Privacy, nel rapporto di lavoro vanno trattati solo i dati necessari

Il Garante per la protezione dei dati personali ha pubblicato sulla Gazzetta Ufficiale n. 176 del 29 luglio scorso un provvedimento che raccoglie e aggiorna prescrizioni sul trattamento di particolari categorie di dati. La pubblicazione si inserisce nel contesto di azione del Garante per adeguare l’intero sistema alle novità normative e regolamentari intervenute dal maggio 2018, data di efficacia del Gdpr.

Di sicuro interesse sono le «Prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro»: in primo luogo, perché i rapporti di lavoro sono un ambito in cui le novità in materia di privacy rivestono un’importanza maggiore, in secondo luogo perché i poteri dell’Autorità garante (e dell’Ispettorato nazionale del lavoro) in materia di verifiche e sanzioni hanno aperto nuovi fronti e questioni nella gestione dei dati Hr.

Va chiarito intanto cosa si intenda per dati «particolari»: il riferimento è all’articolo 9 del Gdpr, che li identifica come relativi all’origine razziale o etnica, alle idee e convinzioni nonché i dati genetici e biometrici.

Il provvedimento comincia con il definire il proprio ambito di applicazione: se si è in presenza di un dato personale (capace di identificare una persona fisica) e di un rapporto di lavoro (subordinato, autonomo, libero-professionale di amministrazione o collaborazione comunque declinata) allora trovano applicazione le prescrizioni del provvedimento.

In secondo luogo, il Garante indica le finalità del trattamento dei dati, con particolare riferimento alla «instaurazione, gestione ed estinzione del rapporto di lavoro» (quindi a ogni vicenda connessa ai rapporti stessi) e alla difesa di un diritto «in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione» (quindi per la gestione delle controversie tra datore di lavoro e lavoratore, o terze parti).

Non sono, queste, le uniche finalità per il trattamento dei dati prese in considerazione dal provvedimento; sono però le due categorie più ampie e rilevanti. Il perimetro del dato relativo ai rapporti di lavoro è individuato in ogni passaggio (potenziale) dello stesso: dal colloquio pre-assuntivo alla definizione della possibile causa relativa alla cessazione (anzi: «estinzione», un concetto ancora più ampio) del rapporto stesso.

Coerentemente, il Garante ripercorre queste fasi, prescrivendo specifiche tutele e obbligazioni per ognuna. La fase pre-assuntiva (sia se gestita da agenzie di selezione, sia direttamente dal potenziale datore di lavoro) deve comportare trattamento di dati «strettamente pertinenti» con la ricerca del candidato. In linea con la natura sostanziale delle prescrizioni del Gdpr, viene specificato che tale principio va applicato alle mansioni e ai profili professionali per i quali la ricerca è effettuata; dati esuberanti tale ambito non potranno essere oggetto di valutazione al fine dell’idoneità del candidato, con espressa esclusione dei «dati genetici», il cui trattamento è definito illegittimo ai fini di valutare l’idoneità professionale, anche ove il candidato abbia prestato il suo consenso. Una volta assunto o comunque selezionato, il lavoratore fornisce al datore i dati necessari all’esecuzione del rapporto. Tali dati non comprendono, specifica il Garante, quelli relativi alle convinzioni religiose, alle idee politiche o all’esercizio di funzioni pubbliche e sindacali. In linea con le prescrizioni dello Statuto dei lavoratori, questi ultimi sono lecitamente trattati solo per finalità specifiche e previste dall’ordinamento (ad esempio permessi, trattenute o festività) e non per valutare il dipendente.