l’Art. 88 del Regolamento UE 679/2016 si occupa della regolamentazione della gestione dei dati nell’ambito dei Rapporti di Lavoro, definendo che gli Stati Membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà dei dipendenti, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro”.
Cosa quindi prevede il nostro Garante per la Privacy?
- L’obbligo di adeguate informative ai lavoratori, legittime, corrette e trasparenti circa l’utilizzo dei dati personali da parte dei datori di lavoro (Autorizzazione Generale n. 1/2016)
- Linee Guida sull’utilizzo della posta elettronica e di internet (1° Marzo 2007) su strumenti di lavoro quali pc, tablet, dispositivi mobili aziendali; utilizzo della rete aziendale e regolamentazione della navigazione in internet; gestione password e profili di accesso ai dati; utilizzo di posta elettronica e account aziendali in caso di licenziamento/dimissioni;
- Adeguate Policy Aziendali per la corretta gestione degli aspetti correlati al trattamento dei dati aziendali e nell’ambito dell’attività svolta, per le adeguate pratiche di controllo dei dipendenti (Jobs Act, D.LGS. 14/09/2015 – n. 151) che possono essere implementate solo a fini organizzativi e/o produttivi, previo accordo sindacale o, in assenza, previa autorizzazione della Direzione Territoriale del Lavoro o del Ministero e sempre con adeguata informativa ai lavoratori.
In merito a quest’ultimo aspetto, particolare attenzione merita la gestione del fenomeno BYOD (Bring Your Own Device): il fenomeno per il quale spesso si manifesta un utilizzo promiscuo dei dispositivi personali per la gestione di dati e attività aziendali. In questo caso però il Titolare del Trattamento rimane comunque l’azienda e il Datore di Lavoro, perciò gli adempimenti in tema privacy vanno in ogni caso ottemperati.
Cosa quindi inserire nelle Policy Aziendali?
- Distinguere tra dispositivi di proprietà aziendale e dispositivi personali.
- Specificare quali tipologie di dati personali/informazioni non è consentito allocare/conservare all’interno del dispositivo.
- Stabilire un obbligo per il lavoratore/collaboratore di notificare all’Azienda, entro un determinato arco temporale, ogni effettivo o sospetto avvenimento di hacking e/o di rivelazione non autorizzata di dati contenuti all’interno del dispositivo mobile.
- Affrontare in modo completo gli aspetti relativi alla sicurezza dei dispositivi mobili (password; cifratura dei dati; connessioni sicure, ecc.).
- Tenere in considerazione il flusso dei dati personali specie in caso di international data transfers o a seguito dell’utilizzo di servizi cloud: (es. trasferimento dei dati a paesi esterni all’EEA che non offrono un “adeguato” livello di protezione dei dati).
- Richiedere ai lavoratori un set di requisiti di sicurezza di base da adottare nella configurazione del proprio dispositivo mobile.
- Tenere in considerazione l’utilizzo dei social media da parte dei dipendenti e coordinare la BYOD Policy con la Social Media Policy.
- Tenere in considerazione le implicazioni/limiti della normativa a tutela dei lavoratori. Coinvolgere i dipendenti e i loro rappresentati nello sviluppo di una Policy BYOD a individuare le finalità specifiche e le ragioni che motivano un ipotetico ‘controllo’ dell’attività lavorativa per mezzo di dispositivi mobili; chiarire che nonostante i dipendenti abbiano legittime aspettative sulla privacy dei loro dispositivi personali, il datore di lavoro ha il diritto di controllare o accedere al dispositivo per specifiche ragioni aziendali (es: sicurezza).
- Chiarire se i dipendenti possono scaricare, installare e usare Apps.
- Le Politiche di BYOD, infine, possono stabilire l’obbligo per i lavoratori/collaboratori di consegnare il proprio dispositivo mobile al “Dipartimento IT” prima di utilizzarlo per finalità aziendali.
Contattaci per un check e un sopralluogo gratuiti e ricorda che è attiva la promozione del 10% di sconto su tutte le pratiche necessarie per gli adeguamenti.
Non perderti per strada, fai il prossimo passo!! Buona Lettura.