Salta navigazione.
Home

Raccomandazione CM/Rec(2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale

Gentili colleghi,

ritenendo di fare cosa gradita nei confronti degli associati e non, lo Staff ILA segnala la Raccomandazione CM/Rec(2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale<

Raccomandazione CM/Rec(2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale
(Adottata dal Comitato dei Ministri il 1 aprile 2015, nel corso della 1224ma seduta dei rappresentanti dei Ministri)<

Il Comitato dei Ministri, ai sensi dell'art. 15b dello Statuto del Consiglio d'Europa,

Considerando che scopo del Consiglio d'Europa è quello di realizzare una unione più stretta tra i suoi membri;

Consapevole dell'utilizzazione crescente di nuove tecnologie e nuovi strumenti di comunicazione elettronica nelle relazioni tra datori di lavoro e dipendenti e dei vantaggi che ne derivano;

Ritenendo, tuttavia, che l'utilizzazione di metodologie di trattamento dati da parte dei datori di lavoro dovrebbe essere basata su principi intesi a ridurre al minimo i rischi che tali metodologie potrebbero presentare per i diritti e le libertà fondamentali dei dipendenti, in particolare per il loro diritto al rispetto della vita privata;

Avendo riguardo alle disposizioni della Convenzione per la protezione delle persone rispetto al trattamento automatizzato dei dati personali del 28 gennaio 1981 (ETS 108, nel prosieguo la "Convenzione 108") e del relativo Protocollo Addizionale sulle autorità di controllo ed i flussi transfrontalieri di dati personali dell'8 novembre 2001 (ETS 181), e tenuto conto della necessità di applicarne i principi al settore del lavoro;

Riconoscendo al contempo che, nella definizione di principi per il settore del lavoro, è necessario tenere conto sia degli interessi individuali che degli interessi collettivi, sia di quelli privati che di quelli pubblici;

Considerando che i dati personali contenuti in documenti ufficiali detenuti da un soggetto pubblico o un'autorità pubblica possono essere comunicati da tale soggetto o autorità conformemente al diritto nazionale applicabile, contemperando quindi l'accesso a tali documenti ufficiali con il diritto alla protezione dei dati personali nel rispetto dei principi della presente raccomandazione;

Consapevole delle diverse tradizioni esistenti negli Stati membri per ciò che concerne la disciplina dei vari aspetti dei rapporti di lavoro, e rilevando che il ricorso a disposizioni legislative rappresenta solo uno degli strumenti utilizzati per disciplinare tali rapporti;

Consapevole dei cambiamenti che si sono verificati a livello internazionale nel settore occupazionale e in quello delle attività correlate, in particolare a seguito del ricorso più consistente alle tecnologie dell'informazione e della comunicazione (ICT) e della globalizzazione di occupazioni e servizi;

Considerando che, alla luce di tali cambiamenti, è opportuno rivedere la Raccomandazione Rec(89)2 del Comitato dei Ministri agli Stati Membri sulla protezione dei dati personali utilizzati per finalità lavorative così che possa continuare a garantire un livello adeguato di tutela delle persone nel contesto occupazionale;

Ricordando che l'Art. 8 della Convenzione europea dei diritti umani (ETS 5) tutela il diritto alla vita privata, comprese le attività di natura professionale o imprenditoriale, alla luce dell'interpretazione fornitane dalla Corte europea dei diritti umani;

Richiamando l'applicabilità dei principi fissati in altre pertinenti raccomandazioni del Comitato dei Ministri del Consiglio d'Europa agli Stati Membri, ed in particolare nella Raccomandazione CM/Rec(2010)13 sulla tutela delle persone fisiche con riguardo al trattamento automatizzato di dati personali nel contesto della profilazione, nella Raccomandazione Rec(97)5 sulla protezione dei dati sanitari e nella Raccomandazione Rec(92)3 sui test e gli screening genetici per finalità sanitarie;

Richiamandosi ai principi-guida per la tutela delle persone fisiche con riguardo alla raccolta ed al trattamento di dati attraverso videosorveglianza, adottati dal Comitato europeo per la cooperazione giuridica (CD-CJ) del Consiglio d'Europa nel mese di maggio 2003, di cui alla Risoluzione 1604(2008) in materia di videosorveglianza di aree pubbliche, adottata dall'Assemblea Parlamentare del Consiglio d'Europa, principi che risultano di particolare pertinenza;

Richiamandosi alla Carta Sociale europea (ETS 163) nella versione emendata del 3 maggio 1996, ed al Codice deontologico elaborato dall'International Labour Office nel 1997, relativo alla protezione dei dati personali dei lavoratori;

Raccomanda ai Governi degli Stati membri:

- di garantire che i principi contenuti nella presente raccomandazione siano recepiti nell'attuazione delle disposizioni di legge nazionali in materia di protezione dei dati nel settore del lavoro, così come in altri settori del diritto relativi all'utilizzo di dati personali per scopi di lavoro;

- di garantire, a questo fine, che la presente raccomandazione sia portata all'attenzione delle autorità istituite ai sensi della legislazione nazionale in materia di protezione dei dati ed incaricate di controllare l'applicazione di tale legislazione;

- di promuovere l'accettazione e l'applicazione dei principi contenuti nell'Appendice alla presente raccomandazione attraverso strumenti integrativi,  quali codici deontologici, in modo da garantire che tali principi siano conosciuti, compresi ed applicati da tutti i soggetti nell'ambito occupazionale, ivi compresi gli organi di rappresentanza dei datori di lavoro e dei dipendenti, e che se ne tenga conto nella progettazione e nell'utilizzazione di ICT in ambito occupazionale.

APPENDICE alla Raccomandazione CM/Rec(2015)5

Parte I  - Principi generali

1. Campo di applicazione

1.1. I principi della presente raccomandazione si applicano a qualunque trattamento di dati personali per scopi di lavoro nel settore pubblico e privato.

1.2. Salvo quanto diversamente previsto dal diritto nazionale, i principi della presente raccomandazione si applicano anche alle attività di agenzie per l'impiego, pubbliche o private, che trattino dati personali al fine di consentire l'instaurazione di uno o più contratti di lavoro, anche a tempo parziale, fra singoli interessati e potenziali datori di lavoro, ovvero al fine di  supportare i datori di lavoro nell'adempimento degli obblighi connessi a tali contratti.

2. Definizioni

Ai fini della presente raccomandazione:

per ‘dato personale' si intende ogni informazione relativa ad una persona fisica identificata o identificabile ("interessato");

per "trattamento" si intende ogni operazione o insieme di operazioni compiute su dati personali, in particolare la raccolta, la memorizzazione, la conservazione, la modifica, la ricerca, la comunicazione, la messa a disposizione, la cancellazione o la distruzione di dati, o l'esecuzione di operazioni logiche e/o aritmetiche sui dati; qualora non si ricorra a trattamenti automatizzati, per trattamento si intendono le operazioni effettuate all'interno di un insieme strutturato costituito sulla base di qualsivoglia criterio che consenta la ricerca di dati personali;

per "sistemi informativi" si intende qualsiasi dispositivo o gruppo di dispositivi interconnessi o correlati, dei quali uno o più di uno svolga, in base ad un programma, trattamenti automatizzati di dati informatici nonché di dati informatici memorizzati, ottenuti o trasmessi da tali dispositivi ai fini del loro funzionamento o utilizzo, della loro protezione o manutenzione;

per "scopi di lavoro" si intendono i rapporti tra dipendenti e datori di lavoro per quanto riguarda l'assunzione, l'esecuzione del contratto di lavoro, la gestione, compreso l'adempimento di obblighi derivanti dalla legge o da contratti collettivi, nonché la pianificazione ed efficiente gestione di un ente e la cessazione del rapporto di lavoro. Il rapporto contrattuale può produrre conseguenze anche oltre il termine previsto nel contratto di lavoro;

per "datore di lavoro" si intende qualsiasi persona fisica o giuridica, pubblica autorità o agenzia che sia titolare di un rapporto di lavoro con un dipendente o valuti l'instaurazione di un tale rapporto nei riguardi di un candidato all'impiego e sia giuridicamente responsabile dell'impresa o dello stabilimento;
per "dipendente" si intende qualsiasi persona fisica interessata ai sensi di un rapporto di lavoro instaurato da un datore di lavoro.

3. Rispetto per i diritti umani, la dignità e le libertà fondamentali

Nel trattamento di dati personali per scopi di lavoro dovrebbero essere garantiti il rispetto della vita privata e la protezione dei dati personali, segnatamente al fine di  consentire il libero sviluppo della personalità del dipendente ed opportunità di rapporti personali e sociali sul luogo di lavoro.

4. Applicazione dei principi in materia di trattamento dei dati

4.1. I datori di lavoro dovrebbero ridurre al minimo il trattamento di dati personali, limitandolo ai dati necessari per lo scopo perseguito nel singolo caso.

