Diritto e Fisco | Articoli

Pubblico dipendente: come proteggere la privacy

5 Febbraio 2019


Pubblico dipendente: come proteggere la privacy

> Diritto e Fisco Pubblicato il 5 Febbraio 2019



Il 25 maggio 2018 è entrato definitivamente in vigore il GDPR, ossia, il nuovo Regolamento europeo relativo al trattamento dei dati personali. Anche gli enti pubblici devono adeguarsi alle nuove norme nel trattamento dei dati dei propri dipendenti.

La data del 25 maggio 2018 costituisce un momento storico spartiacque nella gestione dei dati personali nel territorio europeo. È in questa data, infatti, che è entrato definitivamente in vigore l’ormai celebre GDPR, vale a dire, il Regolamento europeo che disciplina il trattamento dei dati personali, di cui negli ultimi tempi si è sentito parlare moltissimo. Il GDPR sta rivoluzionando a 360° il trattamento e la gestione dei dati personali in moltissimi ambiti. Uno dei tanti ambiti in cui occorre ripensare il trattamento dei dati riguarda la gestione dei dati personali dei dipendenti, anche nel settore pubblico. Il GDPR infatti si applica sia al settore pubblico che al settore privato. In questo articolo approfondiremo cosa dovranno fare ministeri, enti locali, pubbliche amministrazioni in genere per la tutela della privacy del dipendente pubblico.

Chi deve adeguarsi al GDPR?

Il nuovo GDPR [1], alla pari del cosiddetto Codice Privacy [2], impone a tutti i soggetti che trattano dati personali di adeguarsi alle regole previste nello stesso GDPR.

Non esiste dunque alcuna area di esenzione dalle regole del GDPR. Qualsiasi soggetto giuridico, sia esso privato o pubblico, se tratta dati personali deve farlo in base alle norme del GDPR.

È dunque fondamentale partire dalle nozioni per capire quando si è in presenza di un dato personale e quando lo si sta trattando.

Ai fini del GDPR per dato personale si intende qualsiasi informazione che identifica o rende identificabile, direttamente o indirettamente, una persona. È un dato personale, dunque, il nome ed il cognome, la data di nascita, il codice fiscale, etc.

Il trattamento di dati personali è rappresentato da qualsiasi attività con cui un soggetto tratta i dati di una persona. Il trattamento può consistere in diverse attività tra le quali raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione di dati personali.

Sono molti gli obblighi che il GDPR pone a carico di chi tratta dati personali. E ciò come detto vale anche nel settore pubblico. La prima forma di tutela della privacy del dipendente pubblico è il fondamentale obbligo in capo all’ente pubblico datore di lavoro di fornire all’interessato, cioè al dipendente pubblico, l’informativa privacy.

Che cos’è l’informativa privacy?

L’informativa privacy è un documento che ha la funzione di spiegare all’interessato (dipendente pubblico) come il datore di lavoro (che nel linguaggio del GDPR è il “titolare del trattamento”) tratterà i suoi dati personali.

Con l’informativa privacy il datore di lavoro comunica chi è il soggetto che tratterà i dati, per quali scopi li tratterà, per quanto tempo li tratterà, con quali modalità li tratterà e cosa può fare il dipendente per opporsi al trattamento [3].

Contenuto dell’informativa privacy del dipendente pubblico

Nel caso in cui l’ente pubblico ha già fornito al dipendente pubblico una informativa privacy basata sulle norme del previgente Codice Privacy sarà opportuno trasmettere una comunicazione al dipendente pubblico con cui viene sostituita la vecchia informativa con una nuova informativa adeguata al GDPR.

La nuova informativa privacy al dipendente pubblico deve contenere le seguenti informazioni:

In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

l’identità e i dati di contatto dell’ente pubblico (ovvero del titolare del trattamento in base alla terminologia del GDPR);

i dati di contatto del responsabile della protezione dei dati, ove applicabile. Il responsabile della protezione dei dati (detto anche DPO, dall’inglese Data protection officer) è un professionista esperto di privacy che l’ente nomina e che osserva, valuta e dà consulenza sulla protezione dei dati. Occorre considerare che per gli enti pubblici il DPO è sempre obbligatorio;

  • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento. Nel caso dei dipendenti pubblici la finalità e la base giuridica è l’esecuzione del contratto di lavoro tra l’ente e il dipendente;
  • se i dati dei dipendenti vengono comunicati ad altri, come ad esempio società esterne che elaborano le paghe, si devono indicare gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • se l’ente ha intenzione di trasferire i dati personali del dipendente a un paese terzo o a un’organizzazione internazionale questa intenzione deve essere indicata. Se il trasferimento avviene in un paese esterno all’Unione europea l’ente deve dire se la commissione europea ha valutato che questo paese dà opportune garanzie per la protezione dei dati e quali misure di sicurezza vengono adottate;
  • il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  • l’ente deve far sapere al dipendente che ha diritto a chiedere l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  • il diritto del dipendente pubblico di proporre reclamo al Garante privacy;
  • l’ente dovrà far presente che il trattamento dei suoi dati personali è obbligatorio per l’esecuzione del contratto di lavoro e che, in mancanza, se il dipendente si opponesse al trattamento, non potrebbe essere data esecuzione al contratto di lavoro;
  • l’esistenza di un processo decisionale automatizzato.

