MENU
n. 14 anno 2020
Ufficio HR come affrontare le nuove sfide in materia di protezione dei dati personali
Casi pratici tra valutazione del personale e gestione dell’emergenza Covid 19
di Fabrizio Salmi
Gli addetti alle Risorse Umane nelle aziende, siano esse di piccole, medie, grandi dimensioni, sono in prima linea nell'applicazione della normativa sulla protezione dei dati personali.
La protezione dei dati è una esigenza che si manifesta per tutto il "ciclo di vita" del rapporto con il lavoratore, partendo dalla gestione dei curriculum dei candidati, all'instaurazione del rapporto di lavoro passando per la gestione dei vari adempimenti fino al termine del rapporto lavorativo.
In questo lungo e articolato percorso il membro delle Risorse Umane deve lavorare utilizzando dati personali relativi ai propri colleghi, maneggiando informazioni che possono incidere significativamente sulla vita privata dei soggetti interessati.
Per questo motivo è fondamentale tutelare dagli aspetti critici del controllo delle attività del lavoratore, delle corrette informative da fornire ai fini di trasparenza nel trattamento dei dati, dell'invasività o meno di sistemi di gestione della posta elettronica, della cronologia di navigazione e delle performance del lavoratore, sino all'uso dei diritti di immagine dei dipendenti, al controllo degli accessi e dei badge e ai controlli difensivi anche a tutela del patrimonio e dei segreti dell'azienda.
Regolamento europeo privacy: quali sono i principi?
La base per un corretto trattamento dei dati risiede nei principi su cui si basa la norma cardine in materia: il regolamento Europeo 2016/679 (GDPR), il quale prevede che dati personali devono essere protetti e tutelati sulla base dei seguenti principi:
- liceità, nel senso che i dati devono essere trattati in modo lecito, corretto e trasparente;
- limitazione della finalità: i dati devono essere raccolti per finalità legittime ed individuate fin dall'inizio, e successivamente trattati in modo che non sia incompatibile con tali finalità. Unica eccezione a questo principio è l'ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
- minimizzazione dei dati: i dati trattati devono essere solamente quelli indispensabili, quindi pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
- esattezza, nel senso che devono essere corretti e, se necessario, aggiornati, con conseguente obbligo di cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
- limitazione della conservazione: i dati devono essere conservati in una forma che consenta l'identificazione degli interessati per il tempo strettamente necessario al conseguimento delle finalità per le quali sono trattati. È ammessa una conservazione più lunga a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
- integrità e riservatezza: i dati sono trattati in maniera da garantire un'adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
Cosa si intende per Dato Personale e Trattamento?
Dato personale è qualsiasi informazione relativa ad una persona che può essere utilizzata direttamente o indirettamente per identificare quella persona. Ad esempio per quanto riguarda l'attività di recruiting i curriculum dei candidati che ricevi potrebbero includere i loro nomi, la residenza, l'email, tutti questi sono dati personali. La definizione del GDPR di "trattamento dei dati personali" (data processing) è la seguente: ogni operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione. Ciò comprende la semplice acquisizione di un dato (ricezione di un Cv) o la sua distruzione (cancellazione di potenziali candidati dal Database).
Archiviazione dei dati e protezione
Il GDPR sottolinea come chi maneggia dati personali debba essere in grado di dimostrare il totale controllo sui dati gestiti, in particolare che questi vengano conservati in un ambiente, sia esso fisico o virtuale, sicuro e che vengano adottate tutte le misure tecniche ed organizzative per evitarne la perdita ed il danneggiamento. Per questo motivo ogni azienda deve scegliere con accortezza gli strumenti da utilizzare, decidendo di installare software verificati e comprovati, di avvalersi di provider di servizi certificati e formando adeguatamente il personale. La prima causa di perdita di dati o di violazione di sistemi informatici è l'errore umano, pertanto una adeguata conoscenza è il primo passo per mettere al sicuro i dati.
Diritti e gestione delle richieste degli interessati
I dipendenti, e i candidati ad esempio, potranno chiedere di accedere ai dettagli sul flusso dei loro dati o revocare il consenso alla trattazione degli stessi, prestato per una specifica finalità. Sapere come comportarsi in caso di tali richieste è fondamentale per non incorrere nelle pesanti sanzioni previste.
Caso Pratico: Pubblicazione in bacheca di dati relativi a contestazioni disciplinari e valutazioni dei soci lavoratori.
Il caso riguarda una cooperativa che ha predisposto l'affissione nella bacheca aziendale del prospetto "Guardiamoci in faccia...soci!", contenente l'elenco dei lavoratori individuati con iniziale del nome, cognome e fotografia, nonché informazioni relative ad addebiti disciplinari e motivazioni dell'assenza (anche in caso di malattia).
A fianco di ciascun nominativo e foto erano riportate delle emoticon che esprimevano un giudizio sull'operato dei dipendenti. Le informazioni erano dunque accessibili a tuttisenza un valido motivo.
La valutazione dei dipendenti affissa in bacheca ne lede la dignità e viola i principi di liceità, necessità e pertinenza dei trattamenti effettuati. Questo quanto espresso dal garante, il quale ha ricordato che seppur vero che la gestione del rapporto di lavoro da parte del datore implica la sua possibilità di trattare le informazioni necessarie ad effettuare la valutazione sul corretto adempimento della prestazione lavorativa e ad esercitare il suo tipico potere di controllo, l'affissione della valutazione dei dipendenti non risulta in ogni caso una misura adeguata e pertinente a per raggiungere l'obiettivo di incentivazione dei lavoratori astrattamente perseguito dalla società.
