Informativa chiara al lavoratore sui dati raccolti
L’entrata in vigore, il 25 maggio, del nuovo regolamento europeo sulla protezione dei dati personali (2016/679) avrà un impatto anche sugli adempimenti informativi delle aziende per il controllo a distanza dei lavoratori.
Già la raccomandazione adottata il 1° aprile 2015 dal Consiglio d’Europa ha stabilito che l’estrazione dei dati relativi al traffico internet, l’accesso allo scambio di comunicazioni elettroniche, l’analisi delle informazioni di geolocalizzazione sono assimilabili a un trattamento dei dati personali del dipendente. Quindi, prosegue la raccomandazione, se l’attività è realizzata tramite gli strumenti di lavoro, le aziende dovranno fornire preventiva informazione al lavoratore che sia trasparente, pertinente, proporzionale e non eccedente rispetto al trattamento. Se l’attività è realizzata con veri e propri strumenti di controllo, si dovrà procedere a una consultazione delle rappresentanze sindacali.
L’articolo 88 del Regolamento europeo prescrive agli Stati membri di prevedere, tramite leggi o contratti collettivi, discipline specifiche per assicurare la protezione dei dati personali dei dipendenti nei rapporti di lavoro.
Le aziende dovranno fornire un’informazione adeguata ai lavoratori, anche per l’esercizio del potere di controllo, e dotarsi di precisi codici di condotta.
L’informativa dovrà indicare dettagliatamente le modalità d’uso degli strumenti e l’effettuazione dei controlli, avvalendosi delle indicazioni date sino ad oggi dal Garante per la privacy. Le norme vincolanti d’impresa, perciò, dovranno essere fornite al lavoratore in maniera semplice ed efficace, garantendo, in tal modo, una maggiore consapevolezza dello stesso, anche ai fini disciplinari. In particolare, dovranno indicare quali sono i dati personali (ad esempio le informazioni lasciate durante la navigazione internet o quelle connesse all’uso di e-mail), il loro trattamento (si pensi alla memorizzazione o raccolta dei log di navigazione o alla catalogazione delle e-mail aziendali) e la loro conservazione ed eventuale cancellazione, ad esempio alla cessazione del rapporto di lavoro. Resta l’obbligo di acquisire il consenso del dipendente come condizione di liceità del trattamento, salvo deroghe imposte da determinate normative. Sul fronte delle policy, poi, le imprese, oltre alla facoltà di dotarsi di sistemi di certificazione volontaria, dovranno adottare i codici di condotta sulla base dell’analisi e della valutazione dei rischi alla riservatezza operata dal titolare del trattamento.
La mancata informativa o la mancata adozione di un sistema organizzativo di controllo potrà determinare per le aziende le pesanti sanzioni previste dal Regolamento sulla privacy, parametrate al fatturato lordo mondiale dell’impresa, con soglie massime molto elevate.
