A cura di Damiana Lesce e Valeria De Lucia
Il rapporto di lavoro è, tra i rapporti contrattuali, uno di quelli in cui è più usuale gestire dati particolarmente riservati ed in alcuni casi “sensibili”: il datore di lavoro, pubblico o privato, tratta quotidianamente dati relativi alla salute, alla affiliazione sindacale, alla condizione economica dei propri dipendenti e collaboratori. Spesso il focus sulla protezione dei dati personali si concentra sui trattamenti più “complessi”, tramite sistemi telematici, dati biometrici, strumenti di lavoro informatici, certificati medici, dimenticando talvolta che il diritto alla privacy attiene anche alle cose più “semplici”.
Un esempio su tutti: la busta paga.
La predisposizione della busta paga è un trattamento in termini generali lecito e anzi obbligatorio, volto anzitutto a documentare al lavoratore le diverse voci relative alle competenze e alle trattenute anche per permettere a questi una verifica agevole circa l’esatta corresponsione della retribuzione. E tuttavia per determinate voci, appare non conforme ai principi di pertinenza e non eccedenza indicare talune diciture idonee a rivelare aspetti particolarmente delicati.
E’ il caso ad esempio della voce “pignoramento”. Meglio indicare al suo posto una dicitura quale “trattenute presso terzi” (come suggerito dal Garante della protezione dei dati personali in un suo provvedimento del 31 ottobre 2007), o un codice numerico identificativo della trattenuta stessa. Anche per quanto riguarda la “quota sindacale”, il Garante, sempre applicando il principio di “minimizzazione” del trattamento, ha evidenziato come sia del tutto “superflua” l’indicazione della sigla identificativa dell’organizzazione sindacale destinataria della ritenuta sindacale.
“Tali cautele, pur riguardando un documento certamente relativo al rapporto tra datore di lavoro e dipendente, evitano che, in caso di richiesta di esibizione o di produzione del cedolino da parte di soggetti ai quali l’interessato abbia ad esempio richiesto un finanziamento, divengano chiaramente conoscibili a terzi delicati aspetti relativi alla sfera privata del lavoratore, oppure notizie eccedenti la finalità perseguita con il cedolino” (provv. Garante del 19 febbraio 2002).
Il tema della privacy in relazione ai dati salariali è tornato in auge a seguito della entrata in vigore della disciplina in materia di trasparenza della P.A. Come noto, tale disciplina, sin dal 2013, ha previsto la pubblicazione dell’entità di corrispettivi e compensi di talune persone fisiche, quali i titolari di incarichi amministrativi di vertice, dirigenziali e di collaborazione o consulenza, nonché i dipendenti pubblici cui siano stati conferiti o autorizzati incarichi
Nelle proprie “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” del giugno 2014, il Garante ha evidenziato che risulta proporzionato indicare il compenso complessivo percepito dai singoli soggetti interessati, determinato tenendo conto di tutte le componenti, anche variabili, della retribuzione.
Non appare, invece, giustificato riprodurre sul web la versione integrale di documenti contabili, i dati di dettaglio risultanti dalle dichiarazioni fiscali oppure dei cedolini dello stipendio di ciascun lavoratore come pure l’indicazione di altri dati eccedenti riferiti a percettori di somme (quali, ad esempio, i recapiti individuali e le coordinate bancarie utilizzate per effettuare i pagamenti).
Privacy e cedolini significa anche tutelare la riservatezza al momento della consegna della busta paga. Sin dal dicembre 1998, il Garante ha avuto modo di esprimersi su un quesito posto dal Comune di Roma, suggerendo di adottare “opportune cautele a tutela della riservatezza che possono consistere, ad esempio, nel piegare e spillare il cedolino, nell’imbustarlo o nell’apporvi una copertura delle parti più significative che non riguardino dati di comune conoscenza (generalità, ufficio di appartenenza, ecc.), ovvero nell’introdurre una cd. “distanza di cortesia” agli sportelli”.
Analoghe cautele vanno adottate anche per l’invio via email o la pubblicazione sull’intranet aziendale, al fine di prevenire e limitare accessi di terzi ai dati contenuti nelle buste paga “dematerializzate”. La digitalizzazione incide anche su questo tema: l’evoluzione tecnologia crea certamente nuovi “profili di rischio” della privacy ma, al contempo, fornisce nuovi strumenti per tutelarla.
Con il provvedimento n. 438 del 27 ottobre 2016, il Garante ha dato il proprio benestare alla sperimentazione di un progetto del Consorzio per il Sistema Informativo Piemonte, di autenticazione basato sul riconoscimento vocale e facciale per la consegna dei cedolini online ai dipendenti, in alternativa al sistema precedentemente in uso basato su user-id e password.
Il progetto che è stato sottoposto a verifica preliminare dell’Autorità rientra in un programma europeo PIDaaS (Private Identity as a Service) con finalità scientifiche. L’autorizzazione del Garante si riferisce esclusivamente alla fase sperimentale e la newsletter non riguarda eventuali future applicazioni “a regime” del sistema che dovranno essere sottoposte a un nuovo vaglio dell’Autorità. Per innalzare il livello di protezione dei dati dei partecipanti al test il Garante ha anche prescritto l’adozione di ulteriori misure rispetto a quelle già previste dal CSI Piemonte.