4.2. I datori di lavoro dovrebbero mettere a punto idonee misure per garantire il rispetto concreto dei principi e degli obblighi connessi al trattamento di dati per scopi di lavoro. Su richiesta dell'autorità di controllo, i datori di lavoro dovrebbero essere in grado di dimostrare l'osservanza di tali principi e obblighi. Le misure in questione dovrebbero essere adattate alla quantità e tipologia dei dati oggetto di trattamento ed alla natura delle attività intraprese, e dovrebbero tenere conto anche delle implicazioni potenziali per i diritti e le libertà fondamentali dei dipendenti.

5. Raccolta e memorizzazione di dati

5.1. I datori di lavoro dovrebbero raccogliere dati personali direttamente presso l'interessato. Qualora sia necessario e lecito trattare dati raccolti presso terzi, ad esempio per ottenere referenze professionali, l'interessato dovrebbe esserne debitamente informato in via preventiva

5.2. I dati personali raccolti dai datori di lavoro per scopi di lavoro dovrebbero essere pertinenti e non eccedenti, tenuto conto del tipo di lavoro e del mutare delle esigenze di informazione da parte del datore di lavoro.

5.3. I datori di lavoro dovrebbero astenersi dall'esigere o dal chiedere che un dipendente o un candidato all'impiego conceda loro accesso ad informazioni da essi condivise online con altri soggetti, segnatamente attraverso reti di socializzazione.

5.4. La raccolta di dati sanitari è consentita esclusivamente per le finalità indicate al Principio 8.2 della presente raccomandazione.

5.5. La memorizzazione di dati personali per scopi di lavoro è consentita esclusivamente se i dati sono stati raccolti in conformità dei requisiti indicati ai Principi 4, 9 e da 14 a 20 della presente raccomandazione, ed esclusivamente per il periodo necessario al perseguimento dello scopo legittimo del trattamento. I dati in questione dovrebbero essere pertinenti, idonei e non eccedenti. In caso si memorizzino dati valutativi concernenti la prestazione o le potenzialità di un dipendente, tali dati dovrebbero essere utilizzati esclusivamente allo scopo di valutare le competenze professionali.

6. Utilizzazione interna dei dati

6.1. I dati  personali raccolti per scopi di lavoro dovrebbero essere trattati dal datore di lavoro soltanto per tali scopi.

6.2. Il datore di lavoro dovrebbe adottare politiche o regole in materia di protezione dati e/o altri strumenti per disciplinare l'utilizzazione interna dei dati personali in conformità dei principi di cui alla presente raccomandazione.

6.3. In casi eccezionali, qualora sia necessario trattare dati per scopi di lavoro diversi da quello per cui sono stati inizialmente raccolti, il datore di lavoro dovrebbe prendere misure adeguate ad evitare utilizzi impropri dei dati per tale diversa finalità ed informarne il dipendente. Nel caso si debba prendere una decisione importante relativa al dipendente che si basi sul trattamento dei dati di cui sopra, il dipendente dovrebbe esserne informato.

6.4. Salvo quanto previsto al Principio 8, in caso di modifiche societarie, fusioni e acquisizioni si dovrebbe avere particolare riguardo ai principi di proporzionalità e finalità in ogni utilizzo successivo dei dati. Dovrebbe essere comunicata alle persone interessate ogni modifica sostanziale relativa al trattamento.

7. Comunicazione dei dati ed utilizzo di ICT ai fini della rappresentanza dei dipendenti

7.1. Conformemente alle legislazioni e prassi nazionali o alle previsioni contenute in contratti collettivi, si possono comunicare dati personali ai rappresentanti dei dipendenti esclusivamente nella misura in cui tali dati siano necessari per permettere a questi ultimi di rappresentare adeguatamente gli interessi dei dipendenti ovvero qualora i dati in questione siano necessari per l'adempimento ed il controllo degli obblighi fissati in contratti collettivi

7.2. Conformemente alle legislazioni e prassi nazionali, l'utilizzo di ICT ai fini della comunicazione di dati ai rappresentanti dei dipendenti dovrebbe essere soggetto a specifici accordi che fissino, in via preventiva, disposizioni trasparenti sul loro utilizzo e misure a tutela della riservatezza delle comunicazioni, ai sensi del principio 10.

8. Comunicazione esterna dei dati

8.1. I dati personali raccolti per scopi di lavoro dovrebbero essere comunicati esclusivamente a soggetti pubblici nell'esercizio delle rispettive funzioni ufficiali ed al fine dello svolgimento di tali funzioni, ed esclusivamente nei limiti degli obblighi legali del datore di lavoro ovvero conformemente ad altre disposizioni del diritto interno.

8.2. La comunicazione di dati personali ad organismi pubblici per scopi diversi dall'esercizio delle rispettive funzioni ufficiali, ovvero a soggetti diversi dagli organismi pubblici, fra cui soggetti appartenenti allo stesso gruppo, dovrebbe avvenire solo:

a. qualora sia necessaria per scopi di lavoro, tali scopi non siano incompatibili con le finalità per le quali i dati sono stati inizialmente raccolti, e a condizione che il dipendente interessato o i suoi rappresentanti, se del caso, ne siano informati preventivamente;

b. con il consenso libero, espresso e informato del dipendente interessato;

c. se la comunicazione è prevista dal diritto interno, e in particolare se risulta necessaria ai fini dell'adempimento di obblighi di legge o in conformità di accordi collettivi.

8.3.  Le disposizioni che disciplinano la comunicazione di dati personali al fine di garantire la trasparenza nel settore pubblico (organi governativi ed altri organismi o soggetti pubblici), compresa la vigilanza sull'uso corretto delle risorse e dei fondi pubblici, dovrebbero prevedere adeguate tutele per il diritto del dipendente alla vita privata ed alla protezione dei dati personali.

8.4. Il datore di lavoro dovrebbe prendere misure idonee a garantire che siano comunicati all'esterno solo dati pertinenti, esatti e aggiornati, particolarmente con riguardo ai dati pubblicati online e resi accessibili ad una platea più vasta di soggetti.

9. Trattamento di dati sensibili

9.1. Il trattamento di dati sensibili di cui all'Articolo 6 della Convenzione 108 è consentito soltanto in casi particolari, qualora sia indispensabile ai fini dell'assunzione per uno specifico impiego ovvero per l'adempimento di obblighi di legge connessi al contratto di lavoro, nei limiti previsti dal diritto interno e in conformità di idonee garanzie che integrino quelle previste nella Convenzione 108 e nella presente raccomandazione. Idonee garanzie dovrebbero avere lo scopo di evitare i rischi potenzialmente derivanti dal  trattamento di tali dati sensibili per gli interessi, i diritti e le libertà fondamentali del dipendente interessato, segnatamente il rischio di discriminazioni. Il trattamento di dati biometrici dovrebbe essere consentito alle condizioni di cui al Principio 18 della presente raccomandazione.

9.2. Conformemente al diritto interno, un dipendente o un candidato all'impiego può essere interrogato sul suo stato di salute e/o sottoposto ad esame medico solo per gli scopi seguenti:

a. indicarne l'idoneità ad un impiego attuale o futuro;

b. adempiere ad esigenze di medicina preventiva;

c. garantire un'idonea riabilitazione o adempiere a qualsivoglia altro obbligo relativo al luogo di lavoro;

d. tutelare gli interessi vitali dell'interessato o di altri dipendenti e altre persone fisiche;

e. consentire la concessione di indennità o contributi;

f. ottemperare a procedure giudiziarie.

9.3. Non è possibile trattare dati genetici al fine, ad esempio, di stabilire l'idoneità professionale di un dipendente o un candidato all'impiego, neppure con il consenso dell'interessato. Il trattamento di dati genetici può essere consentito solo in casi eccezionali, ad esempio per evitare un grave pregiudizio per la salute dell'interessato o di terzi, ed esclusivamente se ciò è previsto dal diritto interno e in presenza di idonee salvaguardie.

9.4. I dati relativi alla salute e i dati genetici, ove il loro trattamento sia lecito, dovrebbero essere raccolti esclusivamente presso il dipendente se ciò è previsto dalla legge, e in presenza di idonee salvaguardie.

9.5. L'accesso a ed il trattamento di dati relativi alla salute protetti dal vincolo di riservatezza sanitaria dovrebbero essere consentiti esclusivamente a personale soggetto a tale vincolo o ad altre regole in materia di segreto o riservatezza professionale. Tali dati devono:

a. riferirsi direttamente alla capacità del dipendente interessato di svolgere i propri compiti;

b. essere necessari a supporto di misure finalizzate a proteggere la salute del dipendente;

c. essere necessari per impedire rischi a carico di altri.

Qualora i dati in questione siano comunicati al datore di lavoro, il loro trattamento dovrebbe avvenire ad opera di personale debitamente autorizzato, ad esempio un appartenente all'ufficio risorse umane o un soggetto responsabile della salute e sicurezza sul luogo di lavoro; inoltre, le informazioni dovrebbero essere  comunicate esclusivamente se risultano indispensabili ai fini del processo decisionale dell'ufficio risorse umane e nel rispetto delle disposizioni di diritto interno.

9.6. I dati relativi alla salute protetti dal vincolo di riservatezza sanitaria e, ove ne sia lecito il trattamento, i dati genetici, se del caso, dovrebbero essere memorizzati separatamente da altre categorie di dati personali in possesso del datore di lavoro. Dovrebbero essere adottate misure di sicurezza tecniche ed organizzative onde impedire l'accesso a tali dati da parte di soggetti non appartenenti al servizio sanitario del datore di lavoro.

9.7. In nessun caso dovrebbero essere trattati dati relativi alla salute riferiti a soggetti terzi, se non in presenza del consenso pieno, libero, inequivocabile ed informato dell'interessato, di un'autorizzazione dell'autorità per la protezione dei dati, o di un obbligo imposto dal diritto interno.

10. Trasparenza del trattamento

10.1. Informazioni sui dati personali in possesso del datore di lavoro dovrebbero essere messe a disposizione del dipendente interessato, direttamente oppure per il tramite dei suoi rappresentanti, ovvero essere portate a conoscenza del dipendente stesso con altra idonea modalità.

10.2. I datori di lavoro dovrebbero fornire le seguenti informazioni ai dipendenti:

- Le categorie di dati personali oggetto di trattamento ed una descrizione delle finalità del trattamento;

-  I destinatari o le categorie di destinatari dei dati personali;

- Gli strumenti di cui dispongono i dipendenti per esercitare i diritti di cui al Principio 11 della presente raccomandazione, salvi eventuali strumenti più favorevoli previsti dal diritto interno o dal sistema del datore di lavoro;

- Ogni ulteriore informazione necessaria a garantire correttezza e liceità del trattamento.

10.3. Particolarmente chiara ed esaustiva deve essere la descrizione delle categorie di dati personali che possono essere raccolti tramite ICT, compresa la videosorveglianza, e dei possibili utilizzi di tali dati. Il presente principio si applica anche alle particolari tipologie di trattamento menzionate nella Parte II dell'Appendice alla presente Raccomandazione.

10.4. Le informazioni dovrebbero essere fornite in un formato accessibile e mantenute aggiornate. Ad ogni buon conto, tali informazioni dovrebbero essere fornite prima che il dipendente svolga l'attività o compia l'azione in oggetto e dovrebbero essere messe a disposizione tempestivamente attraverso i sistemi informativi utilizzati di regola dal dipendente.

11. Diritto di accesso, di rettifica e di opposizione

11.1. Il dipendente dovrebbe poter ottenere, su richiesta, a intervalli ragionevoli e senza attese eccessive, conferma del trattamento di dati personali che lo riguardano. La comunicazione dovrebbe avvenire in forma intelligibile e contenere tutte le informazioni relative alla fonte dei dati nonché ogni ulteriore informazione che il titolare sia tenuto a fornire per garantire la trasparenza del trattamento, ed in particolare le informazioni previste al Principio 10.

11.2. Il dipendente dovrebbe avere il diritto di ottenere la rettifica, il  blocco o la cancellazione di dati che lo riguardano qualora siano inesatti e/o siano stati trattati illecitamente o contravvenendo ai principi fissati nella presente raccomandazione. Il dipendente dovrebbe avere, inoltre, il diritto di opporsi in ogni momento al trattamento dei propri dati personali, salvo che tale trattamento sia necessario per scopi di lavoro o sia altrimenti previsto dalla legge.

11.3. Il diritto di accesso dovrebbe essere garantito anche con riguardo ai dati valutativi, compreso il caso in cui tali dati si riferiscano a valutazioni delle prestazioni, della produttività o delle capacità del dipendente, al più tardi una volta completato il processo valutativo, salvi i diritti di difesa del datore di lavoro o di terzi interessati. Anche se i dati in oggetto non sono passibili di rettifica da parte del dipendente, dovrebbe essere possibile contestare valutazioni puramente soggettive nel rispetto del diritto interno.

11.4. Il dipendente non dovrebbe essere oggetto di una decisione che incida significativamente sulla sua persona e si basi esclusivamente su un trattamento automatizzato di dati senza avere la possibilità di esprimere il proprio punto di vista.

11.5. Il dipendente dovrebbe poter ottenere, inoltre, su richiesta, informazioni sulla logica del trattamento i cui risultati trovino applicazione nei suoi riguardi.

11.6. Sono consentite deroghe ai paragrafi 10, 11.1., 11.2., 11.4. e 11.5. se previste per legge e necessarie, in una società democratica, per la tutela della sicurezza dello Stato, dell'ordine pubblico, di importanti interessi economici e finanziari dello Stato, o per la prevenzione e repressione di reati, per la tutela dell'interessato o dei diritti e delle libertà altrui.

11.7. Inoltre, nel caso di un'indagine interna effettuata dal datore di lavoro, l'esercizio dei diritti menzionati ai paragrafi 10 e da 11.1. a 11.5. può essere differito sino alla conclusione dell'indagine qualora l'esercizio di tali diritti possa  nuocere all'indagine stessa.

11.8. Salvo diversa disposizione del diritto interno, il dipendente dovrebbe avere il diritto di individuare e designare una persona che lo assista nell'esercizio del diritto di accesso, rettifica  e opposizione ovvero che eserciti tali diritti per suo conto.

11.9. Il diritto interno dovrebbe prevedere un rimedio per il caso in cui sia rifiutato l'accesso ai dati o siano respinte richieste di cancellazione o rettifica.

12. Sicurezza dei dati

12.1. I datori di lavoro o i soggetti che trattino i dati per conto di questi ultimi dovrebbero mettere in atto misure tecniche e organizzative adeguate a seguito di un riesame periodico delle politiche aziendali di valutazione del rischio e di sicurezza, provvedendo agli opportuni aggiornamenti. Tali misure dovrebbero mirare a garantire la  sicurezza e la riservatezza dei dati personali trattati per scopi di lavoro rispetto ad ogni modifica, perdita o distruzione accidentali o non autorizzate, nonché rispetto all'accesso, alla diffusione o alla comunicazione non autorizzati dei dati in questione.

12.2. In conformità del diritto interno, i datori di lavoro dovrebbero garantire un'adeguata sicurezza dei dati se ricorrono alle ICT per qualsivoglia operazione di trattamento di dati personali per scopi di lavoro, compresa la conservazione di tali dati.

12.3. Il servizio del personale ed ogni altro soggetto che intervenga nel trattamento dei dati dovrebbero essere tenuti al corrente di tali misure, della necessità di rispettarle ed anche di assicurarne la riservatezza.

13.  Conservazione dei dati

13.1.  Un datore di lavoro non dovrebbe conservare dati personali per un periodo superiore rispetto a quanto giustificato dagli scopi di lavoro indicati al Principio 2 o a quanto necessario in rapporto all'interesse di un dipendente attuale o pregresso.

13.2. I dati personali forniti a supporto di una richiesta di lavoro dovrebbero essere cancellati, in linea di principio, non appena risulti evidente che non si realizzerà alcuna offerta di impiego o che tale offerta non viene accettata dal candidato. Qualora i dati in questione siano memorizzati in previsione di ulteriori opportunità lavorative, se ne dovrebbe informare l'interessato procedendo alla loro cancellazione su sua eventuale richiesta.

13.3. Qualora sia indispensabile memorizzare dati forniti in occasione di una richiesta di lavoro al fine di far valere o difendere un diritto in sede giudiziaria o per ogni altra legittima finalità, tali dati dovrebbero essere memorizzati esclusivamente per il tempo necessario al raggiungimento di tale finalità.

13.4. I dati personali trattati ai fini di un'indagine interna condotta dal datore di lavoro che non ha comportato l'adozione di misure negative nei riguardi di un dipendente dovrebbero essere cancellati entro un termine ragionevole, salvo il diritto di accesso del dipendente fino alla cancellazione suddetta.

Parte II – Particolari tipologie di trattamento

14. Utilizzo di Internet e comunicazioni elettroniche sul luogo di lavoro

14.1. Il datore di lavoro dovrebbe astenersi da ingerenze ingiustificabili e irragionevoli nella vita privata del dipendente. Il presente principio si applica a tutti i dispositivi tecnici ed alle ICT utilizzate dal dipendente. Gli interessati dovrebbero ricevere idonee informazioni su base regolare, in ottemperanza ad una chiara politica della privacy, conformemente al Principio 10 della presente raccomandazione. Le informazioni fornite dovrebbero essere aggiornate e comprendere le finalità del trattamento, il periodo di conservazione o back-up dei dati di traffico, e l'archiviazione di comunicazioni elettroniche di natura professionale.

14.2. In particolare, qualora il trattamento riguardi dati personali relativi a pagine dell'Internet o di un'Intranet alle quali abbia acceduto il dipendente, si dovrebbe privilegiare l'adozione di misure preventive, quali filtri atti a impedire determinate operazioni, e di un approccio scalare all'eventuale sorveglianza dei dati personali,  dando preferenza a controlli casuali e non individualizzati su dati anonimi o comunque aggregati.

