Privacy dei lavoratori: il parere dei garanti europei
di Team Privacy del Digital & Law Department Scarica in PDFI Garanti europei della privacy riuniti nel Gruppo “Articolo 29” (WP29) hanno fornito alle imprese alcune indicazioni in merito al rispetto della privacy dei loro dipendenti (“Opinion 2/2017 on data processing at work”, adottato l’8 giugno 2017 – scaricabile in calce al seguente articolo).
Le indicazioni sono state espresse alla luce della normativa vigente e in base anche alle novità introdotte dal Regolamento UE 2016/679, già in vigore e direttamente esecutivo dal prossimo maggio 2018.
Nel documento redatto dai Garanti europei si ricorda alle aziende private e agli enti pubblici che ogni lavoratore, indipendentemente dal contratto in essere, ha diritto alla tutela della propria privacy e in particolare ha il diritto ad essere adeguatamente informato sulle modalità di trattamento dei propri dati e sulle modalità di controllo attivate all’interno dell’organizzazione. A tal fine, i Garanti europei sottolineano l’opportunità di privilegiare misure preventive, assolutamente trasparenti, che segnalino a dipendenti e collaboratori eventuali possibili violazioni che potrebbero commettere: pertanto, sarà indispensabile adottare innanzitutto idonee ed accurate privacy policy interne e puntuali regolamenti che disciplinino, in modo chiaro, semplice ed esaustivo, l’utilizzo degli strumenti di lavoro in dotazione del personale.
È utile sottolineare l’innovativo punto di vista espresso dai Garanti europei, che ovviamente tiene conto delle nuove norme del Regolamento: nel documento del WP 29, infatti, si precisa che – considerata la forte disparità di potere tra datore di lavoro e lavoratore, sia in aziende private che presso enti pubblici, difficilmente il consenso può essere usato come base legale per l’utilizzo dei dati. Il consenso infatti per essere valido deve essere anche libero, mentre i Garanti evidenziano che in tali contesti il consenso prestato potrebbe essere “condizionato” dal particolare contesto in cui è richiesto.
A questo proposito i Garanti suggeriscono al datore di lavoro l’eventualità di avvalersi di disposizioni normative o contrattuali oppure di far valere il loro “legittimo interesse” (previsto dall’art. 6 del nuovo Regolamento), sempre però bilanciando quest’ultimo con i diritti e le libertà dei lavoratori, secondo i principi di necessità e proporzionalità. E ciò, sembrerebbe, al fine di evitare che il dipendente o il collaboratore prestino un consenso evidentemente non pienamente consapevole o libero, in un’ottica simile a quella che permea la tutela del consumatore nella relativa disciplina.
Più in generale, i Garanti ribadiscono che l’uso dei dati personali dei lavoratori deve essere quanto più possibile limitato alle finalità aziendali.
Ad esempio, la consultazione e il monitoraggio dei profili social dei lavoratori, anche da parte dell’area risorse umane, deve essere limitato ai soli profili professionali, escludendo la vita privata, anche di possibili candidati a posizioni lavorative aperte. Nella stessa prospettiva, secondo i Garanti europei, gli strumenti di geolocalizzazione possono essere utilizzati per finalità strettamente aziendali e al lavoratore deve essere lasciata la possibilità di disattivare temporaneamente, se necessario, il localizzatore (come i gps), ad esempio in caso di circostanze particolari che giustifichino questo spegnimento, ad esempio una visita medica.
Inoltre, sempre relativamente alle questioni legate al controllo a distanza dei lavoratori, nel documento dei Garanti europei si stigmatizza l’uso di sistemi di videosorveglianza idonei a identificare il viso dei lavoratori e a carpirne le espressioni facciali.
Anche per questo si ribadisce l’importanza di informare adeguatamente i lavoratori -tramite specifici regolamenti e policy aziendali – sul corretto utilizzo degli applicativi e degli strumenti tecnologici in dotazione.
Proprio per favorire il corretto utilizzo degli strumenti e delle policy aziendali nel rispetto della privacy dei lavoratori, i Garanti invitano i datori di lavoro a offrire, ad esempio, connessioni WiFi ad hoc e a definire spazi riservati – su computer e smartphone, su cloud e posta elettronica – dove possono essere conservati documenti o inviate comunicazioni personali, non accessibili al datore di lavoro se non in casi assolutamente eccezionali.