Dati personali dei lavoratori: regole di trattamento

Dati personali dei lavoratori

Il WP29 (Gruppo di lavoro ex art. 29), integrando le nuove disposizioni dettate dal Regolamento UE n.679/2016 (GDPR), si è espresso in merito alle nuove regole per il trattamento dei dati personali dei lavoratori.

In prima istanza, il WP29 ha stabilito che i trattamenti inerenti suddetti dati personali dei lavoratori devono rispettare i diritti fondamentali dei lavoratori stessi. In secondo luogo, le basi giuridiche di tali trattamenti possono ravvisarsi:

  1. Nell’esecuzione di obblighi derivanti da un contratto di lavoro;
  2. Nell’adempimento di obbligazioni previste dalla legge;
  3. Nell’interesse legittimo del datore.

Dati personali dei lavoratori: il datore di lavoro

In merito al punto 3 del precedente elenco, il WP29 stabilisce che il datore valuti in maniera preventiva la necessità e la proporzionalità del trattamento in essere. Inoltre, è necessario che la finalità perseguita dal trattamento sia legittima e che vengano poste in essere le dovute misure di sicurezza che possano bilanciare i diritti e le libertà dei lavoratori con le finalità del trattamento. A questo proposito di valutazione, se necessario, è possibile redigere una DPIA o valutazione di impatto.

Per quanto riguarda i datori di lavoro, il WP29 suggerisce alcune delle misure di sicurezza implementabili per prevenire eventuali violazioni della riservatezza, di seguito alcuni esempi:

  • Il divieto di monitoraggio delle cartelle, file, comunicazioni personali dei dipendenti, …
  • La previsione di un monitoraggio a campione rispetto ad una sorveglianza continuativa;
  • L’esclusione delle aree sensibili dalle zone monitorate.

Un elemento che invece subisce delle variazioni rispetto allo standard è il consenso. Il consenso viene escluso dalle basi giuridiche del trattamento dei dati personali dei lavoratori. Perché? Il motivo è molto semplice: vigendo un rapporto di dipendenza del lavoratore nei confronti del datore, il consenso non può essere considerato come liberamente prestato e, allo stesso tempo e per lo stesso motivo, nemmeno revocabile liberamente.

[bottone-post]

Dati personali dei lavoratori: scenari di trattamento

Stando a quanto individuato dal WP29, esistono 9 scenari tipici di trattamento di dati personali dei lavoratori che possono presentare rischi per i diritti e le libertà dei lavoratori stessi. In questi scenari (descritti successivamente) il datore di lavoro deve seguire i principi di “privacy by design e “privacy by default” esaustivamente descritti dal GDPR.

L’infografica soprastante è altresì consultabile al seguente link: infografica dati personali dei lavoratori , mentre di seguito analizzeremo nel dettaglio i vari scenari.

Trattamento dei dati dei candidati presenti sui social network

In questa fattispecie il datore è autorizzato a trattare i dati personali presenti sui profili social dei candidati solo se usati per finalità lavorative e non personali. I dati devono essere rilevanti al fine di eseguire la prestazione lavorativa cui la domanda è rivolta e il datore deve informare in maniera preventiva il candidato.

Trattamento dei dati dei lavoratori presenti sui social network

Come per il punto precedente, il trattamento dei dati dei lavoratori sui social network ha gli stessi presupposti di quello dei candidati. A questo proposito però il datore deve provare che non ci siano mezzi meno invasivi per raggiungere le finalità del trattamento.

[bottone-post]

Monitoraggio della strumentazione informatica dei lavoratori

Stante la veloce evoluzione delle tecnologie al servizio dei datori di lavoro (BYOD, Data loss prevention, …), secondo il WP29 il trattamento dei dati personali dei lavoratori relativi all’uso della strumentazione informatica è la più grande minaccia per la riservatezza dei lavoratori stessi.

Il WP29 per affrontare questa situazione, propone delle soluzioni specifiche che possono prevenire l’accesso successivo ai dati del lavoratore:

  • Implementazione di una lista di siti vietati;
  • Calendari di posta personali;
  • Una policy per l’utilizzo della strumentazione informatica.

Mobile Device Management

Queste tecnologie permettono al datore di gestire da remoto i device mobili che vengono consegnati ai lavoratori. Per quanto riguarda questa tecnologia, il WP29 ha previsto che venga eseguita dal datore di lavoro una DPIA preventiva all’inizio del trattamento. In questo modo possono essere garantiti: il rispetto delle finalità perseguite e i principi di sussidiarietà e necessità. Esiste tuttavia un ulteriore onere per il datore di lavoro, egli deve dimostrare che l’uso di queste tecnologie specifiche non presupponga un trattamento più ampio mirato al controllo dei lavoratori.

Wearable Devices

Questi strumenti permettono al datore di lavoro di raccogliere i dati sensibili dei dipendenti (stato di salute fisica). I dati personali raccolti tramite questa tecnologia possono essere assoggettati a trattamento solamente dai soggetti interessati ed eventualmente dal fornitore di tali servizi.

Rilevazione della presenza dei lavoratori

Ci sono degli strumenti – utilizzabili dal datore – che vengono usati per finalità completamente legittime, tuttavia c’è la possibilità che questi strumenti monitorino in maniera indiretta presenza ed attività dei lavoratori sul luogo di lavoro. Stando a quanto riportato dal WP29, il trattamento di questi dati si fonda sull’interesse legittimo del titolare che ha la preoccupazione di tutelare la sottrazione o la perdita di informazioni aziendali riservate. Affinché questi trattamenti rispettino la normativa vigente, devono essere preceduti da un’informativa che dev’essere fornita ai lavoratori.

[bottone-post]

Trattamenti di dati mediante sistemi di videosorveglianza

Il monitoraggio dei lavoratori mediante tecnologie video risulta illecito. Il WP29 ha stabilito che esiste una sproporzione tra queste tecnologie e la tutela dei diritti e delle libertà degli interessati.

Geolocalizzazione dei veicoli

In questo caso è necessario dividere tra le due fattispecie specifiche che si possono verificare:

  • Il trattamento viene effettuato con il solo fine di monitorare il comportamento e/o la posizione del lavoratore. In questo caso il trattamento è illecito;
  • Al contrario, nel caso in cui il trattamento abbia finalità legittime come il real time planning di alcune attività lavorative, il trattamento stesso risulta lecito.

In ogni caso, il WP29 consiglia al datore di porre all’interno dei veicoli un’ informativa visibile.

Trasferimento dei dati personali dei lavoratori a terzi

Anche in questo caso è necessario suddividere le fattispecie che si possono verificare:

  • Trasferimento dei dati al cliente finale: in questo caso può avvenire solo se basato su un legittimo interesse del titolare;
  • Trasferimento dei dati tra società del medesimo gruppo aventi sede fuori dall’Italia: in questo caso invece il WP29 richiama i principi generali per il trasferimento dei dati previsti dalla Direttiva 95/46/CE e, attualmente, riportati dal GDPR.

Swascan e la GDPR Compliance

Swascan, ha reso disponibili specifici servizi di cybersecurity al fine di aiutare le imprese ad affrontare le tematiche relative alla Compliance GDPR e al Security Management. Inoltre, è disponibile il Plugin GDPR Swascan per la Compliance dei siti WordPress e Woocommerce.

Inoltre, per far fronte al GDPR, Swascan offre prezioso materiale informativo e pratico. Sono disponibili: l’ infografica registro delle attività di trattamento e l’articolo sul registro delle attività oltre a quello relativo al trattamento dati . Inoltre sono disponibili materiali riguardanti il DPO oltre ad un’ infografica DPO dedicata. Molto importante è l’articolo della norma UNI 11697:2017 inerente ai profili professionali regolamentati.

Oltre ad una guida GDPR , è disponibile una dettagliata documentazione riguardo ad uno dei nostri fondatori: Raoul Chiesa ( intervista Raoul Chiesa e video Raoul Chiesa ).

[bottone-post]

Swascan

In modo da garantire al tuo business lo strumento più idoneo, Swascan ha sviluppato una speciale piattaforma di CyberSecurity. In Cloud, SaaS e Pay for Use. Puoi consultare immediatamente la nostra brochure: Piattaforma di CyberSecurity e dare un’occhiata più approfondita ai nostri servizi. I nostri quattro servizi coprono ogni bisogno in termini di gestione del rischio e valutazione periodica. In poche parole, se hai bisogno di capire in quali aree concentrare le risorse aziendali gli strumenti ideali sono il Vulnerability AssessmentNetwork Scan, Code Review e il GDPR Assessment ( infografica GDPR ): la nostra piattaforma è al 100% GDPR compliant e permette di valutare il livello di Compliance della propria azienda.

Cross Site Scripting: cosa bisogna sapere a riguardo?
OWASP: Open Web Application Security Project

Pronto intervento Cyber Swascan

Contattaci per un supporto immediato

Il sottoscritto, in qualità di interessato DICHIARA di aver letto e compreso il contenuto della privacy policy ai sensi dell’articolo 13, GDPR. ACCONSENTE al trattamento dei Dati in relazione all’invio da parte del Titolare di comunicazioni afferenti alla gestione di eventuali misure precontrattuali, preordinate alla stipulazione e/o esecuzione del contratto con il Cliente nonché all'adempimento dei relativi obblighi.
Il consenso prestato potrà essere revocato in qualsiasi momento contattando il Titolare ai recapiti presenti nella citata privacy policy.