I Garanti europei privacy riuniti nel Gruppo "Articolo 29" (WP29) hanno pubblicato un documento volto a chiarire gli scenari di rischio privacy che possono configurarsi nei rapporti di lavoro in relazione al trattamento dei dati personali dei lavoratori, tenendo conto in particolare dell’utilizzo di tecnologie sempre più innovative che vanno fortemente ad impattare sui diritti e le libertà delle persone fisiche.
L' "Opinion 2/2017 on data processing at work" del WP29, pubblicata lo scorso 8 giugno 2017 e scaricabile dal sito UE http://ec.europa.eu/newsroom/document.cfm?doc_id=45631, fa chiarezza riguardo al trattamento dei dati del personale da parte di aziende private e enti pubblici. In paritcolare il WP29 sottolinea e ribadisce chiarendone il contesto, quanto già presente nel Regolamento UE 2016/679, già in vigore e direttamente esecutivo dal prossimo maggio 2018, ovvero, ogni lavoratore ha diritto alla tutela della propria privacy e in particolare ha il diritto ad essere adeguatamente informato sulle modalità di trattamento dei propri dati e sulle modalità di controllo attivate dall’organizzazione.
Se GDPR va a definire sostanzialmente un modello organizzativo della Privacy, la sua declinazione nel contesto lavorativo, secondo il WP29, deve prevedere la definizione di privacy policy e regolamenti che disciplinino, in modo chiaro, semplice ed esaustivo, l’utilizzo degli strumenti di lavoro in dotazione del personale. In analogia al Dlgs 231 questo significa anche definire misure preventive che segnalino a dipendenti e collaboratori eventuali possibili violazioni che potrebbero commettere.
Nel docuemnto si ribadisce come l’uso dei dati personali dei lavoratori deve essere quanto più possibile limitato alle finalità aziendali.Anche dove il datore di lavoro debba far valere ll “legittimo interesse” (previsto dall’art. 6 del nuovo Regolamento), deve essere bilanciato con i diritti e le libertà dei lavoratori, secondo i principi di necessità e proporzionalità.
Anche la verifica e il monitoraggio dei profili social dei lavoratori, anche da parte dell’area risorse umane, deve essere limitato ai soli profili professionali, escludendo la vita privata, anche di possibili candidati a posizioni lavorative aperte. Nella stessa prospettiva, secondo i Garanti europei e come già previsto dal Jobs Act, gli strumenti di geolocalizzazione possono essere utilizzati per finalità strettamente aziendali e adeguatamente informato su finalità e controlli.
Più in generale, in merito alle questioni legate al controllo a distanza dei lavoratori, il WP29 sottolinea l'importanza di informare adeguatamente i lavoratori -tramite specifici regolamenti e policy aziendali - sul corretto utilizzo degli applicativi e degli strumenti tecnologici in dotazione a dipendenti e collaboratori per rendere la loro prestazione lavorativa. In questa ottica i Garanti invitano i datori di lavoro a offrire, ad esempio, connessioni WiFi ad hoc e a definire spazi riservati – su computer e smartphone, su cloud e posta elettronica - dove possono essere conservati documenti o inviate comunicazioni personali, non accessibili al datore di lavoro se non in casi assolutamente eccezionali.
Il WP29 ha fornito indicazioni di merito che risultano abbastanza in linea con l'attuale disciplina italiana in materia.