14.3. Il datore di lavoro può accedere alle comunicazioni elettroniche di natura professionale dei dipendenti, informati preventivamente dell'esistenza di tale possibilità, soltanto se ciò risulti necessario per finalità di sicurezza o per altre finalità comunque legittime. In caso di assenza del dipendente, il datore di lavoro dovrebbe prendere le misure necessarie e prevedere idonee procedure al fine di consentire l'accesso a comunicazioni elettroniche di natura professionale soltanto se tale accesso rappresenti una necessità di ordine professionale. L'accesso dovrebbe avvenire nel modo meno intrusivo possibile e solo previa informazione del dipendente interessato.

14.4. In nessun caso dovrebbero essere oggetto di sorveglianza il contenuto, l'invio e la ricezione di comunicazioni elettroniche di natura privata sul luogo di lavoro.

14.5. Al cessare del rapporto di lavoro con un dipendente, il datore di lavoro dovrebbe prendere tutte le misure tecniche ed organizzative necessarie per disattivare automaticamente l'account di messaggeria elettronica del dipendente. Se un datore di lavoro ha necessità di recuperare i contenuti riferiti all'account di un dipendente ai fini dell'efficace gestione dell'impresa/dell'ente, ciò dovrebbe avvenire prima della cessazione del rapporto di lavoro del dipendente in oggetto e, se possibile, alla presenza di quest'ultimo.

15. Sistemi informativi e tecnologie per la sorveglianza dei dipendenti, compresa la videosorveglianza

15.1. Non dovrebbe essere consentito introdurre e utilizzare sistemi informativi e tecnologie aventi per scopo diretto e primario la sorveglianza dell'attività e del comportamento dei dipendenti. Se l'introduzione e l'utilizzazione di tali sistemi e tecnologie per altri scopi legittimi, quali la tutela dell'attività produttiva, della salute e della sicurezza, o l'efficace gestione di un'azienda o di un ente, comportano indirettamente la possibilità di sorvegliare l'attività dei dipendenti, esse dovrebbero essere soggette alle ulteriori salvaguardie previste nel Principio 21, ed in particolare alla consultazione di rappresentanti dei dipendenti.

15.2. Sistemi informativi e tecnologie che comportino indirettamente la sorveglianza di attività e comportamenti dei dipendenti dovrebbero essere progettati su base specifica e posizionati in modo da non compromettere i diritti fondamentali dei dipendenti stessi. In nessun caso è consentito ricorrere alla videosorveglianza di luoghi che appartengono alla sfera più privata della vita dei dipendenti.

15.3. In caso di controversie o procedimenti giudiziari, i dipendenti dovrebbero avere la possibilità di ottenere copie delle registrazioni effettuate, se del caso e conformemente al diritto interno. La conservazione di eventuali registrazioni dovrebbe essere soggetta ad un limite temporale.

16. Apparecchiature in grado di rivelare l'ubicazione di dipendenti

16.1. L'introduzione di apparecchiature in grado di rivelare l'ubicazione di dipendenti dovrebbe avvenire solo se si dimostra necessaria al raggiungimento dello scopo legittimo perseguito dal datore di lavoro; in ogni caso, l'utilizzo di tali apparecchiature non dovrebbe dar luogo alla sorveglianza continuata del dipendente. In particolare, la sorveglianza non dovrebbe rappresentare la finalità primaria, bensì solo una conseguenza indiretta di un atto necessario per la tutela delle attività produttive, della salute e della sicurezza, o per garantire l'efficace gestione dell'impresa o dell'ente. Alla luce del vulnus potenziale arrecato ai diritti ed alle libertà dei soggetti interessati dall'utilizzazione di tali apparecchiature, il datore di lavoro dovrebbe assicurare tutte le necessarie salvaguardie del diritto dei dipendenti alla vita privata ed alla protezione dei dati personali, comprese le ulteriori salvaguardie di cui al Principio 21. Conformemente ai Principi 4 e 5, il datore di lavoro dovrebbe avere particolare riguardo allo scopo per cui tali apparecchiature sono utilizzate ed ai principi di necessità e proporzionalità.

16.2. Il datore di lavoro dovrebbe applicare idonee procedure interne relativamente al trattamento dei dati in questione e dovrebbe informarne preventivamente i soggetti interessati.

