Close Menu
    Informazioni utili per i lavoratori

    Valutazione di impatto sulla privacy dei lavoratori

    Alessandro CardinaleBy Updated:Nessun commento4 Mins Read
    Valutazione di impatto sulla privacy

    La legge prevede l’obbligo della cosiddetta valutazione di impatto quando il datore di lavoro riscontra che il trattamento dei dati personali può avere un certo rischio per la libertà ed i diritti dei lavoratori.

    Il provvedimento del Garante

    L’11 ottobre 2018, il Garante per la privacy ha fornito un “elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto” con il provvedimento numero 467. L’elenco (al punto 5) identifica un riferimento preciso al rapporto di lavoro, dal quale consegue che il datore di lavoro è obbligato ad effettuare la valutazione di impatto, ed infatti vengono menzionati i “trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti”.

    Linee guida e rischio elevato

    Sempre il Garante per la privacy, ha fornito delle linee guida per la valutazione dell’impatto sulla valutazione dei dati personali, che aiutano le aziende ed i datori di lavoro a determinare se all’interno della loro realtà si configura il cosiddetto “rischio elevato”. Con questa formula si intende, ad esempio, il monitoraggio dei comportamenti dei lavoratori che avviene attraverso le telecamere di sorveglianza, come identificato dall’art.35 del GDPR al comma 3 lettera C che parla di “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”. Nel caso di aree videosorvegliate, i lavoratori potrebbero non essere a conoscenza di chi raccoglie i dati e di come li utilizzerà, senza contare che potrebbe essere impossibile sottrarsi a tale trattamento perché, ad esempio, le telecamere potrebbero essere installate in uno spazio costantemente occupato dai lavoratori.

    Le immagini sono un dato personale?

    Come ha avuto modo di chiarire la Cassazione con la sentenza 17440/2015, le semplici immagini sono sempre da considerare come dato personale, anche se non vengono registrate, poiché permettono di identificare una persona fisica. Ne consegue che anche la semplice visualizzazione comporta di fatto una raccolta di dati personali ed in quanto tale è sottoposta a tutte le procedure previste dalle norme, ivi compresa la valutazione di impatto conosciuta anche con l’acronimo DPIA (Data Protection Impact Assessment).
    Scopri chi sono i soggetti coinvolti nel trattamento dei dati personali.

    Interessati “vulnerabili”

    Può verificarsi uno squilibrio di potere tra il titolare del trattamento dei dati e gli interessati (lavoratori, utenti, ecc.). Tale situazione si manifesta soprattutto quando le persone coinvolte non hanno la reale possibilità di opporsi al trattamento dei loro dati personali o non sono in grado di esercitare efficacemente i propri diritti. In questi casi parliamo di “interessati vulnerabili”: ne sono un esempio tipico i bambini e gli anziani, specialmente quando le attività di trattamento prevedono l’utilizzo di sistemi di videosorveglianza installati in contesti delicati come ospedali o scuole. Proprio per tutelare questi soggetti, particolarmente esposti a rischi, è necessario adottare misure di protezione rafforzate che la Valutazione d’Impatto sulla Protezione dei Dati (DPIA) permette di identificare e implementare preventivamente.

    Scanner impronte digitali

    Nuove soluzioni tecnologiche\organizzative

    L’introduzione di una nuova tecnologia finalizzata per esempio al controllo degli accessi, può necessitare una DPIA (art.35 GDPR) poiché una nuova forma di raccolta dei dati, con ogni probabilità, costituisce un rischio elevato per la libertà (e i diritti) dei lavoratori. Basta pensare all’utilizzo del controllo biometrico, finalizzato ad una maggiore sicurezza, in alcune realtà aziendali che prevedono particolari accorgimenti relativi all’accesso ad alcuni siti (laboratori, comparto energetico, ecc.).

    Conclusioni

    In generale, il vecchio WP29, oggi Comitato europeo per la protezione dei dati (EDPB), ritiene che più è alto il numero di criteri che vengono soddisfatti dal trattamento dei dati, più diventa probabile che si configuri un rischio elevato per i diritti e la libertà degli interessati. Ne consegue che la DPIA è sempre una buona idea quando sono presenti dei sistemi di videosorveglianza e diventa praticamente irrinunciabile quando l’azienda si dota di soluzioni tecnologiche ancora più all’avanguardia come l’accesso tramite impronte digitali o simili.

    Share.

    Related Posts

    Add A Comment
    Leave A Reply