Come è ormai noto lo smart working (o lavoro agile, per usare la terminologia del legislatore italiano), è divenuto il mezzo d’elezione dello svolgimento dell’attività lavorativa durante l’emergenza Covid-19 ed è configurabile come una modalità di esecuzione del rapporto di lavoro subordinato contraddistinto dall’assenza di vincoli orari o spaziali.
L'imprenditore che installa un dispositivo biometrico per la rilevazione della presenza in servizio dei lavoratori deve prestare particolare attenzione ai rischi privacy. Nel dubbio sulla regolarità della cattura delle impronte digitali meglio sostituire il dispositivo con metodi più tradizionali.Lo ha evidenziato il garante per la protezione dei dati personali con l'ordinanza ingiunzione n. 301 del 15 settembre 2022.
Il GDPR prescrive che il personale che tratta dati personali debba essere istruito, e molte aziende hanno una formazione standard a cui sottoporre tutti i dipendenti. E' possibile però riscontrare una differenza di fabbisogno formativo e/o istruzione in base alla data di assunzione di personale dipendente che ha la funzione di trattare i medesimi dati.
Con riferimento al trattamento dei dati personali in ambito lavorativo va precisato che il 14 marzo 2020 è stato sottoscritto il protocollo di sicurezza anti-contagio adottato ai sensi dell’art. 1, n. 7, lett. d) del DPCM 11 marzo 2020, integrato dal più recente protocollo del 24 aprile 2020. Come noto il documento è stato realizzato per agevolare gli enti e le imprese nell’adozione di protocolli di sicurezza anti-contagio, ovverosia Protocollo di regolamentazione per il contrasto e il contenimento della diffusione del virus COVID 19 negli ambienti di lavoro, ma contiene importanti disposizioni anche in materia di privacy.
Il mese scorso era stata sanzionata dall’autorità francese per la privacy (CNIL) con una bacchettata da 400.000 euro, ma i guai sui dati personali sembrano non finire per la RAPT. Infatti, la società francese che gestisce gran parte dei trasporti a Parigi e un gran numero di linee nei quartieri e comuni periferici con autobus, metro, e tram, nei giorni scorsi è finita di nuovo sotto la lente per un data breach che ha visto mettere a repentaglio i dati di 57mila dipendenti.
Il Tribunale del Lavoro di Roma ha dichiarato nullo il licenziamento per giusta causa irrogato da una compagnia aerea a un dirigente, avendo la società utilizzato informazioni ottenute attraverso un «illecito accesso alla corrispondenza» del manager e, quindi, in violazione dell’articolo 4 dello statuto dei lavoratori e della normativa europea e nazionale sulla privacy.
Per leggere questo articolo devi essere registrato ed effettuare il login!
I datori di lavoro devono ridurre al minimo il trattamento di dati personali dei lavoratori, limitandolo ai dati necessari per lo scopo perseguito nel singolo caso (principio della limitazione delle finalità).
La registrazione occulta della riunione aziendale da parte di un lavoratore con cessione, a distanza di due anni, ad altri colleghi costituisce un trattamento illecito di dati personali. L’utilizzo della registrazione da parte dei colleghi in un autonomo contenzioso contro il datore realizza un comportamento altrettanto illecito e comporta una sanzione pecuniaria a loro carico in base al Regolamento UE 2016/679 (articoli 58 e 83).
Come noto il GDPR dopo aver definito il dato biometrico (art. 4, n.14) come il dato personale ottenuto da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici, ha altresì inserito tale tipologia di dati - in ragione della loro delicatezza - derivante dalla stretta (e stabile) relazione con l’individuo e la sua identità- tra i “dati particolari” (art. 9, par. 1 del Regolamento UE 2016/679).
Con la sentenza 33809/2021 depositata il 12 novembre scorso la quarta sezione civile della Cassazione, competente in materia di lavoro, presieduta da Guido Raimondi – ex presidente della CorteEdu – si è occupata del caso di un dirigente commerciale di un’azienda che, al termine del rapporto di lavoro, aveva restituito al datore di lavoro il pc aziendale avuto in dotazione asportando alcuni dati e cancellandone degli altri attinenti e-mail, numeri di telefono ed informazioni su prodotti e metodi di produzione.
