18 February 2019

Le trasferte dei lavoratori e il rispetto della privacy

Qual è l'impatto della gestione delle note spese sull'organizzazione?

Le travel policy aziendali e il controllo delle note spese, sono strumenti utilizzati dalle aziende per gestire e comprendere l’impatto economico delle trasferte sulle finanze dell’azienda e le attività svolte dall’organizzazione aziendale. 


Il controllo della rendicontazione delle spese di viaggio dei dipendenti e la visione delle loro attività, consentono infatti di entrare in contatto con un ampio numero di informazioni che possono riguardare aspetti non solo legati all’attività lavorativa, ma anche attinenti alla sfera personale dei dipendenti: ad esempio abitudini alimentari, preferenze di acquisto, localizzazione del dipendente etc.


Tale attività comporta quindi il trattamento di informazioni, dati personali e attività dei dipendenti, che trovano specifica disciplina sia nella normativa privacy che in afferenti normative sul controllo dei lavoratori.


La verifica delle note spese, infatti, non può essere uno strumento di controllo circa l’operato del collaboratore, sia perché da un lato andrebbe a ledere la privacy del dipendente e dall’altro sarebbe in contrasto con le norme in tema di controllo del lavoratore.


In questi anni di forte trasformazione tecnologica e digitalizzazione, il GDPR (General Data Protection Regulation – in vigore dal 25 maggio 2018) ha evidenziato l’importanza di adottare misure tecniche e organizzative, in un’ottica di maggiore tutela dei dati dei dipendenti, dando l’occasione per una revisione parziale, talvolta totale, delle procedure aziendali. Tra queste, le travel policy assumono un ruolo centrale.
Preservare la riservatezza e la sicurezza delle informazioni è un aspetto a cui le aziende devono prestare attenzione perché la fuga di dati può causare rilevanti danni economici, legali e di immagine. 


Come accertarsi che il proprio processo di gestione delle note spese sia adeguato?
Si impone una revisione della propria travel policy in ottica di “privacy by design e by default” (art. 25 GDPR): i principi richiedono che si adotti un’impostazione predefinita in base alla quale le aziende possano trattare i dati personali in loro possesso esclusivamente per le finalità previste e per il periodo strettamente necessario, evitando di ricorrere all’utilizzo di eccessivi dati senza motivi specifici.


Sin dall’avvio di un processo aziendale, deve essere garantita la protezione dei dati personali mediante l’adozione di tutti gli strumenti e le misure necessarie per ridurre il rischio di violazione.
 
Un’ulteriore attività che deve essere svolta è il chiarimento delle modalità operative con cui vengono gestiti i dati (utilizzo, archiviazione, trasmissione) e, nel caso in cui il controllo delle note spese sia affidato a un ente terzo, quest’ultimo deve essere nominato responsabile del trattamento dei dati per le finalità previste dal contratto.


Dopo la revisione della travel policy e la comunicazione delle modalità di trattamento dei dati, è necessario formare le persone che si occuperanno dell’attività di controllo delle note spese. La formazione dovrà focalizzarsi sul contenuto specifico delle regole interne da applicare, sulle modalità di trattamento dei dati e sui rischi derivanti da un comportamento errato nella gestione degli stessi.


L’analisi dei dati delle note spese deve quindi limitarsi a quanto previsto dalla travel policy vigente, che si deve mantenere sempre conforme ai principi in tema dei dati personali e del rispetto dei lavoratori.

 

Articolo di Sandra Ancajima, Manager e Ilaria Di Maria, Manager