NEWS – Limiti al trattamento dei dati relativi alle mail dei lavoratori
Nell’era digitale, la gestione della posta elettronica dei lavoratori rappresenta una sfida significativa per la privacy e la protezione dei dati personali. Recentemente, il Garante privacy ha introdotto regolamentazioni stringenti per i datori di lavoro che utilizzano sistemi cloud per l’elaborazione delle email dei dipendenti.
Queste nuove linee guida mirano a prevenire la raccolta e conservazione indiscriminata dei metadati e a garantire la riservatezza delle comunicazioni elettroniche nel contesto lavorativo. Con l’obiettivo di salvaguardare i diritti dei lavoratori, il provvedimento sottolinea la necessità di un accordo sindacale o di un’autorizzazione amministrativa per trattare tali dati, riaffermando l’importanza della trasparenza e della responsabilità nella gestione delle informazioni personali.
Estensione del periodo
Il datore di lavoro che per necessità necessita di trattenere per un tempo maggiore rispetto a quello stabilito i metadati dei suoi dipendenti, può farlo dopo aver espletato le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). Se questo passaggio non avviene, trattenere ulteriormente i metadati va in contrasto con la normativa in materia di protezione dei dati personali.
Nuovo GDPR Privacy: Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27/04/2016
Il 25 maggio 2018 è entrato in vigore il nuovo GDRP, (General Data Protection Regulation), vale a dire il Regolamento Europeo in materia di protezione dei dati personali che prevede un nuovo modo di considerare la privacy e un diverso regime sanzionatorio per le imprese. La norma UE immediatamente applicabile è divenuta vincolante in ogni sua parte senza la necessità di alcun recepimento da parte della normativa interna per la sua efficacia. Parere_Fondazione Studi Consulenti del lavoro.
La nuova normativa privacy risulta più flessibile, prevede meno adempimenti formali e più tutele per l’individuo. L’impostazione normativa del Regolamento è in effetti diversa da quella del precedente Codice della Privacy, gli adempimenti non sono descritti nella loro specificità di attuazione ma se ne indica la finalità, lasciando al titolare del Trattamento il compito di concretizzare quanto previsto. Un approccio di questo tipo aiuta gli operatori a maturare la consapevolezza che la protezione dei dati non è una questione puramente formale ma riguarda la sostanza stessa di svolgimento dell’attività imprenditoriale e per tale motivo diventa sempre più un aspetto imprescindibile e caratterizzante della stessa metodologia lavorativa. Garante Privacy
[/vc_column_text]
1) Analisi del GDPR : ecco 7 requisiti necessari per gestire in modo consapevole la Privacy, rispettando la nuova normativa Europea
- CONTESTO DI APPLICAZIONE: artt. 2,3,6,24,25,32,35. Chiunque ha un’attività e gestisce i dati altrui è coinvolto, rimangono esclusi solo i soggetti privati nell’ambito della loro sfera personale. Diventa indispensabile formalizzare in un Documento di valutazione la situazione concreta dell’attività e i dati da essa gestiti. Questa fotografia analitica e costantemente aggiornata della realtà aziendale, rappresenta il presupposto su cui verranno costruite e implementate le successive misure di gestione del dato a tutela della privacy.
- RUOLI E RESPONSABILITA’ SOGGETTIVE: art. 26-29. La norma identifica il titolare del trattamento (soggetto che ha in capo la responsabilità di gestire un dato altrui), i soggetti autorizzati al trattamento e responsabili esterni (tutti quei soggetti incaricati dal titolare che lavorano o utilizzano i dati nell’espletamento della propria attività e tutte quelle figure professionali, esterne all’impresa, che su incarico del titolare, hanno accesso ai dati, es: tecnico hardware, gestore del sito web, tecnico che verifica i filmati della telecamera esterna, ecc..).
- MAPPATURA: art. 30-32 – fa riferimento al concetto di responsabilizzazione del titolare del trattamento, introdotto dal nuovo Regolamento Europeo. Si tratta di un lavoro di analisi della propria attività che evidenzi quale è il sistema di sicurezza adottato per i specifici rischi evidenziati. Si parte dalla mappatura dei dati gestiti, si passa all’analisi dei rischi possibili e infine si definiscono le azioni intraprese o da intraprendere tramite un’opportuna calendarizzazione degli interventi, per tutelare i dati. Il Regolamento non fornisce delle regole predefinite ma specifica le finalità della norma lasciando a ciascun Titolare di applicare al meglio, secondo la propria specificità, il dettato normativo.
