Privacy dei dipendenti, come funziona il “Data Protection Impact Assessment”

Nelle Linee guida, in materia di valutazione d’impatto sulla protezione dei dati, il Gruppo di lavoro Articolo 29 definisce “vulnerabili” i dipendenti e ritiene rischioso il contesto lavorativo per i diritti degli stessi considerato lo sbilanciamento di potere contrattuale a favore del datore di lavoro

Pubblicato il 01 Set 2017

Giusella Finocchiaro

presidente della Commissione incaricata di adeguare la normativa italiana in materia di dati personali al Regolamento Ue 679/2016

privacy_573549067

Si è ormai ampiamente trattato delle novità introdotte nella disciplina della protezione dei dati personali ad opera del nuovo Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, direttamente applicabile a partire dal 25 maggio 2018.

Fin dalle prime letture si è evinto il carattere stringente e cautelativo della nuova disciplina, che si distingue per un approccio basato sul rischio del trattamento e sulla responsabilità o, per dirla con le parole del Regolamento, sulla accountability dei soggetti attivi del trattamento.

A conferma di ciò basti osservare l’ampio novero di obblighi che il Regolamento pone a carico del titolare e del responsabile del trattamento. Adempimenti intesi, in particolare, alla progettazione dell’intero trattamento alla luce dei principi di privacy by design e by default, con l’obiettivo di assicurare che le misure – tecnologiche e organizzative – di sicurezza siano adeguate rispetto al potenziale rischio a cui il trattamento espone i dati.

Nel quadro degli obblighi volti alla misurazione del rischio correlato alle attività di trattamento, spicca, per onerosità e rilevanza, la c.d. valutazione d’impatto (meglio conosciuta anche come DPIA Data Protection Impact Assessment), una misura preventiva che impone al titolare di verificare se il trattamento esponga i dati ad un rischio elevato, tenendo conto delle specificità del trattamento stesso: la natura, l’oggetto, il contesto, le finalità, nonché l’uso di nuove tecnologie. Sebbene sia fortemente raccomandata per ogni tipologia di trattamento, la valutazione d’impatto non è obbligatoria se non nei casi specificatamente indicati dal Regolamento ovvero qualora sia previsto dal diritto degli Stati membri.

Un particolare ambito in cui appare non solo appropriato, ma doveroso procedere alla valutazione d’impatto è quello lavorativo. Pare, infatti, rientrare nell’ipotesi di un monitoraggio sistematico di dati relativi a soggetti vulnerabili il trattamento effettuato in un contesto lavorativo.

Vulnerabili”: il termine non è impiegato a caso. È così che il Gruppo di lavoro Articolo 29 definisce i dipendenti nelle proprie “Linee guida in materia di valutazione d’impatto sulla protezione dei dati”, emanate il 4 aprile 2017, ove il contesto lavorativo è ritenuto rischioso per i diritti degli interessati considerato lo sbilanciamento di potere contrattuale a favore del datore di lavoro. Il Gruppo Articolo 29, che già in passato aveva fornito indicazioni in materia di diritti dei lavoratori nell’ambito della protezione dei dati personali (si rinvia all’opinion 8/2001, WP48, e al documento di lavoro WP55 del 2002), dedica la recente opinion 2/2017 al tema del trattamento dei dati in ambito lavorativo.

In questa sede il Gruppo dei Garanti europei ha aggiornato le proprie considerazioni in materia alla luce delle nuove disposizioni e, in particolare, dei nuovi obblighi introdotti dal Regolamento.

Confermando che il trattamento dei dati in ambito lavorativo deve necessariamente uniformarsi ai principi di trasparenza, necessità e minimizzazione, il Gruppo sottolinea come il consenso non sia un presupposto di legittimità sicuro e affidabile, giacché il lavoratore non può ritenersi completamente libero di acconsentire o di opporsi al trattamento in ragione della relazione contrattuale che lo lega al datore di lavoro. Pertanto, secondo il Gruppo, sarebbero da preferire altre basi di legittimità, come l’esecuzione del contratto di lavoro, l’obbligo legale in capo al titolare-datore di lavoro ovvero il legittimo interesse di quest’ultimo.

Tuttavia, l’individuazione delle condizioni di legittimità del trattamento non è sufficiente quando si parla di controllo dei lavoratori: occorre una policy chiara, comprensibile e completa – ribadisce il Gruppo – che informi i lavoratori circa lo svolgimento delle attività di monitoraggio e le relative finalità.

È proprio tra i pilastri della legittimità di trattamento e della trasparenza che si inserisce la valutazione d’impatto, la misura di tutela risk-based che incorpora un test di proporzionalità tra il legittimo interesse del datore di lavoro, le tecnologie adottate volte al suo perseguimento e i diritti di riservatezza e di segretezza delle comunicazioni dei lavoratori. Secondo il parere del Gruppo di lavoro, l’introduzione di qualsiasi tecnologia volta al monitoraggio e al controllo dei lavoratori dovrebbe essere preceduta da una valutazione d’impatto al fine di verificare se il trattamento dei dati (e le modalità con cui esso viene effettuato) siano proporzionati al rischio che il datore di lavoro deve fronteggiare.

A seguito di una esposizione teorica del framework, dei principi fondamentali e delle novità del Regolamento, il Gruppo dei Garanti dedica ampio spazio all’esame degli scenari di trattamento che possono presentarsi nella prassi di un’organizzazione, con particolare riferimento all’impiego delle nuove tecnologie. Il Gruppo si sofferma segnatamente sulle tecnologie che permettono di monitorare i lavoratori non solo sul luogo di lavoro, bensì anche nelle proprie case e, in generale, nella propria sfera privata. Ciò accade ad esempio ove si usino tecnologie BYOD (Bring Your Own Device) che permettono al lavoratore di impiegare i propri dispositivi personali per finalità lavorative. L’utilizzo promiscuo potrebbe generare il rischio di trattare informazioni che esulano dalla sfera lavorativa: al fine di scongiurare tale eventualità, il Gruppo raccomanda di adottare misure appropriate che permettano di distinguere l’uso del dispositivo a seconda della finalità.

Infine, nel declinare la protezione offerta ai lavoratori, i Garanti europei tengono conto non solo dell’evoluto contesto tecnologico, ma anche di quello imprenditoriale: il trattamento effettuato all’interno di un gruppo imprenditoriale avente sedi in diversi Stati potrebbe comportare il trasferimento dei dati dei lavoratori verso Stati terzi. In tal caso – così come nell’ipotesi dell’impiego di applicazioni e servizi cloud-based che comportano un flusso transfrontaliero di dati – il trasferimento sarà legittimo a condizione che il Paese terzo importatore dei dati assicuri un adeguato livello di protezione dei dati personali.

Per riassumere, dunque: legittimità, trasparenza, proporzionalità, bilanciamento di interessi, minimizzazione. Queste le parole chiavi (e i pilastri) del trattamento dei dati in ambito lavorativo.

A margine di quanto sinora esposto, occorre ricordare che l’art. 88, 1° comma del Regolamento prevede che gli Stati membri possano dettare “con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro”. Ciò non può che indurre a riflettere sull’adeguatezza delle modifiche apportate alla legge 20 maggio 1970, n. 300 (“Statuto dei Lavoratori”) ad opera della recente riforma c.d.J obs Act. Occorrerà dunque valutare se le nuove disposizioni siano effettivamente sufficienti alla luce delle raccomandazioni del Gruppo di lavoro europeo e a fronte degli scenari prospettati ovvero se si rivelerà necessario un nuovo intervento da parte del legislatore italiano.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati