LAVORATORI: DA FORMARE PER TUTELARE (TUTELARLI/TUTELARSI)

Fin dall’introduzione della prima Legge n. 675/1996 sulla protezione dei dati personali, nella maggior parte delle aziende la più grande mole di informazioni da tutelare riguardava la gestione del personale.

Oggi, nonostante l’apparente facilità di lavoro e di elaborazione, gli scenari della privacy nella gestione dei dati del personale e dei collaboratori si sono ulteriormente complicati sia perché i dati vengono trattati in modalità telematica con l’ausilio di applicativi non sempre chiari dal punto di vista del trattamento delle informazioni raccolte, e (fortunatamente in rari casi) senza alcun tipo di garanzie di sicurezza, sia perché lo scoppio della pandemia da Covid-19 ha portato alla luce la mancanza di consapevolezza e quindi di procedure corrette sulla gestione del personale e soprattutto delle informazioni riguardanti la salute.

La grandissima mole di dati particolari (Art. 9 del Reg. Europeo) e di informazioni sensibili (dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona) che i datori di lavoro si sono trovati loro malgrado a gestire, ha evidenziato una serie di criticità non solo dal punto di vista normativo ma prima di tutto gestionale, con procedure approssimative o meramente burocratiche, che hanno comportato, nel loro essere complicati e decontestualizzati, un abbassamento del grado di attenzione verso temi delicati come mai era accaduto in passato.

Questo ha avuto come prima conseguenza l’aumento dei provvedimenti prescrittivi e sanzionatori delle autorità di controllo che hanno riguardato Data Breach e violazioni della privacy dei dipendenti commesse dai loro stessi datori di lavoro.

Dall’inizio dell’anno solo in Italia l’ammontare delle sanzioni per infrazioni riguardanti la protezione dei dati personali dei dipendenti ha superato i 5 milioni di euro.

Si specifica che nel trattamento di dati personali per scopi di lavoro devono essere garantiti il rispetto della vita privata e la protezione dei dati personali, al fine di consentire il libero sviluppo della personalità del dipendente ed opportunità di rapporti personali e sociali sul luogo di lavoro.

I datori di lavoro devono ridurre al minimo il trattamento di dati personali, limitandolo ai dati necessari per lo scopo perseguito nel singolo caso (principio della limitazione delle finalità) e questo può derivare solo da una consapevolezza in materia, consapevolezza che deve essere garantita anche da tutti coloro che nell’ambito della loro attività contribuiscono alla gestione di questi rapporti di lavoro, come Responsabili del Personale, Consulenti del Lavoro, impiegati del reparto paghe, ma anche preposti alla sicurezza, ecc.

E se i dati personali raccolti per scopi di lavoro devono essere pertinenti e non eccedenti, la raccolta di dati sanitari è consentita esclusivamente qualora sia necessaria per scopi specifici, come ai fini dell’adempimento di obblighi di legge.

I datori di lavoro, per poter dimostrare la loro consapevolezza in materia di trattamento dei dati personali, compresi quelli dei dipendenti, devono mettere a punto idonee misure per garantire il rispetto dei principi di cui sopra e degli obblighi connessi al trattamento di dati per scopi di lavoro.

Le misure di sicurezza devono essere sempre dimostrabili, ovvero verificabili: tra le misure idonee rientra la formazione in materia di trattamento dei dati personali, prerequisito fondamentale per la compliance al GDPR.

Perché per far bene, è importante sapere come fare!