- GESTIONE DEGLI INCIDENTI: art: 33-34 – Questa parte incentiva la consapevolezza che ogni titolare deve acquisire in merito alla gestione degli incidenti sui dati. Ad esempio: cosa accade se i dati vengono danneggiati da un virus, tipo criptoloker? o ancora, se si smarrisce la valigia o il portatile con dentro i documenti? La norma prevede in questi casi che il titolare predisponga delle procedure ben definite tramite le quali si proceda alla registrazione dell’evento e alla sua valutazione, per una sua adeguata gestione. Nei casi più gravi è prevista la denuncia al Garante entro le 72 ore successive all’evento.
- INFORMATIVA: art. 12-14 – si tratta dell’informazione da rendere a tutti i soggetti a cui i dati appartengono. In questa fase è importante valutare a chi fornire l’informativa e che tipo di informativa produrre. Il documento in questione non può essere la semplice riproposizione del solito fac-simile da far sottoscrivere a chiunque indistintamente, in modo meramente burocratico e senza la minima consapevolezza del suo contenuto, ma è frutto di un’approfondita analisi risultante dalla gestione dei punti precedenti e di un’acquisita consapevolezza sia da parte del Titolare del trattamento che del proprietario dei dati.
- Alcuni esempi di differenziazione dell’informativa possono essere: comunicazione al dipendente, comunicazione al visitatore del sito web, informativa affissa sotto la telecamera, ecc….
- Le informative non devono essere generiche, ma specifiche alla realtà concreta a cui si riferiscono. In merito si rimanda a un interessante articolo del Sole24Ore Norme e Tributi che analizza i requisiti salienti dell’informativa da rendere ai dipendenti.
- DIRITTI DELL’INTERESSATO: art. 15-22 – il titolare deve essere consapevole che il possessore dei dati ha dei diritti ben specifici, per questo motivo eventuali richieste ricevute in merito ai dati gestiti sono lecite e implicano l’obbligo di una azione positiva e ben specifica. Le linee guida previste dal Garante analizzano proprio questi casi e il Titolare deve attuarle pedissequamente, con i moduli appropriati e le dovute verifiche, onde evitare di commettere violazioni della privacy proprio nel cercare di adempiere ad uno specifico obbligo. In questi casi bisogna valutare la complessità delle richieste e prevedere tempi di risposta adeguati.
Si rimanda alla check list di base prodotta dalla Fondazione Studi Dottori Commercialisti che riassume in alcune schede i passaggi fondamentali per la gestione della Privacy. gdpr -allegato.pdf
2) Cosa vuol dire fornire al dipendente una informativa chiara ed esaustiva sui dati raccolti.
Il Garante già nel 2015 individuava in modo esemplificativo le regole per il corretto trattamento dei dati personali dei lavoratori da parte dei soggetti pubblici e privati:
- Il datore di lavoro può trattare informazioni personali solo se strettamente indispensabili all’esecuzione del rapporto di lavoro.
- I dati possono essere trattati solo dal personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite.
- Sul luogo di lavoro va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità delle persone garantendo la sfera della riservatezza nelle relazioni personali e professionali
- I trattamenti di dati personali devono rispettare il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzo di informazioni personali e identificative
- Si deve rispettare il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori
- I trattamenti devono essere effettuati per finalità determinate, esplicite e legittime in base ai principi di pertinenza e non eccedenza
- Il trattamento di dati personali, anche sensibili, è lecito, se finalizzato ad assolvere obblighi derivanti dalla legge, dal regolamento o dal contratto individuale.
La gestione dei dati relativi al rapporto di lavoro necessita di una particolare attenzione da parte del Professionista sia relativamente ai tipici dati legati ai cedolini paga ma soprattutto con riferimento a quelle informazioni legate al rapporto di lavoro che rientrano in una sfera più intima e privata del dipendente; pensiamo ad eventuali trattenute sindacali, ai dati legati a un infortunio o a tutte quelle informazioni collegate al sempre più diffuso welfare aziendale. Proprio in questo ultimo caso la commistione di informazioni tipicamente personali necessarie alla predisposizione dei piani di welfare con i normali dati lavorativi, è sempre più frequente.
