Nel mondo della privacy esiste un prima e un dopo GDPR.
Il Regolamento Generale sulla Protezione dei Dati è entrato in vigore il 25 maggio 2018 e da allora sono stati introdotti notevoli cambiamenti nella gestione e nella tutela della privacy, in ogni contesto.
Prima che entrasse in vigore il GDPR, gli obblighi delle aziende in materia di tutela dei dati personali dei lavoratori erano pressoché nulli. Oggi, al contrario, i dati personali dei dipendenti hanno la stessa importanza e obbligo di tutela di quelli dei clienti e i datori di lavoro ne devono garantire la protezione.
Tra le novità introdotte nel 2018 dal GDPR, ai dipendenti è garantito l’accesso – qualora lo richiedessero – ai propri dati personali, alle informazioni circa i dati che l’azienda tratta, a quali categorie appartengono, per quali finalità, i destinatari di tali dati e le misure di sicurezza impiegate per proteggerli.
Inoltre, il GDPR obbliga le aziende a:
– informare i propri dipendenti in merito al trattamento dei loro dati personali con informazioni chiare e trasparenti;
– adottare misure di sicurezza adeguate a garantire la protezione dei dati personali, come sistemi di crittografia, accesso limitato solo a personale autorizzato, ecc.;
– nominare un responsabile della protezione dei dati interno, il DPO, che ha il compito di monitorare il rispetto delle normative sulla privacy;
– corrispondere sanzioni amministrative e civili nel caso in cui non vengano rispettate le normative in materia di privacy e protezione dei dati personali dei dipendenti.
Come proteggere i dati personali dei dipendenti
Per proteggere i dati sensibili dei propri dipendenti, l’azienda deve anzitutto identificarli.
Sono per esempio dati sensibili nome, cognome, indirizzo, numero di telefono, salario e posizionamento, così come tutte le informazioni raccolte dalla sorveglianza sanitaria obbligatoria prevista dal D. Lgs. 81/2008, ovvero cartelle sanitari e certificati di idoneità alla mansione.
Tutti questi rientrano in quell’insieme di dati soggetti all’applicazione del GDPR.
Quando si tratta di sicurezza sul lavoro, i dati sensibili dei dipendenti sono raccolti esclusivamente per uno scopo: proteggere la salute e la vita, o, per dirlo in una parola, la sicurezza dei lavoratori.
Sia il GDPR che la normativa in materia di sicurezza sul lavoro prevedono:
- una documentazione dedicata e costantemente aggiornata
- DVR per la sicurezza sul lavoro
- DPIA (Data Protection Impact Assessment), registro dei trattamenti e procedure di sicurezza dei dati per il GDPR
– l’adozione di misure di prevenzione per ridurre e scongiurare problemi nelle rispettive materie;
– personale interno ed esterno, formato, dedicato e in alcuni casi nominato appositamente;
– organi controllori
- ATS e ispettorato del lavoro per la sicurezza sul lavoro
- Garante per la Privacy per appunto privacy e GDPR
– sanzioni che variano a seconda della violazione.
Linee guida per il rispetto della privacy dei lavoratori
Come sempre quando si parla di normative, il buon senso può non essere sufficiente ed è necessario conoscere i principi fondamentali da seguire per rispettare la privacy dei propri dipendenti.
Il GDPR disciplina la geolocalizzazione in particolare attraverso l’art. 13, l’art. 25 e l’art. 35.
L’art. 13, l’Informativa, obbliga al rispetto dei principi di “liceità, correttezza e trasparenza e minimizzazione”, definiti nel Regolamento UE 2016/679. Impone quindi che i dati siano:
– “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c) GDPR).
– gestiti “in modo lecito, corretto e trasparente nei confronti dell’interessato”.
L’art. 25 del GDPR, invece, riguarda i principi generali della privacy by design e privacy by default e si approfondiscono i requisiti che i software utilizzati per la geolocalizzazione devono rispettare:
- assicurare l’uso dei soli dati personali necessari alle finalità previste;
- possedere, tra le altre cose, l’icona posizionamento che comunica al lavoratore quando la localizzazione è attiva;
- ridurre al minimo la frequenza dei dati raccolti.
Infine, l’art. 35 riguarda la valutazione dell’impatto del trattamento e le informazioni che necessitano obbligatoriamente di DPIA.
Il Garante ha previsto che debbano essere fornite ai dipendenti le informazioni in merito a:
– descrizione del trattamento previsto
– valutazione della necessità della geolocalizzazione
– valutazione dei rischi corsi da ciascun lavoratore
– misure adottate per affrontare i rischi di cui sopra.
In linea generale, tra i principi da seguire per rispettare il GDPR troviamo:
– Trasparenza
Le aziende devono informare i lavoratori in merito ai dati che li riguardano e vengono raccolti, per quali scopi e con chi sono condivisi.
– Consenso
Il personale aziendale deve fornire esplicito consenso alla raccolta, al trattamento e alla condivisione dei propri dati sensibili e personali. Si parla di “consenso informato” in quanto le aziende devono fornire tutte le informazioni necessarie per permettere ai lavoratori di ponderare la propria decisione.
– Limitazione
La raccolta, il trattamento e la condivisione dei dati deve essere limitata per soddisfare solo gli scopi di legge specifici e previsti. Non è permessa la raccolta di dati non pertinenti.
– Sicurezza
Le aziende titolari del trattamento dei dati devono garantirne la sicurezza. A questo scopo sono obbligate a introdurre misure tecniche e organizzative che proteggano le informazioni in loro possesso da accessi non autorizzati, manomissione, perdita e furti.
– Accesso
I lavoratori hanno diritto ad accedere ai propri dati personali e, se necessario, correggerli. Pertanto i datori di lavoro devono garantire che il personale possa esercitare tale diritto.
– Conservazione
I dati devono essere conservati solo per il periodo previsto dalle normative, ossia per il tempo necessario a raggiungere gli scopi per cui sono raccolti. Trascorso quel periodo, devono essere eliminati.
– Responsabilità
Le organizzazioni sono responsabili della protezione dei dati raccolti e conservati. Saranno quindi loro a rispondere di eventuali mancanze in merito.
– Formazione
Tutti i lavoratori devono essere formati sui rischi inerenti la raccolta, il trattamento e la condivisione dei propri dati personali. In questo modo potranno loro stessi contribuire alla tutela delle informazioni condivise, sia le proprie che quelle dei colleghi.
– Controllo
Deve essere eseguito un monitoraggio costante delle attività di trattamento dati da parte delle aziende, per individuare e risolvere eventuali problemi di conformità.
Geolocalizzazione e privacy dei lavoratori
Gli strumenti che oggi le aziende hanno a disposizione per rispondere adeguatamente alle normative in materia di sicurezza sul lavoro, pongono più di un quesito in merito alla raccolta di dati sensibili dei lavoratori.
Un esempio ci è fornito dalla geolocalizzazione, un tema delicato nell’universo privacy perché, benché vantaggioso e utile nella tutela della salute e sicurezza individuale, rileva la posizione e gli spostamenti dei dipendenti, sia che ciò avvenga in real time o in differita.
Un sistema di geolocalizzazione riconosce – attraverso software, hardware e localizzatori GPS – la posizione di un mezzo, per esempio l’auto aziendale, o di uno strumento come nel caso dei Dispositivi di Protezione Individuale indossabili.
Prima di installare o fornire soluzioni di geolocalizzazione ai propri dipendenti, l’azienda è tenuta a comunicarne le finalità che – per rispettare le normative in materia di sicurezza sul lavoro – devono essere riconducibili a esigenze di sicurezza dei lavoratori e dei luoghi di lavoro.
È quindi necessario comunicare ai lavoratori che, per mansioni soggette a rischi per la salute e sicurezza personale, il rilevamento GPS è indispensabile per procedere al soccorso tempestivo qualora necessario.
Come rispettare la privacy dei dipendenti quando si geolocalizzano per questioni legate alla loro incolumità?
Adottando misure appropriate, garantendo trasparenza, consenso e limitazione della raccolta, del trattamento e della condivisione di tali informazioni. Le organizzazioni devono informare con chiarezza i loro lavoratori su cosa significa la geolocalizzazione, come funziona, per cosa viene utilizzata, quando e con chi vengono condivisi i dati raccolti.
Inoltre è necessario che i dipendenti acconsentano esplicitamente a essere geolocalizzati durante l’orario di lavoro e forniscano all’azienda l’autorizzazione a raccogliere e trattare solo i dati pertinenti alle loro mansioni.
Soluzioni per il rispetto della privacy: l’IIoT per la sicurezza sul lavoro
L’IIoT offre molti vantaggi per garantire sia la sicurezza dei dipendenti sui luoghi di lavoro, sia il rispetto della loro privacy, ma deve rispondere ai requisiti sopra descritti.
In particolare, per rispettare la privacy dei lavoratori, le soluzioni IIoT devono essere progettate e implementate nel rispetto dei principi di privacy by design e privacy by default. Significa che in ogni fase dei ciclo di vita del sistema – dalla progettazione alla manutenzione –, deve essere contemplato e garantito il rispetto della privacy attraverso meccanismi predefiniti.
Inoltre la gestione dati da parte dei sistemi IIoT deve:
– essere trasparente
– riguardare solo i dati strettamente necessari alla finalità prevista
– consentire l’eliminazione dei dati non necessari
– permettere di anonimizzare i dati rilevati
È dovere delle aziende individuare le soluzioni IIoT prive di criticità e utilizzi illeciti utilizzabili in modo efficace nell’ambito della sicurezza sul lavoro, perché sono appunto le aziende a essere responsabili sia di eventuali infortuni dei dipendenti, sia della mancata tutela dei loro dati sensibili.
Smart Track propone la soluzione Connected Workers, un sistema integrato che gestisce i dati sensibili rilevati anonimizzandoli e rispettando principi e normative di protezione della privacy.
Con Connected Workers a essere tutelati non saranno solo i dati dei lavoratori, ma anche i lavoratori stessi e le aziende.
Contattaci per una demo gratuita.