L’uso diffuso delle tecnologie digitali va fortemente ad impattare sui diritti e le libertà delle persone fisiche. Il trattamento dei dati personali dei lavoratori da parte del datore di lavoro determina nella maggior parte dei casi uno squilibrio nelle relazioni tra tali soggetti, in quanto il lavoratore non è posto nelle condizioni di prestare o negare liberamente il consenso al trattamento, o ancora di revocare il consenso in precedenza reso. Ne deriva che il trattamento dei dati effettuato in ambito lavorativo può avere come base giuridica il perseguimento di un legittimo interesse del datore di lavoro, fermo restando che quest’ultimo è comunque tenuto a rispettare i principi di necessità e proporzionalità, oltre che ad informare adeguatamente gli interessati.
Tenendo conto di tale possibile situazione di squilibrio che viene a crearsi nei rapporti tra datore di lavoro e lavoratore, le Linee Guida del WP29 offrono una panoramica di nove scenari di rischio che l’utilizzo di nuove tecnologie in ambito lavorativo potrebbe determinare.
Ad esempio, nell’ambito del processo di ricerca e selezione del personale, prassi sempre più frequente è l’utilizzo dei social network da parte dei datori di lavoro per ricercare informazioni relative al candidato. Tale prassi si rivela del tutto illegittima e priva di un fondamento giuridico, anche nell’ipotesi in cui il candidato abbia impostato il profilo in modalità pubblica.
Un ulteriore scenario di rischio preso in considerazione dalle Linee Guida dello scorso 8 giugno è costituito dall’utilizzo da parte dei lavoratori del device personale (“bring your own device” – BYOD”). Sebbene tale prassi determini notevoli vantaggi in termini ad esempio di flessibilità nello svolgimento dell’attività lavorativa, è necessario che l’azienda adotti delle soluzioni che distinguano tra uso a fini personali e uso a fini lavorativi del device. Ciò anche al fine di evitare che il datore di lavoro entri a conoscenza di informazioni personali relative al lavoratore o ai suoi familiari.
Le indicazioni fornite dal WP29 dovranno necessariamente essere lette alla luce delle disposizioni del nuovo Regolamento Europeo in tema di protezione dei dati personali (GDPR), definitivamente applicabile a decorrere dal 25 maggio 2018. In particolare, per l’ambito in oggetto, di fondamentale importanza risulta l’istituto della valutazione d’impatto, che ai sensi dell’art. 35 deve essere effettuata quando un trattamento possa “presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. Ebbene, secondo quanto già precisato dal WP29 nelle linee guida in tema di valutazione d’impatto pubblicate lo scorso 4 aprile, il trattamento dei dati personali dei lavoratori da parte del datore di lavoro costituisce una delle ipotesi particolarmente rischiose che potrebbe richiedere la necessità di effettuare una valutazione d’impatto.
* Chiara Giorgini, Legal Consultant, P4I-Partners4Innovation
