x

x

Privacy - Gruppo di Lavoro ex articolo 29 (“WP29”): verifica delle informazioni contenute nei social network da parte del datore di lavoro

Privacy - Gruppo di Lavoro ex articolo 29 (“WP29”): verifica delle informazioni contenute nei social network da parte del datore di lavoro
Privacy - Gruppo di Lavoro ex articolo 29 (“WP29”): verifica delle informazioni contenute nei social network da parte del datore di lavoro

Il parere n. 2 dell’8 giugno 2017 (Opinion 2/2017 on data processing at work), il WP29 (“Garante Europeo”) ha adeguato all’evoluzione degli strumenti tecnologici utilizzati in ambito lavorativo il contenuto di due precedenti (e ormai datate) pubblicazioni sulla medesima tematica: Opinion 8/2001 on the processing of personal data in the employment context e 2002 Working Document on the surveillance of electronic communications in the workplace.

Il provvedimento è di significativa importanza perché tiene conto, da un lato, della necessaria conformità dei trattamenti in oggetto rispetto alla disciplina vigente, rappresentata dalla Direttiva 95/46/CE (“Direttiva”), e dall’altro, si pone già in prospettiva futura per la compliance all’ormai prossima applicazione (25 maggio 2018) del Regolamento (UE) 2016/679 (“Regolamento”).

È proprio la proiezione verso le norme del Regolamento che caratterizza il tenore del parere, dal quale si evince una sorta di “apertura” verso il trattamento dei dati dei lavoratori da parte dei datori di lavoro, rilevabile nel bilanciamento dei diversi interessi in gioco.

Il diritto del lavoratore alla protezione dei propri dati personali in ambito lavorativo, infatti, deve essere bilanciato con i legittimi interessi di natura aziendale perseguiti dal datore di lavoro (“[…] a new assessment is required concerning the balance between the legitimate interest of the employer to protect its business and the reasonable expectation of privacy of the data subjects: the employees).

- Atti normativi specifici

Il Garante Europeo, dopo un excursus dei principi cardine che fondano la Direttiva e il Regolamento, richiama il comma 1 dell’articolo 88 di quest’ultimo, ai sensi del quale è rimessa agli Stati Membri la possibilità di adottare atti normativi specifici volti ad “assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro”, in particolare per le seguenti finalità:

  • assunzione;
  • esecuzione del contratto di lavoro;
  • gestione, pianificazione e organizzazione del lavoro;
  • parità e diversità sul posto di lavoro;
  • salute e sicurezza sul lavoro;
  • protezione della proprietà del datore di lavoro o del cliente;
  • esercizio e godimento, individuale e collettivo dei diritti e dei vantaggi connessi al lavoro;
  • cessazione del rapporto di lavoro.

Il comma 2 del medesimo articolo stabilisce l’orientamento dei suddetti atti normativi, il quale deve mirare alla salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, con particolare riferimento: (i) alla trasparenza del trattamento, (ii) al trasferimento dei dati personali nell’ambito di attività economiche svolte in comune da gruppi imprenditoriali e di imprese e (iii) ai sistemi di monitoraggio sul posto di lavoro.

- Social network

Tra gli scenari trattati nel parere, una portata indubbiamente innovativa è attribuita dal WP29 alla possibilità per i datori di lavoro di effettuare un controllo dei profili pubblici dei social network dei candidati, ai fini della selezione per determinate posizioni lavorative.

Qualora, infatti, i candidati/interessati siano titolari di profili social (Facebook®, Linkedin®, ecc.) e abbiano liberamente scelto di mantenere pubbliche le informazioni e i dati personali in essi contenuti, il datore di lavoro (o l’area adibita al processo di recruitment dei candidati) potrà legittimamente effettuare un controllo sui citati profili, al fine di valutare l’idoneità del candidato rispetto alle mansioni proprie della posizione aperta.

Il trattamento e la raccolta dei dati, in ogni caso, deve essere strettamente connessa alla finalità propria che la legittima: la valutazione delle caratteristiche lavorative e delle qualifiche del candidato in base all’offerta di lavoro.

Pertanto, non è consentito al datore di trattare e utilizzare tali dati per altre finalità che non siano in linea con la procedura di selezione dei candidati e la verifica dei requisiti lavorativi richiesti per la prestazione lavorativa.

Essendo perseguito in tal senso un legittimo interesse del datore di lavoro, non è necessario raccogliere il preventivo consenso al trattamento da parte del candidato.

Per contro, il Garante Europeo caldeggia fortemente (o meglio richiede) l’attività informativa del trattamento in oggetto da parte del datore di lavoro in una fase precedente al trattamento stesso, proponendo come soluzione (tra le altre possibili) l’inserimento dell’informativa, relativa alla verifica dei profili social pubblici dei candidati, già nell’annuncio di lavoro.

Il datore di lavoro che ha trattato e raccolto i dati personali del candidato per le finalità sopra esposte, dovrà provvedere alla tempestiva cancellazione dei medesimi nel momento in cui la posizione lavorativa non viene accettata o assegnata al candidato interessato.