PRIVACY E RAPPORTO DI LAVORO – GLI ERRORI DA EVITARE

Sono numerosi, e anche più comuni di quanto si possa pensare, gli errori
che i datori di lavoro commettono quando si parla di privacy nei rapporti di
lavoro. Analizziamoli per imparare le giuste regole di accountability.

È abbastanza frequente, nella gestione dei rapporti di lavoro da
parte delle aziende, commettere errori in termini di privacy che
potrebbero comportare violazioni e sanzioni della normativa privacy.
Analizziamo in dettaglio i vari ambiti in cui è più comune riscontrare errori
per apprendere le necessarie regole di ACCOUNTABILITY

Autorizzazione privacy
nei curriculum

La vecchia prassi di inserire in fondo al curriculum vitae la frasetta di autorizzazione al trattamento dei dati personali, è ormai noto, non è più necessaria. A quanto pare a richiederla talvolta sono proprio i recruiter (pochi fortunatamente) di alcune aziende.

L’autorizzazione in calce ai CV che siamo abituati a vedere è infatti
superflua già dal lontano 2011.

Lo prevedeva espressamente già il vecchio Codice Privacy (D.lgs. 196/2003)
all’art 24, comma 1 per i dati personali e all’art 26, comma 3, lett. b-bis,
per i dati particolari eventualmente contenuti nel CV.

Tale semplificazione derivava da un decreto-legge del 2011, poi convertito
in Legge 70/2011, che aveva introdotto anche un’altra importante
semplificazione in tema di informativa da rilasciare in occasione della
ricezione di curricula spontaneamente trasmessi dagli interessati: Un’
“INFORMATIVA BREVE” che è tenuto a fornire all’interessato, anche oralmente, al
momento del primo contatto successivo all’invio del curriculum.

Anche il Garante Privacy nel vademecum del 2013 affermava che “……. è
assolutamente superfluo richiedere al candidato il consenso al trattamento dei
dati personali contenuti nel curriculum”.

Informativa privacy
mancante

Il datore di lavoro deve fornire una informativa privacy al candidato e al
lavoratore contestualmente all’acquisizione dei suoi dati personali.

Capita, invece, di trovare moduli per candidatura senza informativa
privacy, di leggere contratti di lavoro con generiche clausole sul trattamento
dei dati personali e nessuna informativa.

Dunque appare quanto meno deficitario il principio di una trasparenza
concreta che dovrebbe caratterizzare il buon inizio di un rapporto di lavoro.

La carenza o l’assenza totale di informativa privacy, magari rilasciata anni a dietro, potrebbero inibire l’uso di foto del dipendente, ed in casi estremi l’impossibilità di trasmettere dati a soggetti terzi, seppur per esigenza di servizio.

Consenso nei rapporti
di lavoro – Base Giuridica del Trattamento

Il consenso, secondo quanto statuito all’art. 4
del Regolamento Europeo Privacy, deve rappresentarsi come una “manifestazione di
volontà libera, specifica, informata e inequivocabile dell’interessato” e deve
essere “liberamente revocabile” dallo stesso.

Pertanto, come anche ribadito dalla Opinion 2/2017 del WP29 (WP249), la esplicita
espressione di consenso nei rapporti di lavoro – diventa del tutto superflua –
ne, tampoco, valutando la circostanza che: il diniego “potrebbe causare allo
stesso (lavoratore n.d.r) un pregiudizio reale o potenziale”.

 Medesimo discorso varrà per la
eventuale libertà nel revocare un consenso, eventualmente concesso, la quale
fattispecie potrebbe generare inevitabili preclusioni e conseguenze, anche
spiacevoli, nel rapporto di lavoro.

Il consenso non può e non deve essere una valida base giuridica nei
rapporti di lavoro, diventa indispensabile stabilire un’alternativa base
giuridica ai sensi del GDPR (art 6).

Videosorveglianza

Sembra assurdo ma ancora oggi, a distanza di molti anni dalla regolamentazione della materia, tantissimi datori di lavoro installano istallano impianti di videosorveglianza senza tener conto dei necessari passaggi che la normativa richiede.

Nelle violazioni c’è un po’ di tutto: mancano gli accordi sindacali o i
passaggi dalla Direzione Territoriale del Lavoro, talvolta mancano le
informative (ad esempio: i cartelli), le immagini sono archiviate per troppi
giorni, l’angolo di inquadratura è orientato sulle postazioni di lavoro e via
dicendo.

