Privacy dei dipendenti: Quali dati i datori di lavoro non hanno il diritto di ottenere?

Nell'era digitale, l'informazione è il valore più importante. Elaborati algoritmi invisibili seguono ogni nostro clic online per costruire il nostro ritratto dettagliato per pubblicità mirate. I social media sanno e possono dire di noi più di quanto siamo disposti ad ammettere. Persino i nostri datori di lavoro possono tracciare tutto ciò che facciamo all'interno delle mura dell'ufficio, e talvolta anche all'esterno.

Nel 2022, un contabile americano ha perso il lavoro dopo aver partecipato alla World Naked Bike Ride. Il suo hobby non era legato alla sua carriera; era fuori servizio mentre pedalava e non ha pubblicato alcuna foto di sé online. Tuttavia, il suo capo ha deciso di licenziarlo dopo aver visto un volto familiare nell'immagine postata da un altro partecipante.

Questo caso non è unico. I dipendenti possono raccogliere una grande quantità di dati sui loro collaboratori, dai recapiti di base alle esperienze lavorative passate, dalle informazioni sulla salute alle opinioni politiche. La raccolta di dati essenziali è necessaria per le buste paga, la gestione delle prestazioni o altri scopi aziendali legittimi. Raccogliere altre informazioni personali e prendere decisioni manageriali sulla base di esse è illegale e non etico, ma dove sta il limite?

Questo articolo cerca di tracciare questa linea di demarcazione e di approfondire la questione critica di quali dati i datori di lavoro non hanno il diritto di ottenere. In definitiva, il nostro obiettivo è fornire un punto di partenza per comprendere i limiti che i datori di lavoro devono rispettare quando raccolgono i dati dei dipendenti.

I limiti dei dati che un datore di lavoro può raccogliere sono dettati dalla legislazione sulla privacy e sul lavoro. Tuttavia, queste leggi possono variare in modo significativo in tutto il mondo. In questo articolo esploreremo brevemente solo alcune giurisdizioni chiave. Per conoscere le peculiarità legali della vostra zona, vi consigliamo di consultare un avvocato.

Vale la pena notare che la maggior parte delle leggi sulla privacy non riguarda specificamente la raccolta di dati sul posto di lavoro. Esse stabiliscono invece requisiti generali per il trattamento dei dati personali, che devono essere successivamente interpretati per i rapporti tra datore di lavoro e dipendente. Ai fini del presente articolo, descriveremo queste leggi utilizzando i termini "datore di lavoro" e "dipendente".

• Legge sulla portabilità e la responsabilità dell'assicurazione sanitaria (HIPAA) è la legge chiave che protegge le informazioni sanitarie dei dipendenti. Limita l'accesso dei datori di lavoro alle cartelle cliniche dei dipendenti e stabilisce che possono essere utilizzate e divulgate solo per scopi specifici e con l'autorizzazione del paziente.

• Legge sulle persone con disabilità (ADA) protegge le persone con disabilità dalla discriminazione. Questa legge limita anche l'accesso del datore di lavoro alle informazioni mediche dei dipendenti. In particolare, il datore di lavoro può ottenere informazioni mediche solo se sono legate al lavoro o se il dipendente ha bisogno di una sistemazione specifica per la sua disabilità.

• Legge sulle segnalazioni di credito (FCRA) regola le modalità con cui i datori di lavoro raccolgono, utilizzano e divulgano le informazioni creditizie dei dipendenti. In genere, prima di ottenere informazioni sul credito, i datori di lavoro devono avere uno scopo lecito (come un controllo dei precedenti) e il consenso scritto del dipendente.

• Legge sulle relazioni sindacali nazionali (NLRA) protegge, in particolare, il diritto dei dipendenti di discutere le condizioni di lavoro tra loro, anche attraverso i social media. Tuttavia, non garantisce la completa privacy sui social media e i datori di lavoro possono avere un certo margine di manovra per disciplinare i dipendenti che pubblicano messaggi ritenuti pericolosi o minacciosi per il posto di lavoro.

• Privacy Act del 1974: Questa legge si applica principalmente al modo in cui le agenzie federali gestiscono le informazioni personali, ma offre alcuni spunti di riflessione. Stabilisce principi come le "pratiche informative corrette", imponendo alle agenzie di essere trasparenti sulla raccolta dei dati e di limitarne l'uso a scopi legittimi.

Queste sono solo alcune delle principali normative in materia di protezione dei dati. Inoltre, esistono alcune leggi statali, come il California Consumer Privacy Act (CCPA), che garantiscono ai dipendenti alcuni diritti in merito alla raccolta dei loro dati personali da parte dei datori di lavoro.

Il Regolamento generale sulla protezione dei dati, o GDPR, è il principale regolamento che disciplina la protezione dei dati e la privacy nell'UE. Stabilisce un livello elevato di diritti alla privacy, limitando la portata dei dati che i datori di lavoro possono raccogliere e dando ai dipendenti un controllo significativo sui loro dati raccolti dai datori di lavoro.

Sebbene il GDPR non indichi chiaramente quali dati personali possono o non possono essere raccolti, obbliga i datori di lavoro a rispettare i principi di trasparenza e necessità. In altre parole, devono avere una base giuridica valida per la raccolta di ogni tipo di informazione, ad esempio la necessità contrattuale, la sicurezza sul posto di lavoro o la valutazione delle prestazioni. Inoltre, i datori di lavoro devono essere aperti con i dipendenti su quali dati vengono raccolti, come vengono utilizzati e per quanto tempo vengono conservati.

Il GDPR richiede ai datori di lavoro di implementare misure tecniche e organizzative adeguate per proteggere i dati dei dipendenti da accesso, divulgazione, alterazione o distruzione non autorizzati.

In caso di violazione dei dati che comporti un rischio elevato per i diritti e le libertà dei dipendenti, i datori di lavoro devono informare l'autorità competente per la protezione dei dati e le persone potenzialmente interessate.

La Lei Geral de Proteção de Dados (LGPD) del Brasile è una recente legge completa sulla privacy, modellata sul GDPR, che entrerà in vigore nel 2020.

Come il GDPR, la LGPD non indica i dati dei dipendenti che i datori di lavoro non possono raccogliere. Tuttavia, stabilisce un quadro di riferimento per le modalità con cui i datori di lavoro devono raccogliere, utilizzare e conservare le informazioni personali dei dipendenti. I datori di lavoro sono tenuti ad acquisire il consenso dei dipendenti per la raccolta dei loro dati. Possono raccogliere solo i dati strettamente necessari per adempiere al contratto di lavoro, per garantire la sicurezza dell'ambiente di lavoro, per indagare su comportamenti scorretti o per altri scopi aziendali legittimi. Devono garantire che i dati raccolti siano archiviati in modo sicuro e protetti da accessi non autorizzati, divulgazione, alterazione o distruzione. Infine, in caso di violazione dei dati che comporti un rischio elevato per i diritti e le libertà dei dipendenti, i datori di lavoro devono informare l'Autorità nazionale brasiliana per la protezione dei dati (ANPD) e le persone potenzialmente interessate.

In Cina i dati personali sono protetti dalla legge sulla protezione delle informazioni personali (PIPL). La PIPL definisce le "informazioni personali" in senso lato come tutti i dati che possono identificare una persona, da soli o combinati con altre informazioni. Queste informazioni includono i dati dei dipendenti, come il nome, le informazioni di contatto, la storia lavorativa, le valutazioni delle prestazioni e le cartelle cliniche (con ulteriori restrizioni).

Secondo la PIPL, i datori di lavoro possono raccogliere ed elaborare i dati dei dipendenti solo dopo aver ricevuto il loro consenso. La legge prevede anche altri motivi legali, tra cui la necessità contrattuale, l'adempimento di obblighi legali (casi in cui la raccolta dei dati è richiesta dalla legge cinese) e gli interessi legittimi.

Analogamente al GDPR e al LGPD, il PIPL obbliga i datori di lavoro a essere trasparenti sulle pratiche di raccolta dei dati, in particolare fornendo una politica sulla privacy chiara e accessibile e implementando misure di sicurezza ragionevoli per proteggere i dati dei dipendenti da accessi non autorizzati, divulgazione, alterazione o distruzione.

Le norme descritte sembrano dare ai datori di lavoro la libertà di raccogliere quasi tutti i dati personali, a patto di poterli spiegare con finalità aziendali. In pratica, però, non è così.

I datori di lavoro non hanno il diritto di raccogliere determinati dati senza una giustificazione legittima e senza il consenso dei dipendenti. Questi dati rientrano generalmente nelle seguenti categorie:

I dati sensibili si riferiscono a informazioni personali che possono essere utilizzate per discriminare un individuo o per rivelare aspetti privati della sua vita. Questi dati includono, ma non si limitano a razza ed etnia, religione, convinzioni filosofiche, orientamento sessuale, identità di genere e opinioni politiche.

La raccolta e l'utilizzo di questi dati può portare a discriminazioni nelle assunzioni, nelle promozioni o in altre decisioni manageriali. Può anche creare un ambiente di lavoro scomodo o ostile per i dipendenti.

Molte giurisdizioni limitano l'accesso dei datori di lavoro alle informazioni sanitarie dei dipendenti. Tuttavia, esistono alcune eccezioni:

• Il dipendente fornisce il consenso scritto.

• Le informazioni sono necessarie per gestire un piano sanitario o per motivi di sicurezza sul posto di lavoro (ad esempio, valutazioni di idoneità al lavoro o predisposizione di sistemazioni speciali per la disabilità).

• La divulgazione è richiesta dalla legge (ad esempio, richieste di risarcimento dei lavoratori o richieste di congedo).

Non c'è alcun motivo legittimo per cui i datori di lavoro raccolgano dati finanziari approfonditi sui dipendenti, al di là delle informazioni di base a fini retributivi e fiscali. I dati off-limits, in questo caso, includono i dettagli dei conti bancari, i punteggi di credito e le partecipazioni agli investimenti.

Sebbene i datori di lavoro possano avere un interesse legittimo a monitorare la condotta dei dipendenti, non possono estendere il loro monitoraggio agli account personali sui social media. Ad esempio, i datori di lavoro non possono richiedere ai dipendenti di chiedere l'amicizia sui social media o di accedere agli account privati, perché i dipendenti hanno il diritto alla privacy nell'uso dei social media.

Il diritto alla privacy dei dipendenti li protegge dal monitoraggio del datore di lavoro durante il loro tempo libero. Il monitoraggio da parte del datore di lavoro si estende generalmente solo all'orario di lavoro e alle attività connesse al lavoro. Nella maggior parte delle giurisdizioni la raccolta di dati sulle attività dei dipendenti fuori dal servizio è limitata, a meno che non vi sia una legittima giustificazione commerciale e non violi i diritti alla privacy.

Secondo la rivista Harvard Business Review, Il 67,6% delle aziende nordamericane con più di 500 dipendenti traccia l'attività lavorativa dei dipendenti con un software speciale. Un'altra ricerca riassunta da WifiTalenti afferma che quasi il 96% delle organizzazioni intervistate utilizza una qualche forma di tecnologia di monitoraggio dei dipendenti.

Per sua natura, il software di monitoraggio dei dipendenti può raccogliere dati approfonditi sui dipendenti. Le sue funzioni più comuni includono il monitoraggio della posta elettronica, il controllo dell'attività su Internet, la registrazione dello schermo, il monitoraggio dell'uso delle app e persino la sorveglianza video e audio. Il monitoraggio dei dipendenti persegue obiettivi nobili, come garantire una corretta comunicazione aziendale, prevenire le minacce alla sicurezza e migliorare la produttività. Tuttavia, se non viene implementato tenendo conto di considerazioni legali ed etiche, può occasionalmente raccogliere dati personali non consentiti.

La legalità delle pratiche di monitoraggio dei dipendenti può variare a seconda del luogo. Alcune normative, come il GDPR, impongono diritti più severi in materia di privacy dei dipendenti, limitando la portata del monitoraggio consentito. Per questo motivo, i datori di lavoro dovrebbero studiare e comprendere le leggi applicabili nella loro zona prima di implementare qualsiasi tipo di monitoraggio dei dipendenti.

Da un punto di vista etico, i principi di trasparenza, proporzionalità e giustificazione dovrebbero guidare l'uso del software di monitoraggio dei dipendenti. I datori di lavoro devono limitare la raccolta dei dati agli aspetti strettamente necessari e bilanciare la raccolta dei dati con i diritti alla privacy dei dipendenti. Il modo migliore per farlo è scegliere soluzioni di monitoraggio dei dipendenti adattabili, che possano essere facilmente adattate per evitare di raccogliere dati eccessivi.

In questo caso, è possibile disattivare le funzioni di tracciamento non necessarie per evitare di raccogliere dati eccessivi e rispettare le normative vigenti.

Considerate anche i programmi di monitoraggio che consentono ai dipendenti di avviare e interrompere il monitoraggio manualmente. Questa opzione consente ai dipendenti di proteggere i dati che non desiderano vengano registrati. È particolarmente utile per i dipendenti remoti o per quelli che utilizzano dispositivi personali per il lavoro.

La comprensione dei diritti alla privacy è fondamentale non solo per i datori di lavoro, ma anche per i dipendenti. Permette loro di avere il controllo dei propri dati personali in tutte le sfere della loro vita, compreso il luogo di lavoro. I diritti specifici concessi ai dipendenti e le leggi pertinenti variano a seconda del luogo in cui si trovano. Ad esempio, il GDPR, la LGPD e la PIPL garantiscono ai dipendenti diversi diritti importanti sui loro dati:

Il diritto di accesso: I dipendenti possono richiedere l'accesso ai propri dati personali in possesso del datore di lavoro.

Il diritto alla rettifica: I dipendenti possono richiedere la correzione di dati inesatti o incompleti.

Il diritto alla cancellazione (noto anche come "diritto all'oblio"): In determinate circostanze, i dipendenti possono richiedere la cancellazione dei propri dati personali.

Il diritto di limitare il trattamento: I dipendenti possono limitare l'utilizzo dei loro dati.

Il diritto alla portabilità dei dati: I dipendenti possono chiedere di ricevere i propri dati personali in un formato strutturato e comunemente utilizzato e di trasferirli a un altro datore di lavoro (se tecnicamente fattibile).

È importante notare che questi sono solo esempi generali. Invitiamo i dipendenti a consultare le risorse legali o i professionisti della privacy per comprendere i loro diritti specifici in materia di privacy dei dati sul posto di lavoro.

L'era digitale ha reso meno netti i confini tra lavoro e vita privata. I datori di lavoro possono raccogliere e accedere a vasti dati dei dipendenti, sollevando questioni critiche sulla privacy e sui confini etici. I legittimi interessi aziendali dei datori di lavoro, come la sicurezza, la produttività e la conformità legale, non devono oltrepassare il confine tra la necessità e la vita privata dei dipendenti. Le aziende devono comprendere i limiti legali e bilanciare i propri interessi con il rispetto dei diritti dei dipendenti.

Per le aziende, consigliamo di consultare un consulente legale per assicurarsi che le pratiche di raccolta dei dati siano conformi alle leggi vigenti. Considerate l'implementazione di politiche sulla privacy chiare e accessibili che illustrino i tipi di dati raccolti, le modalità di utilizzo e i diritti dei dipendenti in merito ai loro dati.

Per i dipendenti, consigliamo di familiarizzare con i propri diritti in materia di privacy sul posto di lavoro. Molte giurisdizioni riconoscono ai dipendenti il diritto di accedere, rettificare o addirittura cancellare i propri dati personali. Non esitate a chiedere un parere legale o a consultare dei professionisti della privacy se avete dei dubbi sulla raccolta dei vostri dati da parte del vostro datore di lavoro.