Dettaglio news
Trattamento dati in azienda: che cosa fare per gli ex dipendenti?


lunedì 16 marzo 2020
Avv. Gianni Dell’Aiuto





In relazione al trattamento dati degli ex dipendenti il Garante era già stato chiamato a pronunciarsi ed aveva stabilito che gli account di posta elettronica di chi non lavora più in un’azienda debbano essere disattivati e, comunque, è dovere del datore di lavoro adottare le necessarie misure di cautela e protezione. Il GDPR ha comunque una portata ovviamente più ampia per le aziende in ordine al trattamento dati dei lavoratori, che si estende dalla fase di invio di curricula per l’assunzione, ai colloqui fino alla cessazione del rapporto di lavoro.

Una prima osservazione viene dalla circostanza che i nuovi sistemi di lavoro comportano un uso sempre maggiore di device di ogni tipo, che vanno dal computer di ufficio fino a cellulari e tablet talvolta di proprietà non dell’azienda. Inoltre le possibilità di smart working da remoto non possono passare in secondo piano nella predisposizione da parte delle aziende di una policy per la gestione dei dati degli ex dipendenti. Una simile policy dovrebbe prendere in considerazione anche se gli strumenti di lavoro dovranno passare ad altri dipendenti, se aziendali, oppure restino come spesso accade per i cellulari nella disponibilità dell’ex lavoratore. Lasciando per un momento da parte il rapporto di fiducia che imporrebbe al dipendente la cancellazione e il non utilizzo dei dati appresi in costanza del rapporto di lavoro, l’azienda dovrà decidere come provvedere ed accertarsi dell’eliminazione dei dati, magari con un sistema di controllo da remoto.

Ovviamente si dovrà tenere conto anche della eventualità che sui device consegnati o nella disponibilità dei dipendenti, una volta cessato il rapporto, continuino sia a giungere mail inerenti al lavoro, sia mail personali, ma anche provenienti da mailing list cui il lavoratore si fosse iscritto per ragioni di lavoro e aggiornamento, ma anche a titolo personale. Immaginiamo, ad esempio, se giungessero mail provenienti da indirizzi che rivelano dati sensibili quali ideologie politiche o addirittura patologie.

Comprensibile il terrore di alcune aziende che chiudere un determinato account potrebbe creare problemi, ma esistono sistemi efficaci per ovviare senza intaccare la sicurezza dei dati o il rischio che qualcuno possa leggere messaggi privati; già un risponditore automatico potrebbe ovviare a sufficienza. In ogni caso lasciare un account aperto e accessibile ad altri è fin troppo rischioso.

In ogni caso si tratta di una mole di valutazioni che dovrebbero essere fatte al momento dell’instaurazione del rapporto, essendo oggi quantomeno improbabile che un datore non sia a conoscenza delle modalità operative di esecuzione della prestazione, dei dispositivi necessari e della tipologia di dati e informazioni che il dipendente tratterà. Non solo quindi per il datore la necessità di definire la policy per l’uso dei device, ma anche che cosa farne dopo. Un lavoro ulteriore che si aggiunge a quello necessario per fornire ai dipendenti informazioni e istruzioni su come maneggiare i dati in loro possesso.

Questi aspetti si aggiungono alla problematica all’apparenza più semplice dei documenti personali dell’ex dipendente. Teniamo presente, tuttavia, che non si tratta solo dei documenti strettamente relativi al rapporto di lavoro, che sono soggetti alla disciplina fiscale e del diritto del lavoro, ma anche ai record all'interno dei vari programmi gestionali, ai certificati che riguardano l’ex lavoratore di cui l’azienda è venuta in possesso. Essendo in presenza di una diverse informazioni e circostanze spesso non comparabili, è necessario fare riferimento alle diverse finalità per le quali i detti dati sono stati raccolti per definire, tra l’altro, il periodo di conservazione.

Diamo atto che non esistono criteri ufficiali, indicazioni esaustive o linee di condotta assolute, ma si tratta di un’ipotesi concreta in cui i principi di Privacy by design e by default devono trovare concreta applicazione tenendo sempre presente il principio di minimizzazione disposto dal GDPR.

 




CONDIVIDI QUESTA PAGINA!