La cessazione di un rapporto di lavoro comporta alcuni obblighi privacy fondamentali, di responsabilità dell’azienda. Questo articolo offre un panorama generale degli adempimenti richiesti e costituisce una guida alla gestione della fase di uscita di un dipendente.
Le figure aziendali incaricate del trattamento dati dei dipendenti sono i responsabili e gli impiegati addetti alla gestione delle risorse umane, compreso il datore di lavoro. Sono loro quindi a essere coinvolti in prima persona nella gestione privacy della cessazione di un rapporto di lavoro. In particolare:
Adempimenti privacy per le risorse umane
- Informare tutte le figure aziendali coinvolte nella gestione e nel trattamento dati la cessazione del rapporto di lavoro, affinché ciascuno possa prendere in gestione i propri incarichi;
- Se non già sottoscritto in sede di assunzione, preparare e far sottoscrivere al dipendente in uscita un accordo di riservatezza a protezione dei dati, delle informazioni e delle proprietà intellettuali dei quali egli può essere venuto a conoscenza nel corso del rapporto di lavoro;
- Archiviare la documentazione relativa al lavoratore e predisporne la conservazione sicura per almeno 10 anni, e comunque per un periodo coerente con quanto stabilito dal Registro dei trattamenti dati aziendale, redatto ai sensi dell’art. 30 del GDPR.
Il Datore di lavoro, il Privacy Officer e il Data Protection Officer
Il titolare del trattamento dati, solitamente il datore di lavoro o il rappresentante legale della società, si occupa di revocare le eventuali deleghe/procure garantite all’ex dipendente identificando un nuovo incaricato.
Analogamente, tocca al Privacy Officer incaricato della gestione della pratica privacy o, se nominato, al DPO aggiornare l’organigramma privacy aziendale con il nuovo elenco degli autorizzati al trattamento dati.
Inoltre, in caso il lavoratore ricoprisse il ruolo di Data Protection Officer, il datore di lavoro si occupa di comunicare al Garante la cessazione del rapporto del lavoro e di nominare un nuovo DPO interno o esterno.
Adempimenti privacy per il Responsabile diretto del dipendente
Il responsabile diretto del lavoratore in uscita organizza il passaggio di consegne con particolare attenzione a tutti gli aspetti relativi alla protezione dei dati personali. Inoltre, analizza le attività del collaboratore con un occhio di riguardo per l’accesso a siti, portali, caselle e-mail, gestionali di siti e social network per valutare l’eventuale necessità di aggiornare password e chiavi di accesso.
Ricordiamo che sussistono diversi adempimenti da rispettare nella gestione sicura della cessazione di un rapporto di lavoro, divisi tra reparto ICT e Facility manager, a seconda dello specifico organigramma dell’impresa.
In particolare, tra le comunicazioni da fare direttamente al dipendente:
- La richiesta di eliminare da device, dispositivi e posta elettronica gli eventuali dati personali non pertinenti all’attività lavorativa;
- Qualora il dipendente utilizzasse strumenti propri nell’attività lavorativa, la richiesta di eliminare i dati e le informazioni aziendali eventualmente presenti sugli stessi;
- La richiesta, qualche giorno prima della cessazione effettiva del rapporto di lavoro, di restituzione di device, strumenti e accessori di lavoro forniti al dipendente. Ciò comprende telefoni, tablet e altri dispositivi di lavoro ma anche badge di accesso, smart card, eventuali chiavi etc.
Tra le attività da svolgere alla cessazione del rapporto:
- La chiusura della casella di posta del dipendente con l’eventuale predisposizione di una risposta automatica che informi del cessato rapporto di lavoro ed, eventualmente, che fornisca i dati di contatto del nuovo incaricato;
- L’eliminazione dei dati personali del lavoratore, non pertinenti con le attività lavorative, dall’area del server aziendale a lui riservata.
Leggi anche: Privacy: obbligatorio chiudere l’account di posta dell’ex dipendente
La dimissione di un lavoratore dall’azienda comporta numerosi risvolti privacy da gestire con attenzione e con una chiara divisione delle responsabilità. Ricordiamo comunque che un naturale adattamento del vademecum allo specifico contesto aziendale è necessario da parte delle figure privacy o di un consulente esterno specializzato.