Come tutti sanno, lo scorso 25 maggio è entrato in vigore il nuovo Regolamento Europeo (GDPR) in materia di trattamento dei dati personali e a breve sarà pubblicato il Decreto legislativo attuativo che si propone il compito di armonizzare il vecchio codice della privacy (Dlgs 196/2003) alla normativa europea, abrogando tutte le norme incompatibili ovvero sovrapponibili.

L’idea fondamentale del Regolamento è di individuare una cornice legale per il trattamento dei dati personali nell’ambito della quale opera il principio di responsabilità del titolare del trattamento (accountability) il quale, in caso di contestazioni dell’interessato ovvero di ispezioni da parte del Garante, avrà l’onere di aver adottato le misure necessarie per preservare la riservatezza del dato.

Ciò comporta da parte delle aziende il superamento di una mentalità formalistica, focalizzata al singolo adempimento, per assumere invece un approccio sostanzialistico che dovrà affrontare la tematica del trattamento dei dati personali progettando (o rivedendo) il sistema di gestione del trattamento (privacy by design) e prevedendo misure in grado di prevenire le violazioni (privacy by default).

È allora evidente che l’approccio all’attuazione del GDPR non può essere esclusivamente “difensivo” e finalizzato ad evitare le sanzioni. Al contrario, il processo di adeguamento deve essere visto come una straordinaria opportunità per rendere le organizzazioni da un lato più efficienti e dall’altro più trasparenti, con innegabili vantaggi sia in termini di produttività sia in termini reputazionali.

Questo approccio ovviamente vale anche e a maggior ragione sul versante HR del trattamento dei dati personali dei dipendenti: occorrerà analizzare i flussi di informazioni relativi ai dati dei dipendenti, valutare i rischi connessi al trattamento, creare procedure e organigramma funzionali a garanzia del corretto trattamento e soprattutto formare il personale coinvolto nel trattamento.

Con particolare riguardo ai dati personali dei dipendenti è ormai chiaro a tutti che i problemi più delicati si pongano in relazione alla capacità di tracciare e raccogliere ingenti quantità di dati personali che hanno i moderni strumenti tecnologici, senza dei quali per certi aspetti pare impossibile lavorare. Su questo fronte va allora ricordato che l’attuazione del GDPR costituisce solo un primo aspetto che riguarda la compliance relativa al trattamento dei dati dei dipendenti, sul quale si innesta la normativa speciale in materia di rapporto di lavoro che tra l’altro vieta (i) le indagini sulle opinioni dei lavoratori (art. 8 St. lav.), (ii) i controlli sull’attività lavorativa ( art. 4 St. lav.).

Sul versante delle indagini sulle opinioni dei lavoratori (nonché su fatti non rilevanti ai fini della valutazione di professionalità) è evidente che occorra chiedersi se l’ufficio HR (e per la verità qualsiasi soggetto che svolta attività di ricerca e selezione del personale ex art. 10 Dlgs 276/2003) possa in sede di colloquio preassuntivo effettuare delle ricerche sul candidato consultando per esempio i suoi profili social e conservando i dati raccolti da tale consultazione per la valutazione. Si tratta di un tema particolarmente attuale posto che secondo alcune recenti ricerche almeno i due terzi dei soggetti che svolgono attività di selezione del personale utilizzano le informazioni tratte dai social network. Il tema pare poi oggi ulteriormente aggravato vista la capacità ormai che certi software hanno di creare dei profili delle singole persone mediante l’analisi di un’enorme quantità di dati (tema che viene espressamente preso in considerazione dal nuovo GDPR per esempio in relazione alla delicata questione delle decisioni automatizzate fondate sulla profilazione).

Anzitutto è chiaro che non potrà reputarsi lecita l’acquisizione dei dati accedendo ai contenuti che il candidato ha qualificato come “privati”, tramite un profilo fake ovvero sfruttando un profilo di altri al fine di entrare nella cerchia di coloro che accedono ai contenuti privati (questione da tenere invece ben distinta da quella della creazione di un falso profilo facebook per individuare condotte illecite del dipendente). Il tema quindi riguarda esclusivamente il profilo pubblico del social network. A tale riguardo non va dimenticato che secondo l’Opinion 2/2017 del working party ex art. 29, le indagini devono essere limitate al solo professionale del candidato (ossia Linkedin o analoghi).  In ogni caso, considerato che il solo fatto di conoscere un dato equivale già a trattarlo ai fini privacy così come a maggior ragione la conservazione del dato nel fascicolo di valutazione del candidato, occorrerà fornire un’adeguata informativa nella fase precedente alla raccolta dei dati (ossia nell’annuncio di lavoro) e si dovrà cancellare tutti i dati raccolti una volta che il processo di reclutamento sia concluso in un senso o nell’altro.

Il tema di un’informativa adeguata è decisivo anche nell’affronto del rapporto tra tecnologia e controllo dei lavoratori disciplinata dall’art. 4 St. Lav., recentemente riformato dal c.d. Jobs Act.

In estrema sintesi la norma novellata, pur continuando ad escludere il controllo diretto sull’attività dei lavoratori, ammette il controllo indiretto, condizionandolo alla verifica sindacale/ispettiva della sussistenza di ragioni legittimanti (ragioni organizzative/produttive, sicurezza lavoratori, tutela del patrimonio aziendale) se il dispositivo utilizzato per la raccolta dei dati non possa essere qualificato come strumento di lavoro ovvero di rilevazione delle presenze.

Senza entrare qui nel dibattito sulla nozione di strumento di lavoro e limitandosi a dar conto del fatto che l’interpretazione datane allo stato dal Garante e dall’Ispettorato del lavoro appare molto restrittiva, dovendosi provare che lo strumento risulti indispensabile per lo svolgimento della prestazione lavorativa, risulta comunque chiaro che l’attuazione del GDPR comporterà un radicale aggiornamento delle informative che devono essere date ai singoli dipendenti e delle policy di utilizzo degli strumenti aziendali.

Se, da un lato, le policy, a cui deve essere data adeguata pubblicità, dovranno spiegare bene come si utilizzano gli strumenti aziendali e quali eventuali provvedimenti disciplinari potranno essere adottati nei caso di violazioni, dall’altro, le informative (che potranno anche rinviare alle policy) dovranno invece chiarire come verranno trattati di dati raccolti, quali saranno le finalità, quali le modalità di eventuali controlli (che non potranno mai essere sistematici e continuativi in ossequio ai principi di correttezza, necessità e non eccedenza), per quanto tempo i dati verranno conservati (ad esempio i dati contenuti nel database di un account di posta elettronica aziendale dovranno essere cancellati dopo un periodo relativamente breve – sei mesi dalla cessazione del rapporto – salvo che debbano essere utilizzati per ragioni di difesa in giudizio).

È, infine, importante sottolineare che il GDPR reputa non adeguate informative che non utilizzino un linguaggio semplice e chiaro (quindi non gergale ovvero troppo tecniche o giuridiche) e che comunque non forniscano le informazioni sul trattamento in modo immediatamente intellegibile. Da questo punto di vista, le informative potranno anche non essere cartacee e avere dei contenuti video.