Monitoraggio dei dipendenti: viola il GDPR profilare in modo automatizzato le assenze
Il GDPR nel luogo di lavoro: quali regole?
Il rapporto tra tutela della privacy e potere del datore di lavoro risulta spesso molto critico. Come è noto, l’art. 4 dello Statuto dei Lavoratori legittima il datore di lavoro all’utilizzo di impianti audiovisivi, ovvero altri strumenti, capaci di operare forme di controllo a distanza dell’attività dei propri dipendenti, purché tale utilizzo:
- sia giustificato da esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale;
- sia disposto previo accordo sindacale, o autorizzazione amministrativa rilasciata dagli Ispettorati del Lavoro.
Con le modifiche apportate dal Jobs Act, inoltre, le informazioni lecitamente raccolte mediante l’utilizzo di tali strumenti sono utilizzabili a tutti i fini connessi al rapporto di lavoro – anche ai fini disciplinari – , purché ne data al lavoratore adeguata informazione.
Il caso che ha interessato il Gruppo Louis, invece, riguarda l’impiego di un algoritmo per il monitoraggio automatizzato dei congedi per malattia degli 818 lavoratori: il software, in particolare, attribuiva un punteggio negativo quando le defezioni non pianificate erano brevi ma ricorrenti, condotte ritenute maggiormente dannose per la produttività aziendale.
L’Autorità cipriota, interessata dal caso, ha affermato che:
- il monitoraggio sistematico così congeniato non può considerarsi lecito anche se vi fosse stata l’autorizzazione da parte dei lavoratori, giacché la posizione di potere rivestita dal datore di lavoro rende inapplicabile la previsione contenuta all’art.7 del GDPR, ove richiede che il consenso debba essere liberamente prestato dell’interessato. In tale caso, invece, non vi era per i lavoratori alcuna facoltà;
- inoltre, sebbene le società del gruppo avessero preventivamente effettuato una valutazione d’impatto, ciò non dispensa il titolare del trattamento dal dimostrare che tale trattamento automatizzato di dati relativi alla salute dei lavoratori fosse necessario per il perseguimento di un legittimo interesse, come previsto ai sensi dell’art. 6 par. 1) lettera f) del Regolamento. In tali casi, inoltre, deve essere necessariamente evitata la lesione degli interessi o dei diritti e le libertà fondamentali dell’interessato.
Come rendersi GDPR compliant? I percorsi formativi e i servizi di consulenza suggeriti da Hedya
La pubblicazione del recente Provvedimento dell’Autorità cipriota dimostra che l’assenza di formazione ed informazione in materia di poteri datoriali e controllo dei propri dipendenti costituiscono i primi fattori di criticità del sistema organizzativo aziendale e pubblico.
Per tali ragioni, Hedya propone:
- percorsi di formazione e aggiornamento;
- percorsi di approfondimento e perfezionamento;
- servizi di consulenza per verificare la conformità alla normativa rilevante in materia.
Si segnalano, per i percorsi formativi e di aggiornamento:
In particolare, si prevede:
- Corsi di formazione per Data Protection Officer
- Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
- Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;
- Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati
- Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per consentire a tutti i soggetti coinvolti nel trattamento dei dati personali (ad esempio, personale dipendente) di ottenere un’adeguata formazione e aggiornamento in materia di gestione dei dati personali.
Ulteriori dettagli sui percorsi formativi sono disponibili qui.
