Diritto

Gestire i dati dei dipendenti in conformità al GDPR

Proteggere e gestire nel modo giusto i dati personali dei dipendenti trattati per finalità professionali nel contesto lavorativo non è solo obbligatorio per evitare sanzioni, ma è anche un modo per rafforzare il necessario legame di fiducia che i dipendenti hanno nei confronti del proprio datore di lavoro e contribuisce a garantire il buon funzionamento di ciascuna impresa.

Molti dei dati personali dei dipendenti, raccolti e trattati da un’impresa, sono necessari per l’adempimento corretto delle norme di legge in materia di lavoro, per amministrare l’iter professionale del dipendente nell’impresa e per consentire all’impresa di pianificare le attività del personale.
Così, ad esempio, si raccolgono dati per effettuare le comunicazioni obbligatorie quando il candidato viene assunto; per elaborare le buste paga dei dipendenti; per mantenere e aggiornare il LUL; per la gestione amministrativa del personale (ad esempio: si chiedono i dettagli della patente di guida o informazioni di contatto circa le persone da chiamare in caso di emergenza); per organizzare i reparti operativi e le responsabilità (ad esempio: la fotografia del dirigente potrebbe essere richiesta per essere inserita negli organigrammi e nella intranet aziendale); per consentire lo svolgimento di attività sindacali.

Selezione del personale

Sin dal momento stesso in cui si deve assumere un nuovo dipendente, si raccolgono dati personali, necessari per capire quale tra i candidati potenziali sia quello idoneo a ricoprire il ruolo disponibile. In questo specifico caso, il futuro datore di lavoro dovrà rispettare il principio di minimizzazione, domandando al candidato solo ed esclusivamente i dati personali necessari per adempiere allo scopo di capire se quel candidato è competente a ricoprire la posizione vacante; questo significa che il futuro datore di lavoro non avrà bisogno di sapere se il candidato è sposato, è fidanzato, se ha figli, quanti sono i membri della sua famiglia, qual è il lavoro svolto dal padre, quanto pesa o altre informazioni che nulla hanno a che fare con il lavoro proposto, in quanto si tratta di informazioni non necessarie alla finalità del trattamento, ovvero comprendere le abilità professionali del candidato.
Occorre inoltre rendere l’informativa al candidato, in cui vanno ben chiarite la finalità del trattamento, chi avrà accesso ai dati personali (se ad esempio altri dipendenti o una società di selezione del personale esterna che valuterà il cv, che dovrà essere ovviamente stata nominata responsabile del trattamento), per quanto tempo quei dati verranno conservati, come il candidato potrà esercitare i propri diritti su quei dati e tutto quanto altro indicato dall’art. 13 del GDPR. Nello specifico, i candidati devono essere messi nelle condizioni di poter accedere ai propri dati, correggerli, aggiornarli, cancellarli, opporsi al trattamento per motivi legittimi. Naturalmente, operata la scelta sul candidato e terminata dunque quella specifica finalità del trattamento, tutti i dati degli altri candidati, conservati sino a quel momento, dovranno essere cancellati, salvo che non abbiano espresso il consenso, esplicito e tracciabile, ad esempio, all’invio di altre informazioni su eventuali futuri posti vacanti dell’azienda.

Ingaggio del neo-dipendente

Nella fase successiva alla selezione del personale, quando il dipendente viene impiegato, la finalità del trattamento cambia e l’impresa, titolare del trattamento, che chiede di fornire i dati personali per assumere il candidato scelto, deve rispettare in ogni caso il principio di minimizzazione, rendendo l’informativa al neo-dipendente in sede di sottoscrizione del contratto di lavoro e domandando in ogni caso, solo ed esclusivamente, le informazioni di cui ha bisogno per compiere la finalità per cui si stanno raccogliendo quei dati ed evitare, per quanto è possibile, di trattare dati “sensibili” (idee sindacali, opinioni politiche, religione, origine etnica, salute). Per i dati sensibili, infatti, il GDPR prevede adempimenti più rigidi. Nel caso in cui si chiedono dati per finalità diverse rispetto a quella strettamente relativa all’instaurazione del rapporto di lavoro, è necessario individuare la base giuridica in una legge, nell’interesse legittimo o chiedendo il consenso espresso all’interessato, per legittimare il trattamento.

