Busta paga e Privacy
All’interno di un’azienda il focus sulla protezione dei dati personali deve tener conto anche della predisposizione e della consegna del cedolino/busta paga contenente lo stipendio da erogare al lavoratore subordinato o parasubordinato.
Poiché infatti il cedolino paga contiene dati personali, il datore di lavoro deve adottare sia nella fase di elaborazione che in fase di consegna tutte le misure necessarie affinché il trattamento in esame assicuri una tutela della riservatezza conforme ai principi posti dalla disciplina in materia di protezione dati personali.
In particolare, il Regolamento europeo n.679/2016 ribadisce che all’interno del cedolino paga possono confluire:
- oltre ai dati personali intesi come “qualsiasi informazione riguardante una persona fisica identificata o identificabile […] come il nome, un numero di identificazione, dati relativi all’ubicazione, o più fattori specifici relativi alle caratteristiche fisiche, fisiologiche, identità genetica, mentale, economica, culturale o sociale di quella persona fisica;
- anche dati particolari ( ex “dati sensibili”) quali “dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”; Vi rientrano, in questa categoria, anche i c.d. dati giudiziari intendendosi per tali i dati personali relativi alle condanne penali e ai reati.
Proprio perché la materia della protezione dati personali del lavoratore all’interno di una struttura aziendale privata e/o pubblica è particolarmente complessa –anche alla luce delle considerazioni di cui sopra – si sono sviluppate nel corso del tempo alcune best practice approvate anche dal nostro Garante privacy per effettuare il trattamento in conformità ai dettami normativi nazionali ed europei.[1]
Si ricorda, infatti, che il trattamento di tali dati deve essere effettuato rispettando anzitutto i principi posti alla base di ogni trattamento: si fa riferimento ai principi di limitazione delle finalità e della minimizzazione dei dati in forza del quale i dati trattati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui vengono trattati.
Va da sé, poi, che i dati personali contenuti nel cedolino non devono poter essere accessibili a soggetti diversi dai c.d. incaricati al trattamento (facendo riferimento, ad esempio, agli addetti al settore paghe e contributi) e dagli interessati dipendenti.
Tra le varie indicazioni fornite dal Garante, a titolo esemplificativo e non esaustivo ricordiamo di:
- non lasciare le buste paghe incustodite, di modo da evitare l’accesso a soggetti terzi non autorizzati;
- piegare, spillare, imbustare e/o apporre una copertura alle parti più significative che non riguardino dati di comune conoscenza (ad es. generalità, ufficio di appartenenza);
- distribuire il cedolino mediante:
- pubblicazione sul portale fornito dal consulente paghe all’interno di un’area specifica e riservata a cui il dipendente potrà accedere tramite credenziali personali (user-id e password);
- nel caso di invio del cedolino per posta elettronica, il documento deve essere indirizzato solo al lavoratore ed essere protetto da idonea password di riconoscimento. Si potrebbe, a tal fine, trasmettere il documento cifrato utilizzando un idoneo software a ciò dedicato.
newsletter n. 325 del 25 giugno 2009.
Che cosa comporta tutto ciò per il datore di lavoro?
In qualità di titolare del trattamento, il datore di lavoro di una società o un’impresa ha il diritto di scegliere liberamente le modalità del trattamento dei dati riguardanti i propri dipendenti, ma, nel fare ciò, è tenuto ad osservare il principio della trasparenza. Egli, inoltre ha l’obbligo di informare i lavoratori fornendo loro un’adeguata informativa (ex art. 13 del Reg. 679/2016) contenente indicazioni sugli strumenti utilizzati e i loro rischi , esplicitando chiaramente quali tipologie di dati verranno trattati (nei contratti, nelle buste paga e nel resto della documentazione che li riguarda) e individuando i soggetti che si occuperanno del relativo trattamento.
In altre parole, il Titolare del trattamento – datore di lavoro nell’effettuare il trattamento dei dati personali dei propri dipendenti deve rispettare i seguenti principi fondamentali:
- liceità posto che il trattamento non deve essere contrario a disposizioni di legge;
- correttezza, nel senso che il trattamento deve perseguire uno scopo determinato, legittimo ed esplicito poggiando su un’idonea base giuridica che lo legittimi di modo che il trattamento sia compatibile con tale finalità;
- trasparenza che fa riferimento all’indicazione chiara ed esplicita degli scopi e delle modalità del trattamento;
- proporzionalità e sicurezza: la prima intesa come proporzione in merito allo scopo che si intende raggiungere, la seconda invece riguarda l’utilizzo di strumenti idonei ed adeguati a non mettere in pericolo i diritti e le libertà degli interessati – dipendenti.
I lavoratori, dal canto loro, possono tutelare i propri dati personali, presentando al datore – nonché titolare del trattamento – un’istanza, che, a seconda delle loro esigenze, può essere riferita a specifici dati personali, a categorie di dati o ad un particolare tipo di trattamento, oppure a tutti i dati che lo riguardano.
Si sottolinea, infatti, che l’istanza di accesso ai dati personali, diritto riconosciuto dall’art. 15 del Reg. 679/2016, non deve dettagliare specificatamente i “documenti” cui si chiede di accedere, in quanto la portata di tale diritto è intesa in termini generali posto che ha ad oggetto e comprende tutti i dati personali del lavoratore detenuti dal titolare.
Pertanto, l’oggetto del diritto di accesso di cui all’art. 15 del Regolamento riguarda anche quelle categorie di dati personali che non sono state raccolte direttamente presso l’interessato, rimanendo in capo al Titolare del trattamento – datore di lavoro l’onere di indicare tutte le informazioni disponibili sulla loro origine.
Il Garante ha precisato, infine, che il Titolare è tenuto a rispondere all’istanza “senza ingiustificato ritardo, al più tardi entro un mese dal suo ricevimento”, o, nel caso in cui la complessità o il numero delle richieste lo renda necessario, entro due mesi
[1] Cfr.: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1047983;
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/39324;