Sfruttare le potenzialità dei social network e delle nuove tecnologie senza violare la privacy dei lavoratori: a fornire alle imprese le linee guida su come agire sono stati i Garanti europei della privacy, riuniti del Gruppo “Articolo 29” (WP29) in vista dell’applicazione del Regolamento europeo sulla protezione dei dati che troverà applicazione a partire dal 25 maggio 2018.
=> Guida al nuovo Regolamento Privacy
A rendere note le indicazioni date alle imprese dai Garanti europei della privacy è stato il Garante per la Privacy con la Newsletter n. 430/2017 con la quale ha anche reso nota la conclusione del primo ciclo di incontri tenutosi con le Pubbliche Amministrazioni e le imprese, l’iniziativa volta a fornire indicazioni utili e accompagnare il processo di adeguamento alle nuove norme disegnando altresì un quadro generale dello stato di avanzamento dei lavori di adeguamento al nuovo Regolamento in ambito pubblico e privato.
Tra le indicazioni fornite dai Garanti tenendo conto delle novità introdotte dal Regolamento UE 2016/679:
- controllare la fuga di dati o la compromissione dei sistemi senza “spiare” le comunicazioni dei dipendenti: si possono introdurre strumenti e tecnologie, come quelle per l’analisi del traffico, per ridurre i rischi di attacchi informatici e la diffusione di informazioni riservate, ma non si può spiare la posta dei dipendenti o la loro navigazione internet. Anche in questo caso devono essere privilegiate misure preventive, assolutamente trasparenti, che segnalino ad esempio ai dipendenti la violazione che potrebbero stare per commettere;
- consultare i social network limitandosi ai soli profili professionali, escludendo la vita privata di dipendenti o candidati all’assunzione. Vale sempre, infatti, il diritto fondamentale a non essere oggetto di discriminazione come quelle basate sulle idee politiche, l’impegno sociale o altri aspetti della sfera personale o familiare;
- offrire spazi privati su computer aziendali e servizi cloud: per favorire il corretto utilizzo degli strumenti e delle policy aziendali nel rispetto della privacy dei lavoratori, i Garanti invitano i datori di lavoro a offrire, ad esempio, connessioni WiFi ad hoc e a definire spazi riservati – su computer e smartphone, su cloud e posta elettronica – dove possono essere conservati documenti o inviate comunicazioni personali, non accessibili al datore di lavoro se non in casi assolutamente eccezionali;
- richiedere ulteriori basi legali circa il consenso per trattare i dati personali dei lavoratori poiché aziende ed enti pubblici difficilmente potranno avvalersi del consenso dei dipendenti come base legale per poter procedere all’utilizzo dei loro dati: il consenso, per essere considerato valido, si legge nella newsletter del Garante per la Privacy, deve essere libero, diversamente da quanto accade nella realtà lavorativa dove c’è una forte disparità di potere tra datore di lavoro e dipendente. Il datore di lavoro può tuttavia far valere il proprio “legittimo interesse“: ad esempio, alla sicurezza e alla corretta allocazione delle risorse. Necessario però bilanciare il legittimo interesse del datore di lavoro con i diritti e le libertà dei lavoratori alla luce dei principi di necessità e proporzionalità;
- ogni trattamento deve essere proporzionato alla finalità perseguita e deve essere limitato quanto più possibile l’uso dei dati personali.
=> Guida alla privacy in azienda
Il documento redatto dai Garanti UE, oltre ai principi fondamentali, fornisce anche esempi concreti per il corretto trattamento dei dati in ambito professionale. Viene inoltre ricordato che:
«Ogni lavoratore, indipendentemente dal tipo di contratto a lui applicato, ha diritto al rispetto della vita privata, della sua libertà e dignità. Deve innanzitutto essere adeguatamente informato sulle modalità di trattamento dei dati personali in maniera chiara, semplice ed esaustiva, soprattutto quando siano previste forme di controllo del lavoratore, che comunque dovranno essere rispettose anche delle norme nazionali».
.