DI SOLITO PENSIAMO AL TRATTAMENTO DEI DATI PERSONALI e a come si debba rispettarne la normativa solamente da determinati punti di vista. Quelli noti e inevitabili.
Se sono il responsabile commerciale di un’azienda o comunque ne gestisco la rete vendita, ormai dovrei sapere bene che è necessario trattare in modo opportuno i dati personali dei miei clienti.
In particolare occorre rispettare la normativa vigente in tema di privacy, cioè il “famoso” decreto legislativo 30 giugno 2003, n. 196 (codice in materia di protezione dei dati personali).
Ma siamo sicuri che sia tutto qui? In realtà no.
Se come manager sono il responsabile delle risorse umane o sono alla direzione di una filiale o di una piccola-media azienda, devo senz’altro proteggere anche le informazioni personali dei dipendenti e dei collaboratori della mia azienda.
Anche loro, proprio come i clienti, devono essere considerati “interessati” dal mio trattamento dei loro dati personali, e sono quindi soggetti le cui informazioni vengono raccolte, gestite ed elaborate dal titolare, che in questo caso è proprio il loro datore di lavoro e chi per lui ha la responsabilità dell’attività. Cioè, come manager la responsabilità è mia.
Come tutelare il dipendente
Per tutelare adeguatamente il dipendente, l’azienda, e io come manager, ha la responsabilità di far sì che vengano quindi svolti numerosi compiti che derivano dalla legge e che sono stati descritti in modo analitico dal Garante per la protezione dei dati personali con un provvedimento relativo al trattamento dei dati nei rapporti di lavoro tra privati (Deliberazione n. 53 del 23 novembre 2006). Sempre il Garante ha poi specificato ulteriormente la materia, e cosa si aspetta da chi è responsabile in azienda, con il vademecum “Privacy e lavoro” del 2015 e con una serie di atti verso realtà aziendali di grandi, medie e piccole dimensioni in occasione di ispezioni e verifiche sulle attività poste in essere.
Ma vediamo insieme quali sono i principi cardine cui fare riferimento.
Tutela delle libertà e dignità del lavoratore
Principio generale e base della materia è sicuramente quello del rispetto delle libertà fondamentali dell’individuo e della dignità del prestatore, dipendente o collaboratore che sia, nell’ambito professionale in cui si esprime la sua personalità e si svolge concretamente la sua opera.
Per questo motivo l’utilizzo dei dati deve riguardare le sole informazioni necessarie alla gestione del rapporto di lavoro, e le modalità scelte dall’azienda per procedere in tale gestione devono essere rese note ai dipendenti e ai collaboratori.
Bisogna fare attenzione a garantire che il trattamento sia pertinente e non eccedente gli scopi propri dell’esecuzione del contratto: potrà quindi riguardare, per esempio, le informazioni utili alla determinazione del compenso, alla quantificazione di ferie e permessi e all’accertamento delle cause di assenza. Ma non posso raccogliere o utilizzare informazioni per fini diversi o comunque non funzionali a quanto sopra.
L’azienda deve porre particolare attenzione ai contenuti e alle modalità con cui effettua la comunicazione a terzi di informazioni riferibili al prestatore. Che, ricordiamoci sempre, come appena detto, devono essere pertinenti e non eccedenti gli scopi che si prefiggono.
Bacheche, cartellini identificativi, sito aziendale
In ambito aziendale sappiamo che la comunicazione può avvenire con le più diverse modalità, dai badge e cartellini identificativi al sito web della società, ma anche attraverso la vecchia e cara bacheca.
Su questo l’autorità garante ha sottolineato come, in base ai principi generali, il datore di lavoro debba omettere di affiggere in bacheca informazioni relative, ad esempio, a permessi, malattie e sanzioni disciplinari, limitando gli avvisi agli ordini di servizio e ai turni di lavoro.
Dello stesso tenore le indicazioni per i cartellini identificativi, nei quali potranno essere riportati esclusivamente il nome o il ruolo del prestatore ma non le sue generalità anagrafiche complete, del tutto eccedenti rispetto alla finalità perseguita con l’adozione del badge.
Nel caso del sito web aziendale, sarà necessario acquisire il consenso del dipendente o collaboratore interessato per poter legittimamente pubblicare la sua fotografia o i suoi dati personali (compresi quelli contenuti nel curriculum), proprio in considerazione della vastità del pubblico al quale tali informazioni diverrebbero disponibili.
Controllo a distanza
E cosa succede quando un’azienda adotta misure di controllo a distanza dei lavoratori?
In questo caso va posta ancora maggiore accortezza, anche perché gli adempimenti che l’azienda è chiamata ad attuare sono resi ancora più complessi dall’applicazione congiunta della normativa in materia di privacy e di quella specifica a tutela del lavoratore prevista dalla legge 300/1970, meglio nota come Statuto dei lavoratori. Tenendo presente, in particolare, che quest’ultimo è stato oggetto di un recente intervento di riforma da parte del legislatore, che con decreto legge 151/2015 ne ha riformulato l’art. 4 (relativo proprio alle condizioni e alla legittimità del controllo a distanza dei prestatori): ampliando sì le possibilità di monitoraggio ma, al contempo, sottoponendole a precisi e stringenti obblighi di trasparenza nei riguardi dei collaboratori.
Obblighi che andranno quindi applicati anche all’utilizzo e al monitoraggio degli strumenti informatici, dalla posta elettronica alla navigazione internet: l’azienda dovrà infatti specificare le regole e i modi con cui sarà lecito usare queste dotazioni e se le stesse siano dedicate esclusivamente all’esecuzione della prestazione lavorativa, o se possano essere anche utilizzate per fini personali e al di fuori dell’orario d’ufficio.
Insomma, è facile comprendere come le occasioni di trattamento dei dati dei dipendenti e dei collaboratori siano veramente moltissime e richiedano di adeguare le procedure e le prassi dell’azienda alle disposizioni dettate dal codice in materia di protezione dei dati personali: questo evitando di correre il rischio di considerare i soli adempimenti necessari per la gestione delle informazioni dei clienti.
In conclusione, notiamo chiaramente come a fronte dell’assoluta pervasività della normativa in materia di protezione dei dati personali occorrano una piena consapevolezza e un’adeguata conoscenza dei suoi caratteri fondamentali, dei principi fondanti e dei suoi obblighi – ancor più alla luce della nuova disciplina in materia, il Regolamento europeo 679/2016 noto come Gdpr, che a breve entrerà in vigore anche nel nostro Paese – da parte di tutti in azienda: consapevolezza e adeguata conoscenza in primis da parte di chi è responsabile delle attività, cioè imprenditore e manager. Ma non solo.
