PRIVACY E RAPPORTO DI LAVORO – GLI ERRORI DA EVITARE
Sono numerosi, e anche più comuni di quanto si possa pensare, gli errori che i datori di lavoro commettono quando si parla di privacy nei rapporti di lavoro. Analizziamoli per imparare le giuste regole di accountability.
È abbastanza frequente, nella gestione dei rapporti di lavoro da parte delle aziende, commettere errori in termini di privacy che potrebbero comportare violazioni e sanzioni della normativa privacy. Analizziamo in dettaglio i vari ambiti in cui è più comune riscontrare errori per apprendere le necessarie regole di ACCOUNTABILITY
Autorizzazione privacy nei curriculum
La vecchia prassi di inserire in fondo al curriculum vitae la frasetta di autorizzazione al trattamento dei dati personali, è ormai noto, non è più necessaria. A quanto pare a richiederla talvolta sono proprio i recruiter (pochi fortunatamente) di alcune aziende.
L’autorizzazione in calce ai CV che siamo abituati a vedere è infatti superflua già dal lontano 2011.
Lo prevedeva espressamente già il vecchio Codice Privacy (D.lgs. 196/2003) all’art 24, comma 1 per i dati personali e all’art 26, comma 3, lett. b-bis, per i dati particolari eventualmente contenuti nel CV.
Tale semplificazione derivava da un decreto-legge del 2011, poi convertito in Legge 70/2011, che aveva introdotto anche un’altra importante semplificazione in tema di informativa da rilasciare in occasione della ricezione di curricula spontaneamente trasmessi dagli interessati: Un’ “INFORMATIVA BREVE” che è tenuto a fornire all’interessato, anche oralmente, al momento del primo contatto successivo all’invio del curriculum.
Anche il Garante Privacy nel vademecum del 2013 affermava che “……. è assolutamente superfluo richiedere al candidato il consenso al trattamento dei dati personali contenuti nel curriculum”.
Informativa privacy mancante
Il datore di lavoro deve fornire una informativa privacy al candidato e al lavoratore contestualmente all’acquisizione dei suoi dati personali.
Capita, invece, di trovare moduli per candidatura senza informativa privacy, di leggere contratti di lavoro con generiche clausole sul trattamento dei dati personali e nessuna informativa.
Dunque appare quanto meno deficitario il principio di una trasparenza concreta che dovrebbe caratterizzare il buon inizio di un rapporto di lavoro.
La carenza o l’assenza totale di informativa privacy, magari rilasciata anni a dietro, potrebbero inibire l’uso di foto del dipendente, ed in casi estremi l’impossibilità di trasmettere dati a soggetti terzi, seppur per esigenza di servizio.
Consenso nei rapporti di lavoro – Base Giuridica del Trattamento
Il consenso, secondo quanto statuito all’art. 4 del Regolamento Europeo Privacy, deve rappresentarsi come una “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato” e deve essere “liberamente revocabile” dallo stesso.
Pertanto, come anche ribadito dalla Opinion 2/2017 del WP29 (WP249), la esplicita espressione di consenso nei rapporti di lavoro – diventa del tutto superflua – ne, tampoco, valutando la circostanza che: il diniego “potrebbe causare allo stesso (lavoratore n.d.r) un pregiudizio reale o potenziale”.
Medesimo discorso varrà per la eventuale libertà nel revocare un consenso, eventualmente concesso, la quale fattispecie potrebbe generare inevitabili preclusioni e conseguenze, anche spiacevoli, nel rapporto di lavoro.
Il consenso non può e non deve essere una valida base giuridica nei rapporti di lavoro, diventa indispensabile stabilire un’alternativa base giuridica ai sensi del GDPR (art 6).
Videosorveglianza
Sembra assurdo ma ancora oggi, a distanza di molti anni dalla regolamentazione della materia, tantissimi datori di lavoro installano istallano impianti di videosorveglianza senza tener conto dei necessari passaggi che la normativa richiede.
Nelle violazioni c’è un po’ di tutto: mancano gli accordi sindacali o i passaggi dalla Direzione Territoriale del Lavoro, talvolta mancano le informative (ad esempio: i cartelli), le immagini sono archiviate per troppi giorni, l’angolo di inquadratura è orientato sulle postazioni di lavoro e via dicendo.
