«È possibile pubblicare la foto del dipendente, talvolta presente sul tesserino, anche nella intranet aziendale e sul sito internet, per favorire la conoscenza con colleghi e soggetti eterni, come clienti e fornitori?», chiede un lettore di Sicurezza.
Risponde Gianluca Pomante, avvocato cassazionista esperto di Data Protection.
L’utilità della pubblicazione delle foto su una pagina della rete interna aziendale è evidente, soprattutto nelle grandi realtà, in cui è difficile che due soggetti assegnati a reparti e spesso anche a sedi diverse si frequentino di persona. Tramite tale strumento possono ugualmente conoscersi e scambiare dati e informazioni, senza correre il rischio di interloquire con la persona sbagliata.
Più complesso e controverso è l’uso della foto anche per il sito web del datore di lavoro, perché, al contrario della Intranet, nella quale i dati restano sotto controllo, si pone il problema della diffusione e, quindi, anche di un potenziale danno per l’interessato o utilizzo illecito da parte di terzi.
Mentre nel primo caso è sufficiente specificare, nell’informativa sul trattamento dei dati o nel contratto di lavoro, che l’immagine sarà utilizzata per finalità interne, nel secondo è necessario acquisire uno specifico consenso dell’interessato, che potrebbe avere remore alla pubblicazione della propria immagine o addirittura lo specifico interesse a non far conoscere la propria appartenenza a una determinata struttura (per ragioni di sicurezza personale, per esempio).
Foto aziendale: l'interpretazione del Garante
Secondo un’ormai datata interpretazione del Garante, superata anche dal punto di vista storico (con la presenza delle immagini e delle informazioni personali sui social network), per eseguire il trattamento di dati come foto e video del dipendente è necessario uno specifico consenso dell’interessato, potendosi ritenere tale gestione eccedente le finalità normalmente connesse al rapporto di lavoro.
Nella realtà quotidiana, non solo a parere di chi scrive, si tratta invece di un trattamento spesso indispensabile per le grandi organizzazioni, direttamente connesso al rapporto di lavoro e quindi giustificato dall’art. 6, lett. b), del Reg. UE 679/2016, quantomeno per la Intranet aziendale. Anzi, si può ben sottolineare che dovrebbe essere adottata come misura di sicurezza contro l’attività di social engineering, oggi più che mai efficace per ottenere informazioni dai dipendenti meno smaliziati.
Diverso il discorso per la pubblicazione sul sito Internet, per la quale è invece condivisibile l’orientamento del Garante, risultando difficile ipotizzare tale trattamento come direttamente connesso al rapporto di lavoro e potendosi comunque ritenere più rilevante, nel bilanciamento di interessi, quello del lavoratore a non consentire la diffusione della propria immagine.
