Siete qui: Oggi sulla stampa
Oggi sulla stampa

Ricerche sui social con limiti

Giro sui social per verificare le abilità del candidato o per verificare il rispetto del patto di non concorrenza dell’ex dipendente che ha lasciato l’azienda. Si può, anche senza consenso, ma previa informativa. E lo stesso per la registrazione degli accessi fisici a una sala server dell’impresa. Inoltre ok a sistemi per avvisare della registrazione o del controllo sulle comunicazioni di posta elettronica in uscita e della navigazione in rete. Sono questi alcuni casi risolti sul trattamento dei dati in azienda, che si trovano nel parere n. WP249 dell’8 giugno 2017 del «Gruppo di Lavoro Art. 29», che riunisce i garanti della privacy europei.

L’argomento è sempre al centro dell’attenzione, anche perché è cominciato il conto alla rovescia dell’ultimo anno precedente l’applicazione del regolamento europeo sulla privacy (n. 2016/679), che da un lato lascia spazio alla legislazione nazionale (art. 88), ma dall’altro fornisce principi e criteri ispiratori della stessa normativa dei singoli stati.

Ma vediamo la casistica del parere in commento.

Social e ricerche pre-assunzione. Il caso è quello della ricerca di personale e del datore di lavoro che legge i profili dei candidati su svariate reti sociali e raccoglie le informazioni trovate su queste reti sociali (e qualsiasi altra informazione reperibile su internet) nella valutazione dei possibili candidati.

Il datore di lavoro può trattare senza consenso le informazioni pubblicamente reperibili dei candidati, solo se questo è necessario per poter valutare specifici rischi riguardo a candidati per specifiche funzioni e se i candidati sono adeguatamente informati (per esempio, nel testo dell’annuncio della ricerca).

Patto di non concorrenza. Altra ipotesi è quella del datore di lavoro che monitora il profilo di un social network di ex dipendenti durante la vigenza di un patto di non concorrenza. L’obiettivo di questo monitoraggio è di assicurarsi il rispetto del patto. Questa finalità di monitoraggio riguarda solo questi ex dipendenti.

Fino a che il datore di lavoro dimostra che questo controllo è necessario per proteggere i suoi legittimi interessi, e che non vi sono alti metodi meno invasivi, e che il lavoratore è stato adeguatamente informato sull’estensione di questo regolare monitoraggio delle proprie comunicazioni pubbliche, il datore di lavoro si potrà avvalere del legittimo interesse (trattamento dati senza consenso).

Mail in uscita. Mettiamo che un datore di lavoro voglia utilizzare uno strumento di prevenzione delle perdite di dati («Dlp»: data loss prevention) per monitorare automaticamente le e-mail in uscita, allo scopo di impedire la trasmissione non autorizzata di dati (per esempio i dati personali dei clienti), indipendentemente dal fatto che tale azione non sia intenzionale o meno. Una volta che una e-mail è considerata come la fonte potenziale di una violazione dei dati, diventa oggetto di indagine.

In questo caso, il datore di lavoro ha un legittimo interesse a proteggere i dati personali dei clienti, nonché il suo patrimonio, contro l’accesso non autorizzato o perdita di dati.

Tuttavia, lo strumento «Dlp» può comportare l’elaborazione non necessaria dei dati personali: ad esempio un avviso «falso positivo» potrebbe causare l’accesso non autorizzato di messaggi di posta elettronica legittimi inviati dai dipendenti (che possono essere messaggi di posta elettronica personali). Pertanto, la necessità dello strumento Dlp e del suo impiego dovrebbe essere pienamente giustificata in modo da trovare un giusto equilibrio tra i suoi interessi legittimi e il diritto alla protezione dei dati personali degli impiegati. Ci vogliono misure per attenuare i rischi. Per esempio, le regole che il sistema segue per selezionare una e-mail come potenziale violazione dei dati dovrebbe essere completamente trasparente per gli utenti, e nei casi in cui lo strumento riconosce una e-mail che deve essere inviata come una possibile violazione dei dati, un messaggio di avvertimento deve informare il mittente della e-mail prima della trasmissione e-mail, in modo da dare al mittente la possibilità di annullare questa trasmissione.

Sala server. Poniamo il caso di un datore di lavoro che dispone di una sala server, in cui i dati riservati relativi agli affari, i dati personali relativi ai dipendenti e i dati personali relativi ai clienti sono memorizzati in forma digitale. Per garantire i dati contro l’accesso non autorizzato, il datore di lavoro installa un sistema di controllo accessi che registra l’ingresso e l’uscita dei dipendenti che hanno il permesso di entrare nella stanza. Se un qualsiasi strumento dovesse sparire, o se i dati dovessero essere oggetto di un accesso non autorizzato, perdita o furto, le registrazioni in possesso del datore di lavoro permetterebbero di determinare chi aveva accesso alla stanza in quel momento.

Dato che il trattamento è necessario e non supera il diritto alla riservatezza dei dipendenti, può essere considerato legittimo interesse (trattamento senza consenso), se i dipendenti sono stati adeguatamente informati circa l’operazione. Tuttavia, il monitoraggio continuo della frequenza e dei tempi di entrata e di uscita esatti degli impiegati non può essere giustificato se questi dati inoltre sono usati per un altro scopo, quale la valutazione di prestazioni degli impiegati.

Fitness. Per ultimo si tratta il caso di un’impresa offre dispositivi di monitoraggio del fitness ai propri dipendenti come benefit. I dispositivi, per esempio, contano il numero di passi dei dipendenti e registrano il loro battito cardiaco e i cicli di sonno nel corso del tempo. I dati sanitari risultanti devono essere accessibili solo al dipendente e non al datore di lavoro. Tutti i dati trasferiti tra il dipendente (come soggetto dati) e il dispositivo/Fornitore di servizi (come titolare del trattamento) non devono essere noti al datore di lavoro.

Antonio Ciccia Messina

Print Friendly

Condividi su

Potrebbe interessarti anche
Oggi sulla stampa

Entra nel vivo la gara per la conquista di Cedacri, società specializzata nel software per le banch...

Oggi sulla stampa

Oggi sulla stampa

Il Monte dei Paschi di Siena ha avviato ieri un collocamento rapido di azioni, pari al 2,1% del capi...

Oggi sulla stampa

Oggi sulla stampa

Il giorno dopo il lancio dell’Opa da parte di Crédit Agricole Italia, il Creval valuta le possibi...

Oggi sulla stampa