Le aziende hanno tutto l’interesse ad assumere soltanto persone che non rappresentano alcun rischio per la propria sicurezza. Soprattutto in settori quali quello informatico, bancario e della tecnologia di punta, nei quali gli impiegati hanno accesso a dispositivi e dati sensibili, vi è la necessità di condurre controlli di sicurezza relativi alle persone. Qui di seguito si illustra quali prescrizioni in materia di protezione dei dati devono rispettare i datori di lavoro privati nell’eseguire questi controlli.
Spiegazioni sui controlli di sicurezza relativi alle persone condotti su collaboratori (sfera privata)
Premessa
Un'azienda che intende condurre controlli di sicurezza relativi alle persone su collaboratori interni o esterni può farlo se questi ultimi, in ragione dell'attività svolta, presentano un profilo di rischio elevato per l'azienda stessa sulla base di una valutazione dei rischi da essa effettuata. Questi collaboratori sono pertanto tenuti ad accettare un controllo personale, anche se le singole situazioni vanno poi naturalmente valutate di caso in caso. Le categorie di rischio cui sono associati controlli di sicurezza relativi alle persone possono includere collaboratori di qualsiasi grado gerarchico (direttori, informatici, personale di segreteria, apprendisti, addetti alle pulizie ecc.). Le categorie devono essere definite sulla base di un'analisi del rischio aziendale e tenendo conto del settore professionale, del servizio fornito, delle possibilità di accedere a dispositivi e/o dati sensibili, del livello di sensibilità dei dati da trattare ecc. Qui di seguito sono riportati gli aspetti principali da considerare, dal punto di vista della protezione dei dati, in sede di controlli di sicurezza relativi alle persone.
Basi legali
In sede di trattamento dei dati dei collaboratori, le aziende devono rispettaresia la legge federale sulla protezione dei dati (soprattutto il principio della proporzionalità) sia le prescrizioni in materia di diritto del lavoro.
La norma di riferimento per il datore di lavoro è l'articolo 328b del Codice delle obbligazioni, conformemente al quale il datore di lavoro può trattare dati concernenti i propri lavoratori soltanto in quanto si riferiscano all'idoneità lavorativa o siano necessari all'esecuzione del contratto di lavoro. Se a un lavoratore è affidato un compito in un settore avente un potenziale di rischio, per il datore di lavoro è importante accertarsi che la persona in questione sia idonea a svolgere tale compito. In questi casi, l'interesse che un controllo di sicurezza assume per il datore di lavoro prevale di regola sull'interesse personale del lavoratore alla tutela della propria sfera privata. Il datore di lavoro è comunque tenuto a proteggere i propri collaboratori e deve quindi limitarsi a reperire i dati realmente necessari. I principi di cui sopra si applicano anche se il datore di lavoro conduce il controllo personale in virtù di un contratto stipulato con un committente.
In alcuni settori esistono inoltre prescrizioni specifiche: nel settore bancario, per esempio, oltre alle disposizioni proprie al settore stesso, occorre osservare le circolari dell'Autorità federale di vigilanza sui mercati finanziari (FINMA). Queste ultime, tuttavia, riproducono soltanto il punto di vista del diritto in materia di vigilanza, ma in sede di attuazione delle misure necessarie, la banca (in veste di datore di lavoro) deve sempre attenersi anche alle disposizioni in materia di protezione dei dati e di diritto del lavoro.
Domande frequenti
Come devono essere informati i collaboratori sui controlli personali?
Nel quadro di un rapporto di lavoro in corso, il datore di lavoro è tenuto a informare in anticipo per iscritto i lavoratori interessati della sua intenzione di svolgere un controllo di sicurezza relativo alle persone. Nel caso di un colloquio per un posto di lavoro che richiede un simile controllo, in un primo momento è sufficiente una comunicazione a voce. Conformemente al principio della trasparenza, gli interessati devono essere informati in modo sufficiente circa lo scopo per cui vengono raccolti i dati personali e il periodo durante il quale tali dati saranno conservati. Il datore di lavoro deve inoltre illustrare singolarmente al lavoratore interessato le ragioni per cui, nel suo caso, è richiesto un controllo di sicurezza relativo alle persone. Il lavoratore dovrà altresì essere informato da cui sarà eseguito il controllo, soprattutto se quest'ultimo sarà effettuato da un'azienda esterna ed eventualmente all'estero.
Quando può essere condotto un controllo di sicurezza relativo alle persone?
Idealmente, il datore di lavoro dovrebbe chiedere il controllo già all'inizio del rapporto di lavoro. In determinate circostanze, può tuttavia essere necessario condurlo soltanto a rapporto già iniziato. In tal caso, il datore di lavoro è tenuto a comunicarlo per tempo al lavoratore e a concedergli un periodo di riflessione adeguato. Se rifiuta di sottoporsi al controllo in programma (di per sé giustificato), il lavoratore dovrà accettare le conseguenze che ne derivano in virtù del diritto del lavoro.
Quanti e quali dati può richiedere il datore di lavoro?
Quale documentazione il datore di lavoro possa chiedere al lavoratore di fornirgli dipende sempre dal singolo caso e soprattutto dal settore di rischio.
Se un collaboratore svolge un determinato incarico presso una società esterna, quest'ultima ha la facoltà di determinare quali funzioni presentino un potenziale di rischio e quali controlli di dati siano necessari. Anche in questo caso, tuttavia, il datore di lavoro (che, generalmente, è anche il mandatario) è tenuto a proteggere i propri collaboratori e deve pertanto assicurarsi che il controllo di sicurezza richiesto, condotto secondo le modalità previste, sia effettivamente conforme al principio della proporzionalità.
In quale forma possono essere trattati i dati personali dei collaboratori?
Il datore di lavoro è autorizzato a condurre il controllo di sicurezza relativo alle persone soltanto se il lavoratore interessato vi collabora. Non sono pertanto ammessi controlli condotti segretamente. Se il datore di lavoro chiede al lavoratore di fornirgli dati sensibili (p. es. un estratto del casellario giudiziale), dev'essere consapevole del fatto che si tratta di dati personali degni di particolare protezione, dati cioè a cui si applicano in modo ancor più rigoroso i principi in materia di protezione dei dati.
Se il datore di lavoro non può o non intende condurre egli stesso il controllo di sicurezza, può delegarne l'esecuzione a terzi, dopo essersi assicurato che il terzo garantisca la sicurezza dei dati. Il datore di lavoro resta comunque responsabile per come vengono elaborati i dati ed è tenuto a garantire che il terzo in questione effettui i trattamenti dei dati come egli stesso avrebbe il diritto di effettuarli (art. 10a della legge federale sulla protezione dei dati, LPD).
A cosa occorre prestare attenzione se i dati vengono trattati all'estero?
Nella misura del possibile, i controlli di sicurezza relativi alle persone devono essere condotti in Svizzera in quanto, all'estero, è più difficile tenere traccia dei trattamenti dei dati. In caso di trasferimento di dati all'estero, chi li trasmette deve in ogni caso osservare quanto disposto dall'articolo 6 LPD. Per ulteriori informazioni al riguardo si rinvia al nostro sito web (Protezione dei dati - Settore lavorativo - Trasmissioni all'estero).
I dati raccolti per i controlli di sicurezza relativi alle persone possono essere utilizzati anche dopo i controlli?
No, i dati raccolti non possono essere utilizzati per altri scopi. È importante che i diritti di accesso ai documenti relativi ai controlli di sicurezza siano limitati il più possibile. I dati che non sono più necessari devono essere distrutti.
Il collaboratore può chiedere informazioni sui propri dati personali?
Sì, il collaboratore può domandare al datore di lavoro che gli comunichi i dati trattati che lo concernono e quindi di essere informato in merito alla documentazione relativa al controllo di sicurezza (art. 8 LPD).
Il collaboratore ha qualche possibilità di opporsi al controllo di sicurezza relativo alle persone?
In linea di massima, i collaboratori che lavorano in un settore ad elevato potenziale di rischio sono tenuti ad accettare di sottoporsi a un controllo di sicurezza relativo alle persone. Se rifiuta di sottoporsi al controllo in programma (di per sé giustificato), il lavoratore dovrà accettare le conseguenze che ne derivano in virtù del diritto del lavoro. È possibile che, all'interno della stessa azienda, gli possa essere affidato un incarico che non comporta alcun controllo di sicurezza relativo alle persone; ma se così non fosse, il collaboratore dovrà prendere in considerazione la possibilità dilicenziamento.
Se il collaboratore ritiene che il controllo di sicurezza non sia giustificato perché non conforme al principio della proporzionalità oppure perché non necessario per l'attività svolta, gli raccomandiamo di parlarne con il proprio datore di lavoro e di chiedergli perché, data la funzione assunta, è chiamato a fornire le informazioni richieste. La conformità al principio della proporzionalità dev'essere accertata caso per caso e l'IFPDT non è nella posizione di esaminare i singoli casi. Per quanto attiene al settore privato, il legislatore ha previsto che sia in primo luogo la persona interessata a dover prendere in mano la situazione e intentare un'azione civile. In caso di dubbio, raccomandiamo pertanto ai collaboratori di consultare un avvocato e di promuovere un'azione legale contro il datore di lavoro presso il tribunale civile competente.
Stato: marzo 2015