Domanda: E' lecito che nel fascicolo del dipendente pubblico siano conservati i dati inerenti alla sua salute?

Risposta: La conservazione è ammissibile in quanto richiesta espressamente da alcune disposizioni di legge. Dunque, ai sensi dell'art. 26, comma 4 lett. d) del codice, il trattamento di tali dati può essere effettuato senza il consenso dell'interessato.

Dovranno, tuttavia, essere rispettate le regole che saranno previste dall'adottando codice di deontologia e buona condotta, nonché della autorizzazione generale annualmente rilasciata dal Garante.

Domanda: Le società di selezione e ricerca del personale in che modo devono rispettare la legge sulla privacy?

Risposta: Tali società dovranno in primo luogo informare gli aspiranti lavoratori dell'uso che faranno dei dati personali contenuti nei curricula inviati, nonché acquisire un consenso libero e specifico, qualora intendano mettere i dati a disposizione di terzi per fini diversi dall'adempimento di obblighi contrattuali.

Se, inoltre, i curricula dovessero contenere informazioni di tipo sensibile si dovrà richiedere, sempre, un consenso scritto e rispettare l'autorizzazione generale rilasciata dal Garante.

Inoltre, ai sensi dell'art. 38 comma 1 lett. e) del Codice della privacy, se si tratta di dati sensibili registrati in banche dati a fini di selezione del personale per conto terzi, il trattamento deve essere notificato al Garante.

Restano fermi, infine, gli obblighi in tema di sicurezza di dati (vale a dire l'adozione delle misure di sicurezza, obbligatorie per tutti i trattamenti) ed i principi di pertinenza e non eccedenza degli stessi dati, nonché di formazione dei soggetti incaricati del trattamento.

Domanda: Le visite fiscali richieste dal datore di lavoro, in caso di assenza per malattia del dipendente, sono conformi alla privacy?

Risposta: Le visite fiscali non violano la privacy, in quanto disposizioni di legge e contrattuali prevedono la possibilità di tali controlli anche in caso di brevi assenze e ove ne ricorra la necessità.

Domanda: Possono essere esercitati i diritti di accesso di cui all'art. 7 del Codice nei confronti del proprio datore di lavoro?

Risposta: Certamente sì. Qualora il prestatore di lavoro inoltri una richiesta di accesso ai sensi dell'art. 7, il datore è tenuto, come ogni altro titolare, ad indicare tutte le informazioni comuni e sensibili in suo possesso relative al dipendente, ivi comprese le c.d. note di qualifica.

Domanda: E' conforme alla legge sulla privacy l'uso dei cartellini identificativi da parte dei dipendenti?

Risposta: Non è contrario alla legge chiedere ai lavoratori di esporre un cartellino, al fine di renderli identificabili per finalità di trasparenza, in particolare nei rapporti con il pubblico o con terzi estranei; tuttavia, non sempre i dati riportati su tali cartellini appaiono pertinenti e non eccedenti rispetto alle finalità del trattamento.

Non sembra, ad esempio, pertinente esibire anche la data di nascita del dipendente ovvero ogni altra informazione non strettamente necessaria, essendo sufficiente indicare il nome (anche di fantasia), un numero, un codice, che comunque permetta di risalire al dipendente in caso di necessità.

Con analoghi accorgimenti, la finalità della trasparenza sarà rispettata senza esporre il lavoratore ad un'inutile diffusione dei suoi dati personali.

Domanda: Il Codice della privacy deroga lo Statuto dei lavoratori?

Risposta: No. Anzi, gli artt. 113 e 114 del Codice richiamano espressamente il disposto rispettivamente degli artt. 8 e 4 sulla raccolta di dati relativi alle opinioni politico-sindacali del lavoratore e sul divieto di controllo a distanza.

Domanda: Come sono regolati dal Codice della privacy i test di valutazione del personale?

Risposta: Le raccolte di dati effettuate in occasione delle valutazioni periodiche del personale, tramite test o interviste nominative, si configurano come un trattamento di dati personali da realizzare, quindi, in conformità alle norme dettate dal Codice.

In particolare, il datore di lavoro dovrà fornire ai dipendenti da valutare una preventiva e completa informativa e potrà raccogliere le sole informazioni funzionali alla valutazione professionale del lavoratore, utilizzandole per il solo fine per il quale sono state acquisite.

Nella redazione dei moduli di valutazione deve esser tenuto conto del diritto sancito dall'articolo 1 dello Statuto dei Lavoratori (L. n.300/1970), che garantisce la libertà di espressione del pensiero, tutelando anche il diritto a non manifestare una propria opinione.

Detti schemi di valutazione non dovranno, in ogni caso, costituire metodi per svolgere indagini sulle opinioni politico-sindacali del lavoratore (nel rispetto dell'art.8 dello Statuto dei Lavoratori).

