Dal GDPR al tritadocumenti: storia di un’informativa disastrosa
Indice dei contenuti
Introduzione
Nel corso della mia attività come DPO, mi è capitato spesso di visionare informative privacy incomplete, generiche o riciclate. Ma l’informativa che mi ha sottoposto recentemente un’azienda cliente — redatta e consegnata ai lavoratori dal Consulente del Lavoro — merita una menzione speciale.
Non solo è giuridicamente scorretta sotto più aspetti, ma denota una totale mancanza di consapevolezza sul funzionamento del GDPR e delle regole fondamentali per il trattamento dei dati personali in ambito lavorativo.
Di seguito, condivido un’analisi dettagliata di ciò che non va.
Richiesta di consenso per trattamenti obbligatori
Il modulo prevede che il dipendente debba esprimere il proprio consenso per il trattamento dei dati personali — anche particolari — ai fini contrattuali e di legge. Una pratica non solo inutile, ma giuridicamente scorretta. I trattamenti necessari all’instaurazione e gestione del rapporto di lavoro si fondano su basi legali obbligatorie, e non richiedono alcun consenso.
L’atto stesso di chiedere il consenso per ciò che è obbligatorio è un errore concettuale grave, che dimostra ignoranza delle basi giuridiche previste dal GDPR. Peggio ancora se si considera che le caselle sono pre-selezionate, rendendo qualsiasi apparente “consenso” giuridicamente invalido.
Contraddizione sulla natura del conferimento dei dati
L’informativa afferma che il conferimento dei dati è “facoltativo”, salvo poi dichiarare che il rifiuto rende impossibile l’instaurazione del rapporto di lavoro. Una contraddizione palese. O è facoltativo, o è obbligatorio.
Anche qui emerge un approccio confusionario e dilettantesco, che finisce per trasmettere messaggi sbagliati al dipendente e depotenziare la validità del documento.
Inserimento del marketing in un’informativa per dipendenti
Fra le finalità del trattamento, compare l’invio di materiale pubblicitario e comunicazioni promozionali. Questa clausola sarebbe già ridicola in un modulo generico, ma nel contesto di un’informativa rivolta a lavoratori subordinati, è francamente imbarazzante.
Un chiaro segnale che si tratta di un documento copiato da un template per clienti, adattato malamente — senza neppure rendersene conto — per l’ambito HR.
Nessuna indicazione chiara delle basi giuridiche
Il documento elenca alcune finalità, come “obblighi contrattuali”, “controllo interno”, “contenzioso”, ma non le collega ad alcuna base giuridica. Il GDPR impone di esplicitare chiaramente su quale norma si fonda ciascun trattamento. Qui, nulla.
Un’informativa redatta in questo modo non è conforme all’articolo 13 del GDPR. Ma soprattutto, non è utile a nessuno: né al lavoratore, né al datore di lavoro, né tantomeno a chi dovrebbe vigilare sul rispetto delle norme.
Dati particolari: nessun riferimento alla base giuridica del trattamento
L’informativa si limita a un vago richiamo al fatto che “i dati sanitari saranno trattati con garanzie scritte”. Peccato che non venga indicata la base giuridica prevista dal GDPR per questo tipo di dati, come l’art. 9(2)(b) per gli obblighi in materia di lavoro.
Si tratta di un’omissione che, se sottoposta a un controllo formale, sarebbe sufficiente per dichiarare illegittimo l’intero trattamento di quei dati.
Mancano i recapiti per l’esercizio dei diritti
Sebbene siano presenti le generalità dell’azienda, non viene indicato un riferimento specifico per l’esercizio dei diritti dell’interessato. Nemmeno un’email generica. Il che rende impossibile esercitare i diritti previsti dagli artt. 15-22 del GDPR.
Periodo di conservazione vago
Viene indicato genericamente che i dati saranno conservati “per un periodo non superiore a quello necessario”, con un solo esempio (le buste paga). Nulla sui criteri di conservazione per altri dati. Un’informazione non sufficiente secondo l’articolo 13(2)(a) del GDPR.
Mancano sezioni fondamentali dell’art. 13 GDPR
Il documento non contiene informazioni essenziali, come:
- Categorie di dati trattati;
- Destinatari specifici (es. consulenti del lavoro, medici competenti);
- Indicazioni su eventuali trasferimenti internazionali;
- Assenza (o presenza) di profilazioni e decisioni automatizzate.
Errori linguistici e refusi
Il documento presenta numerosi errori di battitura e grammatica, che ne compromettono la professionalità. Frasi come “la e la rettifica”, o l’uso scorretto di “riguardando”, rendono il testo farraginoso e poco credibile.
Destinazione dell’informativa: il tritadocumenti
Siamo di fronte a un’informativa profondamente inadeguata, redatta da chi evidentemente non conosce il GDPR né la logica del trattamento dati in ambito lavorativo. Non si tratta di sfumature o formalismi, ma di errori strutturali che compromettono il documento sia sul piano legale che operativo.
Chi affida la protezione dei dati a documenti simili espone l’azienda a rischi gravi, oltre che a sanzioni potenzialmente “salate”.
