Datori di lavori chiamati alla valutazione di impatto circa il trattamento dati in azienda.
Pro e contro di ogni singola modalità di trattamento dovranno essere preventivamente valutati e inseriti nel documento creato appositamente per definire il bilanciamento tra esigenze aziendali e privacy del lavoratore.
Sui piatti della bilancia il datore di lavoro dovrà mettere da un lato l’esigenza aziendale di controllo della prestazione lavorativa e dall’altra l’esigenza del lavoratore di tutela della propria privacy, sotto diversi aspetti.
La valutazione di impatto privacy è fra l’altro un adempimento previsto anche dal Regolamento Europeo sulla Privacy, n. 679/2016, che diventerà operativo in tutta l’Unione Europea il 25 maggio 2018.
Con questa valutazione il datore di lavoro definisce rischi e relative precauzioni in ambito privacy aziendale, evitando così d’incorrere in pesanti sanzioni pecuniarie (sino a 10 milioni di euro).
L’intervento dei Garanti europei della privacy è giustificato dalla necessità di porre in uso regole circa anche in ambito lavorativo di nuove tecnologie: smartphone, dispositivi, autoveicoli che il datore di lavoro può tracciare, e in queste tutele devono essere compresi freelance e lavoratori a partita iva.
Si parte dal presupposto che il consenso sottoscritto dal lavoratore non sia di per sé uno strumento sufficiente a giustificare il trattamento dei suoi dati personali da parte del datore.
D’altra parte bisogna garantire al datore di lavoro un certo margine di azione nell’interesse della produttività e della gestione dell’azienda: è un suo legittimo interesse, il che rappresenta una sufficiente base legale per procedere.
Impatto privacy: quando effettuare la valutazione è essenziale
Esaminiamo, quindi, quali sono gli ambiti più “a rischio” d’impattare con la legittima tutela privacy del lavoratore in azienda:
- ASSUNZIONE
È legittimo per il datore di lavoro cercare informazioni sul lavoratore attraverso i suoi profili sui social network?
I Garanti europei sono chiari: i datori di lavoro non devono pensare che, poiché un profilo social è disponibile al pubblico, sia consentito un utilizzo indiscriminato delle informazioni in esso contenute. Prima di usare i dati tratti da un social media, il datore di lavoro deve considerare il contesto e cioè se il profilo social è un profilo per scopi professionali, oppure per scopi collegati alla vita di relazione.
- TELELAVORO
In questo caso – se c’è possibilità per il dipendente o collaboratore di lavorare da casa, o telelavoro – i rischi sono più alti per il datore di lavoro: ad esempio attacchi di ricevere virus, attacchi hacker, spam e phishing dai devices del lavoratore, che si collega a server, gestionali e posta elettronica aziendali.
Da parte del datore di lavoro è però etichettato come eccessivo l’utilizzo di tecnologie di controllo altamente invasive, come riconoscimento dei movimenti del mouse o web cam.
Se si fa ricorso al sistema Byod (Bring your own device, usa il tuo dispositivo) il datore di lavoro può avere accesso ai dispositivi del lavoratore.
- MOBILE DEVICE MANAGEMENT
È il caso del datore di lavoro che opera da remoto su un dispositivo in utilizzo al lavoratore. Il Mobile Device Management serve anche per localizzare il dispositivo e prevenire furti o rimediare a eventuali smarrimenti.
- VIDEOSORVEGLIANZA
La tecnologia consente di monitorare la localizzazione, ma anche il comportamento dei lavoratori.
Queste azioni sono bandite dai Garanti: si tratta di condotte invasive illegali oltre che pregiudizievoli per la libertà e la dignità dei lavoratori.
- MONITORAGGIO VEICOLI
Con le tecnologie di geolocalizzazione il datore di lavoro può monitorare non solo dove il lavporatore si dirige, ma anche la sua condotto alla guida-. Anche in questo caso occorre grande prudenza da parte del datore nell’accedere e sfruttare queste informazioni.
