Privacy lavoratori GDPR

privacy lavoratori GDPRGDPR LAVORATORI – TRATTAMENTO DATI PERSONALI DIPENDENTI

Il trattamento dati dipendenti alla luce del nuovo GDPR è sicuramente una delle questioni sulla quale di più si sono interrogati gli imprenditori italiani, pertanto si ritiene opportuno spiegare cosa cambia il GDPR rispetto al vecchio codice privacy e cosa bisogna fare in concreto per l‘adeguamento GDPR lavoratori.

Prima di tutto bisogna dire che il GDPR  non contiene un disciplina specifica dedicata ai dati dei lavoratori, difatti l’art. 88 del GDPR lascia ai legislatori nazionali ampio margine di manovra, pur rispettando i principi base del GDPR per normare il trattamento dei dati personali nell’ambito del rapporto di lavoro.

Ma vediamo cosa dice l’art. 88 del GDPR:

Trattamento dei dati nell’ambito dei rapporti di lavoro 1.Gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.

2.Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro.

3.Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro 25 maggio 2018 e comunica senza ritardo ogni successiva modifica.

Come abbiamo visto sopra, quindi, secondo il GDPR gli stati possono decidere se con legge o attraverso contratti collettivi regolamentare il trattamento dati dipendenti, la scelta del legislatore italiano a tal riguardo con il D. lgs. 101/2018 è nel solco del vecchio codice privacy, con pochi cambiamenti.

Nel dettaglio i cambiamenti portati dal legislatore italiano riguardano la fase di selezione, cioè la gestione dei curricula ricevuti ed il relativo regime dei consensi. A tal proposito, cv consenso si o cv  consenso no?

A tal riguardo la novella codice privacy stabilisce all’art. Art. 111-bis (Informazioni in caso di ricezione di curriculum):

  1. Le informazioni di cui all’articolo 13 del Regolamento, nei casi di ricezione dei curricula spontaneamente trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro, vengono fornite al momento del primo contatto utile, successivo all’invio del curriculum medesimo. Nei limiti delle finalità di cui all’articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto.

A tal proposito quindi alla domanda consenso trattamento dati personali cv si o consenso trattamento dati personali cv no la risposta sembrerebbe negativa, tuttavia occorre sottolineare come però a parere di chi scrive questo possa essere pacifico per i cv che non contengano le categorie di dati particolari di cui all’art. 9 del GDPR, cioè i vecchi dati sensibili (ad esempio in presenza di disabilità o ammissione l beneficio L. 104/92), in  tal ultimo caso potrebbe essere necessario lasciare la famosa dicitura che potrebbe essere il seguente fac simile consenso “autorizzo al trattamento dei miei dati personali particolari ai sensi del combinato disposto del regolamento in materia di protezione dei dati personali (cd. GDPR) e del codice privacy come agg. dal D.lgs.101/2018”.

Altro aspetto cui dar conto è che rimangono in piedi tutte le considerazioni in materia di controllo dei lavoratori attraverso la concertazione sindacale o l’eventuale confronto con la direzione provinciale del lavoro, a parte ciò rileva evidenziare a tutti gli effetti l’affiancamento della normativa privacy di fianco a quella classica lavoristica, difatti una scorretta applicazione della normativa privacy può portare ad un uso illegittimo di tali dati ed il rischio di commettere il reato di trattamento illecito di dati personali di cui all’art. 167 del novellato codice privacy.

Fatta questa breve premesse squisitamente normativa vediamo in concreto cosa deve fare un imprenditore che si trovi a verificare la propria conformità alla nuova disciplina privacy.

creazione di un sistema di data governance, ovvero:

Nomina DPO. Discorso abbastanza complesso al quale ha dedicato una serie di di FAQ il garante italiano sia per i soggetti pubblici che privati.

Nomina responsabile (esterno). Ovvero i  soggetti esterni all’azienda ma che trattano i dati dei clienti o dei lavoratori (ad esempio consulente busta paga oppure gli agenti).

Nomina responsabile (interno). Figura scomparsa secondo il nuvo codice prviacy ma che tuttavia non è proibita ai infin di coordinamento interno nelle strutture complesse.

