Violazioni privacy nei luoghi di lavoro: causate non solo da errore umano ma anche da curiosità e pettegolezzi
Le organizzazioni di grandi o piccole dimensioni sono composte da persone che prestano la loro opera a tutti i livelli e delle quali vengono trattati numerosissimi dati personali e talvolta anche dati appartenenti alle categorie particolari del lavoratore e dei suoi parenti. Tali trattamenti sono necessari per l’applicazione delle norme fiscali, giuridiche, per la gestione delle procedure necessarie al fine di garantire il godimento dei diritti e il riconoscimento delle agevolazioni per i lavoratori.
Proprio tali dati personali, contenenti talvolta informazioni particolarmente intime e relative alla sfera personale e/o di un familiare del lavoratore, potrebbero essere considerati “appetibili” per finalità, purtroppo, differenti da quelle istituzionali.
(Giovanni Lucatorto, Coordinatore del Gruppo di Lavoro Federprivacy per la sicurezza delle informazioni, e coautore del libro "Privacy e gestione del personale")
Infatti, con diversi provvedimenti, emessi dall’Autorità Garante per la Protezione dei Dati Personali, sono state sanzionate delle organizzazioni nelle quali alcuni soggetti hanno effettuato un accesso illegittimo ai dati personali dai quali sono venuti a conoscenza di particolari condizioni di salute dei lavoratori in violazione delle policy aziendali e a discapito dei diritti e delle libertà degli interessati a cui si riferivano i dati personali consultati.
È sorprendente notare, che una rilevante quantità di violazioni dei dati personali accadute all’interno delle aziende ed effettuate da parte di colleghi sono mosse quasi esclusivamente dalla curiosità o probabilmente dal bisogno irrefrenabile di essere protagonisti di un “pettegolezzo”.
L’errore umano e/o le disattenzioni sono un’altra causa, alquanto comune, di eventi avversi accaduti in azienda e che ha visto coinvolti i dati personali anche dei lavoratori. Al fine di mitigare gli eventi precedenti, oltre all’adozione delle misure tecniche, risulta imprescindibile l’attività formativa.
A tal proposito molteplici sono gli articoli del GDPR e del D.lgs 196/2003 novellato dal D.lgs 101/2018 nei quali si prescrive l’attività formativa quale condizione essenziale per tutti coloro che trattino dati personali al fine di far maturare in loro la consapevolezza del valore dei dati personali trattati e per far comprendere le spiacevoli conseguenze di un data breach.
Il considerando 85, che si riporta integralmente, aiuta a comprendere quelle che potrebbero essere le conseguenze di una violazione dei dati personali: “Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”.
Utilizzando il considerando 85 quale faro per individuare le conseguenze per i diritti e le libertà degli interessati, si provi ad ipotizzare, ad esempio, un utilizzo “poco ortodosso” dei documenti di identità, della busta paga e dei dati fiscali, il passo è breve per la sottoscrizione ad insaputa del dipendente di un finanziamento. Si è quindi in presenza di un furto di identità, ma anche di una perdita finanziaria e di danni materiali ed immateriali.
Invece, l’accesso ai dati relativi alla salute di un lavoratore e la conseguente diffusione ai colleghi dell’informazione acquisita potrebbe causare una discriminazione e un pregiudizio alla reputazione.
Altresì, il diffondersi di informazioni relative all’affidabilità e alla compatibilità e/o incompatibilità con i colleghi potrebbe causare una discriminazione e un pregiudizio alla reputazione.
Le informazioni e/o documentazione attestanti lo stato di salute di un lavoratore appartenente ad una categoria protetta devono essere custoditi e trattati con la massima cura ed attenzione al fine di impedire un accesso non autorizzato ed una conseguente discriminazione. Infatti, non tutte le categorie protette hanno segni evidenti!
Pertanto, tutti noi siamo chiamati a cambiare paradigma attribuendo alle informazioni personali il giusto valore sforzandoci di immedesimarci nell’interessato, a cui si riferiscono i dati che stiamo trattando, al fine di comprendere le eventuali conseguenze di un nostro comportamento errato.