Testo del Regolamento Europeo (UE 2016/679) come pubblicato dalla Gazzetta Ufficiale dell’Unione Europea-(si applica a decorrere da 25 maggio 2018).
Secondo il Jobs Act nessuna autorizzazione è necessaria, per i controlli che sono effettuati tramite gli strumenti di lavoro. Quando un determinato dispositivo (computer, tablet, cellulare…) serve al dipendente per svolgere le sue mansioni o un determinato incarico, non c’è alcuna necessità di richiedere autorizzazioni preventive per adoperarlo: questo fatto, però, espone l’utilizzo degli strumenti suscettibili di monitorare l’attività ad abusi nei confronti del lavoratore.
Secondo la Commissione Europea però “i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica”
Secondo il Garante europeo, in particolare, i software che non servono soltanto ad agevolare la gestione delle pratiche dei lavoratori, ma che li monitorano, memorizzando i dati personali riferibili all’attività dei singoli dipendenti ed estraendo report relativi al servizio svolto, devono essere preventivamente autorizzati. L’autorizzazione è necessaria anche quando i dati non hanno un’associazione immediata col
nominativo del dipendente, ma sono comunque abbinabili al codice operatore, oppure possono essere incrociati consultando informazioni conservate in sistemi separati.
In questi casi, il Garante della privacy ha escluso che si tratti di sistemi assimilabili agli strumenti utilizzati dal lavoratore per svolgere la sua prestazione, dunque non soggetti ad autorizzazione secondo lo Statuto dei lavoratori. Il software che monitora il lavoratore è invece uno strumento di controllo a distanza, che come tale deve essere assoggettato all’apposita procedura di autorizzazione.
Inoltre, questi sistemi violano il Codice della privacy, se ai dipendenti non è fornita un’informativa completa e dettagliata circa le effettive modalità e finalità delle operazioni di trattamento rese possibili dall’applicativo.
Per quanto riguarda la tutela prevista dal Codice della privacy, la normativa stabilisce che le informazioni raccolte mediante gli strumenti di lavoro siano utilizzabili, a patto che sia fornita al dipendente un’informativa adeguata.
L’informativa, in particolare, deve indicare:
- le modalità d’uso dei dispositivi;
- le modalità di effettuazione dei controlli;
- le specifiche che garantiscono il rispetto della normativa sulla riservatezza.
Di conseguenza, in caso di una violazione da parte dell’azienda nel fornire l’informativa al lavoratore, i dati raccolti mediante le apparecchiature non sarebbero utilizzabili a nessun fine, nemmeno disciplinare.
La mancata informativa o la mancanza di un sistema organizzativo di controllo potrà determinare per le aziende le pesanti sanzioni previste dal Regolamento sulla privacy, parametrate al fatturato lordo mondiale dell’impresa, con soglie massime molto elevate (una multa fino a 10 milioni di euro, o fino al 2% del volume d’affari globale registrato nell’anno precedente nei casi previsti dall’Articolo 83, Paragrafo 4 o fino a 20 milioni di euro o fino al 4% del volume d’affari nei casi previsti dai Paragrafi 5 e 6).
Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso. (reg. UE 2016/679, punto 32).
Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano. È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento. In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali. I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati. I dati personali dovrebbero essere trattati in modo da garantirne un’adeguata sicurezza e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento (punto 37).
Redazionale – 09/04/2018
Notizie correlate: Pedinamenti: i dipendenti possono essere spiati?