Privacy dei dipendenti, come funziona il “Data Protection Impact Assessment”

Nelle Linee guida, in materia di valutazione d’impatto sulla protezione dei dati, il Gruppo di lavoro Articolo 29 definisce “vulnerabili” i dipendenti e ritiene rischioso il contesto lavorativo per i diritti degli stessi considerato lo sbilanciamento di potere contrattuale a favore del datore di lavoro

01 Set 2017
Giusella Finocchiaro

presidente della Commissione incaricata di adeguare la normativa italiana in materia di dati personali al Regolamento Ue 679/2016

privacy_573549067

Si è ormai ampiamente trattato delle novità introdotte nella disciplina della protezione dei dati personali ad opera del nuovo Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, direttamente applicabile a partire dal 25 maggio 2018.

Fin dalle prime letture si è evinto il carattere stringente e cautelativo della nuova disciplina, che si distingue per un approccio basato sul rischio del trattamento e sulla responsabilità o, per dirla con le parole del Regolamento, sulla accountability dei soggetti attivi del trattamento.

A conferma di ciò basti osservare l’ampio novero di obblighi che il Regolamento pone a carico del titolare e del responsabile del trattamento. Adempimenti intesi, in particolare, alla progettazione dell’intero trattamento alla luce dei principi di privacy by design e by default, con l’obiettivo di assicurare che le misure – tecnologiche e organizzative – di sicurezza siano adeguate rispetto al potenziale rischio a cui il trattamento espone i dati.

Nel quadro degli obblighi volti alla misurazione del rischio correlato alle attività di trattamento, spicca, per onerosità e rilevanza, la c.d. valutazione d’impatto (meglio conosciuta anche come DPIA Data Protection Impact Assessment), una misura preventiva che impone al titolare di verificare se il trattamento esponga i dati ad un rischio elevato, tenendo conto delle specificità del trattamento stesso: la natura, l’oggetto, il contesto, le finalità, nonché l’uso di nuove tecnologie. Sebbene sia fortemente raccomandata per ogni tipologia di trattamento, la valutazione d’impatto non è obbligatoria se non nei casi specificatamente indicati dal Regolamento ovvero qualora sia previsto dal diritto degli Stati membri.

Un particolare ambito in cui appare non solo appropriato, ma doveroso procedere alla valutazione d’impatto è quello lavorativo. Pare, infatti, rientrare nell’ipotesi di un monitoraggio sistematico di dati relativi a soggetti vulnerabili il trattamento effettuato in un contesto lavorativo.

Vulnerabili”: il termine non è impiegato a caso. È così che il Gruppo di lavoro Articolo 29 definisce i dipendenti nelle proprie “Linee guida in materia di valutazione d’impatto sulla protezione dei dati”, emanate il 4 aprile 2017, ove il contesto lavorativo è ritenuto rischioso per i diritti degli interessati considerato lo sbilanciamento di potere contrattuale a favore del datore di lavoro. Il Gruppo Articolo 29, che già in passato aveva fornito indicazioni in materia di diritti dei lavoratori nell’ambito della protezione dei dati personali (si rinvia all’opinion 8/2001, WP48, e al documento di lavoro WP55 del 2002), dedica la recente opinion 2/2017 al tema del trattamento dei dati in ambito lavorativo.

In questa sede il Gruppo dei Garanti europei ha aggiornato le proprie considerazioni in materia alla luce delle nuove disposizioni e, in particolare, dei nuovi obblighi introdotti dal Regolamento.

Confermando che il trattamento dei dati in ambito lavorativo deve necessariamente uniformarsi ai principi di trasparenza, necessità e minimizzazione, il Gruppo sottolinea come il consenso non sia un presupposto di legittimità sicuro e affidabile, giacché il lavoratore non può ritenersi completamente libero di acconsentire o di opporsi al trattamento in ragione della relazione contrattuale che lo lega al datore di lavoro. Pertanto, secondo il Gruppo, sarebbero da preferire altre basi di legittimità, come l’esecuzione del contratto di lavoro, l’obbligo legale in capo al titolare-datore di lavoro ovvero il legittimo interesse di quest’ultimo.

Tuttavia, l’individuazione delle condizioni di legittimità del trattamento non è sufficiente quando si parla di controllo dei lavoratori: occorre una policy chiara, comprensibile e completa – ribadisce il Gruppo – che informi i lavoratori circa lo svolgimento delle attività di monitoraggio e le relative finalità.

È proprio tra i pilastri della legittimità di trattamento e della trasparenza che si inserisce la valutazione d’impatto, la misura di tutela risk-based che incorpora un test di proporzionalità tra il legittimo interesse del datore di lavoro, le tecnologie adottate volte al suo perseguimento e i diritti di riservatezza e di segretezza delle comunicazioni dei lavoratori. Secondo il parere del Gruppo di lavoro, l’introduzione di qualsiasi tecnologia volta al monitoraggio e al controllo dei lavoratori dovrebbe essere preceduta da una valutazione d’impatto al fine di verificare se il trattamento dei dati (e le modalità con cui esso viene effettuato) siano proporzionati al rischio che il datore di lavoro deve fronteggiare.

A seguito di una esposizione teorica del framework, dei principi fondamentali e delle novità del Regolamento, il Gruppo dei Garanti dedica ampio spazio all’esame degli scenari di trattamento che possono presentarsi nella prassi di un’organizzazione, con particolare riferimento all’impiego delle nuove tecnologie. Il Gruppo si sofferma segnatamente sulle tecnologie che permettono di monitorare i lavoratori non solo sul luogo di lavoro, bensì anche nelle proprie case e, in generale, nella propria sfera privata. Ciò accade ad esempio ove si usino tecnologie BYOD (Bring Your Own Device) che permettono al lavoratore di impiegare i propri dispositivi personali per finalità lavorative. L’utilizzo promiscuo potrebbe generare il rischio di trattare informazioni che esulano dalla sfera lavorativa: al fine di scongiurare tale eventualità, il Gruppo raccomanda di adottare misure appropriate che permettano di distinguere l’uso del dispositivo a seconda della finalità.

Infine, nel declinare la protezione offerta ai lavoratori, i Garanti europei tengono conto non solo dell’evoluto contesto tecnologico, ma anche di quello imprenditoriale: il trattamento effettuato all’interno di un gruppo imprenditoriale avente sedi in diversi Stati potrebbe comportare il trasferimento dei dati dei lavoratori verso Stati terzi. In tal caso – così come nell’ipotesi dell’impiego di applicazioni e servizi cloud-based che comportano un flusso transfrontaliero di dati – il trasferimento sarà legittimo a condizione che il Paese terzo importatore dei dati assicuri un adeguato livello di protezione dei dati personali.

Per riassumere, dunque: legittimità, trasparenza, proporzionalità, bilanciamento di interessi, minimizzazione. Queste le parole chiavi (e i pilastri) del trattamento dei dati in ambito lavorativo.

A margine di quanto sinora esposto, occorre ricordare che l’art. 88, 1° comma del Regolamento prevede che gli Stati membri possano dettare “con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro”. Ciò non può che indurre a riflettere sull’adeguatezza delle modifiche apportate alla legge 20 maggio 1970, n. 300 (“Statuto dei Lavoratori”) ad opera della recente riforma c.d.J obs Act. Occorrerà dunque valutare se le nuove disposizioni siano effettivamente sufficienti alla luce delle raccomandazioni del Gruppo di lavoro europeo e a fronte degli scenari prospettati ovvero se si rivelerà necessario un nuovo intervento da parte del legislatore italiano.

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati