LA PRIVACY NELL’ OSPITALITÀ: Trattamento dei dati relativi ai lavoratori delle imprese ricettive.

 

Allo scopo di fornire indicazioni e raccomandazioni ai datori di lavoro del settore privato sulle operazioni di trattamento di dati personali, anche “particolari” (ex sensibili), dei lavoratori, il Garante ha a suo tempo emanato alcune specifiche linee guida [1].

 

I dati che vengono trattati sono: dati anagrafici dei lavoratori, nonché altre informazioni connesse allo svolgimento dell’attività lavorativa (la tipologia del contratto, la qualifica, la retribuzione, il tempo di lavoro anche straordinario, ferie e permessi, assenza dal servizio, procedimenti disciplinari, eccetera).Vi è anche la possibilità che vengano trattatati dati biometrici e dati particolari (ex “sensibili”), riferiti anche a terzi (credo religioso, adesione a sindacati, dati che rivelano lo stato di salute contenuti in certificati medici o in altra documentazione).

I dati personali del lavoratore possono essere trattati dal datore di lavoro nella misura in cui ciò sia necessario per dare corretta esecuzione al rapporto di lavoro.

Le informazioni trattate devono essere pertinenti e non eccedenti le finalità perseguite, e devono essere osservate tutte le disposizioni della normativa italiana ed europea tra cui:

• Rispetto dei principi di necessità e liceità, correttezza e trasparenza;
• Obbligo di fornire ai dipendenti un’adeguata informativa, in forma concisa, trasparente e intelligibile;
• Rispetto delle prescrizioni impartite dal Garante, anche nelle autorizzazioni di carattere generale per il trattamento di dati particolari o relativi a condanne penali e reati (autorizzazione generale n. 1/20165, valida fino al 24 maggio 2018, la cui validità è stata prorogata dal decreto legislativo n. 101 del 2018)[2] ;

Il GDPR non prevede la necessità di acquisire il consenso del lavoratore, se i trattamenti effettuati sono quelli strettamente necessari per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi del lavoratore. Le linee guida del Garante però prevedono, in alcuni casi, la necessità del consenso del lavoratore.

Occorre informare l’interessato che per tali finalità i dati vengono conservati presso la struttura ricettiva per tutta la durata del rapporto di lavoro e per un periodo successivo secondo le norme vigenti.

Il trattamento deve essere effettuato previa analisi dei rischi e implementazione delle misure ritenute idonee per limitare tali rischi. Il Garante ritiene che le piccole e medie imprese non siano obbligate a designare il responsabile della protezione dei dati (DPO –Data Protection Officer) per i trattamenti dei dati personali connessi alla gestione corrente dei rapporti con i dipendenti. Inoltre, nella generalità dei casi non è richiesta una valutazione di impatto preventiva (DPIA – Data Protection Impact Assessment), salvo quando siano trattati dati biometrici.

In alcuni casi il trattamento deve essere inserito in un registro delle attività di trattamento (per le imprese con almeno 250 dipendenti, o nel caso di trattamenti che mettono a rischio diritti e libertà dell’interessato).

[1] Provvedimento n. 53 del 23 novembre 2006, GU n. 285 del 7.12.2006 – doc. web n. 1364939.

[2] Autorizzazione n. 1/2016 – Autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro – 15 dicembre 2016- doc. web

1. 5800451.