La gestione dei dati sul lavoro si è ampliata e diversificata con il diffondersi delle tecnologie informatiche. La separazione tra sfera lavorativa e privata (extra lavorativa) di ciascuno è diventata più sottile ed è sempre meno scontata l’individuazione del luogo fisico di conservazione dei dati. Il titolare del trattamento deve però avere ben chiare tutte le forme e le caratteristiche del trattamento dei dati che mette in atto per poterlo gestire in modo adeguato e conforme. Anche quando si tratta di nuove forme di trattamento dati.
I profili social
Esaminare i profili social di candidati è un trattamento dati al pari di un eventuale screening periodico dei profili social dei propri dipendenti o collaboratori.
Queste attività devono essere gestite in primo luogo in termini di verifica della legittimità: il fatto che un profilo social sia pubblico non rende di per sé legittima la raccolta di dati o informazioni.
In particolare:
- i dati raccolti per valutare una possibile assunzione dovrebbero essere cancellati non appena si dovesse decidere di non formulare un’offerta effettiva o risulti evidente che il candidato non sia interessato al posto di lavoro;
- il titolare del trattamento deve essere in grado di dimostrare che la raccolta dati era finalizzata esclusivamente a verificare i requisiti previsti per lo specifico incarico, ma anche di avere informato preventivamente l’interessato di tale attività;
- la “richiesta di amicizia” di un datore di lavoro verso dipendenti, anche solo potenziali, non ha alcun fondamento giuridico;
- non è possibile vincolare i lavoratori all’utilizzo di un profilo social aziendale senza la possibilità che disponga anche di un profilo personale, e questo aspetto dovrebbe essere specificato nelle condizioni del contratto di lavoro.
Applicazioni per ufficio fornite in cloud
I casi più diffusi di applicazioni per ufficio fornite in cloud riguardano la gestione dei dati relativi alle risorse umane e applicativi utilizzabili interamente online. In molti casi queste applicazioni comportano il trasferimento internazionale dei dati trattati e di quelli relativi a chi utilizza le applicazioni.
Il titolare del trattamento deve verificare quale Stato sia interessato dal trasferimento e, nel caso di trasferimenti a un paese fuori dall’UE, deve verificare se questo garantisca un livello di protezione adeguato.
BYOD (Bring Your Own Device)
L’utilizzo di dispositivi personali per svolgere il proprio lavoro è divenuto più frequente con l’aumento del lavoro da remoto e con il crescente sviluppo tecnologico. In questi casi le misure tecniche da attuare al fine di garantire la protezione dei dati, e che il titolare del trattamento ha tutto l’interesse di mettere in atto e potenziare, rischiano di invadere la sfera privata.
Se il monitoraggio dell’ubicazione e del traffico dei dispositivi personali (Your Own Device) può essere considerato legittimo interesse del titolare, risulta illecita l’acquisizione di dati relativi alla vita privata. Pertanto il titolare deve adottare le misure adeguate per riuscire a distinguere tra uso privato e uso aziendale del dispositivo, eventualmente prevedendo la conservazione dei dati di lavoro in applicazioni specifiche.
La gestione privacy richiede tempo di analisi e scelte attente da parte di ogni titolare. Si tratta di un’attività in continua evoluzione, che deve fare i conti con le nuove forme di trattamento dati man mano che queste compaiono nello scenario lavorativo.