Le violazioni coinvolgono per lo più le piccole e medie imprese che talvolta non dispongono del necessario supporto di professionisti che li guidino nel favoloso mondo delle leggi e della burocrazia italiana.
Rapporti di lavoro ed errori privacy: c’è tanto da fare
Purtroppo, parlando di rapporti di lavoro ed errori privacy, c’è anche tanto altro e così da una veloce analisi delle principali cause di negoziazione dei Data Processing Agreement (susseguenti alla nomina ex art.28 GDPR) tra Titolare e Responsabile del trattamento ci si accorge , spesso, di rilevanti imprecisoni.
- Una madornale carenza di procedure di data breach: per esempio si pensa che sia sufficiente notificare al Garante Privacy una violazione dei dati entro 72 ore da quando il Titolare del Trattamento ne ha conoscenza dal Responsabile, anche se tale data è successiva di giorni o mesi rispetto all’evento.
- Spesso un importante vulnus si annida nell’adozione del Provvedimento sugli Amministratori di Sistema (Autorità Garante 27 novembre 2008), che in vero, andrebbe – quanto meno riformato. Conviviamo, quindi, con non conformità agli audit, manca all’identificazione dei requisiti di esperienza, capacità e affidabilità, carenza di nomine specifiche, approssimazione sulla identificazione e valutazione di gestionali che trattano dati dei lavoratori).
- Un discorso ad hoc merita il tema della formazione, una componente essenziale per chi desidera mitigare efficacemente i rischi privacy. Troppe volte si pensa che sia sufficiente un modulo e-learning uguale per tutti invece, soprattutto nelle realtà più grandi, la formazione andrebbe diversificata fra i dipendenti in relazione alla tipologia di trattamenti e secondo criteri valoriali.
Le violazioni possono essere realmente tante e il rischio di una sanzione privacy è elevato se le aziende non dispongono di professionisti e competenze adeguate.
Un consiglio? Pagate la competenza, Kotler docet: “Molti imprenditori, amministratori si preoccupano di quanto può essere costoso fare….pochi valutano quanto sia costoso non fare….” Non fare bene, direi Io…..
Affidatevi ad un consulente bravo e che abbia soprattutto un’esperienza valida e multidisciplinare, un esperto di Modelli di Gestione che sappia garantire un tangibile valore aggiunto alla vostra Impresa.
Federico Bergaminelli
Avv.Federico Bergaminelli
Esperto di diritto delle nuove tecnologie ICT, TLC, energie rinnovabili e reti intelligenti; proprietà intellettuale e industria; procedimenti innanzi alle autorità amministrative indipendenti e altro contenzioso in materia di privacy nelle comunicazioni.
A latere delle attività di consulenza e con l’entrata in vigore della Legge 190 del 6 novembre 2012 (Disposizioni per la prevenzione e la repressione della corruzione e dell’illegalità nella pubblica amministrazione), ai cui lavori preparatori ha partecipato direttamente, promuove la costituzione dell’Istituto Italiano per l’Anticorruzione, organizzazione nazionale che gode dell’Alto Patronato del Presidente della Repubblica. Sin dall’inizio, ne è il Presidente.
Professore associato presso l’Università degli Studi di Pisa (Facoltà di Giurisprudenza, titolare del corso su “Responsabilità civile per illecito trattamento dei dati personali”), docente a contratto presso l’Università degli Studi di Cassino (membro del comitato didattico del master in “Innovazione e management nelle Pubbliche Amministrazioni”), presso l’Università “Magna Graecia” di Catanzaro (membro del comitato didattico del master in “Medicina delle biotecnologie”) e presso l’Università degli Studi di Napoli (Facoltà di Scienze Infermieristiche ).
E’ team leader e master trainer di schema ISO 37001:2016 per il gruppo internazionale DNV-GL ed opera quale formatore accreditato in materia di Prevenzione della Corruzione ed in materia di Privacy presso Enti Pubblici ed Enti Nazionali di Formazione. Consulente di Federsanità-ANCI, coordina l’Osservatorio Nazionale sul Fascicolo Sanitario Elettronico presso l’Università “Carlo Bò” di Urbino. E’ socio di vari Istituti nazionali ed internazionali di diritto pubblico. E’ autore di pubblicazioni scientifiche e di commento ed annovera numerose partecipazioni ad eventi formativi e convegni, anche di rilievo internazionale.