In sintesi
- L'art. 88 GDPR consente norme nazionali sui rapporti di lavoro.
- Materie specifiche: assunzione, esecuzione, gestione, sicurezza, organizzazione (par. 2).
- Garanzie: dignità, trasparenza, controlli, trasferimenti intragruppo.
- In Italia: art. 88 D.Lgs. 196/2003 + Statuto Lavoratori (L. 300/1970).
- Provvedimenti Garante su: biometrici, videosorveglianza, email, social monitoring.
- Whistleblowing ex D.Lgs. 24/2023.
Testo dell'articoloVigente
Articolo 88 del Regolamento (UE) 2016/679 (GDPR) — Trattamento dei dati nell’ambito dei rapporti di lavoro.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
La privacy nel rapporto di lavoro
L'art. 88 GDPR consente agli SM di prevedere, attraverso norme di legge o accordi collettivi, norme più specifiche per il trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro, in particolare ai fini dell'assunzione, dell'esecuzione del contratto di lavoro, della gestione del personale, dell'organizzazione del lavoro, della parità e diversità sul luogo di lavoro, della sicurezza sul lavoro, della tutela della proprietà del datore di lavoro o del cliente.
Discrezione SM (par. 1)
La discrezione SM è ampia: il rapporto di lavoro è terreno tradizionalmente disciplinato a livello nazionale, con specificità di tutela del lavoratore. Il GDPR riconosce questa peculiarità e consente regimi rafforzati. La giurisprudenza CGUE ha confermato la legittimità delle discipline nazionali, purché coerenti con i principi GDPR.
Materie specifiche del par. 2
Il par. 2 elenca materie specifiche: assunzione (selezione, valutazione, screening); esecuzione del contratto (gestione retribuzione, presenze, formazione); gestione del personale (mobilità, ferie, malattia); organizzazione del lavoro (controllo a distanza, smart working); parità e diversità; sicurezza sul lavoro (D.Lgs. 81/2008); tutela del datore di lavoro (proprietà intellettuale, segreti commerciali, prevenzione frodi).
Garanzie per i lavoratori (par. 2)
Le garanzie per i lavoratori del par. 2 sono cruciali: dignità umana, interessi legittimi e diritti fondamentali, trasparenza del trattamento, trasferimento dei dati nell'ambito di un gruppo imprenditoriale, sistemi di controllo del lavoro. Sono regole di sistema che il diritto SM deve assicurare. Il Garante europeo per la protezione dei dati e l'EDPB hanno pubblicato linee guida specifiche.
In Italia: art. 88 D.Lgs. 196/2003 + Statuto dei Lavoratori
In Italia, il quadro è ricco: art. 88 D.Lgs. 196/2003 (misure di garanzia per dati di lavoratori), L. 300/1970 (Statuto dei Lavoratori, in particolare artt. 4-8 su controlli e divieto di indagine sulle opinioni), D.Lgs. 81/2008 (sicurezza), accordi collettivi nazionali e aziendali, provvedimenti del Garante su biometrici, geolocalizzazione, email aziendali, controllo a distanza, social media monitoring.
Casi paradigmatici
Casi paradigmatici includono: controllo a distanza di lavoratori (art. 4 Statuto dei Lavoratori, accordo sindacale); uso di videosorveglianza (provvedimenti Garante); email aziendali (politica scritta, riserva legittima del lavoratore); biometrici per timbratura (vietati salvo necessità stringente); social media monitoring (limitato); smart working e BYOD (politiche dedicate); whistleblowing (D.Lgs. 24/2023). La giurisprudenza è in continua evoluzione.
Regola pratica e checklist operativa
Compliance art. 88: (i) policy interna su privacy del lavoro; (ii) accordi sindacali per controlli; (iii) DPIA per innovazioni; (iv) formazione del personale HR; (v) coordinamento DPO + legali del lavoro; (vi) attuazione whistleblowing; (vii) aggiornamento continuo.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: biometrico per timbratura
Tizio vuole introdurre biometrico per presenze. Garante vieta: necessità stringente. Alternativa: badge. Se necessario, DPIA + accordo sindacale.
Caso 2: Caio: email aziendale e privacy
Caio, datore, accede a email del dipendente per indagine. Politica scritta + riserva legittima del lavoratore + proporzionalità. Garante ha sanzionato accessi senza policy.
Caso 3: Sempronio: whistleblowing
Sempronio, impresa, attua sistema whistleblowing ex D.Lgs. 24/2023. Protezione del segnalante, riservatezza, gestione dei dati con misure di sicurezza rafforzate.
Caso 4: Commento applicativo
L'art. 88 è il fronte del lavoro. Complesso intreccio GDPR + Statuto + contratti. DPO e legali del lavoro insieme. Aggiornamento continuo necessario.
Domande frequenti
Cosa permette l'art. 88?
SM possono prevedere norme più specifiche su trattamento dati nei rapporti di lavoro: assunzione, gestione, organizzazione, sicurezza, parità. In Italia, art. 88 D.Lgs. 196/2003 + Statuto.
Posso videosorvegliare i dipendenti?
Solo con accordo sindacale o autorizzazione DTL (art. 4 Statuto). Garante ha disciplinato proporzionalità, perimetro, retention.
Biometrico per timbratura è ammesso?
In via generale no. Necessità stringente non sostituibile con badge. DPIA + accordo sindacale + provvedimento Garante.
Posso leggere email del dipendente?
Sì con cautela: politica scritta, riserva del lavoratore, accesso proporzionato. Senza policy, illecito. Garante ha sanzionato pratiche.
Whistleblowing come si gestisce?
D.Lgs. 24/2023: canali dedicati, riservatezza segnalante, protezione anti-ritorsioni. DPO supervisiona. Sanzioni per omessa attuazione.
Vedi anche