TRATTAMENTO DEI DATI PERSONALI DEI DIPENDENTI: NON SEMPRE E' LEGITTIMATO DAL CONSENSO / by Giampietro Malusa

Le nuove tecnologie offrono utili strumenti a chi le utilizza, anche in ambito lavorativo (si pensi alla rete Internet, alla posta elettronica, ai sistemi di geolocalizzazione, al telelavoro, tanto per fare alcuni esempi), ma consentono un trattamento ancora più sistematico dei dati dei dipendenti e di conseguenza rappresentano anche un rischio per la loro privacy. Ne nasce il difficile compito di ricercare un giusto equilibrio fra i legittimi interessi del datore di lavoro di proteggere la propria attività e la ragionevole aspettativa di tutela della propria privacy dei lavoratori.

I Garanti Europei (“Gruppo di lavoro ex art. 29” o “WP29”) avevano già emanato un parere su questo tema nel 2001 e un successivo documento nel 2002 dedicato specificatamente al controllo sulle comunicazioni elettroniche sui luoghi di lavoro.

Considerato che le nuove tecnologie hanno compiuto passi da giganti negli ultimi anni e anche che nel frattempo il panorama normativo si è arricchito col l’approvazione del nuovo Regolamento privacy (che entrerà pienamente in vigore il 25 maggio 2018), il WP29 ha ritenuto opportuno emanare un nuovo parere sul trattamento dei dati in ambito lavorativo (opinione 2/2017 dello scorso 8 giugno, WP249). Il Gruppo ha infatti evidenziato la necessità di valutare un nuovo punto di equilibrio tra le predette istanze contrapposte, rivedendo la propria precedente opinione e le relative conclusioni.

In estrema sintesi ciò che emerge dal nuovo parere è che:

  • "i datori di lavoro dovrebbero sempre tener presente i principi fondamentali in materia di protezione dei dati, a prescindere dalla tecnologia usata;
  • i contenuti delle comunicazioni elettroniche fatte dalla sede aziendale godono della stessa protezione, quali diritti fondamentali, di analoghe comunicazioni;
  • è altamente improbabile che il consenso possa costituire una base giuridica per il trattamento dei dati in ambito lavorativo, a meno che i dipendenti possano rifiutarlo senza conseguenze pregiudizievoli;
  • l’esecuzione di un contratto e i legittimi interessi possono essere talvolta invocati, a condizione che il trattamento sia strettamente necessario per un legittimo scopo e sia conforme ai principi di proporzionalità e sussidiarietà;
  • i dipendenti dovrebbero ricevere informazioni adeguate sul monitoraggio che ha luogo; e
  • qualsiasi trasferimento internazionale di dati dei dipendenti dovrebbe aver luogo solo laddove sia assicurato un adeguato livello di protezione.”

E’ quindi chiaro che il datore di lavoro dovrà considerare tutti questi elementi nel trattamento dei dati dei propri dipendenti, rivedere alla loro luce le informative fornite e i consensi richiesti e, eventualmente, valutare l’inserimento di apposite previsioni al riguardo nei propri regolamenti interni aziendali.

Fonte: Article 29 Working Party - http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083