La Raccomandazione adottata il 01 aprile 2015 dal Consiglio D’Europa ha previsto che la gestione dei dati relativi alla navigazione internet, l’accesso allo scambio delle comunicazioni digitali, l’elaborazione delle coordinate di geolocalizzazione possono essere considerate come trattamento dei dati personali del dipendente. Queste casistiche, sempre più diffuse, generano l’esigenza in capo all’azienda e ai suoi professionisti di una maggiore attenzione e tutela specifica, sia relativamente alla informativa e al consenso, che alla gestione complessiva del dato, secondo le varie sfaccettature previste dalla norma. Il Regolamento prevede in questi casi che le aziende forniscano un’INFORMATIVA preventiva al lavoratore.
Tale informativa deve essere ” trasparente, pertinente, proporzionale e non eccedente rispetto al trattamento”. Rispetto al passato le informative dovranno essere più semplici e più efficaci, richiederanno quindi una maggiore consapevolezza da parte dell’azienda nella fase di predisposizione e una maggiore consapevolezza da parte del lavoratore durante la fase di recepimento e sottoscrizione.
L’informativa si dovrà integrare con le previsioni specifiche previste dai Contratti Collettivi e con i codici di condotta interni eventualmente predisposti dall’azienda per l’utilizzo degli strumenti e l’effettuazione dei controlli. La Guida predisposta dal Garante analizza il caso specifico della gestione dei dati privati legati al rapporto di lavoro a pagina 180 paragrafo 8.2.
3) Provvedimenti del Garante e approfondimenti specializzati:
- n. 139 dell’ 08/03/2018: definito illecito il trattamento dei dati tramite un gestionale che elaborava le informazioni degli operatori in modo molto più dettagliato di quanto evidenziato nell’informativa predisposta dall’azienda. Inoltre il sistema in questione permettendo di ricostruire anche indirettamente l’attività svolta dai diversi operatori viola la disciplina lavoristica sull’impiego degli strumenti dai quali possa derivare il controllo a distanza dei lavoratori. art Sole24Ore del 04.04.2018 Autorizzazione per Tracciare i dipendenti.pdf
- n.53 del 01/02/2018: condannata una società che trattava in modo illecito i dati contenuti nei testi delle mail dei dipendenti. art Sole24Ore del 05.04.2018.pdf
- nota del Garante Privacy del 07/02/2019 che chiarisce in quali casi i professionisti (Consulenti del lavoro, Commercialisti) possono considerarsi Titolari autonomi del trattamento dei dati ed in quali casi siano Responsabili esterni. Consulenti del lavoro e privacy dopo il GDPR _ Agenda Digitale.pdf il Garante in genere definisce i consulenti come responsabili esterni. Il consulente non dovrà preoccuparsi di fornire l’informativa e di raccogliere il consenso dei dipendenti del cliente al suo trattamento dati personali, anche sensibili. Il trattamento del consulente è legittimato in ragione del contratto di prestazione professionale che lo designa responsabile dei dati per le attività da svolgere.
- breve riassunto del Sole24Ore che riepiloga gli ultimi provvedimenti del Garante relativamente all’uso delle nuove tecnologie nel rapporto di lavoro che implicano un controllo a distanza sui lavoratori. Leggi l’articolo
- Le nuove FAQ sul Responsabile della Protezione dei dati (RPD) in ambito privato
4) CECK LIST
La Fondazione Studi dei consulenti del lavoro (Approfondimento_FS_02052018_Vademecum_Privacy.pdf) ha pubblicato una chiara guida all’utilizzo delle nuove regole focaliuzzando l’attenzione sulla particolare disciplina dei rapporti di lavoro. Si chiarisce nel documento che è sufficiente la consegna dell’informativa, con ricevuta di presa visione, senza il consenso, quando i dati devono esser acquisiti e trattati nell’ambito della gestione di un contratto e conseguente rapporto di lavoro. Si può ricondurre alla presente casistica: l’instaurazione e la gestione del rapporto di lavoro, l’elaborazione dei prospetti paga; adempimenti dichiarativi in materia contributiva e fiscale; gestione di infortuni e malattia; ect..
