• Passa alla navigazione primaria
  • Passa al contenuto principale
  • Passa alla barra laterale primaria
  • Passa al piè di pagina
via Garofalo 29, 20133 Milano - tel. 02 29408650
  • Home
  • News
  • Chi siamo
  • Contatti

Programma Radon

Ente Accreditato Regione Lombardia N. 1027/2017

  • Privacy
  • Sviluppo organizzativo
  • Sicurezza sul lavoro
  • Rifiuti
  • Sistemi di gestione
  • Legge 231
  • Rapporti con gli Enti
  • Ambiente
Ti trovi qui: Home / Approfondimenti / La Privacy nel rapporto di lavoro

La Privacy nel rapporto di lavoro

1 Agosto 2017 di Valeria Carozzi Lascia un commento

Data l’imminente entrata in vigore del General Data Protection Regulation e il sempre maggior ricorso a tecnologie digitali nell’ambito lavorativo, l’Autorità europea  ha fornito con un parere dell’8 giugno 2017  alcune utili indicazioni sulla corretta gestione dei dati personali nell’ambito del rapporto di lavoro. Se infatti i principi generali su cui si basa tutta  la normativa ( legittimità del trattamento, l’utilizzo di dati strettamente necessari, la trasparenza del rapporto con l’interessato, la correttezza e integrità del dato e il dovere di tutelarlo) devono essere sempre e comunque rispettati, nell’ambito di un contratto di lavoro ci sono alcune peculiarità che vanno considerate.

Il consenso: innanzitutto la base legale sulla quale vanno raccolti i dati non può essere il consenso dato che in un rapporto di lavoro non ci può essere la libertà di scelta o revoca da parte del lavoratore.

Necessità legali: in un rapporto di lavoro,molti dati devono essere processati per necessità contrattuali o legali e pertanto questo ne legittima automaticamente il trattamento.

Tutela del legittimo interesse del datore di lavoro: questo principio deve essere dimostrabile e fondato su trattamenti legittimi e perseguito nel modo meno intrusivo possibile. Deve essere necessariamente rispettato l’equilibrio tra il legittimo interesse del datore di lavoro e la tutela dei diritti dell’interessato e pertanto devono essere considerati dei limiti  quali  quelli geografici (divieto di monitorare aree sensibili quali i servizi igienici, aree break,etc) , temporali (meglio un monitoraggio a campione che continuo) e su dati specifici (non si possono controllare file elettronici o comunicazioni personali ).

Trasparenza:  il lavoratore deve essere informato dell’esistenza di un processo di monitoraggio, di quali dati son oggetto del trattamento e dello scopo finale di tale operazione. Tale principio diventerà sempre più importante con il crescente  ricorso alle nuove tecnologie digitali che agevoleranno l’attività lavorativa ma consentiranno una raccolta di informazioni esponenziale.

I rischi

I sistemi informatici di monitoraggio costituiscono un elemento ad alto rischio da gestire correttamente. Spesso l’utente non sa nemmeno di essere oggetto di monitoraggio e anche qualora ne fosse a conoscenza, non ha idea di quali dati vengono raccolti e del perchè. Il monitoraggio IT si differenzia da altri sistemi (tipo la videosorveglianza ) in quanto è meno evidente e può facilmente insinuare il dubbio nell’utente sullo scopo finale. Si pensi infatti  per esempio alla geolocalizzazione del dipendente tramite tracciamento del Wi-fi o Bluetooth che consente di verificare costantemente gli spostamenti e il comportamento dell’utente stesso. Il principale rischio di questo meccanismo è che si venga ad incrinare il naturale rapporto di fiducia e collaborazione tra datore di lavoro e dipendente, che non si sentirà più in dovere di segnalare anomalie o problematiche relative al trattamento dati nel timore di esserne giudicato responsabile.

