13/07/2017 Il Gruppo di Lavoro nato in conformità all'Articolo 29 della direttiva 95/46/EC si è espresso l'8 giugno con un parere in merito al trattamento dei dati sul luogo di lavoro grazie alle nuove tecnologie informatiche disponibili.
Vengono esposte le basi giuridiche di tale tipologia di trattamento e si approfondisce il concetto di “legittimo interesse” del titolare (Art. 6.1 F del GDPR).
Di particolare interesse a nostro avviso l'illustrazione di 6 scenari tipici di trattamento che possono presentare dei rischi per i diritti e le libertà fondamentali dei lavoratori e che allo stesso tempo costituiscono le prime linee guida nella costruzione di sistemi di protezione e controllo del patrimonio informativo aziendale.
Di seguito i casi esposti dal WP29.
Trattamento dei dati dei candidati presenti sui social network
Il candidato deve essere informato del trattamento dei suoi dati personali, anche mediante indicazione all’interno dell’annuncio di lavoro. Il trattamento è consentito nel caso in cui i social vengano utilizzati anche ai fini lavorativi.
Trattamento dei dati dei lavoratori presenti sui social network
Il trattamento dei dati dei lavoratori presenti sui social network non deve essere generalizzato, ma svolto sulla base di precisi interessi circostanziati. E' lecito, ad esempio, il monitoraggio del profilo Linkedin dell’ex dipendente al fine di verificare il rispetto dell'obbligo di non concorrenza.
Monitoraggio della strumentazione informatica dei lavoratori
Si incoraggia l'adozione di soluzioni che limitino l'accesso indiscriminato ai dati, sia per tipologia che orizzonte temporale. La predisposizione di un’apposita policy per l’uso della strumentazione informatica, la non eccedenza rispetto alle finalità e la gestione di processi di controllo con approfondimenti possibili per singoli step restano i pilastri sui quali costruire tali sistemi di controllo.
Mobile Device Managment
Prima dell’inizio del trattamento di tali dati deve essere effettuata una Data Protection Impact Assessemnt (DPIA), al fine di verificare la necessità del trattamento rispetto alle finalità perseguite. I dipendenti inoltre devono essere adeguatamente informati dei controlli e delle conseguenze relative.
Rilevazione della presenza dei lavoratori
Alcuni strumenti aziendali utilizzati dal datore di lavoro per finalità del tutto legittime possono comportare l’indiretto monitoraggio della presenza e dell’attività dei lavoratori sul luogo di lavoro. Tali trattamenti di dati si fondano sul legittimo interesse del titolare finalizzato a tutelare la perdita e/o la sottrazione di informazioni riservate di natura aziendale e devono essere preceduti da una idonea informativa fornita ai lavoratori.
Geolocalizzazione dei veicoli
Interessante il suggerimento di inserire all’interno del veicolo l'informativa privacy e l'indicazione della presenza del GPS. Nel caso i veicoli aziendali possono essere utilizzati anche per finalità private, si suggerisce di dare la possibilità di disattivare il sistema GPS nel caso di destinazioni private.
Link PDF (24 pagine, ENG)
Link al documento originale:
http://ec.europa.eu/newsroom/document.cfm?doc_id=45631