Pubblicato da

Novembre 25, 2016

Trattamento dei dati di candidati e dipendenti: intervista a Nadia Martini

Categories
Gestione del personale Ricerca e Selezione Tutti gli articoli

Tutte le aziende devono affrontare il delicato tema del trattamento dei dati di candidati e dipendenti.

Anche Altamira, in quanto fornitrice di piattaforme HR, si sottopone regolarmente ad assessment presso studi legali accreditati specializzati nella tutela dei dati personali.

Proprio su questi argomenti abbiamo intervistato il nostro avvocato di riferimento Nadia Martini, esperta di Data Protection e Privacy, Intellectual Property, Information Technologies, Compliance.

Riteniamo, infatti, che tra il rischio di ingenti sanzioni e le nuove opportunità aperte dal nuovo regolamento europeo, i motivi per fare chiarezza su questi temi siano sempre maggiori.

Per saperne di più, leggi l’intervista riportata di seguito!


Cosa deve fare un’azienda per garantire un trattamento dei dati dei candidati in regola con il Nuovo Regolamento Europeo sul Trattamento dei Dati?

Il Nuovo Regolamento Europeo sul Trattamento dei Dati introduce diversi cambiamenti, nuovi obblighi e nuovi diritti (ne abbiamo trattato nel dettaglio in questo articolo, NdR).

L’introduzione di questi nuovi obblighi e diritti va a impattare su documenti, procedure, misure di sicurezza e tutta l’impalcatura della privacy che una azienda già ha.

La prima cosa da fare per un’azienda è quindi approfittare del primo strumento che il regolamento mette a disposizione per capire che cosa fare e come mettersi in regola: l’assessment (articolo 34).

Parlando di candidati e dipendenti, l’assessment consiste nell’analisi del trattamento dei loro dati fatta in azienda: vedere quali dati si trattano, mapparli, individuare il flusso, la fonte, come vengono trattati, finalità e modalità e individuazione del rischio. Si parte, quindi, da una valutazione della situazione as is. A questo punto si va a comparare quello che c’è con la normativa comunitaria e – già che ci siamo – con quella nazionale, comunque in vigore fino al 2018.

Si esegue quindi una analisi del gap (lo scarto) tra la situazione riscontrata e le normative, individuando le non conformità.

Nel caso in cui l’azienda sia in linea con i requisiti, può comunque dedicarsi ai miglioramenti, sfruttando il lavoro non per un fine di compliance ma di business. Alcune aziende, per esempio, mi chiedono se possono utilizzare i dati dei candidati a fini marketing e come farlo. Oppure vogliono creare un profilo di candidatura – una profilazione – e fare delle analisi statistiche profilate.

Dopo aver individuato le non conformità si stabiliscono le azioni operative di correzione e miglioramento per poi passare alla parte più dura, quella dell’implementazione. In questa fase l’importante è adottare le migliori procedure per la propria azienda, a seconda del livello di rischio e dei trattamenti riscontrati.

Ma che succede una volta finito? La novità interessante è che ora l’azienda può far sapere a tutti di essere perfettamente in regola. Può infatti pubblicizzarlo richiedendo una certificazione, un bollino di qualità a un ente apposito (come ci aspettavamo qualche settimana fa è stata incaricata Accredia).Grazie all’assessment, l’azienda avrà già in mano tutti i documenti necessari per ottenerlo.

Questo bollino di qualità potrà essere speso a livello di marketing, employer branding ecc.


Sembrano esserci tante opinioni diverse sulla lunghezza del periodo di archiviazione dei dati dei candidati. Qual è la sua posizione? Cambierà con il Nuovo Regolamento Europeo sul Trattamento dei Dati?

La realtà è che non esiste una norma precisa che indichi per quanto tempo vadano conservati questi dati. Sia la normativa comunitaria che quella nazionale non danno una lunghezza precisa, ma entrambe parlano in maniera più generale di tempo minimo necessario per permettere il trattamento dei dati dei candidati.

In Italia c’è una buona prassi diffusa – che a mio avviso rimarrà in vigore anche in futuro –, per cui i dati personali dei candidati vengono conservati per 6 mesi, passati i quali si invia una email al candidato per informarlo dell’imminente cancellazione del suo account in quanto quasi “scaduto”. Per evitarlo, il candidato può aggiornare i suoi dati o esprimere in altro modo il suo interesse a permanere nel database dell’azienda.

In sostanza, quando non c’è più l’esigenza, decade anche la necessità del trattamento dei dati.

La stessa logica si applica ai dipendenti. I dati ovviamente vengono conservati per tutta la durata del contratto di lavoro in quanto indispensabili per una serie di necessità.

Cessato il rapporto con i dipendenti, a mio avviso l’azienda li può tenere per 10 anni per finalità fiscali, contabili ecc. e per 5 anni per finalità di pagamento contributi, perché la prescrizione lì è più breve.


Per quanto riguarda i dipendenti, è corretto affermare che l’azienda può raccogliere tutti i dati che desidera?

La cosa fondamentale è fare un match tra il dato che l’azienda vuole raccogliere e la necessità del trattamento. Se quei dati che l’azienda raccoglie servono per esempio per gestire i rapporti di lavoro, per la candidatura, per pagare i contributi, per gestire eventuali contenziosi, per permettere l’accesso all’azienda stessa con il badge ecc. è chiaramente possibile raccoglierli e utilizzarli.

In altri casi questa necessità non c’è o non c’è più. Per esempio, adesso nel certificato medico inviato all’azienda non è più presente l’indicazione della malattia. Questa informazione rimane esclusivamente nel rapporto tra il paziente e il suo medico, che manda la comunicazione all’azienda in forma più anonima.

Facciamo un altro esempio. Se un’azienda paga emolumenti aggiuntivi per le donne incinte, chiaramente deve sapere chi lo è. Questo dato, anche se sensibile, diviene quindi necessario, altrimenti l’azienda non potrebbe sapere a chi concedere l’aspettativa ecc.

Il suggerimento, ricapitolando, è quello di guardare ogni dato che vogliamo raccogliere e vincolarlo a una finalità per l’azienda.

Tutto questo confluisce nell’informativa sulla privacy, che non è un semplice documento ma una vera e propria fotografia del trattamento che vuoi fare. Ecco perché è utile!


È possibile per altri dipendenti trattare i dati di colleghi?

Mettiamo il caso che un dipendente sia malato a casa e un collega debba accedere al suo PC per recuperare dei documenti che non sono stati salvati sulla rete aziendale.

In questo caso la normativa nazionale prevede due modi per autorizzare il trattamento, che verosimilmente saranno confermati anche dalla normativa comunitaria.

Il primo è informare il dipendente i cui dati vengono trattati con qualche riga all’interno della informativa sulla privacy.

L’azienda o un responsabile interno possono nominare uno o più dipendenti come sostituti nel caso in cui il dipendente X sia assente o come incaricati, per esempio, della gestione delle password di accesso ai PC. In caso di assenza di quel dipendente o di emergenza queste persone potranno quindi accedere al suo PC e guardarne i contenuti.

Una grande soluzione, a mio avviso, è arrivata l’anno scorso con il Jobs Act, articolo 4 comma 2, che dà la possibilità al titolare di accedere ai dati raccolti dagli strumenti aziendali usati dal dipendente – per esempio uno smartphone o un PC. Per poterlo fare il titolare deve redigere un regolamento per l’uso degli strumenti aziendali. In questo regolamento specifica le modalità d’uso degli strumenti e informa di potere, in situazioni di anomalia o emergenza ben documentate, accedere a campione ai dati conservati sui dispositivi usati dai dipendenti.

È importante sottolineare che non si tratta di un controllo a distanza, ma di un controllo a campione giustificato dalle situazioni di emergenza illustrate nel documento.

In questo caso il titolare nominerà l’amministratore di sistema, tendenzialmente il responsabile IT dell’azienda, come incaricato a fare questi controlli a campione e ad accedere ai dati dei dipendenti.

In definitiva, serviranno diversi documenti ben fatti: l’informativa sul trattamento dei dati, il regolamento sull’uso degli strumenti aziendali e la nomina di amministratore di sistema.


Quali garanzie deve dare un fornitore esterno per poter procedere al trattamento dei dati dei dipendenti e candidati di una azienda?

Il fornitore esterno deve essere nominato dall’azienda responsabile esterno al trattamento dei dati tramite un apposito contratto – in Italia chiamato Nomina. In questo contratto l’azienda specifica le garanzie che il responsabile deve darle sul lavoro che svolge per essa.

Nel caso specifico di una piattaforma elettronica in cui vengono archiviati tutti i dati dei dipendenti, il titolare dovrà richiedere nella nomina tutta una serie di misure di sicurezza, che il responsabile esterno dovrà adottare.

Per la normativa italiana vigente, le misure di sicurezza sono quelle previste dall’articolo 31, 34 e 35 del codice privacy. Si tratta tendenzialmente di misure tecnologiche, di autentificazione, di separazione dei dati sensibili dai non sensibili (se ha senso), della gestione del firewall, dell’antivirus, del backup e di tutte quelle misure che il responsabile ritiene opportune per la situazione di rischio.

Tendenzialmente, una azienda non può conoscere in anticipo la situazione di rischio del responsabile ma deve fidarsi assumendosene il rischio.

Quello che suggerisco di fare durante la negoziazione del contratto di fornitura è richiedere un documento (in Italia si chiamava documento programmatico sulla sicurezza) che elenchi tutte le misure tecnologiche e non adottate dal provider per vedere se sta adottando solo le misure minime previste dalla nostra normativa nazionale o quelle idonee che il regolamento europeo chiede e chiederà, per esempio la cifratura, la pseudoanonimizzazione e il criptaggio.

Se ho davanti un provider che non ha solo firewall, antivirus e backup ma anche pseudoanonimizzazione e criptaggio posso stare molto più tranquilla.

Queste misure più avanzate diventano obbligatorie dal 2018 ma questo non vuol dire che non possiamo adottarle già da ora per essere più sicuri.

Un’altra cosa importante è verificare dove sono i server: se si trovano in India o nell’Europa dell’Est, qualche dubbio mi verrebbe perché è sicuramente un indice di rischio.


Si può effettuare il trattamento dei dati con paesi extra UE?

È sempre possibile effettuare il trasferimento dei dati di dipendenti e candidati verso aziende extra UE. L’importante è avere le giuste accortezze, sia nel rispetto della norma comunitaria che di quella nazionale, che su questo punto sono fondamentalmente allineate.

La prima cosa da verificare è di quale Paese si stia parlando e se l’Unione Europea ha emanato una decisione di adeguatezza nei suoi confronti.

La Svizzera, per esempio, è un Paese adeguato e in quanto tale possiamo tranquillamente trasmettere i dati verso di esso. Devo solo informare il dipendente, senza alcun bisogno di richiedere il suo permesso e menzionando la decisione dell’UE che mi permette il trasferimento.

Possono però esserci nazioni considerate non in linea con la normativa privacy europea. In questo caso l’azienda ha di fronte una serie di possibili soluzioni, di cui vale la pena menzionarne due.

1) La mia preferita. Raggiungo un accordo con l’azienda extra UE a cui trasferisco i dati e inserisco all’interno della informativa le apposite standard contractual clauses. Le standard contractual clauses sono quelle clausole approvate dalla Commissione e visibili sul suo sito – quindi pubbliche – che regolamentano il comportamento da tenere nelle diverse situazioni.

In questo caso non c’è bisogno del consenso del dipendente, ma va comunque informato. Quindi all’interno dell’informativa informerò candidati e dipendenti che i loro dati possono essere trasferiti extra UE e lo saranno sulla base di standard contractual clauses approvate dalla Commissione Europea.

2) Un metodo che non suggerisco mai ma è il più usato in Italia.

Secondo questa prassi, l’azienda inserisce la clausola sul trasferimento dati extra UE all’interno della informativa privacy che sottopone al dipendente. Il consenso deve essere specificatamente espresso perché questo tipo di trattamento abbia valore.

Il problema di questo metodo sta nel fatto che, in realtà, il consenso dato deve essere libero per principio. Ma in un caso come questo, in cui il consenso è richiesto come condizione indispensabile per l’assunzione, difficilmente lo si può definire tale.

Si tratta, insomma, di una soluzione ambigua e poco amata dai sindacati e non c’è ragione di perseguirla quando esistono semplici soluzioni alternative come le standard contractual clauses.

Corri il rischio, inoltre, che in futuro il dipendente possa recriminare di averti dato quel consenso in maniera non libera. In questo caso, l’azienda si espone a una possibile sanzione fino a 120.000 euro per consenso estorto con rischio penale e civile.




Crediti fotografici: ©blue_island/Fotolia