IL TRATTAMENTO DEI DATI DEL PERSONALE DIPENDENTE

Nuove sanzioni per mancata formazione in materia di Sicurezza e Prevenzione nei luoghi di lavoro
6 Agosto 2018
Le nuove faq in materia di Privacy GDPR 679/16
21 Agosto 2018

IL TRATTAMENTO DEI DATI DEL PERSONALE DIPENDENTE

Con parere dell’8 giugno 2017, il Gruppo di lavoro ex art. 29 (“WP29”) si è pronunciato in merito al trattamento dei dati personali dei lavoratori, integrando quanto già previsto in passato con il Parere n. 8/2001 (“Parere sul trattamento di dati personali nell’ambito dei rapporti di lavoro”) ed il “Documento di lavoro sulla sorveglianza delle comunicazioni elettroniche sul luogo di lavoro” del 2002.

Come precisato dal WP29, tale nuovo parere è finalizzato ad aggiornare le regole per il trattamento dei dati personali dei lavoratori alla luce dell’evoluzione delle tecnologie informatiche (es.: sistemi per il controllo del lavoro da remoto, geolocalizzazione, Data Loss Prevention) nonché della ormai prossima entrata in vigore (25.5.2018) del Regolamento UE n. 679/2016 (cd. “GDPR”).

Nel documento in esame – rivolto non solo ai lavoratori dipendenti bensì anche a quelli autonomi, indipendentemente dalla stipula o meno di un contratto di lavoro subordinato – il WP29 ha, dapprima, ricordato che nell’effettuare il trattamento di tale tipologia di dati personali i datori di lavoro devono tenere ben presenti i diritti fondamentali dei lavoratori, ivi incluso il diritto alla loro riservatezza e, successivamente, individuato le basi giuridiche di tale trattamento, precisando che queste ultime possono ravvisarsi, alternativamente: (i) nell’esecuzione di obblighi derivanti da un contratto di lavoro, ove presente (es.: finalità retributive – ai sensi dell’art. 6.1, lett. b) del GDPR); (ii) nell’adempimento di obbligazioni previste dalla legge (es.: calcolo della ritenuta d’imposta – ex art. 6.1, lett. c) del GDPR); (iii) nell’interesse legittimo del datore di lavoro (es.: prevenzione della perdita di materiali aziendali e/o miglioramento della produttività dei lavoratori – ex art. 6.1, lett. f) del GDPR).

Il WP29, invece, esclude dalle basi giuridiche del trattamento dei dati personali dei lavoratori il mero consenso di questi ultimi in quanto, a causa del rapporto di “dipendenza” nei confronti del datore di lavoro, lo stesso consenso non potrebbe mai ritenersi liberamente prestato né, per le medesime ragioni, liberamente revocabile.

Con particolare riferimento all’interesse legittimo del datore di lavoro, poi, il WP29 ricorda a ciascun datore di lavoro di valutare preventivamente se il trattamento da porre in essere sia necessario e proporzionato per il perseguimento di una finalità legittima, nonché di adottare apposite misure di sicurezza volte a bilanciare tale finalità con i diritti e le libertà fondamentali dei lavoratori, redigendo, se del caso (cfr. art. 35 del GDPR), anche una valutazione di impatto del trattamento (cd. “DPIA”).

A tal riguardo, il WP29 suggerisce altresì ai datori di lavoro specifiche misure di sicurezza idonee a prevenire eventuali violazioni della riservatezza degli interessati, tra cui, ad esempio, (i) l’esclusione delle cd. “aree sensibili” (ospedali o luoghi religiosi) dalle zone sottoposte a monitoraggio, (ii) il divieto di monitoraggio delle cartelle/dei file e/o delle comunicazioni personali dei dipendenti e/o, ancora, (iii) la previsione di un monitoraggio “a campione”, rispetto ad una sorveglianza continuata nel tempo (sul punto, per l’Italia, cfr. Prov. Garante Privacy n. 247/2017).

Il WP29 ricorda, infine, che nel caso in cui il trattamento dei dati dei lavoratori si fondi sull’interesse legittimo del titolare, quest’ultimo è sempre tenuto a garantire agli interessati il diritto di opporsi al trattamento, esercitando l’omonimo diritto loro conferito dall’art. 21 del GDPR.

Monitoraggio della strumentazione informatica dei lavoratori

Il WP29 ritiene che, stante l’evoluzione delle tecnologie informatiche a disposizione dei datori di lavoro (Data Loss PreventionNext-Generation FirewallsUnified Threat ManagmenteDiscovery technologiesBYOD), il trattamento dati personali dei lavoratori relativi all’utilizzo della loro strumentazione informatica (es.: e-mail ricevute/inviate; siti web visitati; telefonate effettuate) rappresenti la più grande minaccia per la loro riservatezza.

Per far fronte a tale minaccia, il WP29 incoraggia i datori di lavoro ad adottare specifiche soluzioni volte a prevenire il ricorso ad accessi “successivi” ai dati dei lavoratori (presenti, ad esempio, nella loro cronologia web e/o nella casella di posta elettronica) e suggerisce, a titolo esemplificativo, misure quali: la predisposizione di un elenco di siti in cui la navigazione è vietata; la previsione di calendari di posta personali; la predisposizione di un’apposita policy per l’uso della strumentazione informatica.

