ADEMPIMENTI PRIVACY

Rapporti di lavoro: gli errori privacy più comuni commessi dalle aziende

Sono numerosi, e anche più comuni di quanto si possa pensare, gli errori che i datori di lavoro commettono quando si parla di privacy nei rapporti di lavoro. Analizziamoli per imparare le giuste regole di accountability

11 Giu 2020
M
Roberto Maraglino

Data Protection & Information Security Manager


È abbastanza frequente, nella gestione dei rapporti di lavoro da parte delle aziende, commettere errori in termini di privacy che potrebbero comportare violazioni e sanzioni della normativa privacy. Analizziamo in dettaglio i vari ambiti in cui è più comune riscontrare errori per apprendere le necessarie regole di accountability.

Autorizzazione privacy nei curriculum

La vecchia prassi di inserire in fondo al curriculum vitae la frasetta di autorizzazione al trattamento dei dati personali, è ormai noto, non è più necessaria. A quanto pare a richiederla talvolta sono proprio i recruiter (pochi fortunatamente) di alcune aziende.

L’autorizzazione in calce ai CV che siamo abituati a vedere è infatti superflua già dal lontano 2011.

Lo prevedeva espressamente già il vecchio Codice Privacy (D.lgs. 196/2003) all’art 24, comma 1 per i dati personali e all’art 26, comma 3, lett. b-bis, per i dati particolari eventualmente contenuti nel CV.

Tale semplificazione derivava da un decreto-legge del 2011, poi convertito in Legge 70/2011, che aveva introdotto anche un’altra importante semplificazione in tema di informativa da rilasciare in occasione della ricezione di curricula spontaneamente trasmessi dagli interessati: la cosiddetta informativa privacy “breve” che è tenuto a fornire all’interessato, anche oralmente, al momento del primo contatto successivo all’invio del curriculum.

Anche il Garante Privacy nel “Vademecum Privacy e Imprese” già nel 2013 affermava che “in base alle disposizioni del Codice Privacy, è assolutamente superfluo richiedere al candidato il consenso al trattamento dei dati personali contenuti nel curriculum”.

Informativa privacy mancante

Il datore di lavoro deve fornire una informativa privacy al candidato e al lavoratore contestualmente all’acquisizione dei suoi dati personali.

Capita, invece, di trovare form di candidatura senza informativa privacy, di leggere contratti di lavoro con generiche clausole sul trattamento dei dati personali e nessuna informativa.

Ciò che spesso viene a mancare è proprio il principio della trasparenza che, a maggior ragione nei rapporti di lavoro dove è essenziale un rapporto di reciproca fiducia, dovrebbe essere essenziale.

E così vi sono rapporti di lavoro dove manca una informativa privacy che disciplini in dettaglio tutti i trattamenti specifici che il rapporto di lavoro prevede.

WHITEPAPER
IoT Security: i fattori prioritari e i modelli da considerare nelle valutazioni dei rischi
IoT
Legal

Ci si trova, così, a distanza di anni, a rendersi conto che in mancanza di un’informativa privacy, o in presenza di una informativa lacunosa rilasciata molti anni prima, non si potrebbero utilizzare le foto, fare video, e in qualche caso neanche trasmettere alcuni dati dei dipendenti ai fornitori e via dicendo.

Non mancano neppure casi in cui i trattamenti straordinari di dati personali in costanza di rapporto di lavoro, a seguito per esempio di introduzione di nuove tecnologie in azienda, non vengono adeguatamente comunicati al lavoratore.

Consenso nei rapporti di lavoro

Altro errore molto comune è quello di pensare che il consenso del lavoratore possa essere una valida base giuridica per il trattamento dei suoi dati personali.

Il consenso, per definizione del GDPR (art 4), per essere valido deve essere una “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato” e deve essere “liberamente revocabile” dallo stesso.

