Il Regolamento Generale sulla Protezione dei Dati (GDPR), lo Statuto dei Lavoratori e gli interventi del Garante Privacy creano un quadro di riferimento per il trattamento dei dati personali di candidati all’assunzione, lavoratori ed ex lavoratori, di non sempre facile comprensione.
Vediamo di mettere un po’ di ordine e di capire, in concreto, quali obblighi adempiere per tutelare la privacy dei dipendenti presenti e futuri, fin dal primo momento del contatto di un candidato con l’Azienda.
Quali dati personali rientrano nella tutela della privacy dei candidati?
Ebbene sì: anche l’innocente invio di un CV da parte di un candidato all’assunzione prevede l’inizio di un trattamento di dati personali che può interrompersi nel giro di un’e-mail oppure continuare per decenni e oltre la cessazione del rapporto lavorativo.
“Ma quali dati personali?” vi starete chiedendo.
Basta una sola spunta accanto a una delle seguenti informazioni per entrare nel perimetro degli obblighi previsti dal GDPR:
- Indirizzo e-mail
- Numero di telefono
- Indirizzo abitativo
- Data di nascita
- Codice fiscale
- Percorso di studi
- Esperienze lavorative
- Ecc…
E si tratta di dati comuni.
Sono da trattare anche dati di tipo “particolare”, quali, tra gli altri, dati relativi alla salute e l’appartenenza sindacale, che non possono mancare nella gestione del rapporto lavorativo.
Regola n°1
È possibile trattare dati personali (comuni) sempre e solo in presenza di almeno una base giuridica (v. art. 6 GDPR) e quelle rilevanti, nel processo che stiamo trattando, sono:
- la necessità di eseguire un contratto di cui l’interessato (candidato all’assunzione o neoassunto) è parte o di eseguire misure precontrattuali adottate su richiesta dello stesso
- la necessità di adempiere un obbligo legale al quale è soggetta l’azienda
Atteso il generale divieto, è possibile, invece, trattare dati particolari dei lavoratori solo in presenza della seguente eccezione:
- il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.
“E perché”, vi starete chiedendo, “non basta il semplice consenso del lavoratore o del candidato?”
Perché il consenso non sarebbe valido in quanto non prestato “liberamente” attesa l’asimmetria tra datore e lavoratore, il quale potrebbe temere conseguenze a lui pregiudizievoli in caso di rifiuto a prestare il proprio consenso.
Regola n°2: informativa
Trovata la corretta base giuridica, dopo aver ridotto al minimo i dati trattati per le finalità individuate, il primo adempimento documentale da porre in essere è senza ombra di dubbio l’informativa (artt. 13 e 14 GDPR) che va resa all’interessato prima della raccolta dei suoi dati, oppure, come nel caso di ricezione spontanea di CV, al primo contatto con l’interessato stesso.
Attenzione: l’informativa non è un puro adempimento burocratico in quanto deve mettere il candidato o il neoassunto nelle condizioni di decidere se affidare o meno i suoi dati e, in ogni caso, deve contenere tutte le informazioni obbligatorie previste dagli artt. 13 e 14 GDPR.
L’assunzione
Gestita correttamente la fase di recruiting, passiamo all’assunzione e in questo ambito GDPR, Statuto dei Lavoratori e Garante, non fanno sconti.
Oltre, ovviamente, all’informativa dedicata ai lavoratori, vediamo quale altra documentazione va consegnata:
- Lettera di autorizzazione al trattamento: ogni lavoratore che, nello svolgimento delle proprie mansioni, deve trattare dati personali, va formalmente “autorizzato” mediante apposita “lettera di autorizzazione” in cui sono specificati i trattamenti di dati personali a lui consentiti
- Regolamento per l’utilizzo degli strumenti informatici aziendali: forse il documento più complesso da redigere, in quanto il suo obbligo discende, oltre che dal GDPR, anche dall’art. 4 Statuto Lavoratori e da interventi ad hoc del Garante.
In questo documento, in adempimento all’obbligo di trasparenza, il datore descrive quali device lavorativi sono assegnati ai lavoratori e, soprattutto, come conseguenza dell’assegnazione dei device, quali dati personali dei lavoratori potrebbe trattare per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, con conseguenti rischi di controlli a distanza dell’attività lavorativa.
È una policy imposta anche dall’art. 4 dello Statuto Lavoratori, il quale, dispone che, solo a “condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”, il datore di lavoro possa utilizzare le informazioni raccolte tramite i device lavorativi per tutti i fini connessi al rapporto di lavoro, provvedimenti disciplinari inclusi.
- Procedura gestione data breach: eh sì, il lavoratore deve sapere come comunicare in tempi strettissimi un data breach, a cui ha assistito, che coinvolge dati personali trattati dal datore di lavoro.
Cos’è un data breach?
Data breach è una violazione della sicurezza che comporta la distruzione, la perdita, la modifica, l’accesso non autorizzato o la divulgazione dei dati personali. Il furto di un cellulare aziendale, ad esempio, è un data breach, così come l’invio di un’e-mail al destinatario sbagliato può essere un data breach.
- Liberatoria per l’utilizzo immagini: in caso, ovviamente, di utilizzo delle immagini dei lavoratori. Non si parla solo di pubblicazione di immagini sul “Chi siamo” del sito web aziendale, in quanto foto e video possono anche essere raccolti in sede di eventi, team building o semplici cene aziendali.
E non dimentichiamoci della formazione!
Già: la formazione è una misura di sicurezza di tipo organizzativo, pertanto, prima che il neoassunto inizi a svolgere le proprie attività, oltre ad assegnargli credenziali di autenticazione, dobbiamo provvedere alla formazione in materia di GDPR con un percorso base in cui gli verranno esposti i principi chiave della normativa e gli accorgimenti necessari da osservare per garantire la protezione dei dati personali durante la giornata lavorativa.
Quanto sei in regola con la nuova normativa sulla privacy?