Gli strumenti aziendali sono sempre più digitali: vantaggio
funzionale di certo ma occorre attenzionare gli aspetti privacy per non trasformare
il “guadagno” in un “costo”.
In più occasioni il Garante per la protezione dei dati personali si è pronunciato in
merito alla corretta gestione dei device aziendali e del relativo accesso al loro
contenuto. Come sappiamo, il contenuto dei dispositivi mobili aziendali è ricco di
dati personali che, per loro stessa natura, impongono l’imprenditore (ogni
imprenditore) ad applicare le tutele previste dal GDPR.
La materia non è ostica, occorre conoscere i punti delicati così da poterli
attenzionare e normare in modo corretto. Le pronunce del Garante ci suggeriscono
alcuni errori da non commettere e dai quali si può estrapolare un decalogo del
non fare, che si intreccia, inoltre, con quanto previsto dallo Statuto dei
Lavoratori e la normativa specifica del controllo a distanza dei lavoratori.
Esaminiamolo.
Durante gli anni di indagini svolte dal Garante le irregolarità più ricorrenti si
possono così riassumere:
- La società sanzionata non aveva informato i lavoratori sulle modalità e finalità
di utilizzo degli strumenti elettronici in dotazione, né su quelle relative ad
eventuali verifiche;
- Il sistema era stato configurato in modo da conservare copia di tutta la
corrispondenza per dieci anni, un tempo non proporzionato allo scopo della
raccolta;
- La società sanzionata prevedeva una procedura che consentiva alla società di
accedere al contenuto dei messaggi che, in linea con la policy aziendale,
potevano avere anche carattere privato;
- Il titolare poteva accedere, non solo per attività di manutenzione, alle
informazioni contenute negli smartphone in dotazione ai dipendenti (anche
private e non attinenti allo svolgimento dell’attività lavorativa), di copiarle
o cancellarle, di comunicarle a terzi violando i principi di liceità, necessità,
pertinenza e non eccedenza del trattamento.
La check-list degli adempimenti per lavorare privacy compliant:
- Redigere una policy interna di gestione dei device affidati ai dipendenti (con
le modalità di accesso da parte del Titolare, tempi di conservazione delle
informazioni trattate con i device, destinazione d’uso – possibilmente non
promiscua – dei device, ecc.);
- Effettuare una valutazione di impatto privacy sull’utilizzo dei device;
- Organizzare sessioni di istruzione e formazione del dipendente;
- Revisionare l’atto di autorizzazione al trattamento;
- Revisionare il manuale della sicurezza ad uso degli autorizzati;
- revisione/integrazione del registro dei trattamenti;
- aggiornare il codice disciplinare;
- integrare le informative dipendenti;
- far sottoscrivere un verbale di consegna/utilizzo del dispositivo e impegno al
rispetto delle condizioni di uso prescritte.