A Giugno 2017, il Gruppo Articolo 29 (WP29) ha aggiornato le proprie indicazioni in materia di privacy e rapporto di lavoro. Un intervento ritenuto necessario non soltanto alla luce del nuovo Regolamento 679/2017 (GDPR), ma prendendo anche in considerazione le nuove tecnologie che si stanno diffondendo nella normale gestione operativa di un’azienda.
L’avvento delle nuove tecnologie, si evince dalla lettura del documento, comporta necessariamente una maggiore attenzione da parte dell’impresa al corretto trattamento dei dati personali dei propri dipendenti. Per questa ragione più volte, giustamente, il provvedimento del WP29 richiama l’opportunità, prima di iniziare il trattamento, di procedere sempre all’esecuzione di una valutazione d’impatto del trattamento dei dati personali (DPIA).
=> Guida al nuovo Regolamento Privacy
Questa considerazione suggerita dal WP29 è da ritenersi particolarmente significativa se si considera che il GDPR non prevede che la DPIA sia sempre obbligatoria o necessaria. Ciò sottolinea l’importanza per l’impresa di conoscere esattamente l’impatto del trattamento dei dati sul proprio business. Conoscenza che può essere assicurata proprio con lo svolgimento di una DPIA. Soltanto in quest’ottica sarà possibile rispettare efficacemente il principio dell’accountability, vero pilastro della nuova normativa sulla privacy.
Controllo dipendenti
Passando ora all’esame più in dettaglio del documento aggiornato dal WP29 va subito sottolineato come il Gruppo dei Garanti precisi che per rapporto di lavoro si deve intendere non soltanto quello dipendente, ma qualunque forma di relazione lavorativa tra persona ed impresa. Precisazione al quanto necessaria nell’attuale variegato mercato del lavoro.
Viene poi confermato che il trattamento dei dati può avvenire, sussistendo sempre il consenso del lavoratore, soltanto in determinate circostanze:
- nell’esecuzione di obblighi derivanti da un contratto di lavoro, ove presente (art. 6.1, lett. b) del Regolamento);
- nell’adempimento di obbligazioni previste dalla legge (art. 6.1, lett. c) del Regolamento);
- nell’interesse legittimo del datore di lavoro (art. 6.1, lett. f) del Regolamento).
Mentre, chiarisce subito il WP29, deve escludersi che, in assenza dei predetti presupposti, il mero consenso esplicito del lavoratore possa essere sufficiente a giustificare il trattamento dei dati personali. Si rileva, infatti, che lo sbilanciamento della forza contrattuale tra datore di lavoro e dipendente non permette di considerare il consenso del lavoratore come pienamente libero.
Sulla questione del consenso ritengo opportuno precisare come l’art. 7 del Regolamento stabilisca che revocare il consenso deve essere semplice come fornirlo. Cosa che quindi rileva in particolare nei casi di licenziamento e impatta necessariamente su tutte le relative procedure.
=> Controllo dipendenti pc, social e web: gli strumenti legali
Monitoraggio reti
Il WP29 ribadisce, tanto nella parte introduttiva del documento che nelle successive prescrizioni, come sia necessario da parte delle aziende, nel momento in cui (nel rispetto del principio di proporzionalità) si implementano tecnologie informatiche di monitoraggio del proprio sistema informativo aziendale, adottare anche tutte le più opportune misure di sicurezza in modo comunque da garantire la privacy dei dipendenti.
Il WP29, anche fornendo alcuni esempi concreti, delinea poi gli scenari più frequenti in cui nel rapporto dipendente-datore di lavoro possono sorgere problemi di corretto trattamento dei dati personali, ciò soprattutto in relazione alle nuove tecnologie.
Ovviamente si richiamo le ipotesi di videosorveglianza, di sistemi geolocalizzazione e di controllo delle presenze. Su questi aspetti il Garante, come noto, è intervenuto molteplici volte anche, come si può ricordare, a seguito della riforma dell’art. 4 dello Statuto dei Lavoratori. Pertanto le aziende che si sono già adeguate dovranno soltanto eventualmente sistemare poche cose.
In linea di massima, medesime considerazioni possono essere fatte in relazione ai dati dei dipendenti trasferiti verso organizzazioni e Paesi extraeuropei.
Di particolare interesse sono invece le ipotesi di utilizzo di social network e di installazione di tecnologie innovative.
=> Accordi aziendali di geolocalizzazione mobile
Social network
il WP29 ha preso in considerazione l’ipotesi in cui il datore di lavoro ai fini della valutazione dei candidati verifichi anche i profili social degli stessi (opinioni personali, abitudini, interessi, ecc.). Si è ritenuto di chiarite che tale attività è consentita soltanto se detti profili siano utilizzati dagli interessati per finalità lavorative – e non personali.
Allo stesso modo il datore non può monitorare i profili social dei propri dipendenti a meno che tale trattamento dei dati non sia giustificato da un adeguato bilanciamento di interessi (es.: per il WP29 il datore di lavoro può avere un legittimo interesse a monitorare il profilo Linkedin dell’ex dipendente in regime di non concorrenza con la propria società al fine di verificare il rispetto di tale obbligo da parte dell’ex dipendente).
=> Facebook: quando spiare il dipendente è lecito
Innovazioni tecnologiche
Esistono e sono sempre più diffuse tecniche e strumenti di monitoraggio del sistema informativo aziendale che sebbene possono garantire vari livelli di sicurezza comportano necessariamente un abbassamento della tutela della privacy dei dipendenti; una tutela che quindi deve trovare le giuste contromisure. Così tecnologie quali Data Loss Prevention, Next-Generation Firewalls, Unified Threat Managment, eDiscovery technologies, BYOD, possono essere sicuramente implementate ma (come più volte già stabilito e rammentato dal Garante Italiano) i dipendenti devono essere adeguatamente informati e devono essere previsti livelli scalabili di ingerenza e monitoraggio.
L’impresa, onde evitare eccessive ingerenze potrebbe, propone come esempio il documento, adottare delle limitazioni quali la predisposizione di un elenco di siti in cui la navigazione è vietata, oppure prevedere la possibilità all’accesso a calendari o a posta personali. In ogni caso si suggerisce sempre l’opportunità di predisporre apposite policy per l’uso della strumentazione informatica.
=> Smart Working: le regole per applicarlo
Allo stesso modo va segnalato li riferimento che si fa nel documento alle tecnologie di Mobile Device Managment ed ai c.d. Wearable Devices che consentono al datore di lavoro di gestire da remoto i dispositivi mobili affidati ai lavoratori. In questa ipotesi si sottolinea come l’impresa dovrà, alla luce dei principi fondanti il GDPR, essere in grado di dimostrare i propri concreti interessi legittimi all’utilizzo di tali strumenti informatici così invasivi. Infatti da un lato, dovrà essere in grado di dimostrare che l’utilizzo di tali tecnologie informatiche non rientra in un più ampio programma di trattamento volto all’esclusivo controllo dell’attività dei lavoratori e, dall’altro, adottare sistemi di registrazione delle informazioni volti a raccogliere i dati personali relativi ai dispositivi mobili dei lavoratori solo in casi eccezionali (es. smarrimento).
E’ possibile quindi concludere come, sebbene il GDPR avrà un impatto veramente significativo nella vita delle imprese, per quelle che in questi anni si sono rese conformi al codice privacy ed ai provvedimenti del Garante sicuramente la fase di adeguamento risulterà senz’altro facilitata. Considerazione che trova un concreto riscontro anche nella guida pratica pubblicata dal Garante Italiano nelle cui raccomandazioni spesso si richiamano provvedimenti già adottati in anni precedenti e che si ritengono comunque attuali e conformi alla nuova normativa.
___________
