Il patto di non concorrenza: si può disciplinare la possibilità di rilevare dati diffusi in internet da parte del dipendente con una specifica clausola di salvaguardia inserita nell’eventuale patto che si andrà a stipulare col proprio personale dipendente sia in costanza di rapporto di lavoro sia al termine di un contratto. L’azienda in virtù del patto esplicito ed informato, potrà monitorare senza un ulteriore consenso da parte dell’ex dipendente, le informazioni pubbliche desumibili dai profili social a cui lo stesso partecipa, per salvaguardare i legittimi interessi ed il patrimonio aziendale e per difendere la propria reputazione sociale.”
Selezione del personale: ricerche sui social previa informativa al candidato
Giro sui social per verificare le abilità del candidato o per verificare il rispetto del patto di non concorrenza dell’ex dipendente che ha lasciato l’azienda. Si può, anche senza consenso, ma previa informativa.
E lo stesso per la registrazione degli accessi fisici a una sala server dell’impresa. Inoltre ok a sistemi per avvisare della registrazione o del controllo sulle comunicazioni di posta elettronica in uscita e della navigazione in rete.
Sono questi alcuni casi risolti sul trattamento dei dati in azienda, che si trovano nel parere n. WP249 dell’8 giugno 2017 del «Gruppo di Lavoro Art. 29», che riunisce i garanti della privacy europei.
L’argomento è sempre al centro dell’attenzione, anche perché è cominciato il conto alla rovescia dell’ultimo anno precedente l’applicazione del regolamento europeo sulla privacy (n. 2016/679), che da un lato lascia spazio alla legislazione nazionale (art. 88), ma dall’altro fornisce principi e criteri ispiratori della stessa normativa dei singoli stati.
Ma vediamo la casistica del parere in commento.
Social e ricerche pre-assunzione:
Il caso è quello della ricerca di personale e del datore di lavoro che legge i profili dei candidati su svariate reti sociali e raccoglie le informazioni trovate su queste reti sociali (e qualsiasi altra informazione reperibile su internet) nella valutazione dei possibili candidati.
Il datore di lavoro può trattare senza consenso le informazioni pubblicamente reperibili dei candidati, solo se questo è necessario per poter valutare specifici rischi riguardo a candidati per specifiche funzioni e se i candidati sono adeguatamente informati (per esempio, nel testo dell’annuncio della ricerca).
Patto di non concorrenza:
Altra ipotesi è quella del datore di lavoro che monitora il profilo di un social network di ex dipendenti durante la vigenza di un patto di non concorrenza. L’obiettivo di questo monitoraggio è di assicurarsi il rispetto del patto. Questa finalità di monitoraggio riguarda solo questi ex dipendenti.
Fino a che il datore di lavoro dimostra che questo controllo è necessario per proteggere i suoi legittimi interessi, e che non vi sono altri metodi meno invasivi, e che il lavoratore è stato adeguatamente informato sull’estensione di questo regolare monitoraggio delle proprie comunicazioni pubbliche, il datore di lavoro si potrà avvalere del legittimo interesse (trattamento dati senza consenso).
Mail in uscita :
Mettiamo che un datore di lavoro voglia utilizzare uno strumento di prevenzione delle perdite di dati («Dlp»: data loss prevention) per monitorare automaticamente le e-mail in uscita, allo scopo di impedire la trasmissione non autorizzata di dati (per esempio i dati personali dei clienti), indipendentemente dal fatto che tale azione non sia intenzionale o meno. Una volta che una e-mail è considerata come la fonte potenziale di una violazione dei dati, diventa oggetto di indagine.
In questo caso, il datore di lavoro ha un legittimo interesse a proteggere i dati personali dei clienti, nonché il suo patrimonio, contro l’accesso non autorizzato o perdita di dati.
Tuttavia, lo strumento «Dlp» può comportare l’elaborazione non necessaria dei dati personali: ad esempio un avviso «falso positivo» potrebbe causare l’accesso non autorizzato di messaggi di posta elettronica legittimi inviati dai dipendenti (che possono essere messaggi di posta elettronica personali). Pertanto, la necessità dello strumento Dlp e del suo impiego dovrebbe essere pienamente giustificata in modo da trovare un giusto equilibrio tra i suoi interessi legittimi e il diritto alla protezione dei dati personali degli impiegati. Ci vogliono misure per attenuare i rischi.
Per esempio, le regole che il sistema segue per selezionare una e-mail come potenziale violazione dei dati dovrebbe essere completamente trasparente per gli utenti, e nei casi in cui lo strumento riconosce una e-mail che deve essere inviata come una possibile violazione dei dati, un messaggio di avvertimento deve informare il mittente della e-mail prima della trasmissione e-mail, in modo da dare al mittente la possibilità di annullare questa trasmissione.
Sala server :
Poniamo il caso di un datore di lavoro che dispone di una sala server, in cui i dati riservati relativi agli affari, i dati personali relativi ai dipendenti e i dati personali relativi ai clienti sono memorizzati in forma digitale. Per garantire i dati contro l’accesso non autorizzato, il datore di lavoro installa un sistema di controllo accessi che registra l’ingresso e l’uscita dei dipendenti che hanno il permesso di entrare nella stanza. Se un qualsiasi strumento dovesse sparire, o se i dati dovessero essere oggetto di un accesso non autorizzato, perdita o furto, le registrazioni in possesso del datore di lavoro permetterebbero di determinare chi aveva accesso alla stanza in quel momento.
Dato che il trattamento è necessario e non supera il diritto alla riservatezza dei dipendenti, può essere considerato legittimo interesse (trattamento senza consenso), se i dipendenti sono stati adeguatamente informati circa l’operazione. Tuttavia, il monitoraggio continuo della frequenza e dei tempi di entrata e di uscita esatti degli impiegati non può essere giustificato se questi dati inoltre sono usati per un altro scopo, quale la valutazione di prestazioni degli impiegati.
Fitness :
Per ultimo si tratta il caso di un’impresa offre dispositivi di monitoraggio del fitness ai propri dipendenti come benefit. I dispositivi, per esempio, contano il numero di passi dei dipendenti e registrano il loro battito cardiaco e i cicli di sonno nel corso del tempo. I dati sanitari risultanti devono essere accessibili solo al dipendente e non al datore di lavoro. Tutti i dati trasferiti tra il dipendente (come soggetto dati) e il dispositivo/Fornitore di servizi (come titolare del trattamento) non devono essere noti al datore di lavoro.
Fonte: Italia Oggi del 10 luglio 2017 – Articolo a cura di Antonio Ciccia Messina
