Diritto e Fisco | Articoli

Tutela della privacy del dipendente pubblico

27 Gennaio 2019


Tutela della privacy del dipendente pubblico

> Diritto e Fisco Pubblicato il 27 Gennaio 2019



Il dipendente pubblico, al pari di qualsiasi altro dipendente privato, ha diritto alla tutela della riservatezza dei propri dati.

L’anno che si è appena concluso è stato, senza dubbio, un anno cruciale per la materia della privacy e della protezione dei dati personali. Il 2018, infatti, passerà alla storia come l’anno nel quale, a partire dal 25 maggio, in tutti gli Stati europei è entrato definitivamente in vigore il GDPR, ossia, il nuovo regolamento generale dell’Unione europea in materia di privacy e protezione dei dati personali. Il GDPR si applica in tutti i casi in cui un soggetto tratta dati di un altro soggetto. E’ dunque evidente che anche nei rapporti di lavoro si pone la necessità di adeguarsi alle regole del GDPR posto che il datore di lavoro, nel momento in cui assume un dipendente e per tutta la durata del rapporto, entra in contatto e tratta i dati di quel dipendente. Anche la tutela della privacy del dipendente pubblico deve essere dunque garantita non essendoci deroghe e eccezioni in questo ambito. Anzi è vero il contrario. Alle norme introdotte dal GDPR, infatti, nel settore pubblico si aggiungono anche le regole del cosiddetto whistleblowing ossia una normativa introdotta per tutelare chi, nella pubblica amministrazione, denuncia le misfatte altrui e eventuali reati di cui viene a conoscenza nell’ambito lavorativo.

Che cos’è la privacy?

Il termine privacy, che in italiano viene spesso indicato con la parola riservatezza, indica il diritto alla riservatezza della vita privata di una persona.

Dal punto di vista giuridico, per tutelare la riservatezza, in Italia è stata introdotta una normativa [1], il cosiddetto Codice privacy, che fissa regole e paletti ben precisi nel trattare i dati personali di una persona.

A partire dal 25 maggio 2018, come accennato sopra, la materia della privacy è stata rivoluzionata dalla definitiva entrata in vigore del GDPR [2] che rappresenta oggi la normativa di riferimento per la gestione dei dati personali in tutta Europa.

Per capire la normativa privacy è importante capire dalle definizioni e cioè da cosa si intende per dato personale, per trattamento dei dati e come vengono chiamati i soggetti coinvolti nella privacy:

  • «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
  • «trattamento»: qualsiasi operazione o insiemi di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicati a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
  • «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
  • «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Spostando queste definizioni sul piano concreto, immaginiamo un rapporto di lavoro pubblico tra il Comune Alfa e Tizio, impiegato amministrativo dell’ente.

Il Comune Alfa è il titolare del trattamento e Tizio è l’interessato. Il Comune Alfa pone in essere senza alcun dubbio un trattamento dei dati personali di Tizio. Infatti, per gestire il rapporto di lavoro, il Comune Alfa deve trattare i dati di Tizio come il nome, cognome, indirizzo, numero di telefono, codice fiscale, deve conoscere l’Iban per pagargli lo stipendio, deve conoscere anche dati particolari come l’iscrizione al sindacato, per pagare la relativa quota all’organizzazione sindacale, e i dati relativi alla salute in caso di malattia, infortunio, etc.

Come si tutela la privacy del dipendente pubblico?

Le amministrazioni pubbliche, al pari di qualsiasi altro titolare del trattamento, dovranno rispettare le norme del GDPR quando trattano i dati dei dipendenti e in particolare, tornando al nostro esempio, il Comune Alfa dovrà:

