Il contributo sulla materia del Gruppo Articolo 29

Il Gruppo Articolo 29 è intervenuto sul tema della protezione dei dati personali nei rapporti di lavoro, individuando quale principio fondamentale quello per cui ogni lavoratore, indipendentemente dal tipo di contratto a lui applicato, ha diritto al rispetto della vita privata, della sua libertà e dignità, e deve essere adeguatamente informato sulle modalità di trattamento dei dati personali in maniera chiara, semplice ed esaustiva, soprattutto qualora siano previste forme di controllo.

Il Gruppo si rivolge ai datori di lavoro ricordandogli di adottare, nel rispetto del principio di accountability, misure preventive volte a tutelare la privacy dei lavoratori redigendo, se del caso, anche una valutazione d’impatto del trattamento, che abbia ad oggetto il bilanciamento tra il proprio legittimo interesse e l’impatto delle nuove tecnologie informatiche, utilizzate sui diritti e le libertà fondamentali degli interessati.

Con la modernizzazione delle tecniche lavorative e lo sviluppo tecnologico, è ormai possibile l’implementazione di controlli a distanza, estremamente penetranti nei confronti dei lavoratori. Si è reso quindi necessario aggiornare le regole volte alla tutela del lavoratore. Oltre al controllo a distanza, il datore può controllare i dipendenti (attraverso anche i loro dati personali) in

65

una molteplicità di fasi: ad esempio nella valutazione dei candidati e in fase di assunzione, nella valutazione delle prestazioni lavorative, oppure in funzione della rescissione del rapporto di lavoro.

Emerge la volontà di responsabilizzare ulteriormente il datore di lavoro, il quale, nell’effettuare i controlli sui lavoratori è obbligato a rispettare i sottoelencati principi in materia di protezione dei dati personali:

 principio di necessità: il controllo deve risultare necessario o indispensabile rispetto ad uno scopo determinato ed avere il carattere dell’eccezionalità, limitato nel tempo e ben mirato;

 principio di finalità: il controllo deve essere finalizzato a garantire la sicurezza o la continuità aziendale, o a prevenire e reprimere illeciti;

 principio di trasparenza: il datore di lavoro deve informare preventivamente i dipendenti sui limiti di utilizzo degli strumenti e delle sanzioni previste nel caso di violazione di tali limiti;

 principio di proporzionalità: il datore di lavoro deve adottare forme di controllo strettamente proporzionate e non eccedenti lo scopo della verifica;

 principio di sicurezza: i dati raccolti devono essere protetti in modo adeguato.

Al datore di lavoro viene comunque lasciato un ampio margine di discrezionalità, poiché spetta a lui decidere quali tecniche adottare per la salvaguardia della privacy dei dipendenti.

66

Anche se nel trattare i dati dei dipendenti, dovrebbe individuare correttamente la base giuridica dei trattamenti:

 adempimento di obblighi derivanti da un contratto di lavoro;

 adempimento di obbligazioni previste dalla legge;

 interesse legittimo del datore di lavoro.

Il Gruppo Articolo 29 suggerisce altresì ai datori di lavoro specifiche misure

di sicurezza idonee a prevenire eventuali violazioni della privacy degli

interessati, tra cui, ad esempio, l’esclusione delle cosiddette aree sensibili dalle zone sottoposte a monitoraggio; il divieto di monitoraggio delle cartelle/dei file e delle comunicazioni personali dei dipendenti; oppure la previsione di un monitoraggio a campione rispetto ad una sorveglianza continuata nel tempo. Il Gruppo Articolo 29, con l’intento di limitare i rischi per i diritti e le libertà fondamentali dei lavoratori, ha individuato nove scenari che ipotizzano il trattamento dei dati personali dei lavoratori da parte dei titolari:

1. Trattamento dei candidati presenti sui social network.

Il datore di lavoro può trattare i dati dei candidati presenti sui loro profili

social (opinioni personali, abitudini, interessi etc…) solo nel caso in cui tali

profili siano utilizzati dagli interessati per finalità lavorative, e laddove gli stessi siano necessari e rilevanti per l’esecuzione della prestazione lavorativa. In tale circostanza, il datore di lavoro deve informare preventivamente il candidato riguardo al trattamento dei suoi dati.

2. Trattamento dei dati dei lavoratori presenti sui social network.

Il trattamento dei dati dei lavoratori presenti sui social ha i medesimi presupposti previsti per il trattamento dei dati dei candidati. Si impone sul

67

datore di lavoro l’onere di provare anche l’insussistenza di strumenti meno invasivi per il raggiungimento delle finalità del trattamento.

3. Monitoraggio della strumentazione informatica dei lavoratori (e-mail,

telefonate effettuate, siti web visitati).

I datori di lavoro vengono incoraggiati dal Gruppo Articolo 29 ad adottare specifiche soluzioni volte a prevenire il ricorso ad accessi “successivi” ai dati dei lavoratori (presenti nella loro cronologia web o nella casella di posta elettronica), e suggerisce misure quali: la predisposizione di un elenco di siti in cui la navigazione è vietata, la previsione di calendari di posta personali, oppure la predisposizione di un’apposita policy per l’uso della strumentazione informatica. In relazione all’utilizzo della strumentazione informatica da remoto (es. BYOD 53), invece, il datore di lavoro non può adottare misure di sicurezza quali il monitoraggio dei movimenti del mouse, l’utilizzo di webcam o di tecnologie di screen capture, in quanto non proporzionate ed eccessive rispetto alle finalità.

4. Mobile Device Management.

Queste tecnologie consentono al datore di lavoro di gestire da remoto i dispositivi mobili affidati ai dipendenti. Il Gruppo Articolo 29 prevede a riguardo che ciascun datore debba effettuare una valutazione d’impatto prima dell’inizio del trattamento, al fine di verificare l’effettiva necessità del trattamento rispetto alle finalità perseguite.

5. Wearable Devices.

53

Acronimo di bring your own device. Consiste in un approccio adottato dalle aziende che permettono ai propri dipendenti e collaboratori di portare sul posto di lavoro e utilizzare per scopi lavorativi dispositivi di proprietà, come smartphone, tablet, laptop e con sempre più frequenza anche wereable.

68

I dati raccolti da strumenti di monitoraggio riguardo allo stato di salute e all’attività fisica dei dipendenti possono essere trattati solo dai diretti interessati ed eventualmente dal fornitore del servizio, ma non da parte del datore di lavoro.

6. Rilevazione della presenza dei lavoratori.

Alcuni strumenti aziendali utilizzati dal datore di lavoro per finalità del tutto legittime, possono comportare l’indiretto monitoraggio della presenza e dell’attività dei lavoratori sul luogo di lavoro. Tali trattamenti di dati, si fondano sul legittimo interesse del titolare, finalizzato a tutelare la perdita o la sottrazione di informazioni aziendali riservate (es. dati dei clienti) ma, per poter essere effettuati nel rispetto della normativa vigente, devono essere preceduti da un’idonea informativa fornita ai lavoratori.

7. Trattamenti di dati mediante sistemi di videosorveglianza.

Il video monitoraggio dei dipendenti è considerato illecito in quanto sproporzionato rispetto alla tutela dei diritti e delle libertà fondamentali degli interessati.

8. Geolocalizzazione dei veicoli.

Il trattamento dei dati di geolocalizzazione dei veicoli aziendali è legittimo per quanto riguarda la tutela della sicurezza dei veicoli e dei lavoratori, o anche per la pianificazione in tempo reale dell’attività lavorativa. Illecita è la geolocalizzazione nel caso in cui i veicoli aziendali possano essere utilizzati anche per finalità private. Il dipendente deve poter disabilitare il monitoraggio nel momento in cui svolge un’attività di natura personale con l’auto aziendale. Il Gruppo Articolo 29 suggerisce al datore di lavoro di inserire all’interno del veicolo una informativa privacy, ben visibile, recante l’indicazione dell’installazione del GPS.

69

Nel caso in cui tali dati siano trasferiti ai clienti finali, il trasferimento stesso può avvenire solo se fondato su un legittimo interesse del titolare; nel caso in cui siano comunicati tra società del medesimo gruppo aventi sede fuori dall’Italia, si richiamano i principi previsti dal GDPR .

Il rimando dettagliato al contributo del Gruppo Articolo 29, si giustifica richiamandosi alla genericità dell’art.88 del GDPR, anche tenendo conto della tecnologia, sempre più guidata dall’intelligenza artificiale e dall’Internet delle

cose.