Gli scenari

Son stati quindi individuati alcuni scenari specifici nei quali le nuove tecnologie possono rappresentare un elevato rischio per la tutela dei diritti dell’interessato,  di fronte ai quali il datore di lavoro può decidere di svolgere lo stesso l’attività :

  • perchè è necessaria (e deve quindi definirne la legittimità giuridica)
  • perchè non danneggia i diritti dei dipendenti
  • perchè è proporzionale rispetto alle problematiche sollevate
  • perchè è svolta in piena trasparenza

Controllo dei profili nei social media in fase di reclutamento e assunzione: non vi è nessuna legittimità (se non in casi eccezionali e fondati) nel controllare il profilo social del candidato/dipendente soprattutto se il social media è inteso per la vita privata (facebook)  e non per quella lavorativa (linkedin). Inoltre non sussiste alcun obbligo da parte del candidato/dipendente di accettare l’amicizia o il contatto del datore di lavoro e di condividere il profilo con l’azienda. Se poi in base al ruolo ricoperto in azienda, è necessario che il lavoratore abbia un profilo social collegato all’attività lavorativa, ha tutti i diritti di tenerlo separato da quello privato. Qualora l’azienda potesse dimostrare la necessità di indagare anche nei profili social dell’ipotetico candidato, deve darne informazione nell’annuncio di lavoro. Capita poi che per verificare il rispetto della clausola di non concorrenza il datore di lavoro tenga monitorato il profilo linkedin di ex dipendenti per verificarne l’attuale occupazione. Questo trattamento può considerarsi lecito nel limite in cui l’ex dipendente ne è stato precedentemente informato.

Controllo automatico data breach e log access: oltre a quanto già ampiamente discusso relativamente al controllo delle mail e dell’utilizzo di internet sul posto di lavoro, si stanno andando a implementare numerosi strumenti informatici che consentono la prevenzione della perdita dei dati, l’analisi dei dati e pacchetti trasmessi, la registrazione dei log,il ricorso al cloud etc etc, tutti in una logica di tutela della proprietà intellettuale e della sicurezza della rete aziendale. Tutti questi strumenti di monitoraggio andrebbero “tarati” in modo da poter svolgere la loro funzione senza essere invasivi. Per esempio i protocolli di monitoraggio di tutte le comunicazioni in ingresso ed uscita dovrebbero essere tarati in modo da non monitorare costantemente l’attività online dell’utente  se non quando strettamente necessaria, e da cancellare tutti i log dell’utente quando non si rilevano anomalie particolari. Qualora fosse necessario monitorare costantemente l’attività online dell’utente, allora è opportuno fornirgli anche per esempio una rete wifi non controllata in modo che le comunicazioni personali possano essere gestite lì. In ogni caso devono essere definite e condivise policy precise che spieghino le logiche dei sistemi di monitoraggio e gli “spazi privati” a disposizione del dipendente. Tale concetto vale ancora di più per tutti i servizi cloud cui l’azienda fa ricorso che tecnicamente consentono il tracciamento costante di tutte le operazioni svolte. Tali policy devono essere necessariamente condivise coi rappresentanti dei lavoratori.

Strumenti informatici esterni all’area aziendale: il telelavoro, lo smart working, l’utilizzo promiscuo dei personal computer e dei vari mobile devices messi a disposizione dell’azienda rappresenta da  una parte una naturale evoluzione del nostro modo di lavorare ma dall’altra costituisce un elevato rischio di monitoraggio della sfera privata. E’ pertanto necessario identificare quali sono le misure strettamente necessarie per garantire la sicurezza dell’accesso da remoto con strumenti “promiscui” , cercando di individuare sugli apparecchi sezioni “private” dove nessun tool aziendale può avere accesso ed evitando di implementare sistemi di monitoraggio e registrazione dei log costanti e indiscriminati che possano ledere la libertà del lavoratore o dei suoi famigliari fuori dall’orario di lavoro . Ove questo non fosse tecnicamente possibile è allora opportuno vietare l’utilizzo promiscuo degli strumenti , soprattutto di quelli con accesso diretto alla rete aziendale. Per quanto riguarda la gestione dei mobile device dove facilmente sono implementati sistemi per la localizzazione e la configurazione/cancellazione/blocco da remoto, è necessario gestire correttamente l’accesso alle informazioni di geolocalizzazione che , se accessibile, dovrebbe essere oggetto di apposita valutazione di impatto oppure dovrebbe essere interdetto al datore di lavoro se non nel solo caso di furto o smarrimento. In ogni caso è necessario definire chiaramente le logiche di tracciamento a tutti i dipendenti che fanno uso dei Mobile Devices Aziendali.

