Il gruppo di lavoro WP29 ha recentemente emanato un proprio parere (Opinion 2/2017 dell’8 Giugno 2017 sul trattamento dei dati dei lavoratori nei luoghi di lavoro – WP 249) aggiornato sul modo in cui dovrebbe avvenire il trattamento dei dati personali nei luoghi di lavoro anche in relazione al nuovo Regolamento UE 679/16 (GDPR), che come noto entrerà in piena applicazione a partire dal 24 maggio 2018.

In particolare il gruppo di lavoro ha mirato ad evidenziare il “bilanciamento tra il legittimo interesse dei datori di lavoro e le ragionevoli aspettative di privacy dei dipendenti, sottolineando i rischi posti dalle nuove tecnologie ed intraprendere una valutazione di proporzionalità di un certo numero di scenari in cui potrebbero essere utilizzati”.

Sul posto di lavoro il datore di lavoro può infatti disporre di variegate forme di vigilanza (es. controllo della posta elettronica, sorveglianza dell’accesso ad Internet) che con le nuove tecnologie si sono ulteriormente amplificate dando vita a nuove implicazioni giuridiche in termini di protezione dei dati personali.

Persiste in ogni caso la legittima aspettativa di riservatezza che deve essere riconosciuta al lavoratore, e rispetto alla quale si devono valutare i diritti e gli interessi legittimi del datore di lavoro.

Dalla lettura del parere si evince infatti un importante nuovo costrutto: non sarà più ritenuto sufficiente l’ottenimento del mero consenso da parte dei dipendenti e dei collaboratori al trattamento dei dati personali effettuato da parte dei datori di lavoro ma occorrerà tenere conto di ciò che il datore di lavoro stesso abbia presunto essere il proprio “legittimo interesse” ad effettuarlo (es. sicurezza aziendale, migliore allocazione delle risorse, ecc.).

Inoltre viene anche specificata la portata soggettiva dell’applicazione del parere: non si dovrebbe applicare meramente a coloro che sono legati al datore di lavoro con contratto di lavoro subordinato tout court, ma a tutti coloro intrattengono una relazione di subordinazione indipendentemente dalla base contrattuale posta in essere tra le parti (es. collaboratori).

Tra le condizioni di liceità del trattamento assume ora rilevanza fondamentale per il datore di lavoro (del pari grado se non maggiore rispetto all’ottenimento del consenso) rispettare ciò che il GDPR evidenzia anche all’art. 6:

“Il trattamento è lecito solo se e nella misura in cui … è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”, oltre al rispetto di tre principi opportunamente richiamati nel parere stesso: basi legali (ex art. 7 Dir 95/46/CE), trasparenza e decisioni automatizzate.

Test di proporzionalità

Pertanto oltre alla presenza di una base giuridica lecita affinché il trattamento possa essere effettuato, il datore di lavoro, indipendentemente dalla tecnologia adottata, dovrà effettuare un collaudo o “test di proporzionalità” (c.d. “proportionality test”) in modo antecedente all’avvio del trattamento che intende effettuare proprio a dimostrare della propria attività valutativa sul bilanciamento tra legittimo interesse (proprio o di terzi) in relazione ed in misura proporzionata all’attività svolta ed i diritti e libertà fondamenti dell’interessato.

L’attività di testing potrà essere effettuata per il tramite di una adeguata valutazione di impatto sulla protezione dei dati personali (di cui agli articoli 35 e 36 GDPR) ma in ogni caso dovrà mirare a dimostrare l’adeguatezza soprattutto ai seguenti principi riportati in tabella:

Principi base applicabili al “Test di proporzionalità”

