Il tema della privacy in azienda è un tema particolarmente delicato: per principio generale il datore di lavoro può conoscere solo i dati del lavoratore strettamente indispensabili ai fini del rapporto di lavoro, come nome, cognome e residenza. Questi dati sono poi oggetto dei principi e delle regole sancite dal Codice Privacy, il decreto legislativo n.196/2003.
I principi generali qui sanciti vanno declinati però nello specifico ambito dei rapporti di lavoro. La prima regola cui deve attenersi il datore di lavoro è che le informazioni personali dei lavoratori possono essere trattate solo se questa attività è strettamente indispensabile all’esecuzione del rapporto di lavoro. E’ perciò vietato raccogliere informazioni relative alla personalità del proprio dipendente, nel pieno principio del rispetto che occorra tutelare i diritti, le libertà fondamentali e la dignità delle persone, garantendo la sfera della riservatezza nelle relazioni personali e professionali. Le informazioni personali che vengono trattate possono riguardare, oltre a quelle strettamente legate all’attività lavorativa, la sfera personale e la vita privata dei lavoratori – come ad esempio i dati sulla residenza e i recapiti telefonici – e terzi – come i dati relativi al nucleo familiare per garantire determinate provvidenze. In questo caso va rispettato il principio secondo il quale il trattamento di dati personali, anche sensibili, riferito a singoli lavoratori è lecito solo se finalizzato ad assolvere obblighi derivanti dalla legge, dal regolamento o dal contratto individuale. I trattamenti di dati personali devono poi rispettare il principio di necessità che stabilisce l’obbligo sulla base del quale i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzo delle informazioni personali e identificative. Va anche rispettato il principio di correttezza, che impone che le caratteristiche essenziali dei trattamenti devono essere note ai lavoratori. Ancora i trattamenti devono essere effettuati per finalità determinate, esplicite e legittime in base ai principi di pertinenza e non eccedenza. Il trattamento di dati personali può essere gestito o solo dal datore di lavoro o dai suoi dipendenti, assicurandosi che vengano prese le misure di sicurezza idonee per proteggerli da intrusioni o divulgazioni illecite.
Casi particolari sono rappresentati dai badge di riconoscimento, dalle comunicazioni ai sindacati e delle pubblicazioni su siti internet o reti interne.
I badge sono pienamente leciti, a patto che non si ecceda con le informazioni offerte: è bene quindi accontentarsi di riportarvi di un codice identificativo o del solo nome o ruolo professionale. Non è invece lecito che il datore comunicati le informazioni relative al lavoratore ai sindacati: il lavoratore deve fornire il suo esplicito consenso.
Occorre il consenso dell’interessato anche per pubblicare informazioni personali del lavoratore nella intranet aziendale e quindi, inevitabilmente, anche su internet. Nell’ambito del lavoro pubblico, le pubbliche amministrazioni possono mettere a disposizione sui siti web istituzionali atti e documenti amministrativi contenenti dati personali, solo se la normativa di settore preveda espressamente tale obbligo. Anche in tal caso, comunque, il datore di lavoro pubblico deve comunque selezionare i dati personali da inserire negli atti e documenti da pubblicare, evitando di divulgare dati eccedenti o non pertinenti, verificando caso per caso che qualora ricorrano determinate informazioni esse siano oscurate dagli atti e documenti destinati alla pubblicazione.