Fra i diritti di contenuto non patrimoniale che spettano ad ogni lavoratore è compreso il diritto alla protezione dei dati personali, espressamente riconosciuto anche da fonti internazionali. Tale diritto, pur non trovando un esplicito richiamato nella Costituzione italiana, è certamente espressione della tutela della dignità umana. Il collegamento con il valore della dignità spiega anche la ragione per la quale si ritiene che una prima, embrionale, forma di tutela del diritto dei lavoratori alla protezione dei propri dati personali già derivasse da alcune disposizioni dello Stato dei lavoratori formalmente dirette alla tutela della “dignità del lavoratore”.
Il diritto dei lavoratori alla protezione dei dati personali ha trovato compiuta tutela a seguito di una direttiva comunitaria, a seguito della cui adozione, il legislatore ha adottato il Codice in materia di protezione dei dati personali, anche definito come Codice della privacy, dalle cui disposizioni derivano, in capo al datore di lavoro che proceda al trattamento dei dati personali di un lavoratore alle sue dipendenze, obblighi ulteriori e distinti rispetto a quelli già derivanti dalle disposizioni dello Statuto dei lavoratori.
È bene avere presente la assoluta atipicità che caratterizza il concetto di “trattamento dei dati personali”, come si ricava dalle definizioni di “dato personale” e di “trattamento” contenute nell’articolo 4 dello stesso Codice. Per “dato personale” deve, intendersi, infatti, “qualunque informazione relativa a persona fisica, indentifica o identificabile”. Pertanto, al fine di rendere applicabile la disciplina contenuta nel Codice della privacy, non assume rilevanza la natura o il contenuto della informazione, né la sua forma, che potrà quindi essere alfanumerica oppure visiva, o anche soltanto sonora. Una analoga atipicità caratterizza la definizione di “trattamento”, da intendersi, infatti, come “qualunque operazione” effettuata “anche senza l’ausilio di strumenti elettronici”, concernente anche soltanto “l’utilizzo” di dati personali, “anche se non registrati in una banca dati”.
Pertanto, affinché si realizzi un “trattamento di dati personali”, è sufficiente che sia posta in essere anche una sola delle operazioni menzionate dall’articolo 4 del Codice della privacy (“la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati”).
Si comprende, quindi, come nel corso del rapporto di lavoro il datore di lavoro possa procedere a numerosi trattamenti di dati personali dei propri lavoratori. Si pensa alla verifica delle informazioni relative allo stato di salute dei lavoratori, che il datore di lavoro deve compiere per giustificare la loro assenza dal lavoro o per concedere permessi o altri benefici. Costituisce un trattamento di dati personali anche la redazione della lettera di contestazione disciplinare, così come la redazione della eventuale successiva lettera di licenziamento, poiché a tal fine il datore di lavoro deve necessariamente utilizzare informazioni relative ad un lavoratore ben individuato e, anzi, informazioni dotate di un adeguato livello di specificità.
Il trattamento da parte del datore di lavoro dei dati personali dei lavoratori assunti alle sue dipendenze richiede il necessario adattamento della disciplina dei presupposti della “legittimazione del trattamento”, cioè di quei presupposti, giuridici o di fatto, che sono tipizzati dal legislatore e sulla cui presenza deve basarsi ogni trattamento di dati personali per poter essere legittimo. Ed infatti, nonostante l’articolo 23 del Codice della privacy individui nel “consenso espresso dell’interessato” il principale presupposto di legittimazione del trattamento di dati personali “da parte di privati o di enti pubblici economici”, il consenso del lavoratore interessato è destinato ad assumere un ruolo soltanto sussidiario fra i presupposti di legittimazione del trattamento da parte del datore di lavoro.
Se, infatti, il lavoratore interessato, negando il suo consenso, potesse impedire il trattamento dei propri dati personali, il datore di lavoro potrebbe trovarsi non soltanto in grave difficoltà nella gestione del rapporto di lavoro, ma addirittura nella impossibilità di esercitare i poteri giuridici che la legge gli attribuisce in funzione della realizzazione della causa del contratto di lavoro, quali, ad esempio, il potere di controllo e il potere disciplinare.
In tal prospettiva, il Garante per la protezione dei dati personali, ha precisato che il datore di lavoro deve ottenere il consenso del lavoratore interessato “solo quando, anche a seconda della natura dei dati, non sia corretto avvalersi di uno degli altri presupposti equipollenti al consenso”. Pertanto, la legittimazione del datore di lavoro al trattamento dei dati personali dei lavoratori deve ritenersi prevalentemente basata su presupposti diversi dal consenso dei lavoratori interessati, quali sono quelli elencati nell’articolo 24 del Codice della privacy. In base a tale disposizione, il consenso non è richiesto quando il trattamento in questione sia necessario “per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria”.
Particolare rilievo nel rapporto di lavoro riveste, inoltre, il presupposto di legittimazione costituito dal perseguimento di “un legittimo interesse nei casi individuati dal Garante sulla base dei principi sanciti dalla legge”. Ed infatti, sulla base del bilanciamento degli interessi in conflitto, il Garante ha ritenuto che tale presupposto può realizzarsi anche nelle ipotesi in cui il trattamento di dati personali sia diretto a soddisfare “esigenze organizzative e produttive” del datore di lavoro.
Il consenso del lavoratore interessato costituisce, quindi, il principale presupposto di legittimazione del trattamento soltanto quando questo abbia ad oggetto “i dati che possono per loro natura ledere le libertà fondamentali o la vita privata”, cioè soltanto quando si tratti del trattamento dei cd. “dati sensibili”, quali sono i “dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.
Il trattamento di tali dati viene, infatti, circondato da particolari cautele poiché presenta oggettivamente una spiccata potenzialità lesiva per il soggetto interessato, trattandosi di informazioni che attengono alla sfera più intima della persona. Ciò nonostante, avendo ancora riguardo alle specifiche esigenze connesse con il rapporto di lavoro, la disciplina comunitaria ha espressamente previsto che anche il trattamento dei dati sensibili, in particolari ipotesi, possa essere legittimato pur in assenza del consenso del lavoratore.