CAPO II – Principi applicabili al trattamento di dati personali CAPO III – Diritti dell’interessato 1 Privacy by design e by default
Articolo 5 – Principi applicabili al trattamento di dati personali Sezione 1 – Trasparenza e modalità Articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
Articolo 6 – Liceità del trattamento Sezione 2 – Informazione e accesso ai dati personali
Articolo 7 – Condizioni per il consenso Sezione 3 – Rettifica e cancellazione
Articolo 8 – Condizioni applicabili al consenso dei minori in relazione ai servizi

della società dell’informazione

 Sezione 4 – Diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche
Articolo 9 – Trattamento di categorie particolari di dati personali Sezione 5 – Limitazioni
Articolo 10 – Trattamento dei dati personali relativi a condanne penali e reati
Articolo 11 – Trattamento che non richiede l’identificazione

Qualora dalla valutazione di impatto dovessero emergere rischiosità elevate il titolare dovrà consultare l’Autorità prima di iniziare il relativo trattamento.

Nel parere viene inoltre specificato che: 

–   i datori di lavoro devono sempre tenere conto dei principi fondamentali della protezione dei dati personali, indipendentemente dalla tecnologia utilizzata

–   i contenuti delle comunicazioni elettroniche effettuate presso i locali commerciali godono delle stesse tutele dei diritti fondamentali delle comunicazioni analogiche;

–   il consenso è estremamente improbabile che costituisca una base giuridica per il trattamento dei dati personali sul posto di lavoro, a meno che i dipendenti possano rifiutare senza subirne conseguenze negative;

–   l’esecuzione di un contratto e gli interessi legittimi possono talvolta essere invocati, a condizione che il trattamento sia strettamente necessario per uno scopo legittimo e conforme ai principi di proporzionalità e sussidiarietà;

–   i dipendenti dovrebbero ricevere informazioni efficaci sul monitoraggio (geografico, rispettoso della riservatezza delle informazioni personali (data-oriented), o in relazione al tempo) che si svolge;

–   qualsiasi trasferimento internazionale dei dati dei dipendenti dovrebbe avvenire solo qualora sia garantito un adeguato livello di protezione.

Viene posta particolare attenzione a quanto potrebbe essere considerato una sorta di monitoraggio a distanza effettuato dal datore di lavoro tramite l’uso delle nuove tecnologie (es. raccolta di dati relativi alla localizzazione WiFi, tracciabilità Bluetooth, analisi di metadati che rilevino stile di vita ed abitudini dell’interessato, ecc.). In tale ottica, il WP29 mette in guardia anche dall’eccessivo monitoraggio sui dipendenti, di fatto meno disponibili nell’informare il datore di lavoro da trattamenti illeciti o da altre irregolarità effettuati da posizioni apicali (anche nell’ottica anticorruttiva – c.d. whistleblowing).

Onde aiutare il datore di lavoro nell’implementazione del “test di proporzionalità” si immaginano diversi scenari comuni ad un rapporto tra datore di lavoro e posizione di subordinazione, di fatto evidenziando sempre che qualsiasi sia il trattamento effettuato, con qualsiasi tipo di tecnologia, lo stesso dovrebbe essere limitato a quanto effettivamente tali informazioni siano: necessarie, eque, proporzionate e trasparenti.

La mera esecuzione del contratto o l’adempimento degli obblighi giuridici potrebbero costituire infatti motivi legali eccessivamente “banali” o semplicistici per sostenere che il trattamento dei dati personali possa essere considerato adeguatamente valutato nell’ottica del “test di proporzionalità” di cui al GDPR. La posizione di subordinazione in capo al dipendente già di per sé stessa rende l’ottenimento del consenso da parte del datore di lavoro “minata” dal dubbio che da parte del dipendente sia stato vissuto più come un obbligo che una reale consapevole adesione.

Peraltro anche il legittimo interesse da parte del datore di lavoro non potrà essere considerato un’arma vincente sempre e comunque contro lo scudo del dipendente (rappresentato dal rispetto dei propri diritti e libertà fondamentali).