Il GDPR non impone una modalità specifica di consegna dell’informativa privacy. Per motivi di prova è consigliabile consegnare a mano l’informativa facendo firmare una copia della stessa per avvenuta presa visione e consegna.

In alternativa, se l’ente è dotato di una rete intranet in cui vengono caricate le comunicazioni per i dipendenti, l’informativa privacy può essere caricata al suo interno anche se in questo modo risulta più difficile dimostrare con certezza l’avvenuta consegna della stessa.

L’utilizzo degli strumenti di controllo

Il dipendente pubblico, alla stessa stregua del dipendente privato, non può essere ripreso nell’esecuzione della prestazione di lavoro. La legge [4] infatti tutela la riservatezza e la privacy dei lavoratori e vieta l’installazione di telecamere che abbiano come obiettivo quello di controllare l’esecuzione della prestazione di lavoro del dipendente.

Il controllo del dipendente potrebbe avvenire, tuttavia, anche con gli strumenti che il dipendente pubblico utilizza normalmente per rendere la prestazione di lavoro. Si pensi al PC, al cellulare di servizio, alla mail aziendale dati in uso ai dipendenti.

La funzione di questi strumenti è eseguire l’attività lavorativa ma non vi è dubbio che con semplici accorgimenti tecnologici l’ente potrebbe usarli anche per controllare a distanza la prestazione di lavoro.

L’ente dovrà dunque predisporre una policy o regolamento informatico con il quale:

  • disciplina le modalità di utilizzo degli strumenti tecnologici dati in uso ai dipendenti pubblici;
  • specifica quale uso è consentito e quale uso è vietato;
  • specifica se l’ente si riserva la possibilità di porre in essere dei controlli sull’utilizzo degli strumenti tecnologici dati in uso ai dipendenti pubblici;
  • se sono previsti i controlli, ne illustra le caratteristiche e le modalità di attuazione.

Se queste informazioni non verranno fornite, l’ente non potrà utilizzare le informazioni ottenute dall’effettuazione di controlli sull’utilizzo degli strumenti tecnologici dati in uso ai dipendenti pubblici.

Privacy e sindacato

L’iscrizione del dipendente pubblico ad un certo sindacato costituisce un dato particolare. Questa è la nuova terminologia che usa il GDPR per definire quelli che una volta erano definiti dati sensibili.

L’affiliazione sindacale, insieme alla fede politica, alla fede religiosa, all’etnia di appartenenza, all’orientamento sessuale etc. costituisce infatti un dato che rileva una particolare caratteristica della persona dalla quale potrebbero derivare discriminazioni e abusi.

Il Garante della privacy si è pronunciato diverse volte su come gli enti pubblici devono tutelare la riservatezza di questo dato particolare ed ha chiarito due aspetti importanti:

  • nelle buste paga di solito è presente la voce “iscrizione sindacale” perché l’ente pubblico trattiene dalla paga del dipendente la quota di adesione al sindacato e poi la rigira al sindacato stesso. Per tutelare la privacy del dipendente pubblico è bene che non sia specificato nel cedolino a quale sindacato il dipendente aderisce, essendo preferibile sostituire la sigla sindacale con un codice;
  • se un dipendente cambia sindacato l’azienda non può comunicare alla sigla sindacale di provenienza il nuovo sindacato a cui il lavoratore ha inteso aderire, dovendosi limitare a comunicare la revoca dell’affiliazione sindacale [5].

Anche gli enti pubblici devono prestare massima attenzione nell’eseguire le norme del GDPR considerando anche che lo stesso prevede sanzioni molto salate in caso di violazione.


note

[1] Regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

[2] D. Lgs. n. 196/2003. Occorre ricordare che il Codice privacy non è stato automaticamente abrogato con l’entrata in vigore del GDPR ma le sue norme sono state armonizzate alla nuova disciplina europea dal D. Lgs. n. 101/2018.

[3] Artt. 13 e 14 Regolamento (UE) n. 2016/679.

[4] Art. 4 L. n. 30071970 (Statuto dei Lavoratori).

[5] Garante privacy, provvedimento n. 9065999 del 15.11.2018.


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA