Mansionario e GDPR: dimmi dove metti le mani e ti dirò se c’è un impatto privacy

30 settembre 2024
Tempo di lettura stimato: 7'

Nella mia esperienza di consulente, ho notato che, durante la mappatura iniziale delle mansioni, necessaria affinché si capisca esattamente in quali dati personali mettono le mani gli addetti, emerge spesso che qualcuno resta fuori dall'organigramma aziendale.

Per esempio, mi è capitato di accorgermi, nell'ambito di una riverifica dell'impianto privacy e del regolamento aziendale di una grande azienda, che mancava, tra chi metteva le mani nei dati dei lavoratori, il dipartimento ICT. Oggi, con tutti i controlli che vengono effettuati attraverso i server, trattare i dati personali dei dipendenti è quasi di default per chi lavora in questo reparto. 

Quindi, è chiaro che anche nelle aziende strutturate, il passaggio sull'organigramma diventa importante, per verificare se effettivamente le mappature sono corrette oppure no. 

È un passaggio semplice che, se non viene fatto, rischia di creare buchi all'interno dell'impianto stesso.

Ma per avere un quadro preciso e capire dove controllare – in sostanza, fare bene il DPO - è importante partire dalla “definizione delle linee del campo da gioco”, come dice spesso Andrea Chiozzi, cioè dal capire cosa sono la qualifica, la mansione e la categoria entro cui può essere inquadrato un lavoratore. 

Cosa sono la qualifica, la mansione e la categoria

Qualifica, mansione e categoria sono sovrapponibili, ma non coincidono. 

La qualifica è la posizione che la legge o la contrattazione collettiva attribuisce al lavoratore dipendente. Definisce il valore professionale delle mansioni svolte e rappresenta il criterio di valutazione - dal punto di vista economico - della prestazione lavorativa.

La mansione descrive un insieme di attività e compiti che devono essere svolti dai profili professionali e di cui si compone la prestazione di lavoro dedotta dal contratto di lavoro.

La categoria costituisce il criterio più ampio di classificazione del personale, tale da inglobare al proprio interno i due sottoinsiemi delle mansioni e delle qualifiche. È possibile distinguere le categorie di fonte legale (quelle indicate nell'articolo 2095 c.c.: operai, quadri, impiegati e dirigenti) da quelle convenzionali indicate dalla contrattazione collettiva, (per esempio, la categoria degli intermedi del settore industriale).

Dal punto di vista dell'effettività e quindi del GDPR, quel che conta è la mansione

Infatti, a parità di qualifica, cambiano le mansioni. 

GDPR e mansione: chi mette le mani nei dati personali? 

Lavoratori con la stessa qualifica, per via della loro mansione, trattano dati diversi. Perché la mansione rappresenta effettivamente quello che il lavoratore fa e tocca, all'interno dell'azienda. Per esempio: prendiamo due lavoratori con la stessa qualifica di "impiegati tecnici" - quindi di fatto assolutamente allineati dal punto di vista del criterio tecnico professionale e anche economico – ma uno è impiegato nella produzione e l'altro nelle risorse umane. Quello della produzione forse si occuperà solo dei numeri della produzione stessa. L'impiegato nelle risorse umane metterà certamente mano ai dati personali dei dipendenti. 

La qualifica, invece, è importante non tanto per gli aspetti giuslavoristici, ma per quelli delle responsabilità. Individuare all'interno dell'azienda le qualifiche dei lavoratori, ci permette di capire esattamente su quale dipartimento sono oppure no.

Qualifica, mansione e cambiamenti aziendali

L’assegnazione della qualifica avviene al momento dell'assunzione. Sotto questo punto di vista, a differenza di altri Stati europei, noi abbiamo quella che viene chiamata contrattazione collettiva, cioè ogni azienda deve applicare un contratto collettivo. Non ha un obbligo particolare sulla scelta di uno piuttosto che un altro. È il consulente del lavoro, interpellato in fase precontrattuale, che indica in quale casellina va inserito il tal dipendente, in base a quello che gli viene riferito dall’azienda. 

Ma che succede una volta assunto il lavoratore? Che l’azienda, per sua natura un’entità dinamica, può variare la figura del dipendente all'interno dell'organizzazione. E quando succede, a volte cambia anche la qualifica ma, spessissimo, quello che cambia è la mansione. Infatti, all'interno della qualifica, sono diverse le mansioni che possono essere assegnate al lavoratore e che possono quindi essere modificate

A questo proposito, la legge dice che è possibile modificare la mansione del lavoratore per rendere più efficiente la produzione

Chiaramente la modifica non deve cambiare le condizioni economiche esecutive e contributive del lavoratore stesso e, ci ricorda la giurisprudenza, attenzione ai cambiamenti che intaccano la professionalità del lavoratore. 

Quando i cambiamenti intaccano la professionalità 

Prendiamo un caso estremo: l’azienda XY assume un ingegnere informatico super titolato per fare programmazione. Lo paga bene. A un certo punto lo mette a far fotocopie, ma non gli abbassa lo stipendio. Questo viene chiamato svuotamento di mansione e perdita di professionali

Quindi, è vero che sulla carta il lavoratore non ha avuto uno svantaggio economico, né in termini attuali che prospettici, perché, non venendo modificata la contribuzione, non ha un danno pensionistico. Però esiste anche un altro tipo di danno che la normativa tende a tutelare e che dice: se io per 6 mesi non ti faccio più programmare, è chiaro che per 6 mesi tu perdi l'allenamento. Il datore di lavoro, nell'ambito della flessibilità organizzativa, deve sempre tenere conto delle competenze e della mansione originaria per cui è stato assunto il lavoratore. 

Col Jobs Act, il datore di lavoro ha comunque la facoltà di abbassare il livello di professionalità del lavoratore. E questo avviene quando:ci sono modifiche sostanziali all'interno dell'azienda, che implicano una dequalificazione (per esempio, l'ingegnere informatico lavora in un dipartimento che viene chiuso e va ricollocato, perdendo di professionalità);

  • ci sono modifiche sostanziali all'interno dell'azienda, che implicano una dequalificazione (per esempio, l'ingegnere informatico lavora in un dipartimento che viene chiuso e va ricollocato, perdendo di professionalità);
  • interviene una modifica del contratto collettivo, che prevede l'eliminazione di quel tipo di qualifica;
  • ci sono situazioni da "proteggere" (una sopravvenuta incapacità professionale del lavoratore dovuta, per esempio, a una malattia invalidante, oppure in caso di conciliazione vita-lavoro, come l’assistenza a un familiare in condizione di necessità) per cui non riesce più a svolgere garantire certe prestazioni. In questi casi, dietro un accordo individuale, in sede protetta - o con l'ispettorato o attraverso i sindacati di appartenenza -, è possibile modificare le condizioni iniziali relative alla mansione e alla qualifica.

Oltre a questi casi, vi sono alcune leggi speciali che prevedono la dequalificazione. Per esempio, quando ci si trova di fronte all'ipotesi di un licenziamento collettivo. Al di fuori dei casi previsti dalla legge, la dequalificazione è illegittima.

E quando il lavoratore, oltre alla sua mansione, si ritrova anche il compito di gestire la privacy? 

Può accadere anche un caso diverso da quelli visti fin qui: il lavoratore comincia ad avere sempre più incarichi, fra cui, per esempio, la privacy. E si chiede: “Ok, ma se devo occuparmi anche di questo, non ho diritto ad avere più soldi?”

Ed effettivamente c’è margine per avere un inquadramento superiore dal punto di vista retributivo, anche se questa possibilità è passata spesso inosservata. Dal 2018, infatti, è accaduto spesso questo: l’amministratore di sistema di turno o il dipartimento delle infrastrutture informatiche - che era stato sempre un po' bistrattato - si è trovato investito di questo ruolo e così si è sentito di ricevere dignità. Non ha chiesto un aumento della remunerazione perché gli è bastato questo. 

In realtà, in base ai contratti collettivi, qualcuno probabilmente avrebbe potuto alzare la mano e chiedere una remunerazione più alta rispetto a quella che aveva. E la giurisprudenza in questo è molto a favore del lavoratore. 

Perché è importante l'inquadramento?

Perché, prima di tutto, l'addetto potrebbe un giorno svegliarsi e chiedere "il giusto dovuto". Secondo, se noi, che siamo consulenti, effettuiamo la costruzione dell'impianto privacy e non sappiamo esattamente chi fa cosa in azienda - al di là di quello che ci viene detto - rischiamo di consegnare al nostro titolare del trattamento un impianto del GDPR che non è realistico, rispetto a quello che succede davvero.

Non so quanti consulenti verifichino l'organigramma aziendale, perché questo diventa il vero problema. Per esempio, potrei trovarmi scritto che ho un HR poi, nell'organigramma, mi trovo un impiegato tecnico che si occupa di commerciale estero, che però, di fatto, se lo intervisto, mi rendo conto che si occupa insieme all'HR di gestire le trasferte dei commerciali tecnici.

E nell'alveo di chi mette le mani sui dati personali degli addetti, il commerciale estero rimane fuori da tutti i giochi, perché, visto sull'organigramma, sembra che c'entri poco col trattamento di dati personali in azienda.

Quindi, cosa dobbiamo fare quando veniamo incaricati di svolgere la strutturazione dell'impianto GDPR? Intervistare almeno i referenti di tutti i dipartimenti e sentire, nella parte operativa, da chi si fanno aiutare. Ogni capo dipartimento ha sempre una persona di fiducia che, per esperienza, è quella che si sovrappone a ciò che fa il capo dipartimento e che mette mano ai dati particolari trattati dall'azienda.

L’organigramma va chiesto sempre.

E se non c’è, cosa succede?
Cosa rischia il consulente che non approfondisce?
Cosa guardare in alternativa, forse il mansionario?
Ed è obbligatorio avere il mansionario? 

A queste e altre domande trovi risposta nel corso di formazione dell’Avvocato Barbara Sabellico “La mansione concretamente esercitata dal lavoratore prevale sulla qualifica formale ed apparente” che trovi su Raise Academy. 

Perché questo è solo un assaggio! 

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione. 

SCOPRI RAISE, ORA!

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Avvocato, DPO, Esperta di Privacy

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy