Privacy nei rapporti di lavoro: regole, obblighi e cosa può fare il datore di lavoro
La gestione dei dati personali nel rapporto di lavoro non è un capitolo qualunque della conformità aziendale e della fiducia tra azienda e collaboratore. Il combinato disposto del Regolamento UE 2016/679 (GDPR), del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 e dello Statuto dei Lavoratori così come riformato dal D.Lgs. 151/2015 disegna un perimetro stringente, in cui ogni decisione organizzativa relativa al personale ha riflessi documentali, contrattuali e sempre più spesso sanzionatori.
Cos’è la privacy nei rapporti di lavoro e perché è una questione di rischio aziendale
La privacy nel contesto lavorativo identifica l'insieme delle regole che disciplinano il trattamento dei dati personali del lavoratore lungo l'intero ciclo di vita del rapporto : dalla ricerca e selezione, alla gestione operativa quotidiana, fino alla cessazione del contratto e alla successiva conservazione dei documenti. È un perimetro vivo, che cambia con l'evoluzione delle tecnologie di controllo, con le pronunce del Garante e con la crescente attenzione delle autorità ispettive ai trattamenti automatizzati.
Per la direzione aziendale il punto centrale è il principio di accountability fissato dall’art. 5.2 del GDPR: non basta essere conformi, occorre essere in grado di dimostrarlo. Questo principio ha conseguenze pratiche pesanti. In caso di contestazione, l'onere di provare di aver adottato misure tecniche e organizzative adeguate ricade interamente sul titolare del trattamento. Senza una documentazione strutturata (registri, valutazioni di impatto, nomine, informative aggiornate) la posizione difensiva dell'azienda è debole, indipendentemente dalla buona fede operativa.
Il rischio, quindi, non è soltanto economico. Si articola su tre livelli che la direzione deve presidiare congiuntamente:
rischio sanzionatorio amministrativo (Garante),
rischio civilistico (richieste di risarcimento del lavoratore o di terzi),
rischio reputazionale e contrattuale (perdita di certificazioni, contestazioni da parte di clienti che richiedono garanzie privacy ai propri fornitori).
Quali dati dei dipendenti può trattare il datore di lavoro
Nel corso del rapporto di lavoro, l'azienda raccoglie e gestisce diverse categorie di dati, ciascuna con un proprio regime giuridico. Distinguerle correttamente è il primo passo per impostare una mappatura dei trattamenti coerente con quanto richiesto dall'art. 30 del GDPR.
Dati comuni: informazioni anagrafiche, fiscali, contrattuali, di presenza e retribuzione. Sono i dati strutturalmente necessari all’esecuzione del contratto e al rispetto degli obblighi di legge; la loro raccolta non richiede consenso, ma deve comunque essere preceduta da informativa adeguata.
Dati sensibili (categorie particolari, art. 9 GDPR): informazioni che rivelano l'origine razziale o etnica, opinioni politiche, convinzioni religiose (ad esempio per la concessione di festività specifiche), l'appartenenza sindacale (necessaria per la trattenuta della delega in busta paga), dati genetici, dati biometrici per identificazione univoca, dati relativi alla salute, alla vita sessuale o all’orientamento sessuale. Il trattamento è in linea generale vietato, salvo le deroghe dell'art. 9.2: tra queste, l'esecuzione di obblighi in materia di diritto del lavoro, sicurezza sociale e protezione sociale, che è la base più frequentemente invocata in ambito HR.
Dati relativi alla salute: Gestione di certificati di malattia, maternità, infortuni o stato di invalidità per le assunzioni obbligatorie, esiti di visite del medico competente ai sensi del D.Lgs. 81/2008, gestione delle invalidità e delle assunzioni obbligatorie ex Legge 68/1999. Vale il principio di minimizzazione: l'azienda ha titolo a conoscere la prognosi e l'idoneità alla mansione, mai la diagnosi clinica.
Dati biometrici e di profilazione: informazioni ottenute tramite trattamenti tecnici (come il riconoscimento facciale) o analisi del rendimento professionale e degli spostamenti (geolocalizzazione). Sono trattamenti ad alto rischio che richiedono presidi specifici e nella gran parte dei casi una valutazione d'impatto preventiva.
Obblighi dell’azienda secondo GDPR e normativa italiana
Per operare in conformità, il datore di lavoro deve procedere con adempimenti rigorosi prima di iniziare qualunque raccolta:
Informative ex artt. 13-14 GDPR: è obbligatorio informare il lavoratore su chi sia il Responsabile della protezione dei dati (RPD/DPO), le finalità del trattamento, le basi giuridiche, i destinatari, il periodo di conservazione e i diritti di accesso, rettifica o cancellazione.
