28 gennaio Giornata della protezione dei dati: un vademecum per le imprese

I dati personali delle persone vengono elaborati ogni secondo: al lavoro, nelle relazioni con le autorità pubbliche, in ambito sanitario, durante l’acquisto di beni e servizi, durante i viaggi o la navigazione sul Web. Nel 2006, il Consiglio d’Europa ha deciso di istituire la Giornata della protezione dei dati da celebrare ogni anno il 28 gennaio, data in cui la convenzione del Consiglio d’Europa per la protezione dei dati, nota come “Convenzione 108”, è stata aperta alla firma. Questa Giornata viene celebrata a livello mondiale (al di fuori dell’Europa è chiamata Giornata della privacy) con l’obiettivo di far crescere la consapevolezza sui diritti alla privacy e sulle relative norme.

Cosa dovrebbero fare le aziende?

Molte attività svolte normalmente nel contesto dei rapporti di lavoro comportano il trattamento di dati personali relativi ai lavoratori, e talora di dati personali sensibili. La gestione della documentazione del personale è particolarmente importante per le implicazioni giuridiche che riveste.

Le attività dell’ufficio HR dovrebbero prevedere una gestione ad hoc di documenti e contratti a supporto di ogni fase della vita del dipendente: dal recruiting all’onboarding, dall’assunzione fino alla cessazione. Non si tratta solo di efficientare i processi, ma anche di rispondere a precisi obblighi di legge. Tra l’aumento delle minacce informatiche e lo scenario normativo in continua evoluzione, quando si tratta della gestione del proprio archivio – dalla posta elettronica ai documenti aziendali di qualsiasi tipo – le imprese di ogni settore devono rispondere a sfide sempre più complesse, ma pure a requisiti ancor più stringenti.

Ecco quindi qualche buona pratica da tenere a mente nel trattamento di dati personali per scopi di lavoro, al fine di garantire il rispetto della vita privata dei lavoratori e la protezione dei loro dati personali.

Dati personali e dati sensibili

L’azienda deve necessariamente trattare alcuni dati personali del lavoratore, come ad esempio nome, cognome, codice fiscale, data di nascita, indirizzo di residenza, dati relativi al percorso professionale e formativo, dati retributivi, dati relativi alle performance lavorative. Il trattamento di queste informazioni è lecito se rientra nell’esecuzione di un contratto di cui fa parte l’interessato.

Oltre a queste informazioni ci sono poi i dati sensibili, o particolari, dei dipendenti che possono interessare il rapporto di lavoro, relativi allo stato di salute, all’eventuale condizione di disabilità, all’affiliazione sindacale del dipendente, ma anche i dati giudiziari. Per tutte queste informazioni, il nostro ordinamento vieta il trattamento, a meno che non vi sia il consenso dell’interessato oppure un’altra base giuridica. In questo senso il Garante Privacy ha previsto, ad esempio, che quando viene redatta la busta paga del dipendente non si debba riportare in modo esplicito a quale sigla sindacale appartiene e alla quale devolve la trattenuta sindacale mensile ma occorre utilizzare dei codici che rendano anonimo il dato sensibile.

Anche la raccolta di dati sanitari è consentita esclusivamente qualora sia necessaria per scopi di lavoro e a condizione che il dipendente interessato o i suoi rappresentanti ne siano informati preventivamente.

Dati pertinenti e non eccedenti

I datori di lavoro devono ridurre al minimo il trattamento di dati personali, limitandolo alle informazioni necessarie per lo scopo perseguito nel singolo caso (principio della limitazione delle finalità). I dati personali raccolti per scopi di lavoro, infatti, devono essere pertinenti e non eccedenti. Dovrebbero inoltre essere raccolti direttamente presso l’interessato. Qualora sia necessario e lecito trattare dati raccolti presso terzi, ad esempio per ottenere referenze professionali, l’interessato dovrebbe esserne debitamente informato in via preventiva.

Profili di riservatezza e autorizzazione

Fondamentale è disporre di adeguata applicazione di profili di riservatezza e tracciabilità dei flussi informativi in azienda, identificando le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.

Conservazione e memoria

La memorizzazione di dati personali per scopi di lavoro è consentita esclusivamente se i dati sono stati raccolti in conformità dei principi sanciti dal GDPR ed esclusivamente per il periodo necessario al perseguimento dello scopo legittimo del trattamento.

Per esempio la raccolta dei dati personali dei candidati a un processo di selezione deve avere una durata limitata nel tempo. Non è esplicitato un tempo massimo di conservazione del dato, ma in caso di controllo per segnalazioni o ricorsi, bisogna sempre essere in grado di motivare il perché i dati di un candidato siano ancora presenti nel proprio database.

Uno dei temi più delicati del GDPR è inoltre quello relativo al diritto di oblio, ovvero la possibilità per il proprietario di dati soggetti a trattamento, di richiedere la cancellazione degli stessi in modo definitivo. Per questo motivo, già a partire dal processo di selezione, è necessario avere una gestione dei dati ordinata, per evitare errori e inadempienze.

GDPR e recruiting: consenso e privacy policy

Un importante momento in cui vanno considerate le modalità di gestione dei dati è sicuramente quello in cui si conducono attività di recruiting e ricerca dei talenti. Ci sono diverse cautele da applicare, a partire dal consenso: se si parte da un’autocandidatura il consenso può essere ritenuto implicito ed inequivocabile con la ricezione della candidatura stessa, se invece si trattano dati ottenuti tramite social network o altri sistemi di raccolta, è necessaria la raccolta del consenso. Questo va richiesto dietro presentazione della privacy policy aziendale, che rappresenta uno strumento fondamentale per far comprendere al candidato come i suoi dati verranno trattati.

La privacy policy è essenziale anche per l’organizzazione e dovrebbe contemplare tutte le possibili diverse casistiche. Se per esempio è intenzione contattare un candidato anche in futuro con offerte di lavoro o altri messaggi, questo deve essere esplicitato nella privacy policy e accettato espressamente.