Il garante per la privacy fissa i paletti per la protezione dei dati personali in azienda. Con un documento di una ventina di pagine, stabilisce in via generale che “Le informazioni di carattere personale possono essere trattate dal datore di lavoro nella misura in cui siano necessarie per dare corretta esecuzione al rapporto di lavoro; talvolta, sono anche indispensabili per attuare previsioni contenute in leggi, regolamenti, contratti e accordi collettivi. In ogni caso, deve trattarsi di informazioni pertinenti e non eccedenti e devono essere osservate tutte le disposizioni della vigente disciplina in materia di protezione dei dati personali che trae origine anche da direttive comunitarie”.

Poi scende nel dettaglio e in sintesi stabilisce il divieto per gli archivi centralizzati di dati biometrici. L'utilizzo di questi dati “può essere giustificato solo in casi particolari, tenuto conto delle finalità e del contesto in cui essi sono trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad “aree sensibili”, considerata la natura delle attività ivi svolte: si pensi, ad esempio, a processi produttivi pericolosi13 o sottoposti a segreti di varia natura o al fatto che particolari locali siano destinati alla custodia di beni, documenti segreti o riservati o oggetti di valore”.

La conoscenza dei dati personali relativi a un lavoratore da parte di terzi è ammessa se l'interessato vi acconsente e, allo stesso modo, il consenso del lavoratore è necessario per pubblicare informazioni personali nella intranet aziendale. Il garante ribadisce anche il rispetto della privacy per i cartellini identificativi dei lavoratori e impone la separazione del fascicolo con i dati sanitari. Divieto assoluto anche per quanto riguarda la comunicazione di dati sugli stipendi percepiti, sanzioni disciplinari, assenze per malattia anche a ad associazioni di datori di lavoro, conoscenti, familiari o parenti. Senza il consenso dell'interessato non se ne fa nulla.