Proteggere i dati del dipendente
La protezione dei dati: dalla candidatura all’assunzione fino al termine del rapporto di impiego. Intervista a
Michele Albertini, dr. iur, Incaricato cantonale della protezione dei dati.
|
|
|
Quali sono gli imperativi basilari della protezione dei dati applicabili nel rapporto di lavoro?
«Il Legislatore federale ha voluto completare l’ordinamento sulla protezione dei dati, introdotto con la Legge federale sulla protezione dei dati del 1992 (LPD), adottando per il settore privato del lavoro il nuovo articolo 328b del Codice svizzero delle obbligazioni (CO). Questa norma limita l’elaborazione da parte del datore di lavoro ai dati che si riferiscono all’idoneità lavorativa del lavoratore o candidato o che sono necessari all’esecuzione del contratto di lavoro.
|
La nuova normativa sulla protezione dei dati nel settore lavorativo sottolinea così il cambiamento di paradigma avvenuto nella protezione dei dati, il passaggio cioè dall’incontrollata raccolta di dati al principio della parsimonia. Con l’avvento delle nuove tecnologie sono poi tornate in auge anche le disposizioni del diritto pubblico sul lavoro concernenti la proibizione della sorveglianza sistematica del lavoratore.»
Quali provvedimenti tecnici e organizzativi deve adottare un datore di lavoro per proteggere i dati dei suoi dipendenti conformemente alla LPD?
«Da come si può dedurre dalla risposta precedente, e come l’esperienza insegna, il rischio principale per la protezione dei dati relativi ai lavoratori non è rappresentato da terzi esterni all’ambiente lavorativo, ma dal datore di lavoro medesimo. La prima misura di protezione è dunque la presa di coscienza, da parte del datore di lavoro, dei suoi limiti legali e delle sue responsabilità nell’elaborazione di dati personali riguardanti i suoi dipendenti. Il datore di lavoro deve in particolare garantire la trasparenza nei confronti degli impiegati in merito a ogni elaborazione di dati che li concernono. Solo la trasparenza può infatti assicurare al lavoratore il suo diritto di accesso e, se del caso, di rettifica, di blocco di trasmissione o di interruzione di elaborazione di dati. Il datore di lavoro rimane beninteso tenuto ad implementare anche le misure tecniche atte ad evitare violazioni illecite della personalità del lavoratore da parte di terzi. Deve in particolare garantire l’integrità, la confidenzialità e la disponibilità dei dati predisponendo l’infrastruttura informatica al blocco di intrusioni esterne e regolando i diritti di accesso ai dati personali.»
Facciamo qualche esempio: in un processo di ricerca di personale l’azienda riceve i documenti usuali di candidatura. Come deve trattarli? E come tratterà i documenti dei candidati non assunti?
«Va prima di tutto ribadito che i dossier di candidatura rappresentano, per la quantità di informazioni personali contenute e per la loro natura spesso meritevole di particolare protezione, un profilo della personalità. A maggior ragione ne va dunque limitato il diritto di accesso alle persone responsabili della selezione del personale (principio della proporzionalità). Va poi implementata una rigida separazione strutturale e funzionale tra dati amministrativi (dossier di candidatura in senso stretto) e dati relativi alla salute raccolti nell’ambito della procedura di selezione. Questi ultimi vengono trattati esclusivamente dal medico, il quale trasmetterà al datore di lavoro unicamente una dichiarazione relativa all’idoneità del candidato. Per quanto riguarda la documentazione dei candidati non considerati, essa deve essere restituita agli stessi. Eventuali copie vanno distrutte. Il datore di lavoro può tenersi soltanto i documenti che gli appartengono, vale a dire la lettera di candidatura, i questionari personali, le perizie grafologiche e le referenze. I dati riferiti a queste ultime categorie di documenti possono però essere conservati unicamente con l’accordo della persona interessata, altrimenti vanno distrutti. L’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha pubblicato una guida relativa all’elaborazione di dati personali nel settore lavorativo (
www.edoeb.admin.ch>Documentazione> Protezione dati > Opuscoli > Trattamento dei dati personali nell’ambito lavorativo). La guida offre ulteriori informazioni in merito al trattamento di dati personali durante l’assunzione e ne consigliamo caldamente la lettura.
Un altro esempio: un/a dipendente lavora presso l’azienda XY SA da lungo tempo. Il suo dossier personale come dovrebbe essere gestito? Eventuali certificati medici possono essere conservati?