Il dipendente pertanto, dalla lettura del parere, ritengo potrebbe diventare sempre più un “partner” consapevole degli obiettivi del datore di lavoro magari nell’adottare nuove tecnologie, poiché da questi chiaramente e pienamente informato sul trattamento e sul monitoraggio dei propri dati personali, che dovrebbero essere ridotti al minimo, conservati per un periodo limitato e cancellati quando non più necessari. Il datore di lavoro dovrebbe infine evitare in ogni caso l’utilizzo indiscriminato di un processo decisionale automatizzato.

Di seguito si sintetizzano gli scenari ipotizzati nel parere nel quale sarebbe necessaria l’effettuazione di un “test di proporzionalità”.

Test di proporzionalità: scenari previsti

Tipo Scenario
Trattamento di dati personali nella fase di selezione del personale Il candidato deve essere informato sul trattamento che il datore di lavoro intende effettuare prima che lo stesso abbia inizio. Anche nel caso di informazioni tratte dai social media sul candidato, il legittimo interesse non deve prevalere sull’interesse o i diritti e le libertà fondamentali del candidato ed in ogni caso l’informativa deve essere corretta, chiara e preventiva rispetto al processo di selezione.
Trattamento di dati personali per effettuare attività di screening sui dipendenti Il datore di lavoro non dovrebbe raccogliere in modo indiscriminato informazioni sui dipendenti per il tramite dei social media. Al dipendente dovrebbe essere garantita l’esistenza di una propria area privata sullo spazio virtuale eventualmente dedicato
Trattamento di dati personali per monitoraggio sull’uso delle tecnologia dell’informazione (ICT) nel posto di lavoro Il parere elenca una nuova lista di ipotesi di vigilanza e di monitoraggio effettuato dal datore di lavoro con le nuove tecnologie rispetto a quanto aveva previsto in precedenza in merito al controllo della posta elettronica ed alla sorveglianza dell’accesso ad Internet (che permangono validamente confermate).
Trattamento di dati personali per monitoraggio sull’uso delle tecnologia dell’informazione (ICT) al di fuori del posto di lavoro  Il parere considera in particolare la crescita del lavoro da casa e da remoto, e le politiche byod (bring your own devices) che in generale permettono l’utilizzo dei propri dispositivi personali al lavoro o di utilizzo dei dispositivi da indossare dati dal datore di lavoro (wearable devices) nonché la gestione dei dispositivi mobili (mobile device management).
 Trattamento di dati personali in relazione al tempo ed alla frequenza  I sistemi che consentono ai datori di lavoro di controllare chi può entrare nelle loro sedi, e /o di alcune aree all’interno dei loro locali, potrebbero anche permettere il tracciamento delle attività dei dipendenti. Oltre all’interesse legittimo del datore di lavoro (es. sicurezza) ed all’informativa al dipendente, il sistema non dovrebbe valutare in linea generale anche la prestazione del dipendente stesso.
 Trattamento di dati personali sull’utilizzo dei sistemi di videosorveglianza  I sistemi di videosorveglianza potrebbero anche permettere il tracciamento delle attività dei dipendenti. Il sistema non dovrebbe valutare in linea generale anche la prestazione del dipendente stesso. Sconsigliato anche il riconoscimento facciale.
 Trattamento di dati personali inerenti veicoli usati dai dipendenti  Il datore di lavoro utilizzando la telematica dei veicoli potrebbe raccogliere non solo i dati relativi al veicolo ma anche al singolo dipendente che lo utilizza (es. localizzazione GPS di base, comportamento di guida, ecc.). Nel caso di uso promiscuo del veicolo al dipendente dovrebbe essere assicurata la possibilità di attivare una modalità privata (opt out) oppure al di fuori dell’orario di lavoro una modalità “break the glass” volta a prevenire furti o danneggiamenti ma a registrare solo il luogo e non ulteriori informazioni. Nel caso di registratore di eventi il legittimo interesse non è sufficiente per effettuare un monitoraggio continuo: occorre trovare tecniche alternative che tutelino i diritti e le libertà fondamentali del dipendente in qualità di interessato al trattamento.
 Trattamento di dati personali inerenti il trasferimento dati delle risorse umane (HR) o di altri dati dei dipendenti  I datori di lavoro utilizzano sempre più applicazioni e servizi cloud-based, anche per il personale come le applicazioni Office Online. L’uso della maggior parte di queste applicazioni di fatto permette il trasferimento internazionale di dati dei dipendenti. Ma il trasferimento dei dati personali in un paese terzo fuori dall’UE può avvenire soltanto quando tale paese garantisce un adeguato livello di protezione. Quando i dipendenti sono tenuti a utilizzare le applicazioni online che trattano dati personali (es. Office on-line), i datori di lavoro dovrebbero consentire ai dipendenti l’utilizzo di spazi privati ​​a cui il datore di lavoro non possa accedere in qualsiasi circostanza (es. posta privata o cartella documenti)

