Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Busta paga e Privacy

“I cedolini dello stipendio devono essere consegnati spillati o in busta chiusa e non devono contenere informazioni lesive della riservatezza.”

È quello che ribadisce il Garante della privacy nella sua newsletter n. 325 del 25 giugno 2009.

Poi aggiunge che:
“Gli uffici addetti alla predisposizione e alla consegna dei cedolini sono tenuti a tutelare la privacy dei lavoratori, limitando l’inserimento di informazioni sulla sfera privata e impedendo l’indebita conoscenza dei dati da parte di persone non autorizzate.”

Sembra che l’intervento del Garante si sia è reso necessario nei confronti del Ministero dell’Interno a seguito di una segnalazione con la quale si lamentava il fatto che i cedolini di più di duemila dipendenti di una delle sedi regionali del Ministero fossero stampati su carta continua e non imbustati. Nella segnalazione si precisava che i cedolini, sistemati in scatoloni, venivano spediti dal Ministero alla sede regionale in questione e lì, una volta suddivisi per provincia e reparto, venivano smistati alle varie segreterie; gli addetti provvedevano poi a consegnarli manualmente ai dipendenti. Dalla segnalazione emergeva inoltre che spesso i cedolini venivano lasciati sui tavoli, in modo da permetterne la lettura anche a soggetti sprovvisti di autorizzazione, e di conseguenza rendere accessibili a chiunque informazioni sulla sfera privata dei lavoratori. Tra le varie voci, oltre ai dati identificativi del dipendente – come nome, cognome, codice fiscale e indirizzo – potevano apparire, infatti, anche informazioni sulle coordinate bancarie, l’indicazione della sigla del sindacato di appartenenza destinatario della ritenuta o, ancora, trattenute per cessioni del quinto, motivazioni di eventuali circostanze debitorie del lavoratore, insomma i cosiddetti dati sensibili.

In un comunicato stampa risalente al 1° marzo 1999, il Garante aveva stabilito che, stante la necessità del trattamento dei dati personali dei dipendenti allo scopo di gestire il rapporto di lavoro, è fatto divieto di rendere tali dati accessibili a soggetti diversi dai diretti interessati e dai responsabili del trattamento, asserendo inoltre che tale principio risulta valido tanto per il settore pubblico quanto per le aziende che operano nel privato.

In seguito alla richiesta di chiarimento dell’Autorità, il Ministero ha comunicato di aver subito impartito precise indicazioni al centro elettronico che elabora i cedolini affinché sostituisca le voci specifiche con descrizioni più generiche o dei codici, eliminando la sigla dell’organizzazione sindacale, in modo tale da rendere le modalità di predisposizione dei cedolini pienamente conformi alla normativa sulla protezione dei dati personali. A maggior tutela della privacy, il Ministero ha comunicato, infine, che avrebbe al più presto provveduto ad avviare il recapito delle buste paga in formato elettronico direttamente sulle mail dei dipendenti, eliminando del tutto la copia cartacea. Disponendo la comunicazione a mezzo della posta elettronica, l’Autorità ha, peraltro, adottato un provvedimento dal contenuto più specifico rispetto alla vaga proposta, avanzata nel già citato comunicato stampa, di utilizzare una password nota al solo dipendente per l’accesso a qualsiasi informazione riguardante il suo stipendio.

 

Una novità in materia di privacy

 

Per far fronte alle sempre più numerose tipologie di rischio per la privacy determinate dall’evoluzione tecnologica (una su tutte, quella che si presenta nel corso della navigazione in rete, con tutte le implicazioni in termini di cybersecurity che ne derivano), l’Unione europea è intervenuta con la promulgazione del Regolamento (UE) 2016/679, stravolgendo, di fatto, le norme nazionali vigenti in materia di privacy.

Il nuovo Regolamento distoglie l’attenzione dalle tutele alla privacy in sé e per sé, per concentrarsi sulla responsabilizzazione dei titolari del trattamento dei dati, che, di conseguenza, vengono investiti del compito di decidere in autonomia le modalità e i limiti del trattamento dei dati secondo i principi e le finalità indicate nel Regolamento stesso. Per assicurare tale conformità, il titolare nel trattamento potrà avvalersi dei contributi e del supporto di vari professionisti, tra i quali spicca la figura del Data Protection Officer, un consulente (e una delle novità del Regolamento), la cui nomina talvolta costituisce un obbligo.

Il legislatore europeo ha poi tentato di bilanciare la responsabilizzazione dei titolari del trattamento con il riconoscimento di una serie di diritti ai titolari dei dati, come il diritto di accesso ai dati, quello di oblio, il diritto alla portabilità dei dati, il diritto di opporsi al loro trattamento e infine il diritto di non essere sottoposti a decisioni automatizzate (profilazione compresa).

 

Che cosa comporta tutto ciò per il datore di lavoro?

 

In qualità di titolare del trattamento, il datore di lavoro di una società o un’impresa ha il diritto di scegliere liberamente le modalità e i limiti del trattamento dei dati riguardanti i propri dipendenti, ma, nel fare ciò, è tenuto ad osservare il principio della trasparenza, ed ha l’obbligo di formare i lavoratori, fornendo loro informazioni sugli strumenti utilizzati e i loro rischi, e informarli, indicando esplicitamente quali tipologie di dati verranno trattati (nei contratti, nelle buste paga e nel resto della documentazione che li riguarda) e individuando i soggetti che si occuperanno del trattamento.

I lavoratori, dal canto loro, possono tutelare i propri dati personali, presentando al datore – nonché titolare del trattamento – un’istanza, che, a seconda delle loro esigenze, può essere riferita a specifici dati personali, a categorie di dati o ad un particolare trattamento, oppure a tutti i dati che lo riguardano.

Il Garante ha precisato che il titolare è tenuto a rispondere all’istanza “senza ingiustificato ritardo, al più tardi entro un mese dal suo ricevimento”, o tutt’al più entro due mesi, nel caso in cui la complessità o il numero delle richieste lo renda necessario.