Domanda: Può l'azienda ritrarre i suoi dipendenti per effettuare spot pubblicitari?

Risposta: Tale ipotesi è riconducibile ai trattamenti temporanei di dati finalizzati alla pubblicazione o diffusione di articoli, saggi e altre manifestazioni del pensiero, per i quali si applicano le particolari disposizioni relative ai trattamenti effettuati per fini giornalistici (articolo 136 del Codice).

In questi casi, non è necessario richiedere il consenso degli interessati, purché il trattamento avvenga nel rispetto dei limiti fissati dal codice deontologico di categoria. Per la ripresa di tali immagini sarà, quindi, sufficiente rilasciare ai dipendenti un'adeguata informativa (ex articolo 13 del Codice sulla privacy).

Domanda: Un'azienda che fornisce ai dipendenti un collegamento ad Internet per esigenze di servizio, può poi servirsi del "log" che registra gli accessi ai singoli siti ed usarlo contro il dipendente stesso nel caso di accessi ritenuti non di pertinenza aziendale?

Risposta: In linea generale tale tipo di controllo non è permesso, posto che lo Statuto dei lavoratori stabilisce i divieti dell'installazione di impianti audiovisivi o altri strumenti di controllo a distanza e di indagini sulle opinioni, a tutela del diritto alla riservatezza del dipendente sul luogo di lavoro, al fine di tutelare la libertà e la dignità dello stesso (privacy compresa).

L'impiego di strumenti di controllo a distanza (nella specie i logs, ma anche i bookmarks o la cache memory) deve rispondere a precise esigenze di sicurezza e organizzazione del lavoro e deve essere comunque concordato con le rappresentanze sindacali, come previsto dallo Statuto dei Lavoratori.

Nel caso in cui tali strumenti di controllo a distanza vengano installati, sarà anche necessario rispettare i principi sanciti dal Codice sulla privacy e, in particolare, sarà, necessario fornire ai dipendenti l'informativa di cui all'art. 13, richiedere loro il consenso al trattamento dei dati e, infine, rispettare l'art.11.

Domanda: Nel caso in cui il dipendente fruisca di permessi studio per affrontare esami universitari può il datore di lavoro richiedere che il certificato relativo all'esame sostenuto indichi anche la votazione conseguita?

Risposta: L'art. 10 dello Statuto dei Lavoratori prevede, all'ultimo comma, che i datori di lavoro possono richiedere la produzione delle certificazioni necessarie all'esercizio del diritto di fruire di permessi per motivi di studio.

Dal tenore letterale della disposizione, e in particolare dalla parola "necessarie", si comprende che le certificazioni devono avere il contenuto minimo idoneo a giustificare l'assenza e certamente tale non è il voto conseguito.

Nella materia è determinante l'art.11 del Codice, che stabilisce che i dati personali oggetto di trattamento devono essere pertinenti e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati. Orbene, l'indicazione della votazione conseguita non è pertinente ed è eccedente rispetto alla finalità del trattamento che è quella di verificare il motivo dell'assenza dal posto di lavoro.

Domanda: Con l'autorizzazione dei dipendenti si possono riprendere con telecamere a circuito chiuso le lavorazioni all'interno di un laboratorio? Le immagini possono essere conservate su cassetta?

Risposta: L'attività descritta non è consentita poiché Il Codice della privacy ha lasciato integralmente in vigore lo Statuto dei lavoratori.

L'art. 4 di tale testo stabilisce il generale divieto dell' "uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori", a prescindere dunque dal consenso dei lavoratori. E' evidente che la norma tutela il lavoratore dipendente da possibili abusi del datore di lavoro, in considerazione della frequente supremazia socio-economica di quest'ultimo.

Tali strumenti sono permessi solo se resi necessari da esigenze organizzative e produttive ovvero di sicurezza, ma anche in presenza di queste situazioni, sul punto deve intervenire uno specifico accordo con le rappresentanze sindacali.

Domanda: È lecito, da parte del datore di lavoro, notificare il licenziamento di un dipendente, con relativa motivazione, tramite lettera non inserita in busta chiusa, ma solo piegata e graffata, seppure come A.R.?

Risposta: Nel caso prospettato, il datore di lavoro potrebbe essersi comportato in maniera carente sotto il profilo della sicurezza, cioè nell'adozione di misure idonee a ridurre al minimo i rischi di accesso non autorizzato alle informazioni da parte di soggetti diversi dal destinatario della comunicazione, o di trattamento non consentito o non conforme alle finalità della raccolta.

L'omessa adozione (anche solo per colpa) di idonee misure di sicurezza, se dall'episodio è scaturito un danno (anche non patrimoniale) per il soggetto interessato, consente al dipendente di ottenere il risarcimento promuovendo la relativa azione giudiziaria.