Le violazioni coinvolgono per lo più le piccole e medie imprese che
talvolta non dispongono del necessario supporto di professionisti che li
guidino nel favoloso mondo delle leggi e della burocrazia italiana.

Rapporti di lavoro ed errori privacy: c’è tanto da fare

Purtroppo, parlando di rapporti di lavoro ed errori privacy, c’è anche
tanto altro e così da una veloce analisi delle principali cause di negoziazione
dei Data Processing Agreement (susseguenti alla nomina ex art.28
GDPR)  tra Titolare e Responsabile del
trattamento ci si accorge , spesso, di rilevanti imprecisoni.

  1. Una madornale
    carenza di procedure di data breach: per esempio si pensa che sia
    sufficiente notificare al Garante Privacy una violazione dei dati entro 72 ore
    da quando il Titolare del Trattamento ne ha conoscenza dal Responsabile, anche
    se tale data è successiva di giorni o mesi rispetto all’evento.
  2. Spesso un
    importante vulnus si annida nell’adozione del Provvedimento sugli Amministratori
    di Sistema (Autorità Garante 27 novembre 2008), che in vero, andrebbe – quanto
    meno riformato. Conviviamo, quindi, con non conformità agli audit, manca
    all’identificazione dei requisiti di esperienza, capacità e affidabilità,
    carenza di nomine specifiche, approssimazione sulla identificazione e
    valutazione di gestionali che trattano dati dei lavoratori).
  3. Un discorso ad
    hoc     merita il tema della formazione, una componente essenziale per chi
    desidera mitigare efficacemente i rischi privacy. Troppe volte si pensa che sia
    sufficiente un modulo e-learning uguale per tutti invece, soprattutto nelle
    realtà più grandi, la formazione andrebbe diversificata fra i dipendenti in
    relazione alla tipologia di trattamenti e secondo criteri valoriali.

Le violazioni possono essere realmente tante e il rischio di una sanzione
privacy è elevato se le aziende non dispongono di professionisti e competenze
adeguate.

Un consiglio? Pagate la competenza, Kotler docet: “Molti imprenditori,
amministratori si preoccupano di quanto può essere costoso fare….pochi valutano
quanto sia costoso non fare….” Non fare bene, direi Io…..

Affidatevi ad un consulente bravo e che abbia soprattutto un’esperienza
valida e multidisciplinare, un esperto di Modelli di Gestione che sappia
garantire un tangibile valore aggiunto alla vostra Impresa.

Federico Bergaminelli

Avv.Federico
Bergaminelli

Esperto di diritto delle nuove tecnologie ICT, TLC, energie rinnovabili e reti intelligenti; proprietà intellettuale e industria; procedimenti innanzi alle autorità amministrative indipendenti e altro contenzioso in materia di privacy nelle comunicazioni.

A latere delle
attività di consulenza e con l’entrata in vigore della Legge 190 del 6 novembre
2012 (Disposizioni per la prevenzione e la repressione della corruzione e
dell’illegalità nella pubblica amministrazione), ai cui lavori preparatori ha
partecipato direttamente, promuove la costituzione dell’Istituto Italiano per l’Anticorruzione,
organizzazione nazionale che gode dell’Alto Patronato del Presidente della
Repubblica. Sin dall’inizio, ne è il Presidente.

Professore associato presso
l’Università degli Studi di Pisa (Facoltà di Giurisprudenza, titolare del corso
su “Responsabilità civile per illecito trattamento dei dati personali”),
docente a contratto presso l’Università degli Studi di Cassino (membro del
comitato didattico del master in “Innovazione e management nelle Pubbliche
Amministrazioni”), presso l’Università “Magna Graecia” di
Catanzaro (membro del comitato didattico del master in “Medicina delle
biotecnologie”) e presso l’Università degli Studi di Napoli (Facoltà di
Scienze Infermieristiche ).

E’ team leader e master
trainer di schema ISO 37001:2016 per il gruppo internazionale DNV-GL
ed opera quale formatore accreditato in materia di Prevenzione della Corruzione
ed in materia di Privacy presso Enti Pubblici ed Enti Nazionali di Formazione.
Consulente di Federsanità-ANCI, coordina l’Osservatorio Nazionale sul Fascicolo
Sanitario Elettronico presso l’Università “Carlo Bò” di Urbino. E’
socio di vari Istituti nazionali ed internazionali di diritto pubblico. E’
autore di pubblicazioni scientifiche e di commento ed annovera numerose
partecipazioni ad eventi formativi e convegni, anche di rilievo internazionale.