«Durante il rapporto di lavoro, il dossier personale può contenere, sempre secondo il principio della proporzionalità, soltanto i dati indispensabili alla sua esecuzione. Il dossier personale deve pertanto essere sottoposto a vagliatura regolare, affinché vengano eliminati i documenti che non servono più. Ciò vale in particolare per documenti a contenuto sensibile, come i certificati medici e le valutazioni annuali. La vagliatura regolare serve anche ad evitare abusi, per esempio l’uso di documenti non più pertinenti nell’ambito di una procedura disciplinare. A proposito della durata di conservazione dei singoli documenti del dossier personale, rinviamo al § 7.2 del 9° rapporto di attività dell’IFPDT (
www.edoeb.admin.ch>Documentazione> Rapporti di attività). Sono inoltre inammissibili i fascicoli cosiddetti «grigi», cioè i fascicoli personali paralleli ufficiosi con dati «confidenziali» non accessibili alla persona interessata. Valgono infine, per quanto riguarda i diritti di accesso, le stesse restrizioni previste per i dossier di candidatura.»
Durante un rapporto di lavoro vengono effettuate delle valutazioni. Faranno parte del dossier personale? Se sì, con quali eventuali limitazioni?
«Le valutazioni annuali rappresentano, per il loro contenuto riguardante le competenze professionali, sociali e personali del lavoratore, un profilo della personalità. Esse vanno rese accessibili unicamente alla persona interessata e al suo superiore gerarchico responsabile della valutazione, così come, nella misura del necessario nel singolo caso, ad altri superiori in linea verticale e/o orizzontale. Una copia chiusa della valutazione va depositata al dossier personale. Il servizio del personale riceve unicamente le informazioni rilevanti per il salario. In virtù del diritto di rettifica, qualora non fosse possibile provare né l’esattezza né l’inesattezza di dati personali contenuti nella valutazione, il lavoratore può richiedere che la sua versione dei fatti vi sia anch’essa annotata. Alla stessa stregua degli altri documenti del dossier personale, anche le valutazioni non più rilevanti per il rapporto di lavoro vanno escluse dal dossier personale.»
Un dipendente lascia l’azienda. I suoi dati resteranno archiviati? Quali? E per quanto tempo?
«Il datore di lavoro è tenuto a conservare i documenti del dossier personale. La durata di conservazione varia a seconda del tipo di documento e dipende di regola direttamente dal termine di prescrizione delle relative pretese giuridiche. I documenti necessari per l’allestimento del certificato di lavoro vanno così conservati per una durata di dieci anni, conformemente al termine di prescrizione del diritto di ottenere il certificato di lavoro (art. 127 CO). Trattasi in particolare dei dati contenuti nel mansionario, nelle valutazioni, nella pianificazione della carriera, nella documentazione relativa alla formazione continua. Nella misura in cui le valutazioni meno recenti non contengono informazioni rilevanti per il certificato di lavoro, esse vanno allontanate dal dossier personale prima della scadenza dei dieci anni dal loro allestimento. Documenti che appartengono al lavoratore, come ad esempio il dossier di candidatura, e che non sono più d’interesse per il datore di lavoro, vanno restituiti al lavoratore al più tardi alla fine del rapporto di lavoro. Rimangono riservate le circostanze (ad esempio in caso di processo) in cui il datore di lavoro può ancora avere un interesse protetto alla loro ulteriore conservazione. Per quanto riguarda i documenti di proprietà del datore di lavoro (ad esempio perizie grafologiche, test della personalità), essi vanno distrutti al più tardi alla fine del rapporto di lavoro. Per ulteriori dettagli rinviamo al § 7.2 del 9° rapporto di attività dell’IFPDT (
www.edoeb.admin.ch > Documentazione> Rapporti di attività).»
L’obbligo di notifica delle collezioni di dati personali è valido anche per i dati riguardanti i dipendenti?
La LPD prevede un obbligo generale di notifica delle collezioni di dati personali, indipendentemente dalla dimensione e dalla forma giuridica dell’azienda. Il legislatore ha però introdotto delle eccezioni a questo obbligo. In particolare, per il settore privato, il dovere di notifica viene a cadere se i dati personali sono trattati in virtù di un obbligo legale (art. 11a LPD). A questo proposito l’IFPDT ha precisato ad esempio che le collezioni di dati riguardanti la clientela degli avvocati, così come quelle riguardanti il personale di una ditta, piccola o grande che sia, sono espressioni di un obbligo legale e non vanno notificate. Di fatto, in particolare sulla base di questa eccezione all’obbligo di notifica, le ditte vengono esonerate dall’obbligo di notifica delle loro principali collezioni di dati personali. Alla stessa stregua, nella misura in cui il detentore della collezione di dati ha designato un responsabile della protezione dei dati che controlli autonomamente se le disposizioni interne in materia di protezione dei dati siano rispettate e tiene un inventario delle collezioni, l’obbligo di notifica cade.
