L’entrata in vigore del GDPR ha avuto effetti anche sui rapporti di lavoro, anche per quanto riguarda la loro fase costitutiva e la loro conclusione. Approfondiamo quest’ultimo aspetto, valutando quali sono gli aspetti privacy da considerare una volta che si chiude un rapporto con un dipendente.
Indice degli argomenti
La normativa di riferimento
V’è da ricordare che l’interesse del legislatore sull’argomento non è del tutto nuovo: già nell’ormai lontano 2006 l’Autorità Garante del nostro Paese aveva avuto modo di porre le proprie osservazioni sul punto, adottando un provvedimento di natura generale relativo al trattamento dei dati personali nell’ambito del rapporto di lavoro privato (Aut. n°1/2016 del 15/12/2016 e succ. Provv. n°9068972 di armonizzazione con il D.lgs. n°101/2018), volto a fornire indicazioni e raccomandazioni ai datori di lavoro privati in relazione alle operazioni di trattamento effettuate con dati personali dei lavoratori alle loro dipendenze.
Lo stesso EDPB ha più volte ricordato al di là però delle indicazioni generali, pur certamente necessarie, che rimangono spesso alcune incertezze di natura pratica.
Come comportarsi quando il rapporto di lavoro si è concluso? Come trattare i dati personali dei lavoratori già impiegati? Come gestire gli eventuali dispositivi in loro possesso e i dati in essi contenuti? Si tratta di domande che le aziende si trovano ad affrontare non sempre senza difficoltà, dietro alle quali si celano numerose pieghe normative date dall’amplissima casistica possibile; ciononostante cercheremo di fare un po’ di chiarezza, pur senza pretesa di esaustività, su alcune questioni tra quelle che più frequentemente vengono poste alla nostra attenzione.
I dispositivi mobili e i dati in essi contenuti
Con il sempre più diffuso utilizzo, da parte delle aziende, di forme di smart working e dell’utilizzo di device di varia natura da parte dei loro dipendenti, indipendentemente dal modello di gestione prescelto (BYOD, CYOD, COPE o COBO), seppure sussistano differenze in termini di costi, vantaggi e rischi, la sicurezza dei dati in essi contenuti rimane un denominatore comune.
In questi casi, al fine di poter gestire al meglio ogni tipo di problematica connessa al rapporto di lavoro, ma anche per scongiurare l’accesso non autorizzato in caso di furto o smarrimento da parte di terzi, la soluzione più opportuna è la previsione di un sistema di MDM (Mobile Device Management), affinché sia possibile eliminare da remoto ogni tipo di informazione non più necessaria su quel dispositivo.
Sarà poi naturalmente opportuno disciplinare e informare i dipendenti su quali operazioni sono consentite e cosa invece è vietato fare attraverso il dispositivo mobile in uso, regolamentando anche le politiche di sicurezza, quali l’obbligo di impostare un codice di sblocco del dispositivo, ecc. a tutela dei dati personali e aziendali in essi contenuti.
In proposito, in relazione al novellato art. 4 dello Statuto dei lavoratori (L. n°300/1970) avente ad oggetto i c.d. controlli odiosi, vale sottolineare che, proprio in relazione alla pervasività dei dati che ad oggi possono risiedere su un dato dispositivo (dalla cronologia di navigazione, alla geolocalizzazione, ad eventuali dati biometrici ecc.), l’azienda potrebbe trovarsi nella necessità di compiere una specifica valutazione sulle tipologie di dati presenti sul dispositivo e a quali di essi può avere accesso, dovendosi eventualmente ritenere obbligata a rendere ai propri dipendenti un’adeguata informativa, pena quantomeno l’inutilizzabilità delle informazioni raccolte.
Proprio in ordine al momento conclusivo del rapporto di lavoro, è chiaro che l’adozione di politiche come quelle appena accennate potrà semplificare, e non poco, la gestione del momento in questione.
Ad esempio, al fine di ridurre al minimo la necessità di accedere alle caselle postali personali in assenza dei dipendenti o in caso di loro fuoriuscita dall’azienda, è necessario assicurarsi che le e-mail più importanti e pertinenti all’azienda siano accessibili anche da altrove: sarà quindi opportuno fornire istruzioni ai dipendenti per salvare tutte le mail di interesse aziendale in file condivisi o in caselle apposite per unità, servizi o settori specifici, accessibili a tutti i dipendenti interessati, sino a giungere all’adozione di istruzioni precise per il comportamento da adottarsi in caso di interruzione del rapporto lavorativo.
Anche la valutazione sulla tipologia di dati accessibili dall’azienda, sopra accennata, ben potrebbe giovare in tal senso, ponendosi peraltro in perfetto allineamento con i principi di necessità, pertinenza e non eccedenza; si potrebbero infatti limitare drasticamente, in tal modo, le linee di intervento volte alla “neutralizzazione” del dispositivo in questione, trattenendosi cioè in esso, sin dall’origine, solo i dati effettivamente necessari, anche in ottica di continuità aziendale, piuttosto che provvedere a una cancellazione successiva.
