacale o in assenza l’ autorizzazione dell’INL per l’uso dello strumento, diversamente, se il sistema controlla a distanza il lavoratore, ma non è necessario per rendere la prestazione professionale, è doveroso ottenere tali garanzie. Al proposito, il Garante ricorda anche la circolare dell’Ispettorato nazionale del lavoro, n. 2/2016, relativamente all’installazione di apparecchiature di localizzazione satellitare GPS su autovetture aziendali, secondo cui “in linea di massima e in termini generali [...] i sistemi di geolocalizzazione rappresentano un elemento “aggiunto” agli strumenti di lavoro”, e pertanto “le relative apparecchiature possono essere installate solo previo accordo con la rappresentanza sindacale ovvero, in assenza di tale accordo, previa autorizzazione dell’Ispettorato nazionale del lavoro”. Con specifico riferimento ai sistemi di trattamento di dati tramite localizzazione dei veicoli aziendali, l’autorità ha sottolineato che se tali sistemi non sono preordinati a svolgere il lavoro, oltre al fatto che si applica l’art. 4 comma 1, è necessario altresì
- configurare i sistemi in modo da consentire la rilevazione solo dei dati necessari e con una cadenza temporale strettamente proporzionata alle finalità perseguite e in modo da permettere la conservazione dei dati trattati esclusivamente per il tempo limitato al perseguimento della finalità;
- adottare misure preordinate alla cancellazione automatica dei dati dopo la decorrenza degli eventuali termini di conservazione nonché predisporre misure organizzative e tecnologiche volte ad anonimizzare i dati raccolti qualora ulteriormente utilizzati per finalità statistiche e di programmazione;
- configurare i sistemi in modo da consentire l’accesso ai dati trattati esclusivamente al personale incaricato, al quale devono essere assegnate credenziali di autenticazione differenziate, individuando profili autorizzativi personalizzati, tracciando gli accessi e conservando i file di log (riportante la data e l’ora dell’operazione, l’operazione effettuata, i codici dei dispositivi/veicoli visualizzati, l’identificativo dell’incaricato) nel rispetto del provvedimento del Garante del 27 novembre 2008 sugli amministratori di sistema e limitando quanto più possibile l’assegnazione di profili con funzionalità di modifica ed estrazione dei dati;
- con riferimento alla conservazione dei dati trattati, ove prevista, deve essere limitata ai dati strettamente necessari al perseguimento delle finalità perseguite, escludendo “il monitoraggio dei tracciati percorsi”.
Localizzazione tramite smartphone e tablet
Per quanto concerne invece la localizzazione di smartphone o tablet in uso ai dipendenti è di interesse il richiamo fatto dal Garante nella relazione, alla prescrizione richiesta quando tali strumenti aziendali vengono utilizzati anche per scopi privati, a tal proposito, l’autorità ricorda la necessità di adottare specifiche misure tese ad ostacolare l’eventuale trattamento di dati presenti sui dispositivi non attinenti all’attività lavorativa e comunque privati, come email personali, navigazione in internet o dati relativi al traffico telefonico, ricordando che i dispositivi devono essere dotati di un’icona che ricordi al dipendente che la funzionalità di localizzazione è attiva.
Dati sanitari di congiunti e familiari del dipendente
Di rilievo è inoltre il riferimento al trattamento dei dati sanitari di familiari e congiunti dei dipendenti trattati dal datore di lavoro, in particolare, l’Autorità ricorda di una società che richiedeva ai propri dipendenti di produrre la certificazione sanitaria contenente anche “elementi costituenti la diagnosi clinica” riferiti a terzi rispetto al rapporto di lavoro per adempiere alla normativa di settore secondo cui deve essere presentata al proprio datore di lavoro la documentazione medica per fruire dei permessi retribuiti per “grave infermità” del coniuge, parenti o conviventi e dei congedi non retribuiti “per gravi motivi familiari” (art. 4, commi 1 e 2, l. 8 marzo 2000, n. 53 e artt. 1 e 2, comma 1, lett. d ), d.m. 21 luglio 2000, n. 278). Il problema era che la società chiedeva anche la descrizione degli elementi sulla diagnosi clinica di soggetti terzi rispetto al rapporto di lavoro. Nel decidere sul caso, l’Autorità aveva dichiarato che la condotta del datore di lavoro non risultava conforme alla disciplina sulla protezione dei dati personali, ribadendo che le disposizioni normative riferite nello specifico ai dati da cui si possa desumere lo stato di malattia o l’esistenza di patologie dei soggetti interessati, valgono anche per i dati sanitari di terzi a questi collegati individuati dalla legge. Pertanto, in tali casi, è necessario osservare i princìpi di necessità, proporzionalità e indispensabilità, che impongono al datore di lavoro di valutare specificamente il rapporto tra i dati oggetto di trattamento e gli adempimenti derivanti da compiti e obblighi di volta in volta previsti dalla normativa di settore e di adottare soluzioni che, pur consentendo di svolgere gli adempimenti in modo efficace, cancellino ogni occasione di superflua conoscibilità dei medesimi da parte di soggetti non legittimati al trattamento, ragion per cui il datore di lavoro non può venire a conoscenza di tutti i dati sanitari del congiunto del lavoratore (diagnosi o anamnesi). Il perseguimento dei compiti e delle attribuzioni degli uffici preposti alla gestione del personale, destinatari della predetta documentazione, può ugualmente essere conseguito mediante l’acquisizione di una certificazione medico-legale attestante la sola sussistenza delle “grave infermità” o la ricorrenza di uno dei “gravi motivi familiari”. Spetta al lavoratore consegnare l’“idonea documentazione” di cui all’art. 3, d.m. n. 278/2000 al datore di lavoro, per attestare il proprio diritto ad ottenere i benefici e, nel dimostrare la sola sussistenza della “grave infermità” o la ricorrenza di uno dei “gravi motivi familiari”, potrà specificare, ad esempio, se la patologia sia “acuta o cronica” e se sia direttamente riconducibile ad una delle situazioni patologiche individuate rigorosamente ai punti da 1 a 4 della lett. d ) dell’art. 2 del citato decreto, il documento non dovrà riportare l’indicazione della specifica patologia accertata, omettendo quindi le parti dedicate alla descrizione dei dati anamnestici, all’esame obiettivo e alla diagnosi della persona (stesso discorso per la certificazione da presentare nei casi di “grave infermità”, trattandosi, come precisato in diverse occasioni dal Ministero del lavoro e delle politiche sociali, di una species rispetto al genus dei “gravi motivi”, di cui le patologie enumerate dal regolamento costituiscono cd. figure sintomatiche; art. 4, comma 2, l. n. 53/2000 e art. 2, comma 1, lett. d ), d.m. n. 278/2000).