Domanda: Quando vado a ritirare la busta paga la trovo buttata su un bancone insieme alle altre, quindi tutti possono vedere la mia busta, come io posso vedere quella degli altri. Vorrei sapere se tutto ciò è irregolare e, in caso di risposta positiva, come posso impedire che si continui a violare la mia, anzi la nostra, privacy.

Risposta: Sicuramente la situazione da Lei descritta è irregolare, poiché tutti i soggetti che trattano dati personali, datore di lavoro compreso, sono tenuti a garantire la sicurezza dei dati personali di cui sono in possesso, attraverso l'adozione di misure di sicurezza, atte a ridurre al minimo i rischi di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Il dipendente ha dunque diritto di ottenere che la consegna della busta paga avvenga in modo tale da non permettere ai colleghi di conoscere i propri dati personali retributivi che potrebbero rivelare, oltre all'importo percepito, anche l'esistenza di particolari situazioni, quali pignoramenti in atto, assegni di mantenimento a favore del coniuge separato e così via.

Domanda: L'azienda in cui presto servizio, un Istituto bancario con natura giuridica di Società per Azioni, rifiuta di farmi prendere visione della documentazione contenuta nella mia cartella personale presso l'apposito servizio. Tale comportamento è corretto?

Risposta: Il comportamento dell'Istituto è assolutamente illegittimo.

Per avere visione completa dei dati che la riguardano, potrà farne richiesta (meglio mediante raccomandata con avviso di ricevuta) ai sensi dell'art.7 del Codice della privacy.

Nel caso in cui il rifiuto persista, o in caso di mancata risposta, decorsi 15 giorni dal suo ricevimento, potrà esporre il fatto al Garante, che provvederà adottando tutte le misure necessarie, oppure potrà adire l'Autorità Giudiziaria per ottenere il risarcimento dell'eventuale danno.

Domanda: In una Azienda privata, ciclicamente (ogni due mesi) e forzatamente (è richiesta la firma per avvenuta visione), viene messo in circolazione un tabulato riportante, nel dettaglio e senza omissioni, interi numeri di telefono appartenenti ad utenze private per telefonate in partenza da un telefono interno, il cui numero riconduce in modo univoco ad una persona (dipendente).

Chiedo se in questo caso, oltre al Codice della privacy, non sia violato anche lo Statuto dei lavoratori (L. 300 del 1970), in quanto su tale tabulato vengono indicati giorni ed ore delle telefonate, esercitando così un controllo abusivo su giorni ed ore di effettiva presenza sul posto di lavoro.

Risposta: L'utilizzazione di modalità di controllo del traffico telefonico non è, di per sé, contraria alle disposizioni della legge, quando vi sia informazione degli interessati e, comunque, avvenga con una modalità tale da non compromettere la riservatezza dei dipendenti, attraverso la diffusione generalizzata di elenchi e tabulati.

Una di queste modalità, per esempio, potrebbe essere l'oscurare parte del numero.

Per quanto attiene alla violazione dello statuto dei lavoratori, inoltre, non ci sembra che la fattispecie narrata costituisca strumento indiretto di controllo a distanza ma, su questo, non conoscendo esattamente i dettagli, non ci sentiamo di fornire una risposta definitiva, non rientrando la materia, peraltro, nell'oggetto della nostra attività di risposta a quesiti.

Domanda: Tutte le aziende devono chiedere ai dipendenti se sono iscritti a qualche organizzazione sindacale, allo scopo di effettuare la relativa trattenuta. Questa informazione rientra certamente tra i dati "sensibili" ed il suo trattamento è quindi soggetto (art. 26) al consenso del Garante (entro 30 giorni)?

Risposta: Riteniamo che, nel parlare di "consenso" del Garante, Lei faccia riferimento alle autorizzazioni rilasciate dall'Ufficio dell'Autorità per il trattamento dei dati sensibili.

Per i dati sensibili trattati nell'ambito del rapporto di lavoro, il Garante emette annualmente un'autorizzazione preventiva e generale, per cui non occorre più richiedere e ottenere l'autorizzazione specifica. Occorre però verificare che il trattamento effettuato corrisponda a quello autorizzato dal Garante.

Domanda: Può un'azienda installare un software che controlla il traffico da/per Internet prodotto dai computer (dipendenti) della propria LAN? Quindi, sapere chi va a vedere cosa e per quanto usa Internet?"

La domanda deve essere accessoriata da motivazioni del tipo:

Se può essere utile a chiarire lo scenario (sperando di non parlare di cose che sapete meglio di me), vi dico che tecnicamente è molto semplice:
si usa uno sniffer, cioè un programma che viene installato su una stazione della LAN e che controlla tutto quello che passa nella rete interna. Ogni "oggetto" (pacchetto) viene aperto e controllato per sapere cosa contiene, da dove viene e dove va ...

Per ogni azione lo sniffer tiene una traccia in un file di Log che a fine giornata può essere elaborato come una semplicissima fonte di dati per ottenerne grafici e informazioni precise del tipo: