Il Trattamento dei Dati Personali dei Lavoratori: Obblighi del Titolare e Recenti Orientamenti del Garante Privacy
1. Le Informazioni al Lavoratore
Il titolare del trattamento, in conformità all’articolo 13 del GDPR, deve fornire al lavoratore tutte le informazioni essenziali riguardanti il trattamento dei dati personali. Questo include l’uso degli strumenti messi a disposizione durante il rapporto di lavoro. Informare correttamente il lavoratore è un’applicazione pratica dei principi di liceità, correttezza e trasparenza stabiliti dall’articolo 5 del GDPR. Inoltre, il titolare deve trattare solo i dati adeguati, pertinenti e limitati a quanto necessario per le finalità del trattamento (principio di minimizzazione) e conservarli per un periodo non superiore a quello necessario al raggiungimento delle finalità stesse (principio di limitazione della conservazione).
2. Il Caso
Un recente caso che ha coinvolto una nota S.p.A. evidenzia le problematiche relative al mancato rispetto di tali obblighi. Dopo la cessazione del rapporto di lavoro, la società ha mantenuto attivi per diversi mesi gli account di posta elettronica individualizzati degli ex dipendenti, permettendo al Presidente del CDA di accedervi. La società ha giustificato tale accesso con la necessità di garantire la continuità operativa, ma tale pratica ha sollevato diverse questioni di conformità alle norme del GDPR.
3. Le Contestazioni del Garante Privacy
Il Garante per la protezione dei dati personali ha contestato alla società il mancato rispetto delle procedure adeguate. Invece di mantenere attivi gli account con un messaggio di risposta automatica per informare i terzi della disattivazione imminente, la società ha accesso direttamente ai contenuti degli account, una pratica che non rispetta i principi di liceità e minimizzazione. La ricerca delle comunicazioni, anche se limitata a determinati mittenti e specifici oggetti, ha coinvolto l’accesso alla totalità dei messaggi, inclusi i dati esteriori delle comunicazioni, violando la segretezza della corrispondenza tutelata dagli articoli 2 e 15 della Costituzione.
4. L’Informativa sul Trattamento dei Dati dei Dipendenti
Un altro punto critico è l’assenza di una idonea informativa ai sensi dell’articolo 13 del GDPR. La società non ha fornito indicazioni sufficienti sull’attività di trattamento che avrebbe effettuato sugli strumenti elettronici assegnati agli ex dipendenti. Questo obbligo di informativa, espressione dei principi di trasparenza e correttezza, non è stato rispettato, compromettendo la legittimità del trattamento.
5. Conclusioni
Il Garante ha dichiarato illegittimo il trattamento dei dati personali effettuato dalla società e l’ha condannata al pagamento di una sanzione amministrativa di 20.000 euro. Inoltre, la società deve predisporre un sistema di disattivazione automatica degli account di posta elettronica dopo la cessazione del rapporto di lavoro e conformarsi all’articolo 13 del GDPR.
Per il titolare del trattamento è quindi essenziale predisporre una informativa per i dipendenti che descriva chiaramente le modalità di disattivazione degli account e adottare misure adeguate per impedire la visualizzazione dei messaggi in arrivo. Inoltre, il consenso non può essere utilizzato come base giuridica nel rapporto di lavoro, in quanto manca del requisito della libertà, evidenziando la necessità di basi legittime alternative per il trattamento dei dati dei dipendenti.
Questo caso sottolinea l’importanza di rispettare scrupolosamente le disposizioni del GDPR per evitare sanzioni e garantire il rispetto dei diritti dei lavoratori.
Lascia un commento
Devi essere connesso per inviare un commento.