Può una azienda imporre ai suoi dipendenti l’utilizzo di una piattaforma di messaggistica esterna come strumento di lavoro?

E’ opportuno ricordare che l’adozione di una piattaforma di messaggistica esterna per la comunicazione tra i dipendenti è a tutti gli effetti uno “strumento di lavoro”.

Sul punto il Garante per la protezione dei dati personali nel Provvedimento 13 luglio 2016, n. 303 ha definito gli “strumenti di lavoro” ai sensi dell’art. 4, comma 2, Stat. Lav., come: “i servizi, software o applicativi strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza”.

E’ facoltà del datore di lavoro “imporre” ai lavoratori l’utilizzo di strumenti di lavoro per rendere la prestazione lavorativa (art. 4, comma 2, dello Statuto dei lavoratori).

Cosa deve fare l’Azienda?

L’Azienda è tenuta ad informare e formare i dipendenti sull’utilizza di qualsiasi strumento di lavoro.

Per ottemperare a questo obbligo di informazione e formazione, due ottimi strumenti da utilizzare sono:

• l’adozione di un Disciplinare interno/Regolamento;

• l’integrazione dell’informativa privacy resa ai dipendenti.

E se i dipendenti non sono dotati di un dispositivo aziendale, come utilizzeranno la piattaforma di messaggistica?

Per quei soggetti non dotati di smartphone aziendale può essere richiesto di utilizzare il proprio dispositivo mobile personale, fatto salvo che, qualora questi non vogliano utilizzarlo e/o non siano in possesso di un telefono adeguato, è onere del datore di lavoro provvedere alla fornitura.

Non può il datore di lavoro obbligare il dipendente senza smartphone ad utilizzare il software.

Che piattaforma utilizzare per la messagistica?

La principale piattaforma di messaggistica è FB Workplace.

FB Workplace è fornita da Meta Platforms, Inc. e Meta Platforms Ireland Ltd. le quali ai fini della fornitura del servizio di configurerebbero come “responsabili del trattamento” ai sensi dell’art. 28 del G.D.P.R.

Attenzione però!

Approfondendo la documentazione presente sul sito web del fornitore (“informativa sulla privacy”, “Condizioni d’uso”, “normativa sui cookie” e “Appendice al G.D.P.R.”) si evincono due grandi problematiche legate al trattamento: la sicurezza dei dati personali oggetto del trattamento ed il trasferimento di dati extra- UE.

Con riferimento alla prima, tutte le informazioni raccolte dal Titolare del trattamento (ndr, “l’Azienda”) vengono condivise con Meta, nello specifico: i dati personali dei dipendenti, il contenuto delle conversazioni, comunicazioni, feedback, suggerimenti e idee che gli utenti inviano all’Organizzazione.

Ma vi è di più.

Le informazioni condivise con Meta vengono utilizzate da quest’ultima anche per: personalizzare le esperienze dei dipendenti e lo sviluppo di nuovi strumenti, prodotti o servizi all’interno del Servizio per l’Azienda.

Questo di fatto genere l’utilizzo dei dati personali sopracitati per finalità di: profilazione e di marketing diretto.

In merito, invece, alla seconda problematica si evidenzia come nel documento “Appendice sul trasferimento di dati europei per Workplace” sia espressamente previsto che Meta Platforms Ireland Ltd. trasferisca dati personali, oggetto della fornitura, alla Capogruppo Meta Platforms, Inc. sulla base di clausole contrattuali standard.

Queste due questioni evidenziate potrebbero esporre l’Azienda ad un rischio elevato in merito al trattamento di dati personali dei dipendenti attraverso la piattaforma Workplace di Meta.

Quale soluzione scegliere?

FB Workplace, Slack, Wickr, Signal, Messagenius e molte altre sono le soluzioni disponibili.
Per questa ragione non è sempre facile orientarsi nella scelta.

Ricorda, nessun software può essere scelto solo perchè “il più famoso” o perchè “gratis”.

Tieni, allora, in considerazione due elementi:

  1. la Società che fornisce il servizio ha server in America? Effettua un trasferimento di dati personali extra-UE?
  2. quali sono gli standard di sicurezza offerti?

Questi sono due punti fondamentali da cui partire per la tua scelta.

In ogni caso ricorda che qualsiasi scelta deve essere sempre accompagnata dall’integrazione dell’informativa privacy dipendenti e dall’implementazione del Disciplinare/Regolamento interno relativo all’utilizzo degli strumenti informatici.

Podcast del Minotauro

Il primo podcast mitologico che si occupa di diritti del mondo digitale: informatica, blockchain, content creators, nuove tecnologie, GDPR.