Diritti fondamentali ed altre raccomandazioni

Gli Stati membri e l’Unione europea sono vincolati dalle disposizioni della Convenzione europea per la salvaguardia dei diritti umani e delle libertà fondamentali che trattano in particolare della riservatezza e della libertà negli articoli 8 e 9 di seguito riportati.

Articolo 8.

  1. Ogni persona ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza.
  2. Non può esservi ingerenza della pubblica autorità nell’esercizio di tale diritto se non laddove tale ingerenza sia contemplata dalla legge in quanto provvedimento che, in una società democratica, risulti necessario per la sicurezza nazionale, l’ordine pubblico, il benessere economico del paese, la prevenzione dei reati, la protezione della salute o della morale, o la protezione dei diritti e delle libertà altrui.

Articolo 10.

  1. Ogni persona ha diritto alla libertà d’espressione. Tale diritto include la libertà d’opinione e la libertà di ricevere o di comunicare informazioni od idee senza ingerenza alcuna da parte delle autorità pubbliche ed indipendentemente dalle frontiere. Il presente articolo non impedisce che gli Stati sottopongano ad un regime di autorizzazione le imprese di radiodiffusione, di cinema o di televisione.
  2. L’esercizio di queste libertà, comportando doveri e responsabilità, può essere sottoposto a determinate formalità, condizioni, restrizioni o sanzioni disposte dalla legge e necessarie in una società democratica per la sicurezza nazionale, l’integrità territoriale o l’ordine pubblico, la prevenzione di disordini e reati, la protezione della salute o della morale, la protezione della reputazione o dei diritti altrui, oppure per impedire la divulgazione d’informazioni confidenziali oppure ancora per garantire l’autorità e l’imparzialità del potere giudiziario.

Il principio generale di segretezza della corrispondenza copre le comunicazioni sul posto di lavoro, ed in questo ambito si considerano rientranti la posta elettronica ed i files ad essa acclusi. Ancorché il datore di lavoro risulti proprietario dei dispositivi utilizzati dal dipendente ciò non esclude il loro diritto alla segretezza delle loro comunicazioni e della loro corrispondenza nonché a non essere costantemente localizzati. Perciò il trattamento probabilmente risulterà adeguato solo se è strettamente necessario al legittimo interesse del datore di lavoro per scopi legittimi e rispettosi dei principi di sussidiarietà e proporzionalità (rispetto ai rischi corsi dal datore di lavoro).

Ad esempio, l’utilizzo di internet in modo improprio dal dipendente potrebbe in alcuni casi essere rilevato, senza la necessità di effettuare un controllo diretto sulle attività del dipendente ma utilizzando filtri web.

I datori di lavoro devono inoltre prendere sempre in considerazione il principio di minimizzazione dei dati al momento di decidere sulla implementazione di nuove tecnologie: le informazioni dovrebbero essere conservate per il tempo necessario, con un periodo di conservazione specificato. Ogni volta che le informazioni non fossero più necessarie dovrebbero essere eliminate.

Nel parere si auspica infine che il test di proporzionalità sia rivolto inizialmente ad un campione di dipendenti in modo che le regole e le politiche che ne deriveranno siano rispettose di quanto sopra.