Le informazioni particolarmente delicate, come ad esempio possono essere i dati bancari, il numero della previdenza sociale, dati sanitari e altre informazioni simili devono essere conservate in maniera più sicura e riservata; l’accesso alle informazioni personali del dipendente deve essere consentito solo a persone autorizzate per iscritto, alle quali siano state impartite le dovute istruzioni su quali azioni il soggetto autorizzato può svolgere su quei dati, sulle modalità operative e sulle accortezze da osservare. Le azioni sui dati, effettuate dalle persone autorizzate, devono inoltre essere tracciate (chi si collega/ha accesso a cosa, quando si collega/ha accesso e a fare cosa) e devono essere adottate adeguate misure di sicurezza tali da ridurre al minimo i rischi di eventi negativi sui dati personali, quali perdita, danneggiamento, accessi non autorizzati, diffusione illecita che possono potenzialmente incidere sui diritti e le libertà dei dipendenti.

L’informativa va resa a tutti i dipendenti ogni volta che vengono chiesti loro dati personali per una finalità diversa rispetto a quella per cui sino a quel momento sono stati trattati, così ad esempio, quando è necessario effettuare l’aggiornamento dei dati amministrativi, per partecipare ad eventi formativi, quando vengono somministrati questionari o interviste per valutare le performance, ecc.
Inoltre, ogni dipendente può domandare in qualunque momento una copia dei dati raccolti, anche dei messaggi inviati attraverso la posta elettronica aziendale o mediante i sistemi di messaggistica aziendale e questo anche nel caso di un’azione disciplinare o giudiziaria che vede come parti il dipendente e lo stesso datore di lavoro.

I sistemi di controllo

In alcune circostanze, la normativa sul lavoro (D. Lgd. N. 151/2015 -Jobs Act e il successivo D. Lgs. n. 185/2016) consente di controllare l’attività dei dipendenti sul posto di lavoro e a distanza, si pensi ai casi in cui devono essere individuati comportamenti illeciti o anche per ragioni connesse alla sicurezza stessa dei lavoratori o all’organizzazione aziendale (un esempio è il controllo del telefono aziendale o l’installazione di impianti di videosorveglianza per ragioni legate alla sicurezza aziendale o per esigenze tecnico organizzative o produttive), ma ciò deve avvenire sempre nel rispetto della dignità e della vita privata del lavoratore e rispettando la protezione dei dati personali trattati.

Per utilizzare lecitamente tali strumenti di controllo a distanza in linea generale occorre ricordare che:

  • i dipendenti devono essere sempre informati;
  • il controllo deve essere basato su un interesse legittimo dell’azienda (ad esempio, può sussistere un interesse legittimo per finalità organizzative nel controllare gli orari di accesso sul luogo di lavoro o installare il GPS sull’auto aziendale, un interesse legittimo si ha anche quando si usano strumenti di controllo per finalità di tutela del patrimonio aziendale o per la sicurezza stessa del lavoratore);
  • i dipendenti non devono essere sorvegliati costantemente (ad esempio, la sicurezza del patrimonio aziendale, non legittima il fatto che il dipendente venga filmato costantemente nella propria postazione di lavoro, in quanto vigilare in maniera costante sull’esecuzione delle mansioni non è legale, se però sussiste un valido sospetto che i furti commessi in azienda siano imputabili al dipendente specifico, per finalità connesse ai controlli difensivi, allora, è possibile inquadrare direttamente il dipendente, sussistendo in tal caso un interesse legittimo del datore di lavoro); a tal proposito, potrebbe essere utile una lettura della sentenza della Cassazione n. 4367/2018, secondo cui sono utilizzabili le riprese effettuate con telecamere presenti sul luogo di lavoro in sede giudiziale, nel caso in cui la condotta del dipendente abbia messo a rischio il patrimonio aziendale;
  • non si deve utilizzare lo strumento di controllo per un diverso obiettivo nascosto (ad esempio, la geolocalizzazione dei veicoli svolta per finalità organizzative, non deve essere utilizzata per controllare in tempo reale come guida il dipendente).

A seconda di come gli strumenti di controllo vengono usati, vi sono poi regole precise, provvedimenti del Garante e specifiche circolari degli organi amministrativi che è bene tenere presenti, così ad esempio se si decide di installare un sistema di videosorveglianza nei luoghi di lavoro e questi strumenti possono indirettamente anche controllare il lavoro dei dipendenti, occorre ricordare di consultare gli organi rappresentativi sindacali del personale e sottoscrivere un accordo con essi o ottenere l’autorizzazione dell’ispettorato del lavoro, allo stesso modo se si installa il GPS sulle auto aziendali e analogamente se sullo strumento smartphone aziendale viene installato un software di geolocalizzazione, in quanto esso da strumento per eseguire la prestazione professionale si trasforma in strumento di controllo.
A tal proposito si consiglia di consultare la circolare dell’INL n.5/2018, dove viene espressamente chiarito che “L’attività di controllo è legittima se strettamente funzionale alla tutela dell’interesse dichiarato, interesse che non può essere modificato nel corso del tempo nemmeno se vengano invocate le altre ragioni legittimanti il controllo stesso ma non dichiarate nell’istanza di autorizzazione”.

E’ fondamentale:

  • informare i dipendenti dell’impiego del/i sistema/i di controllo, secondo i metodi più appropriati a seconda della propria organizzazione (esempio: nota, emendamento al contratto di lavoro, richiamo di informazioni sulla Intranet, via posta mediante documentazione allegata alla busta paga, o altro strumenti di comunicazione efficaci e verificabili);
  • elaborare e comunicare ai dipendenti una policy interna per chiarire come deve essere usata la posta elettronica, il telefono aziendale, Internet, i veicoli aziendali, identificando anche i comportamenti vietati.

Si ricordi che lo sviluppo dell’uso di nuove tecnologie sul posto di lavoro può far crescere i rischi sulla privacy e nel caso si valuti che il controllo per come svolto sia in realtà una sorveglianza sistematica, occorrerà procedere alla DPIA.

Il datore di lavoro, in qualità di titolare del trattamento, deve inoltre redigere e conservare correttamente il registro dei trattamenti dei dati personali che deve includere i trattamenti dei dati dei dipendenti, in cui riportare:

  • il nome di ciascun trattamento;
  • il settore aziendale di riferimento e il soggetto referente;
  • la finalità per ciascun trattamento;
  • le categorie di dati trattati per ciascun trattamento;
  • le categorie di interessati (in tal caso, dipendenti);
  • la base giuridica per ciascun trattamento;
  • specificare se è stata debitamente resa l’informativa per ciascun trattamento;
  • i termini ultimi di conservazione dei dati;
  • le misure di sicurezza impiegate;
  • se i dati vengono trasferiti ad altri soggetti, a chi vengono trasferiti (es. società di consulenza del lavoro, INPS, INAIL, eventuale società di consulenza informatica);
  • gli assett su cui sono conservati i dati personali;
  • se i dati vengono trasferiti a soggetti fuori dal SEE e su quali garanzie si basa il trasferimento (es. capogruppo con sede e data center centrale all’estero);
  • se i dati vengono diffusi (es. dati anagrafici dei dirigenti sulla intranet aziendale, in questo caso, si ricorda è necessario ottenere il consenso espresso e tracciabile dell’interessato).

L’importanza della formazione

La protezione corretta dei dati personali dei dipendenti passa anche per la formazione. I dipendenti e i collaboratori aziendali devono essere resi consapevoli di come devono agire e di quali sono i comportamenti vietati nell’ambito del trattamento di dati personali di loro colleghi e di terzi. Pertanto, si rende opportuno:

  • aumentare tra i dipendenti la consapevolezza dei diritti degli interessati, in modo che le richieste ricevute in qualsiasi area aziendale siano chiaramente identificate;
  • pianificare a monte una procedura per il corretto svolgimento del servizio che sia resa nota ai dipendenti che dovranno occuparsene (ad esempio: l’area customer service riceve una richiesta di opposizione da un interessato per non ricevere più messaggi pubblicitari e dovrà inoltrarla al reparto marketing che eventualmente dovrà inoltrarla all’area IT);
  • sensibilizzare sulle regole interne per la gestione dei dati personali (possiamo solo accedere ai dati di cui abbiamo bisogno, non dobbiamo divulgare dati a terzi che non siano stati autorizzati a riceverli; i file archiviati devono essere resi accessibili solo a determinate persone autorizzate; effettuare periodicamente se non giornalmente i backup regolari dei dati, ecc.);
  • considerare le regole di base della sicurezza (ad esempio: utilizzare sempre login e password complesse, prevedere il blocco della propria postazione al PC ogni volta che ci si allontana; non conservare documenti professionali su strumenti personali, come smartphone o posta elettronica personale; non lasciare biglietti da visita o documenti contenenti dati anagrafici in vista sulle scrivanie; utilizzare chiavette USB solo se strettamente necessario e esclusivamente chiavette USB dotate di sistemi di crittografia; ecc.).

Un valido suggerimento è quello di modificare il modo di approcciarsi al GDPR. Cambiare il proprio punto di vista verso le nuove regole sulla privacy, considerando l’adeguamento, non come un’imposizione o un obbligo, ma come un’opportunità di riorganizzazione della compagine organizzativa e un modo per ottimizzare i processi interni ed esterni, di certo contribuirà ad aumentare la fiducia dei dipendenti e la fidelizzazione dei clienti nei confronti dell’impresa. Ne vale la propria reputazione.