Base giuridica e consenso: sebbene per molti dati legati al contratto il consenso sia implicito nell'esecuzione dello stesso o in obblighi di legge, per i dati sensibili è necessario un consenso esplicito e scritto.
Registro dei trattamenti (art. 30 GDPR): mappa tutti i trattamenti effettuati dall'azienda con finalità, categorie di dati, categorie di interessati, destinatari, tempi di conservazione, misure di sicurezza. È di fatto sempre obbligatorio, anche sotto i 250 dipendenti, perché si trattano regolarmente categorie particolari.
Valutazione d'impatto (DPIA, art. 35 GDPR): bbbligatoria per i trattamenti ad alto rischio. Saltare la DPIA quando dovuta è uno dei profili sanzionati con maggior frequenza.
Nomine e contratti ex art. 28 GDPR: tutti i fornitori che trattano dati per conto dell'azienda (consulenti del lavoro, fornitori di software HR, società di payroll, medici competenti) devono essere nominati responsabili del trattamento con un atto giuridicamente vincolante che ne disciplini compiti, durata e misure di sicurezza. .
Minimizzazione: Non si possono raccogliere dati "in eccedenza". Ad esempio, in caso di malattia, l'azienda ha diritto di conoscere solo la prognosi (durata) e il protocollo, mai la diagnosi.
Controllo dei dipendenti e privacy: cosa è consentito
Il punto di equilibrio tra esigenze organizzative e diritti del lavoratore è disciplinato dall'art. 4 della Legge 300/1970, profondamente riformato dal D.Lgs. 151/2015. La norma distingue due categorie di strumenti, con regimi differenti.
La prima categoria comprende gli strumenti dai quali deriva, anche solo come conseguenza indiretta, la possibilità di controllo a distanza dell'attività dei lavoratori: telecamere, sistemi GPS installati sui veicoli aziendali, software di tracciamento. Possono essere installati esclusivamente per esigenze organizzative e produttive, di sicurezza del lavoro o di tutela del patrimonio aziendale, e richiedono accordo sindacale con le RSU/RSA o, in mancanza, autorizzazione dell'Ispettorato Territoriale del Lavoro.
La seconda categoria comprende gli strumenti utilizzati dal lavoratore per rendere la prestazione (computer, smartphone aziendale, software gestionali) e gli strumenti di registrazione degli accessi e delle presenze: per questi non serve accordo né autorizzazione, ma resta ferma l'informativa al lavoratore sulle modalità d'uso e di controllo, ai sensi del comma 3 della stessa norma.
In entrambi i casi i dati raccolti sono utilizzabili a tutti i fini connessi al rapporto di lavoro solo a condizione che l'informativa sia stata data e che siano rispettate le regole del GDPR. Il Provvedimento generale del Garante n. 53/2018 in materia di videosorveglianza e numerose pronunce successive hanno chiarito che il mancato rispetto dell'informativa rende inutilizzabili i dati raccolti, con conseguenze pesanti anche sul piano processuale.
Il quadro si completa con regimi specifici per geolocalizzazione, timbratura biometrica, smart working: temi che richiedono approfondimenti dedicati e che sono stati oggetto di numerosi interventi del Garante negli ultimi anni.
Come gestire correttamente i dati dei dipendenti in azienda
Una gestione d'eccellenza si organizza lungo il ciclo di vita del dato: raccolta, utilizzo, conservazione, cancellazione.Passare dal supporto cartaceo al digitale non è solo una scelta tecnologica, ma una necessità per garantire la conformità normativa.
Raccolta: vale la minimizzazione, per cui solo i dati strettamente necessari alle finalità dichiarate.
Utilizzo: vale la limitazione delle finalità, per cui i dati raccolti per la gestione contrattuale non possono essere riutilizzati per finalità incompatibili senza una nuova base giuridica.
Conservazione: segue la limitazione temporale e non esiste un termine unico. La policy va formalizzata nel registro dei trattamenti e applicata con cancellazioni periodiche documentate.
Software HR e privacy: perché sono un alleato
L'adozione di un software HR trasforma la gestione della privacy da un onere a un vantaggio competitivo. Invece di disperdere dati tra fogli Excel e cartelle fisiche, l'azienda può contare su un ambiente cloud certificato che garantisce l'inalterabilità e l'integrità dei file.