L’informativa diventa quindi nel rapporto di lavoro un documento fondamentale e assolve al principio di trasparenza sostanziale del trattamento dei dati. Riassume in modo conciso, trasparente, intelleggibile e facilmente accessibile i periodi di conservazione dei dati e le modalità tecniche attraverso questo si realizza, nonchè tutti i diritti che il Regolamento gli riconosce tipo diritto di: accesso ai dati, di rettifica, alla cancellazione, di limitazione del trattamento, alla portabilità dei dati, di opposizione.
- ceck list degli adempimenti obbligatori predisposta dalla Fondazione Studi Consulenti del Lavoro. ceck list privacy.pdf
5) SISTEMI DI CONTROLLO DEL LAVORATORE A DISTANZA
- Il comma 1 dell’art. 4 della Legge 300 del 1970 (Statuto dei Lavoratori) prevede il divieto di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori. Sono esclusi dall’ambito applicativo del 1° comma tutti i casi previsti dal 2° Comma ossia gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e gli strumenti di registrazione degli accessi e delle presenze. Il terzo comma stabilisce invece l’utilizzabilità delle informazioni raccolte per tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso, degli strumenti e di effettuazione dei controlli e nel rispetto delle previsioni del DPR Privacy. interpello-3-2019.pdf
Privacy per il lavoro
La complessità e le sfide nell’applicare le norme sulla privacy nel contesto lavorativo sono temi centrali nei provvedimenti del Garante della privacy in Italia. Con 749 documenti a riguardo, l’argomento lavoro è tra i più trattati, superato solo da marketing e pubblica amministrazione. I documenti coprono vari aspetti, tra cui lavoro dipendente, pubblico e privato, fascicolo del personale, sanzioni disciplinari, valutazioni dei lavoratori, licenziamento, previdenza, rilevazione orari di lavoro, monitoraggio accessi ai dispositivi aziendali e sicurezza sul lavoro. Il lavoro figura anche frequentemente nelle ordinanze-ingiunzioni, che applicano sanzioni.
Le difficoltà e i conflitti nell’applicazione delle norme sulla privacy nei rapporti di lavoro emergono dalle relazioni annuali del Garante, affrontando temi come l’uso di dispositivi tecnologici, videosorveglianza, biometria, esercizio dei diritti dei lavoratori e il rapporto tra la disciplina della privacy e le leggi a tutela dei lavoratori.
Un esempio specifico è la gestione della posta elettronica in azienda. Il Garante enfatizza che la conservazione di documenti necessari per l’attività aziendale dovrebbe avvenire tramite sistemi di gestione documentale, non attraverso la posta elettronica, che non assicura le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità.
L’adeguamento alle norme sulla protezione dei dati comporta costi, specialmente per le piccole e medie imprese, e richiede una conoscenza selezionata. “Italia Oggi Sette” ha raccolto e schedato esperienze significative del Garante italiano della privacy per facilitare la comprensione di queste sfide, benché le esperienze non conducano sempre a risultati conformi e univoci.
Esempi:
CONSERVAZIONE DEI DATI
- I DATI DEL LAVORATORE PER FINALITÀ AMMINISTRATIVE E CONTABILI SI CONSERVANO 10 ANNI (Ingiunzione n. 305 del 15 settembre 2022) In due parole Si conservano per 10 anni dalla conclusione del rapporto di lavoro i dati raccolti per
finalità di gestione amministrativa, contabile, operativa e organizzativa del rapporto di lavoro.
DIRITTO DI ACCESSO DEL LAVORATORE
- I LAVORATORI HANNO DIRITTO ALLA COPIA DI TUTTI I DATI (Ingiunzione n. 403 del 14 settembre 2023) In due parole Il datore di lavoro deve fornire i dati riferibili ai lavoratori, tra cui le singole localizzazioni degli stessi tramite gps.
- ALLE RICHIESTE DI ACCESSO NON SI RISPONDE ORALMENTE PER TELEFONO (Ingiunzione n. 475 del 12 ottobre 2023) In due parole: Il datore di lavoro non può rispondere oralmente alle richieste di accesso se il lavoratore non ha chiesto espressamente tale modalità di comunicazione.
- NON BASTA UN COLLOQUIO PER RISPONDERE ALLE ISTANZE DI ACCESSO DEI LAVORATORI (Ingiunzione n. 303 del 15 settembre 2022) In due parole Alle richieste di accesso del lavoratore bisogna rispondere per iscritto e non solo a mezzo di colloqui individuali.