Caso Pratico: Gestione dell'emergenza covid
Partendo dalla gestione degli ingressi in azienda è bene ricordare che in caso di rilevazione della temperatura corporea si dovrà registrare il dato acquisito solo se superiore dei 37,5 ° e solo nel caso di soggetti dipendenti. In tal caso contrario si dovrà identificare l'interessato e registrare il superamento della soglia di temperatura anche allo scopo di documentare le ragioni che hanno impedito l'accesso ai locali aziendali, ricordandosi di tutelare in maniera adeguata i dati registrati.
Oltre a ciò l'Azienda dovrà fornire l'informativa sul trattamento de dati personali ai sensi dell'art. 13 del Regolamento europeo 679/2016 ("gdpr"). Gli elementi essenziali, indicati nel testo del Protocollo sono:
la finalità del trattamento individuata nella prevenzione dal contagio da COVID-19;
base giuridica sarà l'implementazione dei protocolli di sicurezza anti-contagio ai sensi dell'art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020;
termine di conservazione dei dati per il quale occorrerà fare riferimento al termine dello stato d'emergenza, fatta salva la tutela dei diritti in sede giudiziaria, per obblighi normativi o per espressa richiesta dell'interessato.
Sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie. A tal fine, si ricorda che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell'Autorità sanitaria per la ricostruzione della filiera degli eventuali "contatti stretti di un lavoratore risultato positivo al COVID-19).
Qualora si dovesse procedere ad un isolamento momentaneo, l'azienda dovrà assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore.
Qualora si richieda il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l'assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19, occorrerà assicurare tutte le garanzie possibili a tutela del trattamento dati. Andranno, pertanto, raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19. Ad esempio, se si richiede una dichiarazione sui contatti con persone risultate positive al COVID-19, occorre astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva. Oppure, se si richiede una dichiarazione sulla provenienza da zone a rischio epidemiologico, è necessario astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi.
Andranno inoltre predisposte procedure ed incarichi ad hoc per la gestione dei dati, implementando misure che possono variare dalla formazione specifica del personale, a misure di protezione dei dati sia tecnologiche che fisiche.
Una volta predisposta l'informativa sul trattamento dei dati andrà di conseguenza aggiornato il registro dei trattamenti (art. 30 gdpr) con l'aggiunta dei nuovi trattamenti che il Titolare intende adottare (misurazione della temperatura, raccolta della dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico ) e la valutazione d'impatto (art. 35 gdpr) che dovrà tener conto della natura particolare dei dati personali trattati.
Appare pertanto fondamentale la necessità di una consapevolezza della normativa relativa alla protezione dei dati personali per chi lavora nel settore HR. In un momento come questo le sfide tecnologiche e di gestione del personale sono all'ordine del giorno, sapere come scegliere gli strumenti adeguati per affrontarle permette un sicuro vantaggio per agire sempre nel pieno rispetto dei diritti dei lavoratori e al contempo tutelare se stessi e la propria azienda da ripercussioni legali.
Difatti la disapplicazione delle norme in materia di protezione dati può comportare sanzioni penali:
Trattamento illecito di dati
L'articolo 167 del Codice in materia di protezione dei dati personali è stato totalmente rivisto.
E' punito, salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, arreca nocumento all'interessato in violazione di specifiche disposizioni di legge (come quelle che regolamentano il trattamento di dati ex art. 9 e il trasferimento internazionale dei dati personali).
E' altresì punito chi, al fine di trarre per sè o per altri profitto o di arrecare danno all'interessato procedendo al trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale al di fuori dei casi consentiti, arreca nocumento all'interessato.
Quando per lo stesso fatto è stata applicata a norma del Codice Privacy o del GDPR una sanzione amministrativa dal Garante e questa sia stata riscossa, la pena viene diminuita.
Comunicazione e diffusione illecita di dati personali
L'articolo 167-bis prevede un reato del tutto nuovo, e punisce la comunicazione e la diffusione di dati personali oggetto di trattamento su larga scala, al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno. La comunicazione o la diffusione devono riguardare un archivio automatizzato di dati personali o una sua parte sostanziale, contenente dati personali oggetto di trattamento su larga scala. Il reato si configura solo se la diffusione o la comunicazione dei dati avviene in violazione di specifiche e limitate disposizioni normative, per lo più applicabili a soggetti che trattano dati professionalmente o per obbligo di legge, cosa che limiterà l'applicabilità della norma.
La pena è la reclusione da 1 a 6 anni, ma anche qui, se per lo stesso fatto è applicata anche una sanzione amministrativa la pena è diminuita.
Violazioni in materia di controlli a distanza dei lavoratori
Sono state confermate le fattispecie previste dallo Statuto dei lavoratori L'articolo 4 riguarda l'utilizzo da parte dei datori di lavoro degli impianti audiovisivi e degli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori che possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali o, in mancanza di accordo, previa autorizzazione dell'Ispettorato.
L'articolo 8, invece, vieta al datore di lavoro, al fine di assunzioni o nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore.
avv. Fabrizio Salmi - Studio Legale Salmi