Gli account, le caselle e le email dell’ex dipendente
Quanto appena osservato in punto di continuità aziendale è forse l’aspetto più comunemente affrontato al momento della risoluzione del rapporto di lavoro, tanto che l’attenzione delle Autorità si è più volte soffermata sul punto (vedi le apposite Linee Guida del Garante Privacy del 1 marzo 2007 o, tra i vari provvedimenti adottati, quello dello scorso 4 dicembre 2019).
Si pensi, ad esempio, al caso dell’ex impiegato che era solito ricevere ordini di acquisto e all’idea che la chiusura della sua casella email costituirebbe una sorta di serranda abbassata per i clienti: l’atteggiamento più comune, da parte delle aziende, spesso in buona fede, al fine di garantire lo scorrere delle operazioni aziendali, è costituito dal reset dei dati di accesso dell’account di quest’ultimo, rendendolo così disponibile, assieme ai dati in esso contenuti, al solo datore di lavoro o di un terzo dipendente, come nel caso della semplice impostazione di un sistema di forwarding su altro account.
Un’altra reazione piuttosto comune in tali casi è data dalla immediata e spesso irreversibile cancellazione dell’account dell’ex dipendente, che in assenza di policy aziendali adeguate ben potrebbe aver conservato, nello stesso account, propri dati personali e, in genere, proprie informazioni, potenzilamente di valore.
Si tratta evidentemente di comportamenti tanto comuni quanto erronei e per questo illegittimi: l’account del dipendente non deve essere in alcun modo bloccato né altrimenti rimosso nell’immediato, poiché in esso risiede comunque la sua corrispondenza, né infine deve essere impostato un forwarding delle email su altro account il quale, per i terzi che abbiano accesso alla sua corrispondenza, in sostanza equivale ad aprirla e leggerne abusivamente il suo contenuto.
Che fare allora? Sarà certamente possibile, oltre che necessario, impostare un risponditore automatico che informi i clienti della mancata lettura delle email inviate a quella casella da parte di personale incaricato, assieme al nuovo indirizzo a cui inoltrare le proprie richieste; quanto all’account in sé, esso dovrà essere disattivato in entrata e in uscita.
Suggeriamo però di lasciare al suo titolare la possibilità di un accesso riservato e personale con le sue stesse credenziali, anche tramite webmail, ai dati e ai messaggi in esso contenuti per un dato tempo, specificato in apposite policy o, in mancanza, per un tempo ragionevole affinché lo stesso titolare dell’account, adeguatamente informato in proposito, possa effettuare il backup dei propri dati, per poi procedere alla rimozione vera e propria dell’account stesso, decorso il ragionevole termine concesso a suo favore.
I dati e i documenti dell’ex dipendente in azienda
Rimane da analizzare l’ambito relativo ai dati e ai documenti che riguardano l’ex dipendente che comunque risiedono in azienda, al di là dunque dei device e delle email a lui in uso: pensiamo ai record all’interno dei vari programmi gestionali, ai certificati che lo riguardano di cui l’azienda è venuta in possesso, alle copie dei documenti contrattuali e quant’altro.
In questi casi, trattandosi di una pletora di differenti circostanze, bisognerà necessariamente fare riferimento alle diverse finalità per le quali i detti dati sono stati collezionati e al relativo tempo di conservazione.
Pur posto che non esistono, al momento, criteri ufficiali volti a stabilire in modo uniforme modalità e tempi di conservazione dei dati personali, non possono affatto essere ignorati il principio della limitazione della conservazione e quello di minimizzazione (artt. 5 e 6 GDPR) i quali impongono la limitazione qualitativa, quantitativa e temporale del trattamento: sarà quindi anche in questo caso opportuno procedere a un analisi dei dati in possesso dell’azienda per individuarne innanzitutto la natura e, successivamente, per ottemperare alla loro minimizzazione.
Vi è peraltro da ricordare che l’indicazione della durata del trattamento è anche voce necessariamente riportata all’interno del registro dei trattamenti, tenuto a cura del titolare.
Quanto ai criteri comunque da adottarsi, sarà necessario fare riferimento innanzitutto agli obblighi di legge che riguardano le singole tipologie di dati (ad. es. cancellazione dopo 10 anni per i dati di fatturazione e scritture contabili ecc.), le eventuali pronunce giurisprudenziali, la relativa casistica e infine i contributi dottrinali, oltre eventualmente alla salvaguardia degli archivi storici.
Proprio in ordine a questo ultimo punto, vale sottolineare ancora una volta l’importanza per le aziende del rispetto del principio di accountability e, con esso, di un loro effettivo adeguamento alla normativa in materia, che deve avvenire attraverso un percorso di conformità sostanziale e non meramente formale, e ciò anche nel caso di comportamenti proattivi quali la predisposizione e la messa a regime di policy aziendali ad hoc come quelle in materia di email aziendali alle quali si è fatto cenno.
Così facendo, sarà certamente possibile evitare, da un lato, le sanzioni previste per gli inadempienti; dall’altro, anche il lavoratore potrà dirsi pienamente garantito nei propri diritti, anche successivamente alla cessazione del rapporto lavorativo già in essere.