Sul punto, un particolare esempio di approccio preventivo alla protezione dei dati è stato configurato dal WP29 con riferimento alla procedura di Data Loss Prevention, utilizzata dai datori di lavoro al fine di individuare e prevenire la trasmissione non autorizzata di informazioni riservate aziendali. Come chiarito dal WP29, nelle ipotesi in cui un datore di lavoro intenda avvalersi di una simile procedura, egli dovrebbe (i) informare i lavoratori dell’implementazione della stessa, (ii) determinare, in modo chiaro, le regole sulla base delle quali il sistema informatico qualifica una e-mail in uscita come in violazione della riservatezza aziendale e (iii) in caso di effettiva violazione, informarne l’interessato al fine di consentire a quest’ultimo di cancellare – e non inviare – tale comunicazione.

Con particolare riferimento all’utilizzo della strumentazione informatica da remoto (es. BYOD), invece, il WP29 ha previsto che, sebbene l’utilizzo di simili tecnologie comporti grandi vantaggi per i lavoratori, esso presenta anche il rischio di accessi non autorizzati ai dati personali da parte di soggetti terzi. Secondo il WP29, pur avendo la necessità di far fronte a tali rischi, il datore di lavoro non può adottare misure di sicurezza quali il monitoraggio dei movimenti del mouse, l’utilizzo di webcam o di tecnologie di “screen capture” – in quanto non proporzionate ed eccessive rispetto alle finalità perseguite – ma deve piuttosto implementare misure di sicurezza che rispettino la riservatezza degli interessati (così, ad esempio, se il datore di lavoro intende accedere agli smartphone dei lavoratori per verificare la perdita di dati personali, dovrebbe evitare l’accesso ad aree “private”, quali l’archivio fotografico).

Rilevazione della presenza dei lavoratori

Alcuni strumenti aziendali utilizzati dal datore di lavoro per finalità del tutto legittime possono comportare l’indiretto monitoraggio della presenza e dell’attività dei lavoratori sul luogo di lavoro (si pensi, ad esempio, all’installazione di un sistema di rilevazione dei dati biometrici dei lavoratori, volto a monitorare l’accesso degli stessi ad aree contenenti informazioni altamente riservate, ma in grado di consentire al datore di lavoro di verificare l’effettivo svolgimento della prestazione lavorativa). Tali trattamenti di dati, secondo il WP29, si fondano sul legittimo interesse del titolare finalizzato a tutelare la perdita e/o la sottrazione di informazioni riservate di natura aziendale (es.: dati dei clienti) ma, per poter essere effettuati nel rispetto della normativa vigente, devono essere preceduti da una idonea informativa fornita ai lavoratori.

Trattamenti di dati mediante sistemi di videosorveglianza

Secondo il WP29, l’utilizzo delle tecnologie che consentono il video monitoraggio dei lavoratori (es.: monitoraggio dell’espressione facciale mediante la videocamera dello smartphone affidato ai lavoratori) è illecito, in quanto sproporzionato rispetto alla tutela dei diritti e delle libertà fondamentali degli interessati.

Geolocalizzazione dei veicoli

Come precisato dal WP29, al fine di valutare la liceità del trattamento dei dati relativi all’ubicazione dei lavoratori mediante installazione di impianti GPS sui veicoli aziendali loro affidati, occorre distinguere. Se tale trattamento è effettuato al solo fine di monitorare il comportamento dei lavoratori e/o la loro posizione geografica, è illecito (cfr. anche WP29 Parere n. 13/2011). Se, diversamente, il trattamento è effettuato per il perseguimento di finalità legittime del datore di lavoro quali, ad esempio, la tutela della sicurezza dei veicoli e/o dei lavoratori ovvero, ancora, per la pianificazione in tempo reale di alcune attività lavorative, tale trattamento risulta lecito (cfr. sul punto anche WP29 parere n. 5/2005). In ogni caso, il WP29 suggerisce ad ogni datore di lavoro di inserire all’interno di ciascun veicolo una informativa privacy ben visibile recante l’indicazione dell’installazione del GPS e di valutare, prima del trattamento, se i veicoli aziendali concessi ai lavoratori possono essere utilizzati dagli stessi anche per finalità private, suggerendo, in tal caso, di garantire ai lavoratori la possibilità di disattivare il sistema GPS nel caso di destinazioni private.

  • Trasferimento dei dati personali dei lavoratori a terzi

In relazione al trasferimento dei dati dei lavoratori a terzi, il WP29 esemplifica, da un lato, il caso in cui tali dati siano trasferiti ai clienti finali e, dall’altro, l’ipotesi in cui i dati siano comunicati tra società del medesimo gruppo aventi sede fuori dall’Italia. Con riferimento alla prima fattispecie, il WP29 ritiene che il trasefrimento possa avvenire solo se fondato su un legittimo interesse del titolare; in relazione alla seconda, invece, il WP29 richiama i principi generali per il trasferimento dei dati previsti dalla Direttiva 95/46/CE e, attualmente, trasposti all’interno del GDPR (garanzia di un adeguato livello di protezione dei dati da parte dello Stato estero e, ove mancante, presenza di una apposita deroga).

Il parere, inoltre, ricorda ai datori di lavoro di adottare sempre, nel rispetto del principio di “accountability” previsto dal GDPR, misure preventive volte alla protezione della riservatezza dei lavoratori redigendo, se del caso, anche una valutazione di impatto del trattamento che abbia ad oggetto il bilanciamento tra il proprio legittimo interesse e l’impatto delle nuove tecnologie informatiche utilizzate sui diritti e le libertà fondamentali degli interessati.

 

 

Avv. Chiara Agostini