I datori di lavoro devono ridurre al minimo il trattamento di dati personali dei lavoratori, limitandolo ai dati necessari per lo scopo perseguito nel singolo caso (principio della limitazione delle finalità).
La registrazione occulta della riunione aziendale da parte di un lavoratore con cessione, a distanza di due anni, ad altri colleghi costituisce un trattamento illecito di dati personali. L’utilizzo della registrazione da parte dei colleghi in un autonomo contenzioso contro il datore realizza un comportamento altrettanto illecito e comporta una sanzione pecuniaria a loro carico in base al Regolamento UE 2016/679 (articoli 58 e 83).
Come noto il GDPR dopo aver definito il dato biometrico (art. 4, n.14) come il dato personale ottenuto da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici, ha altresì inserito tale tipologia di dati - in ragione della loro delicatezza - derivante dalla stretta (e stabile) relazione con l’individuo e la sua identità- tra i “dati particolari” (art. 9, par. 1 del Regolamento UE 2016/679).
Con la sentenza 33809/2021 depositata il 12 novembre scorso la quarta sezione civile della Cassazione, competente in materia di lavoro, presieduta da Guido Raimondi – ex presidente della CorteEdu – si è occupata del caso di un dirigente commerciale di un’azienda che, al termine del rapporto di lavoro, aveva restituito al datore di lavoro il pc aziendale avuto in dotazione asportando alcuni dati e cancellandone degli altri attinenti e-mail, numeri di telefono ed informazioni su prodotti e metodi di produzione.
Il Garante privacy di Amburgo ha condannato H&M, la nota multinazionale dell’abbigliamento, per una grave violazione della privacy dei dipendenti verificatasi presso la sede di Norimberga, in Germania (il comunicato stampa in lingua inglese è disponibile nel sito dell’Autorità. Il provvedimento integrale non risulta, allo stato, disponibile, ma da quello che emerge dal comunicato stampa si comprende che il management del centro servizi di Norimberga, dal 2014 al 2019, ha monitorato diverse centinaia di dipendenti, violando – come dichiarato dalla multinazionale nel proprio sito internet – le istruzioni e le line guida aziendali.
Fin dall’introduzione della prima Legge n. 675/1996 sulla protezione dei dati personali, nella maggior parte delle aziende la più grande mole di informazioni da tutelare riguardava la gestione del personale. All’epoca, individuarne il perimetro e adottare le misure di sicurezza richieste era un compito di relativa difficoltà, perché i dati si presentavano perlopiù in forma cartacea, spesso riposti in archivi fisici.
L’utilizzo dei social media diventa ogni giorno di più un argomento critico sul posto di lavoro: la crescente sensibilità delle aziende verso le comunicazioni dei propri dipendenti, unita all’uso sempre più massiccio che questi fanno delle comunicazioni “social”, aumenta in maniera esponenziale il rischio di conflitti su questo tema. Conflitti che sono acuiti da un problema: il confine tra le condotte lecite e quelle illecite non è sempre facile da definire.
Possibili i controlli contro la fuga di dati o la compromissione dei sistemi ma senza spiare le comunicazioni dei dipendenti, eventuale consultazione dei social network limitata ai soli profili professionali, offerta di spazi privati su computer aziendali e servizi cloud, necessità di ulteriori basi legali rispetto al consenso per trattare i dati personali dei lavoratori.
Intelligenza Artificiale, profilazione dei dipendenti, decisioni automatizzate effettuate tramite algoritmi, ed altre nuove tecnologie stanno progressivamente penetrando negli ambiti lavorativi creando insidie per la tutela della privacy dei lavoratori che fino a qualche anno fa potevano sembrare inimmaginabili. Di queste tematiche parleranno gli esperti di protezione dei dati personali ad un seminario in programma il prossimo 24 giugno, a cui interverrà anche la Vice Presidente dell’Autorità Garante, Ginevra Cerrina Feroni.
Con la nota n. 2572 del 14 aprile 2023 l'Ispettorato Nazionale del Lavoro ha fornito una serie di indicazioni in merito ai provvedimenti con cui sono autorizzate, ai sensi dell'art. 4, Legge n. 300/1970 (d'ora in poi solo 'art. 4'), le installazioni di impianti/strumenti da cui derivi anche la possibilità di controlli a distanza dei lavoratori. L'espresso riferimento agli orientamenti del Garante per la protezione dei dati personali è frutto della convergenza tra norme giuslavoristiche e norme data protection.