Un sistema centralizzato permette di:
tracciare in modo inequivocabile la messa a disposizione dei documenti senza necessità di firme fisiche;
migliorare la comunicazione interna aziendale, inviando documenti e avvisi in modo protetto;
fornire al dipendente un'area riservata dove consultare i propri dati in totale autonomia.
Privacy sul lavoro: best practice per le aziende
Oltre agli adempimenti documentali e alle scelte tecnologiche, per minimizzare i rischi legali, le aziende dovrebbero adottare queste buone pratiche.
Formazione delle persone autorizzate al trattamento, che devono ricevere istruzioni scritte e formazione periodica documentata.
Procedure operative formalizzate, come gestione di richieste di accesso, gestione delle violazioni, revoche degli accessi alle uscite, consegna delle informative in fase di assunzione.
Audit interni periodici, per verificare che i registri siano aggiornati, che le informative siano allineate, che le nomine ex art. 28 coprano tutti i fornitori e che le cancellazioni programmate siano effettivamente eseguite.
Domande frequenti sulla privacy nei rapporti di lavoro
Il datore di lavoro può controllare i dipendenti?
Il controllo è ammesso ma rigorosamente disciplinato dall'art. 4 dello Statuto dei Lavoratori, come riformato dal D.Lgs. 151/2015. Per gli strumenti di controllo a distanza (videosorveglianza, GPS) servono esigenze organizzative, produttive o di sicurezza e accordo sindacale o autorizzazione ITL. Per gli strumenti di lavoro e di rilevazione presenze è sufficiente l'informativa al lavoratore. In ogni caso i dati raccolti sono utilizzabili solo se sono state rispettate le regole del GDPR e se l'informativa è stata effettivamente fornita.
È legale monitorare i dipendenti con GPS o software?
È consentito se lo strumento è necessario per l'esecuzione della prestazione lavorativa e se il dipendente è stato adeguatamente informato sulle modalità di controllo. Servono esigenze organizzative, produttive o di sicurezza che giustifichino l'installazione, accordo sindacale o autorizzazione ITL, informativa puntuale al lavoratore, valutazione d'impatto ai sensi dell'art. 35 GDPR per i casi di monitoraggio sistematico. Il Garante ha sanzionato in più occasioni installazioni di GPS o software di tracciamento eseguite senza il rispetto di questi presupposti, dichiarando inutilizzabili i dati raccolti anche ai fini disciplinari.
Quali dati dei dipendenti può trattare un’azienda?
L’azienda può trattare tutti i dati necessari per adempiere agli obblighi di legge e contrattuali (anagrafica, dati fiscali, presenze) e dati sensibili limitatamente a quanto richiesto per la gestione di malattia e contributi. Le categorie particolari di dati (salute, appartenenza sindacale, convinzioni religiose) possono essere trattate nei limiti delle deroghe dell'art. 9.2 GDPR, principalmente per obblighi in materia di diritto del lavoro. Vale sempre il principio di minimizzazione: solo ciò che serve, per il tempo che serve.
Per quanto tempo devono essere conservati i dati dei dipendenti?
Non esiste un termine unico: si applica il principio di limitazione della conservazione (art. 5.1.e GDPR), per cui i dati vanno conservati per il tempo necessario alle finalità per cui sono stati raccolti. I principali riferimenti sono: 10 anni per le scritture contabili (art. 2220 c.c.), 5 anni per la prescrizione dei crediti retributivi (art. 2948 c.c.) e per gli accertamenti contributivi INPS, termini specifici per documentazione fiscale, sicurezza sul lavoro e sorveglianza sanitaria. La policy di conservazione va formalizzata nel registro dei trattamenti e applicata con cancellazioni periodiche documentate.
Serve il consenso del dipendente per il trattamento dei dati?
Per i dati comuni legati al contratto spesso non è necessario. Per le categorie particolari serve in aggiunta una deroga ai sensi dell'art. 9.2, tipicamente l'adempimento di obblighi in materia di diritto del lavoro.Come può un’azienda evitare rischi legati alla privacy?
La riduzione strutturale del rischio passa da quattro leve combinate: una mappatura completa e aggiornata dei trattamenti, una catena di fornitura controllata, una governance interna con procedure scritte, formazione tracciata e audit periodici e una piattaforma HR centralizzata che concentri i presidi tecnici richiesti dall'art. 32 GDPR.