Monitoraggio del parco veicoli aziendale: questo scenario riguarda tipicamente le aziende di trasporto che hanno massicciamente fatto ricorso alla geolocalizzazione negli ultimi tempi. Anche se ci son diversi presupposti che rendono legittimo questo trattamento (quali la sicurezza del lavoratore addetto al trasporto e il diritto a geolocalizzare il bene aziendale in qualsiasi momento) , se per esempio il mezzo è ad uso promiscuo il lavoratore ha diritto di poter disattivare la geolocalizzazione quando entra nella sua “sfera privata”, fuori dall’orario di lavoro. Se il dispositivo di golocalizzazione deve essere invece sempre accessibile per prevenire il furto del mezzo, vi sono per esempio sistemi automatici che garantiscono la visibilità della posizione del mezzo solo quando questo lascia una area predefinita . Anche in questo caso il lavoratore deve essere chiaramente informato rispetto alle logiche del monitoraggio .

Archiviato in:Approfondimenti, Privacy, Privacy Contrassegnato con: privacy, procedure e istruzioni operative

Interazioni del lettore

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Barra laterale primaria

Ti potrebbe interessare anche

  • Le prossime scadenze della NIS2

    20 Marzo 2025
  • GDPR e NIS2: due normative con lo stesso obiettivo

    20 Marzo 2025
  • Come prepararsi a una visita ispettiva Privacy

    20 Febbraio 2025
  • Come notificare gli incidenti di sicurezza con la NIS2

    4 Febbraio 2025
  • Le credenziali sono assolutamente personali e riservate

    10 Gennaio 2025
  • La qualifica della supply chain in ottica di cybersicurezza

    10 Gennaio 2025
  • La sanzione per il backup dell’email dopo la cessazione del rapporto di lavoro

    11 Novembre 2024
  • NIS2: cosa fare se un incidente è significativo

    8 Novembre 2024
  • Decreto Recepimento NIS2: tutti gli step

    31 Ottobre 2024
  • Le sanzioni disciplinari in materia di Privacy

    16 Ottobre 2024

I nostri servizi

231 ambiente antincendio assistenza legale bandi bando benessere organizzativo bonus fiscali certificazioni consulenza cookie coronavirus corsi covid-19 covid19 cybersecurity cybersicurezza enti controllo esg finanziamenti formazione gender gap gestione e comunicazione interna imballaggi medicina del lavoro misurazione movimentazione carichi NIS2 normativa norme tecniche pratiche burocratiche privacy procedure e istruzioni operative radon sicurezza sistemi di gestione smart working smartworking sostenibilita' SOSTENIBILITà stress stress lavoro correlato sviluppo organizzativo valutazione dei rischi valutazioni tecniche e misurazioni

Footer

Contatti

via Garofalo 29
20133 Milano
tel. 02 29408650

info@prograd.it
inviodoc@pec.programmaradon.it

   

Informazioni

Orari di ufficio
Dal lunedì al venerdì
ore 9.00 – 13.00
ore 14.00 – 18.15

Informative
Trattamento dei dati personali
Informativa cookies
Condizioni di vendita
Politica della qualità

Certificazioni

Aree di competenza

  • Privacy
  • Sviluppo organizzativo
  • Sicurezza sul lavoro
  • Rifiuti
  • Sistemi di gestione
  • Legge 231
  • Rapporti con gli Enti
  • Ambiente

Corsi e strumenti di formazione

© 2017 - 2025 Programma Radon srl, Via Garofalo 29, 20133 Milano - Tel. 02 29408650 - P. IVA 10859340159 - inviodoc@pec.programmaradon.it