12 Lug Il Gruppo di Lavoro Articolo 29 pubblica un’Opinione sul trattamento dei dati personali nell’ambito del rapporto di lavoro
Scenario
L’8 giugno 2017, il Gruppo di Lavoro ex Articolo 29 per la protezione dei dati (“A29WP“) ha adottato l’ Opinione 2/2017 sul trattamento dei dati personali nel contesto del rapporto di lavoro. Sulla base delle linee guida precedenti (vale a dire il Parere 8/2001 e il Documento di lavoro riguardante la vigilanza sulle comunicazioni elettroniche sul posto di lavoro del 2002), l’Opinione fornisce una nuova valutazione del bilanciamento tra interessi legittimi dei datori di lavoro e aspettative di riservatezza dei lavoratori, alla luce dei recenti sviluppi tecnologici che consentono un sempre più invasivo trattamento dei dati personali nell’ambito del rapporto di lavoro.
Questione principale
Nuove tecnologie o nuovi sviluppi di tecnologie esistenti creano modalità sempre più sistematiche ed intrusive di trattamento dei dati personali dei lavoratori. Tali progressi riducono il costo e la visibilità del trattamento dei dati eseguito nel contesto lavorativo, aumentandone allo stesso tempo la pervasività e amplificando il rischio di ulteriori trattamenti e analisi di metadati. Nuovi tipi di rapporti lavorativi e la crescente pratica del lavoro da remoto presentano nuove sfide per la tutela della privacy dei lavoratori (e delle loro famiglie). L’A29WP sottolinea dunque la necessità di una nuova valutazione volta a bilanciare l’interesse legittimo del datore di lavoro ad eseguire determinati trattamenti da una parte, e il diritto dei lavoratori alla riservatezza dall’altra, indipendentemente dal tipo di inquadramento contrattuale su cui si basa il rapporto lavorativo.
L’Opinione evidenzia lo stato di subalternità derivante dal rapporto di lavoro, che ostacola la possibilità di un consenso liberamente espresso da parte dei soggetti interessati (i lavoratori). Di conseguenza, i datori di lavoro dovrebbero fare affidamento su una base giuridica del trattamento diversa, ad esempio sull’interesse legittimo (ad es. miglioramento dell’efficienza o tutela dei beni aziendali), in combinazione con un test di proporzionalità del trattamento al fine di valutare la necessità del trattamento stesso in relazione alle specifiche finalità perseguite, e di dimostrare che il rischio per la privacy del lavoratore è ridotto al minimo grazie all’adozione di misure adeguate.
L’Opinione fa riferimento sia agli obblighi dei datori di lavoro derivanti dalla Direttiva 95/46/CE (Direttiva sulla Protezione dei Dati) che agli obblighi addizionali derivanti dal Regolamento 2016/679 (Regolamento Generale sulla Protezione dei Dati).
Per quanto riguarda la Direttiva, il Gruppo di Lavoro Articolo 29 sottolinea la necessità dell’applicazione di tre principi:
– Base giuridica giustificante il trattamento (art. 7), vale a dire consenso (in casi residuali), esecuzione di un contratto, obbligo di legge o interesse legittimo.
– Trasparenza nel trattamento dei dati (artt. 10-11), che comporta l’obbligo di informare i lavoratori circa l’esistenza di qualsiasi monitoraggio, i suoi scopi e ogni altra informazione necessaria per garantire un trattamento equo.
– Divieto di decisioni automatizzate (art.15), in base al quale gli interessati hanno il diritto di non essere sottoposti a una decisione basata esclusivamente sul trattamento automatizzato dei dati, qualora tale decisione abbia effetti giuridici o possa avere effetti analoghi.
Il nuovo Regolamento rafforza questi principi con ulteriori obblighi per i titolari del trattamento dei dati, tra cui i datori di lavoro:
– I datori di lavoro devono attuare la protezione dei dati “fin dalla progettazione” e la protezione dei dati “di default” nei confronti dei lavoratori (art.25);
– i datori di lavoro devono eseguire una Valutazione d’Impatto sulla Protezione dei Dati ogni qualvolta un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà del lavoratore (art. 35);
– gli Stati membri possono prevedere norme più specifiche per garantire una tutela della privacy più rigorosa (art. 88).
L’A29WP descrive inoltre una serie di scenari relativi al trattamento di dati del lavoratore per illustrare eventuali nuove violazioni della privacy nel contesto lavorativo, ad esempio presentando i rischi associati alla pratica del “bring your own device” o all’uso da parte dei lavoratori di tecnologie indossabili su richiesta dei datori di lavoro.
Implicazioni pratiche
Come sottolineato nelle conclusioni dell’Opinione, i datori di lavoro devono essere consapevoli che:
– Le comunicazioni elettroniche aventi luogo all’interno dei locali commerciali godono delle stesse protezioni delle comunicazioni analogiche, rientrando nelle nozioni di “vita privata” e “corrispondenza” ai sensi dell’articolo 8, comma 1 della Convenzione europea.
– Secondo la Direttiva, i datori di lavoro possono raccogliere i dati solo per scopi legittimi, purché l’elaborazione degli stessi avvenga sotto condizioni appropriate e un’adeguata base giuridica ne giustifichi il trattamento.
– Dato lo squilibrio della relazione lavorativa in sé stessa, il consenso può raramente costituire una base giuridica per il trattamento dei dati sul posto di lavoro. I datori di lavoro dovranno contare pertanto su altre basi giuridiche, come l’esecuzione di un contratto o la sussistenza di un interesse legittimo, e a condizione che il trattamento sia strettamente necessario e rispetti i principi di proporzionalità e minimizzazione.
– I lavoratori dovrebbero essere informati circa il loro eventuale monitoraggio, le relative finalità e circostanze, e sulla possibilità dei lavoratori di sottrarsene. Policy e norme su forme di monitoraggio legittime dovrebbero essere elaborate con i rappresentanti dei lavoratori e risultare chiare e facilmente accessibili.
– I datori di lavoro devono prendere in considerazione il principio della minimizzazione nel trattamento dei dati nel decidere sull’adozione di nuove tecnologie.
– I datori di lavoro dovrebbero lasciare ai lavoratori la possibilità di mantenere privati determinati spazi a cui il datore di lavoro non possa avere accesso in nessuna circostanza.
– Qualsiasi trasferimento internazionale dei dati dei lavoratori dovrebbe avvenire solo se è garantito un adeguato livello di protezione.