Pertanto, come anche ribadito dalla Opinion 2/2017 del WP29 (WP249), il consenso prestato dal lavoratore non è valido nei rapporti di lavoro in quanto non può essere considerato espressione di una volontà libera poiché il diniego “potrebbe causare allo stesso un pregiudizio reale o potenziale”. Ne tantomeno si può ritenere che il consenso sia liberamente revocabile da parte del lavoratore senza generare inevitabili preclusioni o conseguenze sul rapporto di lavoro.

Eppure, ancora oggi, tanti, troppi datori di lavoro, ritengono valido l’utilizzo del consenso per farsi autorizzare a diffondere dati, utilizzare nuove tecnologie (es. geolocalizzazione), diffondere video di dipendenti, divulgare dati di contatto personali e addirittura installare impianti di videosorveglianza.

Il consenso non può essere una valida base giuridica nei rapporti di lavoro, serve identificare un’altra base giuridica ai sensi del GDPR (art 6).

Videosorveglianza

Sembra assurdo ma ancora oggi, a distanza di molti anni dalla regolamentazione della materia, tantissimi datori di lavoro installano telecamere sui luoghi di lavoro senza tener conto dei necessari passaggi che la normativa richiede.

Nelle violazioni c’è un po’ di tutto: mancano gli accordi sindacali o i passaggi dalla Direzione Territoriale del Lavoro, talvolta mancano le informative (ad esempio: i cartelli), le immagini sono archiviate per troppi giorni, l’angolo di inquadratura è orientato sulle postazioni di lavoro e via dicendo.

Le violazioni coinvolgono perlopiù le piccole e medie imprese che talvolta non dispongono del necessario supporto di professionisti che li guidino nel favoloso mondo delle leggi e della burocrazia italiana.

Rapporti di lavoro ed errori privacy: c’è tanto da fare

Purtroppo, parlando di rapporti di lavoro ed errori privacy, c’è anche tanto altro e così da una veloce analisi delle principali cause di negoziazione dei Data Processing Agreement fra Data Controller e Data Processor (titolare e responsabile del trattamento) ci si accorge che fra le violazioni c’è un po’ di tutto.

Spiccano in particolare le procedure sui data breach: per esempio si pensa che sia sufficiente notificare al Garante Privacy una violazione dei dati entro 72 ore da quando il Controller ne ha conoscenza dal Responsabile al Trattamento, anche se tale data è successiva di giorni o mesi rispetto all’evento. E così il Responsabile ritiene, o quanto meno chiede, di essere obbligato a notificare un eventuale data breach entro (ulteriori) 72 ore o, con formule ancor più generiche (ad es. non appena possibile), entro un termine non definito. A volte poi non tutto il personale è adeguatamente sensibilizzato a segnalare un eventuale data breach.

Un altro ambito dove vi sono quasi sempre gravi lacune è l’ormai datato, e forse obsoleto, Provvedimento sugli Amministratori di Sistema. Una verifica accurata farebbe emergere le non conformità in tantissime realtà (ad es. mancano gli audit, manca l’identificazione dei requisiti di esperienza, capacità e affidabilità, sono assenti le nomine, e non sono identificati i sistemi che trattano dati dei lavoratori).

Infine, c’è il tema della formazione, una componente essenziale per chi desidera mitigare efficacemente i rischi privacy. Troppe volte si pensa che sia sufficiente un modulo e-learning uguale per tutti invece, soprattutto nelle realtà più grandi, la formazione andrebbe diversificata fra i dipendenti in relazione alla tipologia di trattamenti.

Le violazioni possono essere realmente tante e il rischio di una sanzione privacy è elevato se le aziende non dispongono di professionisti e competenze adeguate.

L’invito è quello di affidarsi a professionisti del settore (anche in outsourcing) che aiutano a mitigare i relativi rischi.

Purtroppo, infatti, l’errore più rischioso è proprio quello di affidarsi al classico “mio cugino”, il consulente che costa poco e consiglia male.

WEBINAR
Sicurezza IT: focus su casi reali, “schemi di gioco” e organizzazioni criminali
Cybersecurity
Sicurezza dei dati

La classica frase “il mio consulente mi ha detto che non era necessario” servirà a poco in caso di ispezione dell’autorità Garante Privacy.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4