- L’uso dei social network nella selezione del personale
La rete sta offrendo grandi opportunità per l’impiego, sia per chi ricerca di posti di lavoro sia per chi, invece, il personale da assumere lo sta cercando.
In quest’ultimo ambito occorre fare la massima attenzione, in quanto la prassi di cercare informazioni sui social network è ormai una prassi consolidata che però può presentare non pochi problemi.
Partiamo prima di tutto dalle piattaforme che hanno un contenuto tipicamente professionale, come Linkedin. Queste piattaforme consentono la raccolta di dati di potenziali candidati, che potranno essere contattati in base alle loro caratteristiche professionali.
In questo caso, però, vanno ricordate due cose fondamentali. In primo luogo va rispettato quanto previsto dall’articolo 14 del GDPR che disciplina proprio il caso in cu i dati non siano raccolti presso l’interessato. Il Regolamento prevede che in questi casi vada fornita una informativa, il cui contenuto rispecchia praticamente tutti i requisiti di cui all’articolo 13.
L’ informativa (i) va fornita al massimo entro un mese dalla raccolta dei dati, oppure (ii) al momento della prima comunicazione con l’interessato, se i dati sono raccolti per comunicare con lui, ovvero ancora, (iii) se i dati verranno comunicati ad un terzo, al momento della comunicazione a questo terzo.
Vi possono essere quindi varie ipotesi:
- I dati vengono raccolti durante una ricerca ed essendo destinati a consentire la comunicazione con l’interessato, l’informativa dovrà essere fornita al momento della prima comunicazione;
- I dati vengono raccolti in quanto si tratta di un profilo professionale interessante e potranno essere utilizzati in seguito. In questo caso scatta il termine dei trenta giorni.
- I dati sono raccolti per essere comunicati ad un terzo: in questo caso l’informativa dovrà essere fornita al più tardi dal momento di tale comunicazione.
Il secondo aspetto, ma non secondario, che va ricordato è che vanno rispettati i termini di servizio del Network: ricordiamo che recentemente il Garante ha sanzionato una società per aver contattato (tramite la messaggistica interna del Network) una utente di Linkedin per pubblicizzare i propri servizi, in violazione per l’appunto delle condizioni di uso di Linkedin (provvedimento del 16.09.2021, d.w. 9705632).
Il caso delle piattaforme “professionali” è tutto sommato il più semplice da gestire in termini di privacy; quello che invece crea maggiori problemi è la raccolta di informazioni attraverso altri tipi di social network, come Instagram, Facebook, e simili.
Qui c’è da fare una precisazione, per evitare equivoci. La definizione stessa di “social network” rende esplicita la natura di queste reti: si tratta di piattaforme dove gli utenti vanno per socializzare, all’interno delle quali si rendono pubblici e si scambiano con gli altri iscritti dati ed informazioni personali, si pubblicano foto e video che, spesso, contengono dettagli non da poco sulla vita privata di chi le pubblica, sui loro gusti, sulle loro idee politiche e non, ecc. Tutti questi dati sono nella maggior parte disponibili a seconda delle impostazioni date e dei filtri utilizzati da ciascun utente. È nozione comune che ciò che è reso manifestamente pubblico da un soggetto non può essere oggetto di tutela di riservatezza in quanto foto e informazioni “pubblicate sul proprio profilo personale, proprio in quanto già dì per sé destinate ad essere conosciute da soggetti terzi, sebbene rientranti nell’ambito della cerchia delle c.d. “amicizie” del social network, non possono ritenersi assistite da tale protezione, dovendo, al contrario, essere considerate alla stregua di informazioni conoscibili da terzi. In altri termini, nel momento in cui si pubblicano informazioni e foto sulla pagina dedicata al proprio profilo personale, si accetta il rischio che le stesse possano essere portate a conoscenza anche di terze persone non rientranti nell’ambito delle c.d. “amicizie” accettate dall’utente, il che le rende, per il solo fatto della loro pubblicazione, conoscibili da terzi ed utilizzabile anche in sede giudiziaria” (Tribunale di S. Maria Capua Vetere, 13.06.2013 www. https://www.studiozallone.it/tribunale-s-m-capua-vetere-13-06-2013/
Fatta questa doverosa premessa sulla riservatezza (o meglio, sulla mancanza di riservatezza) relativamente alle informazioni condivise nell’ambito di un social network, cmpletamente diversa è invece la prospettiva per quanto riguarda l’uso di queste informazioni nell’ambito lavorativo. L’articolo 8 dello Statuto dei Lavoratori, come è noto, vieta di effettuare “indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”. La logica e diretta conseguenza è che l’uso di informazioni di tipo personale e non professionale pubblicate sui social networks, ad esempio al fine di valutare la personalità di un candidato o per raccogliere informazioni su un dipendente, rientrano di diritto in quei “fatti non rilevanti” la cui conoscenza è preclusa al datore di lavoro. Ricordo qui che la violazione dell’articolo 8 è sanzionata penalmente; per quanto riguarda le sanzioni in materia di privacy, la situazione è più complessa: l’articolo 166 del Codice privacy (come novellato dal d. lgs 101/2018) non prevede specifiche sanzioni pecuniarie per la violazione dello stesso art. 8, ma l’articolo 113 dello stesso Codice privacy fa espressamente salva l’applicabilità dell’articolo 8 dello Statuto, la cui violazione, di conseguenza, potrebbe essere ritenuta un trattamento in violazione del principio di liceità (cosa, peraltro, già avvenuta) ed essere quindi sanzionata ai sensi dell’art. 83.5.a) del GDPR.
In conclusione:
- Recuperare e utilizzare dati di profili professionali da un social network od una piattaforma ad hoc comporta un trattamento di dati personali e, quindi, l’obbligo di inviare l’informativa nei tempi e nei modi previsti dall’art. 14 del GDPR.
- Andare alla ricerca di informazioni sui candidati attraverso altri social networks (Facebook, Instagram, ecc) comporta la possibile violazione dell’articolo 8 dello Statuto dei Lavoratori e dell’articolo 10 del decreto legislativo 10 settembre 2003, n. 276 con le relative sanzioni.
- MINE, un nuovo soggetto che richiede la cancellazione di dati
Da qualche tempo è apparso un servizio offerto da una piattaforma gestita da un nuovo soggetto, MINE, che apparentemente fornisce ai propri utenti un servizio c.d. di “pulizia digitale”. Per chi volesse ulteriori informazioni sul servizio, si possono reperire sul sito https://saymine.com/ . In pratica, questo servizio promette di riuscire a recuperare le impronte lasciate in rete da un soggetto, individuando chi detiene i suoi dati e consentendo, quindi, di chiederne la cancellazione. Le richieste, tutte uguali, arrivano dall’indirizzo mail dell’utente che presenta la richiesta, il cui testo è il seguente:
“ Hi, My name is XXXX YYYY, I’ve used your service in the past.
However, I’m now making the conscious decision to reduce my digital footprint and as a result I ask you to please delete any personal data of mine you have stored on your systems.
My personal details are:
- Name: XXXX YYYY
- Email: XXXX YYYY@gmail.com
I used Mine’s technology to discover my data and send deletion requests from my own inbox (see from address). I Would appreciate a confirmation once my data has been deleted from all your company’s data sources.
Companies: You can discover your company’s hidden sources and make sure all user data is deleted, using Mine.
Thanks,
XXXX YYYY
Powered by Mine®
Mine Request: *****”
Mentre inizialmente le richieste che giungevano tramite questo servizio erano abbastanza poche, da qualche tempo stanno aumentando in maniera considerevole.
La prima cosa che caratterizza tali richieste è la loro assoluta genericità: non vi è infatti alcuna indicazione dell’occasione in cui il soggeto che richiede la cancellazione sarebbe stato contattato (potrebbe aver ricevuto una mail di risposta o un forward), ma in ogni caso non viene allegata la comunicazione che si sostiene di aver ricevuto né di come e perché il titolare sarebbe venuto a contatto con chi effettua la richiesta, rendendo potenzialmente particolarmente oneroso andare a effettuare le ricerche del caso; infine non viene fornito alcun documento di identità a riprova dell’identità del soggetto.
Di fronte a queste richieste il consiglio è di rispondere esattamente in questi termini, cioè contestando la genericità della richiesta, chiedendo maggiori spiegazioni ed informazioni, oltre che un documento per confermarne o verificarne l’identità. Queste richieste di maggiore precisazione e di un documento non sono un artifizio per prendere tempo, ma sono espressamente previste dai considerando 63 e 64 del GDPR, per cui esse servono prima di tutto per dare un riscontro, nei 30 giorni previsti, alla richiesta dell’interessato (articolo 12 del GDPR). Quello che rimane da capire chi gestisce e finanzia questo “servizio” dai lati un po’ oscuri: si tratta di un soggetto che, pur operando al di fuori della UE, di fatto gestisce dati di cittadini europei, e quindi effettua untrattamento cui si applica il GDPR. La realtà è che ci troviamo di fronte ad alcuni cittadini europei che forniscono alcuni loro dati; i base ai dati forniti questo soggetto scandaglia la rete (con che mezzi e quanto leciti non è dato saperlo) e raccoglie altri dati, sempre qualificabili come dati personali, senza che si sappia bene come tutte queste informazioni siano usate né a quale scopo (nonché se adempia tutta la lunga lista di adempimenti cui un simile soggetto sarebbe sottoposto se fosse residente in EU, visto che nessuno andrà in Israele a controllare).
- Covid e obbligo vaccinale per il lavoratore: Ordinanza del Tribunale di Torino 6714/2021
Il tribunale di Torino ha respinto con l’ordinanza sopra indicata la richiesta di accertamento tecnico preventivo (ATP) presentata da una dipendente di una ditta che non si era sottoposta a vaccinazione. Nel suo ricorso la lavoratrice, sostenendo di avere unicamente il solo reddito da lavoro, chiedeva l’accertamento preventivo al fine di verificare se la vaccinazione avrebbe potuto essere pregiudizievole per la propria salute (e quindi, ovviamente, per poter sostenere di non essere obbligata alla vaccinazione e quindi esentata dal c.d. green pass).
Il tribunale di Torino, con la propria ordinanza, ha respinto il ricorso. Ricordando che il presupposto dell’ATP è la “necessità di procedere senza indugio ad indagini di natura tecnica, in presenza di concreto pericolo che il decorso del tempo possa pregiudicare l’acquisizione della prova (cd. pericolo di dispersione della prova: si pensi, ad esempio, all’esigenza di stabilire le cause del crollo di un edificio, prima che si proceda alla sua completa ed improcrastinabile demolizione). Detto in altri termini, la funzione dell’accertamento tecnico preventivo è quella di preservare, in favore della parte istante, gli effetti di una prova, da assumere in via urgente”.
Questo presupposto di urgenza per la possibile modifica della situazione di fatto, ha sostenuto il Tribunale, nel caso specifico non sussisteva, trattandosi di una situazione non destinata a mutare nel tempo. Poiché, invece, ciò che era paventato era il venire a mancare del reddito di lavoro, non l’ATP avrebbe dovuto chiedere l’istante, ma la sospensione del provvedimento (di sospensione della retribuzione) attuato dal datore di lavoro.
- Google Analytics
Come è noto (ed abbiamo sottolineato nel nostro webinar sui cookies) il recente provvedimento del Garante, entrato in vigore il 10 gennaio, richiede il consenso per l’uso dei c.d. Google Analytics, a meno che non siano anonimizzati. Ora in una sua recente decisione il Garante austriaco ha stabilito che l’uso degli analytics è in violazione del GDPR in quanto Google invia i dati negli USA, senza alcuna protezione e possibilità di opposizione ad eventuali sequestri od accessi da parte del governo USA. La decisione, pubblicata il 13 gennaio, è la prima rispetto a 101 casi attivati da NOYB (l’associazione presieduta da Schrems), mentre le altre sono in attesa di una decisione. Lo scorso dicembre EDPB (il Comitato Europeo per la protezione dei dati) ha emesso una reprimenda nei confronti del Parlamento Europeo per aver utilizzato gli analytics di Google e Stripe nel proprio sito destinato alla prenotazione dei tamponi anti-COVID dai parlamentari. Il Garante olandese, nel rendere noto di avere due casi simili sotto investigazione, ha rilasciato una dichiarazione in cui ha sostenuto che “l’uso dei Google analytics potrebbe essere presto vietato).
Se proprio non si può fare a meno di utilizzare gli analytics, alla luce di questi sviluppi va valutata (ed implementata) con grande attenzione la possibilità di utilizzare gli analytics solo se anonimizzati e bloccando la condivisione dei dati con terze parti, come previsto dal provvedimento del Garante italiano. Non solo si evita di chiedere un ulteriore consenso, ma si pone un primo paletto rispetto al trasferimento dei dati all’estero.
- Vietato l’utilizzo di registrazioni di una riunione di lavoro.
Il Tribunale di Venezia (Sentenza n. 228 del 2 dicembre 2021) ha stabilito l’illiceità, in quanto in violazione del GDPR, dell’uso di una registrazione fatta nel corso di una riunione di lavoro da parte di un dipendente. Costui aveva registrato la riunione, presumibilmente senza avvertire i presenti, mantenendo la registrazione stessa par un periodo abbastanza lungo (due anni). Passato tale periodo aveva ceduto la registrazione stessa ad un altro dipendente, suo collega, che l’aveva usata nell’ambito di un contenzioso con il datore di lavoro. Il datore aveva eccepito, davanti al Garante, che si trattasse di un trattamento illecito, chiedendo quindi la cancellazione della registrazione, ma nella sua decisione (di cui purtroppo non si conoscono gli estremi) il Garante aveva evidentemente respinto il reclamo.
Decidendo in sede di impugnazione sul ricorso dell’azienda, il Tribunale ha ribaltato la originaria decisione del Garante. Basandosi su una stringente interpretazione dell’articolo 5 del GDPR, sia per quanto riguarda le finalità del trattamento (che devono essere esplicite e legittime), che per quanto riguarda il periodo di conservazione, il Tribunale ha osservato che il soggetto che aveva effettuato la registrazione non aveva alcuna esigenza difensiva (che avrebbe potuto legittimare la registrazione senza consenso degli interessati). Il contenzioso, infatti, era nato due anni dopo la registrazione e non tra l’azienda e chi aveva effettuato a registrazione, ma con soggetti diversi; inoltre, proprio la conservazione della registrazione per due anni aveva violato anche il principio dell’art. 5.1 (e) per quanto riguarda la limitazione della conservazione.
Su queste basi il Tribunale ha quindi accertato la illegittimità del Provvedimento del Garante, ha dichiarato illecito il trattamento (con il conseguente obbligo di cancellazione dei dati) ed imposto una sanzione di 5000 euro per la violazione del GDPR.
- Varie
Ammonta ad oltre un miliardo di euro il totale delle sanzioni comminate nel 2021 per violazione della privacy. Il Lussemburgo è in testa alla classifica degli stati che hanno comminato la sanzione più alta, 746 milioni di euro in una sola sanzione comminata ad Amazon. Seguono nella classifica Irlanda, anche qui grazie ad una sola sanzione: 225 milioni a WhatsApp. Più indietro, nell’ordine, Italia, Germania, Spagna, Francia e UK. Importante notare che nel 2020 il totale delle sanzioni non aveva raggiunto i 200 milioni di euro.
Sempre in tema di sanzioni, da segnalare la recente decisione del Garante nei confronti di ENEL Energia per continue violazioni relative a campagne di marketing, prevalentemente telefonico, nonché per gravi mancanze nel rispondere a richieste di esercizio dei diritti da parte di utenti (provvedimento del 16 Dicembre 2021, documento n. 9735672). Proprio questo punto va sottolineato e studiato con attenzione, perché dare riscontro tempestivamente alle richieste che possono arrivare da utenti è fondamentale per evitare che queste richieste, se non ricevono risposta, si trasformino in altrettanti reclami al Garante, con possibili conseguenze anche devastanti. La sanzione applicata dal Garante in questo caso è stata di 26.5 milioni di euro di multa, oltre a varie prescrizioni in materia di trattamento.
A breve sarà pubblicato il piano di ispezioni del Garante per il prossimo semestre. In ogni caso già dalla fine dello scorso anno il Garante, tramite il nucleo di Guardia di Finanza a ciò dedicato, ha ricominciato ad effettuare ispezioni in loco, per cui è bene essere pronti per una simile evenienza.
Dopo il Digital Markets Act, il Parlamento Europeo ha approvato anche la bozza del Digital Services Act. Comincerà ora il c.d. “trialogo”, cioè il negoziato tra Parlamento, Commissione e Consiglio per arrivare alla approvazione del testo definitivo. Ne parleremo nelle prossime Newsletter, in quanto sono due provvedimenti destinati ad influenzare in maniera significativa l’andamento del mercato nei prossimi anni.