Formazione privacy. Consapevolezza per i dati dei lavoratori


Ricollegandoci al precedente articolo sull’importanza della formazione in ambito privacy, cerchiamo di analizzare oggi la formazione quale strumento per la consapevolezza ai fini del corretto trattamento di dati personali dei lavoratori.

Ricordo infatti che occorre una puntuale formazione sia in fase di assunzione sia in caso di cambio di ruolo aziendale.

Formazione quale strumento di consapevolezza

Per il Titolare del trattamento, per dipendenti e collaboratori che trattano dati personali, deve esserci la consapevolezza che la formazione sia determinante per il corretto trattamento dati, per evitare innanzitutto violazioni di dati personali (data breach) o, nel caso queste ultime si verificassero, per saperle affrontare con le giuste contromisure in tempi celeri.

In ambito privacy viene spesso data rilevanza al trattamento dati dei clienti e marketing (giustamente), ma spesso ci si dimentica di formare le persone del proprio Ufficio Risorse Umane (HR) e Information Technology (IT) circa il trattamento dati dei loro colleghi e delle persone che lavorano in aree con un trattamento dati personali dei lavoratori (es. audit).

Consapevolezza nel trattamento di dati personali nell’ambito dei rapporti di lavoro

I datori di lavoro e lavoratori devono avere consapevolezza del fatto che numerose attività svolte quotidianamente nell´ambito dei rapporti di lavoro comportano il trattamento di dati personali relativi ai colleghi, e talora anche di dati particolari e giudiziari come da articoli 9 e 10 del GDPR e necessaria deve essere la consapevolezza del come trattarli.

Nel trattare dati personali relativi ai lavoratori, il datore di lavoro deve tenere sempre conto dell’articolo 5 Principi applicabili al trattamento di dati personali” ed istruire il proprio personale HR e IT in tal senso. 

Dati personali dei colleghi

Senza una formazione adeguata del personale che tratta dati personali, non potrebbe mai essere garantito il giusto rispetto della privacy dei lavoratori sul luogo di lavoro.

Infatti, se correttamente formati, i designati / autorizzati dovrebbero essere consapevoli e saper rispondere ai colleghi circa:

  1. Se il trattamento è effettuato in modo lecito, corretto e trasparente nei confronti dei colleghi («liceità, correttezza e trasparenza»)
  2. Se i dati siano raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non siano incompatibili con tali finalità («limitazione della finalità»)
  3. Se i dati personali trattati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità previste («minimizzazione dei dati»)
  4. Se i dati personali siano esatti e, se necessario, aggiornarli. Devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»)
  5. Se i dati personali sono conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati («limitazione della conservazione»)
  6. Se i dati personali siano trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)

Formazione privacy e potenziale sorveglianza e monitoraggio

Le norme relative alla protezione dei dati si applicano al monitoraggio ed alla sorveglianza dei lavoratori in termini ad esempio di impiego della posta elettronica, accesso a Internet, uso di videocamere o rilevazione di dati di geolocalizzazione, e comunque in generale per l’uso degli strumenti di lavoro.

In questo campo privacy è fondamentale istruire il personale HR e IT.

VI deve essere la consapevolezza che ogni attività di potenziale monitoraggio, deve infatti costituire una risposta proporzionata del datore di lavoro ai rischi che si trova ad affrontare, tenendo conto del suo legittimo interesse in bilanciamento con la privacy e i diritti dei lavoratori.

Il personale designato / autorizzato al trattamento deve sapere che i dati personali detenuti o utilizzati nel corso delle attività di monitoraggio devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità che giustificano il monitoraggio. L´attività di potenziale monitoraggio deve essere condotta nella maniera meno invasiva possibile.

Trasferimento verso Paesi terzi di dati personali dei lavoratori

Quali sono i Paesi Sicuri Extra UE per trasferire i dati personali?

Se il personale designato / autorizzato al trattamento dati non sa di cosa si stia parlando e non ha ricevuto una formazione adeguata, certamente non si potranno avere le evidenze delle garanzie poste alla base del trasferimento dei dati in Paesi non sicuri.

In conclusione… chiedete ai vostri colleghi HR e IT: “Hai fatto formazione privacy? …”

 

Articolo a cura di Jenny Nespoli | Data Protection Consultant di Labor Project

Se ti è piaciuto l'articolo condividi: