Dal Garante della privacy sono state definite, per la prima volta in un quadro unitario, misure ed accorgimenti per disciplinare la raccolta e l’uso di dati personali nella gestione del rapporto di lavoro. Tra le misure adottate, la proibizione di archivi centralizzati relativi ai dati biometrici; i dati sanitari dovranno essere conservati in fascicoli separati, e i cartellini identificativi dovranno essere compilati a prova di privacy.
A questo primo provvedimento, adottato su richiesta dei lavoratori e delle organizzazioni sindacali e di impresa, ne seguiranno altri che regoleranno tematiche diverse, come l’uso di e-mail e la navigazione su internet. Tra i principi generali va ricordato che il datore di lavoro “può trattare informazioni di carattere personale strettamente indispensabili per dare esecuzione al rapporto di lavoro. Deve individuare il personale che può trattare tali dati e assicurare idonee misure di sicurezza per proteggerli da indebite intrusioni o illecite divulgazioni. Il lavoratore deve essere informato in modo puntuale sull’uso che verrà fatto dei suoi dati e gli deve essere consentito di esercitare agevolmente i diritti che la normativa sulla privacy gli riconosce (accesso ai dati, aggiornamento, rettifica, cancellazione etc.). Entro 15 giorni dalla richiesta il datore di lavoro è tenuto a comunicare in modo chiaro tutte le informazioni in suo possesso. Il trattamento di dati personali riferibili a singoli lavoratori, anche sensibili, è lecito, se finalizzato ad assolvere obblighi derivanti dal contratto individuale. Alcuni scopi sono altresì previsti dalla contrattazione collettiva per la determinazione di circostanze relative al rapporto di lavoro individuale (ad esempio, per la fruizione di permessi o aspettative sindacali e periodi di comporto o rispetto alle percentuali di lavoratori da assumere con particolari tipologie di contratto). Se queste finalità sono in termini generali lecite, occorre però rispettare il principio della compatibilità tra gli scopi perseguiti (art. 11, comma 1, lett. b), del Codice): lo scopo perseguito dal datore di lavoro sulla base del trattamento di dati personali non deve essere incompatibile con le finalità per le quali i medesimi sono stati raccolti.