Nel trattamento di dati personali per scopi prettamente lavorativi devono essere garantiti sia il rispetto della sfera privata sia la protezione dei dati personali, al fine di consentire il corretto e libero sviluppo della personalità del lavoratore (sia dipendente che autonomo o parasubordinato) ed opportunità di rapporti personali e sociali sui luoghi di lavoro.
I Titolari devono ridurre al minimo il trattamento di dati personali, limitandolo ai dati necessari per lo scopo perseguito nel caso specifico
I datori di lavoro(sia del settore e pubblico ,che del settore privato ) devono adottare idonee misure per garantire il rispetto concreto dei principi e degli obblighi connessi al trattamento di dati per scopi di lavoro. Su richiesta dell´autorità Garante, i datori di lavoro devono essere in grado di dimostrare l´osservanza di tali principi e obblighi . Le misure in questione devono essere adattate alla quantità e tipologia dei dati oggetto di trattamento ed alla natura delle attività intraprese, e devono tenere conto anche delle implicazioni potenziali per i diritti e le libertà fondamentali dei dipendenti.
Nel rispetto del “principio di trasparenza” di cui all’art. 12 del GDPR l’informativa dovrà essere fornita secondo le indicazioni degli artt. 13 e 14, per cui in caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le informazioni previste dalle disposizioni del GDPR.
I dati personali raccolti dai datori di lavoro per scopi di lavoro devono essere pertinenti e tenuto conto della tipologia di lavoro e del mutamento delle esigenze di informazione da parte del datore di lavoro,il quale dovrà’ astenersi dal chiedere che un lavoratore dipendente conceda loro accesso ad informazioni da essi condivise online con altri soggetti, in particolare attraverso reti di socializzazione.
Anche la raccolta di dati di tipo sanitario è consentita esclusivamente qualora sia necessaria per scopi puramente lavorativi .
É necessario soddisfare almeno uno dei criteri fissati nell´art. 6 del GDPR per procedere al trattamento di dati personali nel contesto dei rapporti di lavoro. Ciascuno di questi criteri prevede che ogni volta vi si faccia ricorso, il trattamento effettuato sia realmente “necessario per” raggiungere l’obiettivo in oggetto anziché semplicemente incidentale a tale fine.
I criteri più pertinenti sono i seguenti:
– Il trattamento è finalizzato all’esecuzione del contratto concluso con la persona interessata. Difatti i rapporti di lavoro si fondano spesso su un contratto di lavoro fra il titolare e lavoratore. Per adempiere gli obblighi previsti dal contratto, ad esempio ai fini della corresponsione del compenso ,il datore di lavoro deve trattare determinati dati personali.– Il trattamento è necessario per adempiere ad un obbligo legale.– Il trattamento è necessario per il perseguimento dell’interesse legittimo del titolare del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata.
Se nessuno dei criteri sopra indicati risulta applicabile al trattamento dei dati di un dipendente da parte del datore di lavoro, questi può ottenere- in via alternativa- il consenso inequivocabile del lavoratore al trattamento (art. 7 del GDPR).
di Avv. Maria Rosaria Pace