  1.  consegnare a Tizio un’informativa privacy [3] con le caratteristiche prescritte dal GDPR che spieghi a Tizio chi è il titolare del trattamento, i dati di contatto del responsabile protezione dati (detto anche DPO), perché vengono trattati i suoi dati e con quali finalità, qual è la base giuridica del trattamento dei suoi dati, se i dati verranno trasferiti o meno ad altri soggetti e per quanto tempo verranno conservati; inoltre il Comune Alfa dovrà ricordare a Tizio nell’informativa i diritti dell’interessato previsti dal GDPR (rettifica dei dati, cancellazione, proposizione di reclami, etc.);
  2. in Comune non tutti i dipendenti tratteranno dati per conto del titolare ma solo alcuni. Facciamo un esempio. L’operaio comunale che si occupa di manutenzione non tratta dati personali altrui per conto del titolare. L’addetto alle paghe, al contrario, lo fa quotidianamente. Le persone che trattano dati personali per conto del titolare, e quindi quasi tutti gli impiegati, dovranno essere nominati, con una specifica lettera di nomina, persona autorizzata al trattamento dei dati. Nella lettera di nomina il Comune Alfa dovrà indicare all’incaricato come trattare i dati, quali principi rispettare, etc.;
  3. poniamo che i dati personali di cui è titolare il Comune Alfa vengano trattati anche da altri soggetti esterni a cui il Comune ha affidato un certo servizio. Questi soggetti esterni devono essere nominati responsabile del trattamento [4] con un apposito contratto tra titolare del trattamento e responsabile del trattamento che contenga le istruzioni fornite al responsabile su come trattare i dati;
  4. è bene, sempre con riferimento alla tutela della privacy del dipendente pubblico, che il Comune Alfa approvi un regolamento con cui spiegare ed illustrare ai dipendenti come devono essere utilizzati gli strumenti informatici che vengono dati in uso ai dipendenti come ad esempio: PC aziendale, rete internet, SIM aziendale, telefoni di servizio, mail aziendale, etc. In questo regolamento il Comune Alfa deve anche spiegare se intende effettuare dei controlli sull’uso degli strumenti informatici da parte del dipendente. Anche il controllo, ad esempio, della mail del dipendente infatti costituisce un trattamento di suoi dati e dunque deve esserci la preventiva informazione.

Che cos’è il whistleblowing?

I principi che abbiamo esaminato sino ad ora sono i normali principi che devono essere rispettati ogni volta che viene posto in essere un trattamento di dati personali.

Nell’ambito pubblico, tuttavia, esiste una normativa specifica che regola la tutela della privacy di una particolare categoria di dipendenti pubblici: i whistleblower.

Il whistleblower è un dipendente pubblico che, mentre è al lavoro, si accorge che un collega o un superiore gerarchico ha commesso un reato o comunque un comportamento scorretto e decide di segnalarlo.

In questo caso si pone il problema di tutelare la riservatezza del whistleblower.

Per tutelare chi, nella pubblica amministrazione, si fa parte attiva nella lotta alla corruzione ed al crimine, la legge [5] prevede una serie di tutele e in particolare:

  • il whistleblower che – nell’interesse dell’amministrazione – segnala al responsabile della prevenzione della corruzione dell’ente (che di solito è un dirigente amministrativo; negli enti locali è il segretario comunale o provinciale) o all’Autorità nazionale anticorruzione (ANAC) o ancora all’autorità giudiziaria ordinaria o contabile le condotte illecite o di abuso di cui sia venuto a conoscenza in ragione del suo rapporto di lavoro, non può essere – per motivi collegati alla segnalazione – soggetto a sanzioni, demansionato, licenziato, trasferito o sottoposto a altre misure organizzative che abbiano un effetto negativo sulle condizioni di lavoro;
  • se vengono adottate misure discriminatorie nei confronti del whistleblower, tale situazione deve essere comunicata dall’interessato o dai sindacati all’Anac che a sua volta ne dà comunicazione al Dipartimento della funzione pubblica e agli altri organismi di garanzia. In questi casi l’Anac può far pagare una sanzione amministrativa pecuniaria a carico del responsabile da 5.000 a 30.000 euro, fermi restando gli altri profili di responsabilità. Inoltre, l’Anac applica la sanzione amministrativa da 10.000 a 50.000 euro a carico del responsabile che non svolge le attività di verifica e analisi delle segnalazioni ricevute;
  • le amministrazioni pubbliche devono predisporre un canale apposito per i dipendenti che vogliano effettuare delle segnalazioni riservate relative a fatti di corruzione, reati o comunque altri comportamenti lesivi per l’amministrazione. Il canale deve garantire il più possibile la riservatezza del whistleblower. Sono stati sviluppati, a questo proposito, numerosi software che consentono di inoltrare segnalazioni riservate e sicure.

note

[1] D. Lgs. n. 196/2003.

[2] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27.04.2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

[3] Artt. 13 e 14 GDPR.

[4] Art. 28 GDPR.

[5] L. n. 179 del 30.11.2017, ANAC, Indicazioni ai segnalanti e pubbliche amministrazioni per il corretto utilizzo della piattaforma informatica 12.09.2018.


scarica gratis il tuo contratto su misura

Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA