Dal 2011, l’eccellenza legale per il mondo digitale: scelti da migliaia di siti, web agency e imprese digitali

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Informativa privacy per i dipendenti: istruzioni per siti ecommerce

15/02/2025

Informativa privacy per i dipendenti: istruzioni per siti ecommerce



Gestisci un sito di commercio elettronico e vuoi sapere come generare una corretta informativa privacy per i dipendenti? Se ti è sorta questa domanda non devi assolutamente preoccuparti. E' infatti uno dei dubbi più frequenti tra i titolari di siti di commercio elettronico.  

Infatti se gestisci un e-commerce e hai dipendenti devi consegnare loro una informativa privacyQuesta informativa serve a spiegare ai dipendenti come tratterai i loro dati personali. 

Non preoccuparti se non hai mai redatto un documento di questo tipo.

In questo articolo ti spieghiamo come generare una corretta informativa privacy per i dipendenti. In questo modo eviterai qualsiasi tipo di contestazione e proteggerai il tuo business digitale.

Il documento da considerare per redigere una informativa privacy per i dipendenti sono le Linee-guida per il trattamento di dati dei dipendenti privati – 23 novembre 2006. Ad esso faremo riferimento per illustrarti il contenuto della informativa privacy per i tuoi dipendenti.

L'articolo è ovviamente stato preparato dai nostri avvocati esperti in privacy.

NOTA: scopri la consulenza legale sulla privacy per siti web ed ecommerce dei nostri avvocati! 



SOMMARIO


Perchè è importante l'informativa privacy dipendenti
Conoscere i dati personali trattati
In quali documenti sono conservati dati personali dei dipendenti
Elenco dei dipendenti
Serve il consenso dei dipendenti?
Casistiche particolari
LegalBlink

 

Perché è importante per un e-commerce fornire una informativa privacy per i dipendenti



Come molti titolari di siti di commercio elettronico, potresti essere “tentato” di trascurare questo adempimento privacy

In fondo, cosa può succedere se ai tuoi dipendenti non comunichi le modalità di trattamento dei loro dati personali?

Ebbene, devi sapere che successivamente all’entrata in vogre del GDPR sono aumentati i casi di reclami dei lavoratori ad oggetto le modalità di trattamento dei loro dati personali.
I reclami possono incidere molto sul tuo business digitale. Infatti, il sito ecommerce in questi casi deve sopportorare molto spesso delle spese legali per difendersi. E ciò danneggia ovviamente il fatturato.

Non solo.

Sono aumentati anche quelli degli ex-dipendenti.

Infatti, sopratutto quando il rapporto di lavoro termina in modo “poco amichevole”, è abbastanza comune che ex-dipendenti presentino un reclamo al Garante Privacy lamentando una violazione della propria privacy.

 

informativa privacy per i dipendenti



Per pubblicare una corretta informativa privacy per i dipendenti devi conoscere i dati personali trattati 



L'informativa privacy per i dipendenti deve indicare i dati personali dei dipendenti trattati dalla tua azienda.

I dati personali dei dipendenti del tuo sito di commercio elettronico possono essere molteplici. 


Nella informativa privacy per i dipendenti dovrai indicare in modo preciso quali dati tratti se vuoi evitare contestazioni o cause legali.


Di seguito un elenco dei dati personali più frequentemente trattati da un titolare di e-commerce:
 

  • dati anagrafici di lavoratori (assunti o cessati dal servizio)
  • dati biometrici
  • fotografie
  • dati sensibili (quelli che il GDPR chiama “dati particolari”) riferiti anche a terzi, idonei in particolare a rivelare il credo religioso o l´adesione a sindacati
  • dati idonei a rivelare lo stato di salute (di regola contenuti in certificati medici o in altra documentazione prodotta per giustificare le assenze dal lavoro o per fruire di particolari permessi e benefici previsti anche nei contratti collettivi)
  • informazioni più strettamente connesse allo svolgimento dell´attività lavorativa, quali la tipologia del contratto (a tempo determinato o indeterminato, a tempo pieno o parziale, etc.)
  • la qualifica e il livello professionale
  • la retribuzione individuale
  • l´ammontare di premi
  • il tempo di lavoro anche straordinario
  • ferie e permessi individuali (fruiti o residui)
  • l´assenza dal servizio nei casi previsti dalla legge o dai contratti anche collettivi di lavoro
  • trasferimenti ad altra sede di lavoro
  • procedimenti e provvedimenti disciplinari.


Come hai visto, le casistiche sono molteplici. Per questo motivo, per redigere una informativa privacy per i dipendenti è necessario il supporto di un legale. Solo in questo modo infatti puoi essere certo di ottenere un documento a norma.

 

In quali documenti sono conservati i dati personali dei dipendenti



Oltre a redigere una informativa privacy per dipendenti a norma, è  importante controllare i documenti che contengono dati personali. 

Questo significa sapere:

  • quali sono questi documenti
  • dove sono collocati
  • chi li conserva (per esempio, anche il commercialista?) e 
  • per quanto tempo.
 

Ecco un elenco di documenti che possono contenere dati personali dei tuoi dipendenti:

 
  • contenuti in atti e documenti prodotti dai lavoratori in sede di assunzione

  • contenuti in documenti e/o file elaborati dal (o per conto del) datore di lavoro in pendenza del rapporto di lavoro per finalità di esecuzione del contratto e successivamente raccolti e conservati in fascicoli personali, archivi cartacei o elettronici aziendali;

  • resi disponibili in albi e bacheche o, ancora, nelle intranet aziendali.

 


A questo proposito, nel giugno 2024, il Garante per la Protezione dei Dati Personali ha emanato un documento di indirizzo riguardante la gestione dei metadati associati alle email aziendali. Questo provvedimento sottolinea l'importanza di limitare la raccolta e la conservazione dei metadati—quali mittente, destinatario, oggetto e orario di invio—allo stretto necessario per garantire il funzionamento del sistema di posta elettronica. Le aziende sono invitate a configurare i propri servizi email in modo da evitare la raccolta preventiva e generalizzata di questi dati, assicurando che le impostazioni predefinite rispettino i principi di minimizzazione e protezione dei dati.



Serve il consenso in fondo alla informativa privacy per i dipendenti?



Una volta redatta l’informativa privacy non serve il consenso del dipendente.


Questo significa che l’informativa privacy per i dipendenti deve essere semplicemente consegnata o fatta firmare per presa visione.
Il consenso del dipendente non è affatto necessario. Anzi, è addirittura vietato.


Infatti, il Garante Privacy ha precisato che il consenso del dipendente sarebbe “viziato” dalla sua posizione di subordinazione nei confronti del datore di lavoro. Pertanto, se fosse richiesto il consenso, esso sarebbe nullo in quanto ottenuto “con la forza”.
 

In tal senso, le Linee Guida del Garante prevedono che i dati personali dei lavoratori possono essere trattati dal sito di commercio elettronico nella misura in cui siano necessari per eseguire il rapporto di lavoro oppure per attuare previsioni contenute in leggi, regolamenti, contratti e accordi collettivi.
 

Il sito e-commerce deve richiedere il consenso solo quando, anche a seconda della natura dei dati, non sia corretto avvalersi di uno di questi presupposti appena descritti. 

Ancora una volta ti segnaliamo come il tema privacy non sia da prendere “sotto gamba”.
Infatti, una società greca è stata recentemente sanzionata perché ha richiesto il consenso dei dipendenti per il trattamento dei loro dati personali. La multa? 150.000 euro …

 

Informativa privacy per i dipendenti: casistiche particolari 



Ci sono alcune casistiche per le quali può essere difficile generare una privacy policy per dipendenti a norma.


Di seguito abbiamo indicato quelle più frequenti, con le relative risposte ai sensi delle Linee Guida del Garante.


Il medico competente


In quanto titolare di un sito di commercio elettronico potresti doverti avvalerti anche del medico competente.


Sul medico competente grava l’obbligo di rispettare la normativa in materia di igiene e sicurezza dei luoghi di lavoro (e, ai sensi degli artt. 16 e 17 del d.lg. n. 626/1994, di rispettare il correlativo trattamento dei dati contenuti in cartelle cliniche).


In quest´ambito, il medico competente effettua accertamenti preventivi e periodici sui lavoratori e crea (curandone l´aggiornamento) una cartella sanitaria e di rischio.


Detta cartella deve essere custodita presso l´azienda o l´unità produttiva, “con salvaguardia del segreto professionale, e [consegnata in] copia al lavoratore stesso al momento della risoluzione del rapporto di lavoro, ovvero quando lo stesso ne fa richiesta” (art. 4, comma 8, d.lg. n. 626/1994); in caso di cessazione del rapporto di lavoro le cartelle sono trasmesse all´Istituto superiore prevenzione e sicurezza sul lavoro-Ispesl (art. 72-undecies, comma 3, d.lg. n. 626/1994), in originale e in busta chiusa.


In relazione a tali disposizioni, il medico competente è deputato a trattare i dati sanitari dei lavoratori, procedendo alle dovute annotazioni nelle cartelle sanitarie e di rischio, e curando le opportune misure di sicurezza per salvaguardare la segretezza delle informazioni trattate in rapporto alle finalità e modalità del trattamento stabilite. Ciò, quale che sia il titolare del trattamento effettuato dal medico.


Cautele particolari lato privacy


Alle predette cartelle il datore di lavoro non può accedere, dovendo soltanto concorrere ad assicurarne un´efficace custodia nei locali aziendali (anche in vista di possibili accertamenti ispettivi da parte dei soggetti istituzionalmente competenti), ma, come detto, “con salvaguardia del segreto professionale“.


Il datore di lavoro, sebbene sia tenuto, su parere del medico competente (o qualora il medico lo informi di anomalie imputabili all´esposizione a rischio), ad adottare le misure preventive e protettive per i lavoratori interessati, non può conoscere le eventuali patologie accertate, ma solo la valutazione finale circa l´idoneità del dipendente (dal punto di vista sanitario) allo svolgimento di date mansioni.


Molte delle sopra indicate informazioni devono essere indicate, se del caso, nella informativa privacy per dipendenti della tua azienda.
 

L’intranet aziendale


Il consenso del lavoratore è necessario per pubblicare informazioni personali allo stesso riferite (quali fotografia, informazioni anagrafiche o curricula) nella c.d. “intranet aziendale” (e a maggior ragione su internet), non risultando tale ampia circolazione di dati personali di regola “necessaria per eseguire obblighi derivanti dal contratto di lavoro “.


Questi obblighi possono trovare esecuzione indipendentemente da tale particolare forma di divulgazione che comunque, potendo a volte risultare pertinente (specie in realtà produttive di grandi dimensioni o ramificate sul territorio), richiede il preventivo consenso del singolo dipendente, salva specifica disposizione di legge.


Pertanto, in questo contesto, nella informativa privacy per dipendenti dovrai informare il lavoratore che i suoi dati personali saranno trattati anche per sopra descritte finalità. 


Inoltre, dovrai procurati il suo consenso al trattamento di questi dati per queste finalità.
 

Smart working


L'adozione diffusa dello smart working ha introdotto nuove sfide in materia di protezione dei dati personali dei dipendenti. È essenziale che le informative privacy riflettano le misure adottate per salvaguardare i dati nel contesto del lavoro remoto. Questo include l'implementazione di protocolli di sicurezza per l'accesso ai sistemi aziendali, l'uso di reti private virtuali (VPN) e l'adozione di politiche chiare sull'utilizzo di dispositivi personali per scopi lavorativi. Inoltre, è fondamentale formare i dipendenti sulle best practice per la sicurezza informatica, al fine di prevenire possibili violazioni dei dati.
 

Cartellini identificativi


Oltre al sito di commercio elettronico, potresti avere anche uno shop fisico e quindi dei locali presso i quali terzi o dipendenti devono accedere.

Le Linee Guida del Garante Privacy affermano che:

In relazione allo svolgimento del rapporto di lavoro alle dipendenze di società private, l´obbligo di portare in modo visibile un cartellino identificativo può trovare fondamento in alcune prescrizioni contenute in accordi sindacali aziendali, il cui rispetto può essere ricondotto alle prescrizioni del contratto di lavoro.


Tuttavia, in relazione al rapporto con il pubblico, il Garante Privacy ha ravvisato la sproporzione dell´indicazione sul cartellino di dati personali identificativi (generalità o dati anagrafici), ben potendo spesso risultare sufficienti altre informazioni (quali codici identificativi, il solo nome o il ruolo professionale svolto), per sé sole in grado di essere d´ausilio all´utenza.

 

LegalBlink: il punto di riferimento legale dell’ecommerce

 

LegalBlink offre assistenza legale alle principali web agency e siti ecommerce.


Inoltre, è il modo più facile e professionale per ottenere i documenti legali per il tuo sito di commercio elettronico o sito vetrina.


Infatti, con il servizio Fast Legal in autonomia i documenti per il tuo sito: perfetto per i siti vetrina.


Con il servizio Easy Merchant invece ottieni tutti i documenti direttamente da nostri legali. 


Contattaci per qualsiasi esigenza!

Team LegalBlink