hronline
     n. 4 anno 2025

Privacy: gli adempimenti del datore lavoro nei confronti dei dipendenti. L’informativa sul trattamento dei dati personali

di Alice Pisapia

di Alice Pisapia

Fin dall’origine delle prime norme in materia di privacy, ciò che ha indotto il legislatore a regolamentare la materia del trattamento dei dati personali è stato il rischio per il singolo individuo a veder utilizzati tali dati in maniera impropria, generando eventuali discriminazioni. Proprio l’elemento discriminatorio o, in ogni caso, l’eventuale uso illegittimo dei dati è elemento particolarmente delicato nella tematiche inerenti al diritto del lavoro. Pertanto, reputo che tale profilo debba essere oggetto di particolare attenzione da parte del datore di lavoro.

Nel provvedere alla compliance derivante dall’applicazione del regolamento europeo 679/2016, a tutti noto come GDPR, nonché dal combinato aggiornato delle norme nazionali applicabili alla materia (in particolare il Codice Privacy aggiornato al Dlgs 101/2018 del 10 agosto 2018), il datore di lavoro in qualità di titolare del trattamento dovrà esperire una serie fondamentale di adempimenti. Tra questi, il primo riguarda certamente la consegna dell’informativa privacy ai propri dipendenti. Detta informativa, consegnata come allegato al contratto di lavoro - o separatamente avendo in ogni caso cura di mantenere prova di tale avvenuta consegna - costituisce lo strumento attraverso il quale il datore di lavoro avrà la possibilità di illustrare al dipendente le modalità di trattamento dei dati. Oltre a queste anche le finalità, ivi incluse eventuali trattamenti ulteriori rispetto al mero adempimento del contratto lavorativo (per esempio l’inclusione in determinate banche dati, nonché le modalità e le tempistiche di archiviazione dei dati stessi).

Lo strumento potrà inoltre essere utilizzato per rendere noto al lavoratore l’impiego da parte di eventuali soggetti terzi, esterni alla struttura societaria del datore di lavoro, che vengono da quest’ultimo incaricato per provvedere a determinati servizi. Tali servizi possono essere, ad esempio, la fornitura di benefit aziendali o il pagamento delle buste paga effettuato attraverso società terze o, in generale, i servizi di amministrazione esternalizzati. 

La responsabilizzazione del titolare del trattamento è composta da due profili: uno inerente alla conformità delle attività di trattamento rispetto ai principi generali del regolamento e il secondo attinente alle misure tecnico organizzative adeguate ed efficaci. Il principio di accountability non era espressamente menzionato nella direttiva 95/46, ma dopo il parere 3/2010 del Working Party articolo 29, il regolamento individua all’art. 5 il titolare, quale soggetto competente a garantire il rispetto dei principi del GDPR. Tale titolare dovrà anche essere in grado di darne prova nel senso che egli ha l’onere di porre in essere tutti i necessari adempimenti (ad esempio, la mappatura delle operazioni di trattamento mediante la creazione di un apposito registro che renda verificabile l’attuazione dei principi sanciti dalla norme).

Si suggerisce inoltre l’adozione e la disseminazione di un altro fondamentale documento: la policy circa l’utilizzo degli strumenti digitali in azienda. Tali strumenti, forniti dal datore di lavoro e quindi patrimonio aziendale, possono essere utilizzati dai lavoratori eventualmente anche all’esterno dell’azienda stessa. Nel caso del cellulare aziendale, ad esempio, si suggerisce di precisare in questo documento se possa essere svolto un “uso promiscuo” perché la memoria del cellulare può contenere molti dati sia aziendali, sia personali. Andrà inoltre precisata ogni eventuale modalità di tracciamento dell’utente o di accesso da parte del datore di lavoro allo strumento stesso e le finalità per le quali tale accesso potrebbe essere effettuato (ad esempio, un’assenza prolungata e non programmata da parte del lavoratore). La policy potrebbe essere allegata all’informativa, oppure anche adottata successivamente, ma in ogni caso distribuita a tutti i dipendenti, avendo cura di mantenere prova di tale avvenuta consegna. Si consideri che le misure adottate dal datore di lavoro potrebbero in ogni caso essere sottoposte al vaglio di compatibilità con i principi generali del GDPR e all’interpretazione di tali principi da parte dei giudici di vertice dell’ordinamento europeo.

In conclusione, il principio di accountability richiede l’adozione di appropriate misure ex ante, nella fase di elaborazione e predisposizione dei processi, ma anche delle regolari verifiche ex post per controllare la tenuta del sistema. Esistono vari metodi per valutare l’efficacia delle misure, per esempio gli audit interni ed esterni, audit completi o negativi. Si reputa che il regolamento, visto dalla prospettiva del titolare, non assicuri pienamente la certezza del diritto. Al contrario, lasciando il titolare libero di valutare e compiere in maniera discrezionale le proprie valutazioni di rischio e mitigazioni dello stesso, determina una forte incertezza. Per questo motivo si consiglia la massima prudenza, in particolare per quanto attiene la gestione del rapporto di lavoro. In ogni caso, è opportuno dare contezza delle scelte effettuate attraverso il registro dei trattamenti o gli assesment delle procedure a maggior rischio così che, in caso di eventuale controllo da parte dell’autorità garante, sia possibile motivare e ricostruire la bontà delle scelte effettuate, evidenziando in particolare l’evoluzione tecnologica adottata nell’attività di revisione.

 

Avv. Alice Pisapia, AP EU LAW&PROJECTS

 

Share
  • © 2025 AIDP Via E.Cornalia 26 - 20124 Milano - CF 08230550157 - tel.02/6709558 02/67071293

    Web & Com ®