17. Meccanismi interni di segnalazione

17.1. Qualora il datore di lavoro sia obbligato dalla legge o da discipline interne a mettere in atto meccanismi interni di segnalazione (ad esempio, linee telefoniche dedicate), dovrebbe garantire la protezione dei dati personali di tutti i soggetti coinvolti. In particolare, il datore di lavoro dovrebbe garantire la riservatezza del dipendente che segnali comportamenti illeciti o deontologicamente scorretti (i cosiddetti "whistleblowers", ad esempio). I dati personali dei soggetti coinvolti dovrebbero essere utilizzati esclusivamente per le finalità di idonee procedure interne relative alla segnalazione e conformemente ai requisiti di legge, ovvero conformemente a quanto si renda necessario in previsione di successivi procedimenti giudiziari.

17.2. In casi eccezionali, il datore di lavoro può ammettere segnalazioni anonime. Non si dovrebbero condurre indagini interne esclusivamente sul fondamento di una segnalazione anonima, a meno che tale segnalazione sia debitamente circostanziata e riguardi gravi violazioni del diritto interno.

18. Dati biometrici

18.1. La raccolta e l'ulteriore trattamento di dati biometrici dovrebbero aver luogo esclusivamente se necessari a tutelare gli interessi legittimi del datore di lavoro, del dipendente o di terzi, in assenza di altri strumenti meno intrusivi e in presenza di idonee salvaguardie fra cui le ulteriori salvaguardie di cui al Principio 21.

18.2. Il trattamento di dati biometrici dovrebbe avvenire sul fondamento di metodi scientificamente riconosciuti e nel rispetto di rigidi requisiti di sicurezza e proporzionalità.

19. Test psicologici, analisi e altre analoghe procedure

19.1. Il ricorso a test psicologici, analisi ed altre analoghe procedure condotte da specialisti, nel rispetto del vincolo di riservatezza sanitaria, al fine di valutare il carattere o la personalità di un dipendente o di un candidato all'impiego dovrebbe essere consentito solo se risulta legittimo e necessario in rapporto alla tipologia dell'attività lavorativa svolta e solo a condizione che il diritto interno preveda  idonee salvaguardie.

19.2. Il dipendente o il candidato all'impiego dovrebbero essere informati preventivamente dell'utilizzo previsto dei risultati dei test, delle analisi o delle altre analoghe procedure e, successivamente, dei rispettivi contenuti. Si applicano, per quanto di pertinenza, i Principi 11.1. e 11.2. .

20. Altri trattamenti che comportano specifici rischi per i diritti del dipendente

20.1. I datori di lavoro o, se del caso, gli incaricati del trattamento dovrebbero condurre un'analisi dei rischi in rapporto all'impatto potenziale di ogni trattamento sui diritti e le libertà fondamentali dei dipendenti; inoltre, essi dovrebbero configurare le operazioni di trattamento in modo da evitare o almeno minimizzare il rischio di ingerenze in tali diritti e libertà fondamentali.

20.2. Salva la previsione di altre idonee salvaguardie ai sensi del diritto o delle prassi nazionali, si dovrebbe ottenere il concerto dei rappresentanti dei dipendenti prima di introdurre ICT o adattarle a specifici impieghi qualora l'analisi indichi che sussistono rischi di ingerenze nei diritti e nelle libertà fondamentali dei dipendenti.

21. Ulteriori salvaguardie

Relativamente a tutte le tipologie di trattamento di cui alla Parte II della presente raccomandazione, il datore di lavoro dovrebbe assicurare, in particolare, il rispetto delle seguenti salvaguardie:

a. Informare i dipendenti prima di introdurre sistemi informativi e tecnologie che consentano la sorveglianza delle loro attività. Le informazioni dovrebbero essere aggiornate ed avere riguardo al Principio 10 della presente raccomandazione. Le informazioni dovrebbero comprendere lo scopo del trattamento, il periodo di conservazione o back-up, e l'esistenza o meno dei diritti di accesso e rettifica nonché le modalità di esercizio di tali diritti;

b. Adottare idonee misure interne con riguardo al trattamento dei dati in questione dandone preventivamente informazione ai dipendenti;

c. Consultare i rappresentanti dei dipendenti conformemente al diritto o alle prassi nazionali prima di introdurre sistemi di sorveglianza ovvero qualora si prevedano modifiche a tali forme di sorveglianza. Se la procedura di consultazione indica che sussiste il rischio di violare il diritto del dipendente al rispetto della vita privata e della dignità umana, si dovrebbe ottenere il concerto dei rappresentanti dei dipendenti;

d. Consultare, conformemente al diritto interno, l'autorità nazionale di controllo con riguardo al trattamento di dati personali.