Nomina amministratore di sistema. Di solito è la figura IT che cura gli aspetti informatici relativi alle reti interne, questa nomina seppur non prevista dal GDPR  né dal nuovo codice privacy segue l’indicazione del provvedimento  del garante tutt’ora in vigore.

Registro dei trattamenti. Da questo punto di vista come detto in altro articolo presente su questo blog, il discrimine riguardo al dovere di compilare il registro dei trattamenti non è di tipo dimensionale ma legato al tipo di dati e di trattamento effettuati, dal punto di vista delle aziende, senza dilungarsi in discorsi teorici,  sappiano che avendo anche solo un dipendente dovranno dotarsi di un registro dei trattamenti, a tal proposito il garante italiano ha messo a disposizione un modello e delle FAQ per provare ad apporntarlo.

Informativa privacy lavoratori GDPR.

Un altro step molto importante da porre in essere è l’aggiornamento dell’informativa avendo particolare riguardo a darla nel momento giusto durante la fase di selezione, alla conservazione dei dati, sia dei non selezionati che dei soggetti in uscita dall’azienda, eventuale condivisione dati con società controllanti ed eventuale strumenti di sicurezza che possano configurare ipotesi di monitoraggio.

Adozione protocolli in materia:

di uso device e posta aziendale

Ovvero scrivere delle istruzioni di uso interno dove i dipendenti devono essere avvisati circa i limiti e doveri di diligenza sia nell’usare i dispositivi aziendali che maneggiare informazioni aziendali con i propri dispositivi. Molta attenzione va dedicata al discorso della e-mail aziendale, uno dei punti più delicati nella fase di chiusura del rapporto di lavoro.

conservazione dati

Anche qui opportuno redigere delle regole interne con le quali individuare le tempistiche nonché i criteri e le modalità di conservazione dei dati oltre che prevedere le modalità di cancellazione dei dati

esercizio diritti da parte interessati

Risulta opportuno altresì adottare un protocollo che detti le regole nel caso in cui un interessato, sia lavoratore che cliente, intenda esercitare uno dei diritti previsti dagli artt. 15-22 del GDPR.

data breach

Altro protocollo da adottare è quello relativo alla gestione dei data breach che si ricorda essere non solo il caso dell’hacker di turno che ruba o cripta i dati ma qualunque perdita di dati anche accidentale (ad esempio lo smarrimento di un pc aziendale portatile senza password)

Misure di sicurezza (adeguate)

Opportuno altresì redigere una documentazione relativa alle misure di sicurezza adeguate, in tal caso qualora questo aspetto (ad esempio a livello informatico) sia demandato ad altri è necessario farsi inviare documentazione attestante le misure adottate.

DPIA (Data Protection Impact Assessment)

Questa valutazione al momento è dovuta solo nel caso in cui I ricorra una tecnologia che possa sfociare nel controllo dell’attività lavorativa, tuttavia il garante ha già presentato nell’ambito delle proprie competenze al board dei garanti europei la proposta di inserire il trattamento dei dati dei lavoratori nella lista dei trattamenti soggetti a DPIA.

Videosorveglianza

Al momento rimane ancora  in vigore il vecchio provvedimento del garante emanato sotto la vigenza del vecchio codice privacy, quindi obbligo informativa, concertazione con sindacati o con direzione provinciale lavoro, uso finalizzato a sicurezza persone e stabilimento-produzione e non a controllo lavoratori, tuttavia oggi va applicato compatibilmente con i nuovi precetti inseriti nel GDPR.

Formazione.

Secondo il GDPR il titolare del trattamento dati ha l’obbligo di formare i propri dipendenti sull’uso dei dati.

Come si vede da questo breve articolo gli adempimenti da porre in essere sono diversi e di non facile esecuzione, tuttavia con il corretto affiancamento da parte di un professionista ferrato in materia possano essere tutti rispettati.

Per consulenze sul tema potete contattare l’autore del post all’indirizzo salvatore.familiari@data protection4eu.eu oppure agli altri recapiti indicati alla pagina contatti.