- AI DIPENDENTI NON SI CONSEGNA BREVI MANU LA COPIA DEI DATI RELATIVI ALLA RILEVAZIONE DELLE PRESENZE (Ingiunzione n. 66 del9 marzo 2023) In due parole I dati richiesti dai lavoratori non devono essere consegnati direttamente brevi manu, salvo richiesta espressa di tale modalità da parte dei lavoratori.
- AMMISSIBILI LE RIPETUTE ISTANZE DI ACCESSO DEI LAVORATORI (Ingiunzione n. 303 del 15 settembre 2022) In due parole Sono ammissibili le richieste di accesso del lavoratore anche se hanno ad oggetto informazioni di cui lo stesso sia già in possesso.
- IL LAVORATORE PUÒ PRESENTARE RICHIESTE DI ACCESSO ANCHE USANDO CANALI DIVERSI DA QUELLI INDICATI NELLE PROCEDURE AZIENDALI (Ingiunzione n.529 del 16 novembre 2023) In due parole Il lavoratore può chiedere l’accesso con una comunicazione elettronica inviata alla PEC del datore di lavoro anziché al diverso indirizzo elettronico appositamente destinato a queste esigenze dal datore di lavoro stesso.
- LA RICHIESTA DI ACCESSO DEL LAVORATORE NON DEVE NECESSARIAMENTE ELENCARE TUTTI I SINGOLI DOCUMENTI RICHIESTI (Ingiunzione n. 290 del 6 luglio 2023) In due parole Il datore di lavoro non può respingere un’istanza di accesso del lavoratore perché non contiene l’elenco specifico dei documenti richiesti.
- INDICARE AL LAVORATORE LA PIATTAFORMA DOVE TROVARE I DATI (Ingiunzione n. 529 del 16 novembre 2023) In due parole Se il lavoratore chiede dati, che può apprendere collegandosi in autonomia alla piattaforma aziendale, il datore di lavoro non può omettere la risposta, ma deve ricordargli le modalità di accesso alla piattaforma.
- AL LAVORATORE SPIEGARE SEMPRE IL NO ALL’ACCESSO PER RAGIONI DIFENSIVE (Ingiunzione n. 529 del 16 novembre 2023) In due parole Se il datore di lavoro, per non compromettere la difesa in giudizio, non intende consegnare dati al dipendente con cui è in lite, deve spiegarlo esplicitamente nel diniego di accesso ai dati rivolto dal lavoratore.
Per conoscere in modo più approfondito questi esempi citati e conoscerne di nuovi, consulta l’articolo in pdf qua sotto.
Che cos’è il GDPR e quando è entrato in vigore?
Il GDPR è il Regolamento Generale sulla Protezione dei Dati, una normativa dell’Unione Europea in materia di protezione dei dati personali. È entrato in vigore il 25 maggio 2018.
Quali sono le principali differenze tra il GDPR e il precedente Codice della Privacy?
Il GDPR è più flessibile rispetto al precedente Codice della Privacy, prevedendo meno adempimenti formali e più tutele per l’individuo. Gli adempimenti non sono descritti nella loro specificità di attuazione ma se ne indica la finalità, lasciando al titolare del trattamento il compito di concretizzare quanto previsto.
Quali sono le regole per il corretto trattamento dei dati personali dei lavoratori?
Le regole includono il trattamento delle informazioni personali solo se strettamente indispensabili all’esecuzione del rapporto di lavoro, l’assicurazione di idonee misure di sicurezza, la tutela dei diritti e delle libertà fondamentali delle persone sul luogo di lavoro, e il rispetto dei principi di necessità, correttezza, finalità determinate, esplicite e legittime.
Come deve essere gestita l’informativa ai dipendenti sui dati raccolti?
L’informativa deve essere trasparente, pertinente, proporzionale e non eccedente rispetto al trattamento. Deve essere integrata con le previsioni specifiche previste dai Contratti Collettivi e con i codici di condotta interni.
Quali sono le implicazioni del GDPR per i sistemi di controllo del lavoratore a distanza?
Il GDPR impone che le aziende forniscano un’informativa preventiva al lavoratore sui sistemi di controllo a distanza. Questi sistemi devono rispettare la privacy e la dignità dei lavoratori, e le informazioni raccolte possono essere utilizzate solo per fini connessi al rapporto di lavoro.
Torna alla pagina iniziale.
