Il Gruppo dei Garanti Europei aggiorna le prescrizioni in materia di controllo dei dipendenti

 Il Gruppo dei Garanti Europei aggiorna le prescrizioni in materia di controllo dei dipendenti

L’approvazione del nuovo Regolamento Europeo sulla privacy e la diffusione di nuove tecnologie per la gestione dell’azienda ha indotto il Gruppo Articolo 29 (WP29) ad aggiornare le proprie indicazioni in materia di privacy e rapporto di lavoro.

In primo luogo il WP29 richiama l’opportunità che le imprese valutino, prima di iniziare il trattamento, di procedere sempre all’esecuzione di una valutazione d’impatto del trattamento dei dati personali (DPIA). Se è pur vero che il GDPR non prevede che la DPIA sia sempre obbligatoria o necessaria, d’altra parte questa attività permette di conoscere concretamente l’impatto del trattamento dei dati sul proprio business, ma soprattutto di mettersi in grado di rispettare efficacemente il principio dell’accountability, vero pilastro della nuova normativa sulla privacy.

Altra importante indicazione fornita dal Gruppo dei Garanti riguarda il concetto di rapporto di lavoro: si deve intendere non soltanto quello dipendente, ma qualunque forma di relazione lavorativa tra persona ed impresa. Precisazione al quanto necessaria nell’attuale variegato mercato del lavoro.

Viene confermato che il trattamento dei dati può avvenire, sussistendo sempre il consenso del lavoratore, soltanto in determinate circostanze:

  1. nell’esecuzione di obblighi derivanti da un contratto di lavoro, ove presente (art. 6.1, lett. b) del Regolamento);
  2. nell’adempimento di obbligazioni previste dalla legge (art. 6.1, lett. c) del Regolamento);
  3. nell’interesse legittimo del datore di lavoro (art. 6.1, lett. f) del Regolamento).

Deve invece escludersi che il mero consenso esplicito del lavoratore possa essere sufficiente a giustificare il trattamento dei dati personali, lo sbilanciamento della forza contrattuale tra datore di lavoro e dipendente non permette di considerare il consenso del lavoratore come pienamente libero.

Nel momento in cui le imprese scelgono di adottare tecnologie informatiche di monitoraggio del proprio sistema informativo aziendale è necessario, anche nel rispetto del principio di proporzionalità, adottare tutte le più opportune misure di sicurezza adeguate a garantire la privacy dei dipendenti.

Il WP29 delinea gli scenari più frequenti in cui nel rapporto dipendente-datore di lavoro possono sorgere problemi di corretto trattamento dei dati personali.

Si confermano le prescrizioni in materia di videosorveglianza, di sistemi geolocalizzazione e di controllo delle presenze. Così come anche in caso di trasferimento di dati dei dipendenti trasferiti verso organizzazioni e Paesi extraeuropei.

Di particolare interesse sono invece le ipotesi di utilizzo di social network e di installazione di tecnologie innovative.

Il WP29 ha preso in considerazione l’ipotesi in cui il datore di lavoro ai fini della valutazione dei candidati verifichi anche i profili social degli stessi (opinioni personali, abitudini, interessi, ecc.). Tale attività è consentita soltanto se detti profili siano utilizzati dagli interessati per finalità lavorative – e non personali.

Allo stesso modo il datore non può monitorare i profili social dei propri dipendenti a meno che tale trattamento dei dati non sia giustificato da un adeguato bilanciamento di interessi (es.: il datore di lavoro può avere un legittimo interesse a monitorare il profilo Linkedin dell’ex dipendente in regime di non concorrenza con la propria società al fine di verificare il rispetto di tale obbligo da parte dell’ex dipendente).

Il Gruppo di Garanti prende poi in considerazione le nuove tecnologie quali Data Loss Prevention, Next-Generation Firewalls, Unified Threat Managment, eDiscovery technologies, BYOD, che se adottate impongono che i dipendenti siano adeguatamente informati, prevedendo anche livelli scalabili di ingerenza e monitoraggio.

Allo stesso modo ricorrendo a sistemi quali Mobile Device Managment o strumenti come i c.d. Wearable Devices che consentono al datore di lavoro di gestire da remoto i dispositivi mobili affidati ai lavoratori, l’impresa dovrà essere in grado di dimostrare i propri concreti interessi legittimi all’utilizzo di tali strumenti informatici così invasiv.

È possibile quindi concludere come sebbene il GDPR avrà un impatto veramente significativo nella vita delle imprese, per quelle che in questi anni si sono rese conformi al codice privacy ed ai provvedimenti del Garante sicuramente la fase di adeguamento risulterà senz’altro facilitata. Considerazione che trova un concreto riscontro anche nella guida pratica pubblicata dal Garante Italiano nelle cui raccomandazioni speso si richiamano provvedimenti già adottati in anni precedenti e che si ritengono comunque attuali e conformi alla nuova normativa.

Avv. Emiliano Vitelli

Emiliano Vitelli

Partecipa alla discussione

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.