Aspetti pratico-operativi e riflessi del nuovo GDPR nell'ambito del rapporto di lavoro

22 Maggio 2018

In applicazione del Regolamento n. 2016/679 (GDPR), a decorrere dal 25 maggio 2018, tutti i soggetti residenti negli Stati membri e contemplati dalla normativa, sono tenuti a rispettare la nuova regolamentazione che abroga la precedente Direttiva 95/46/CE. In questo approfondimento analizziamo i principi generali, le basi di legittimità del trattamento dati nell'ambito dei rapporti di lavoro e le caratteristiche dell'informativa da rilasciare ai lavoratori.
Glossario e concetti di base

L'art. 4 del GDPR n. 679/2016 fornisce le definizioni delle varie figure e dei termini riguardanti il Regolamento. Rimandando alla lettura del testo completo dell'articolo, si riportano nel glossario seguente alcuni dei concetti più importanti, al fine di rendere più immediata la comprensione di alcuni di essi:

  • «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

  • «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

  • «limitazione di trattamento»: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro;

  • «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;

  • «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

  • «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

  • «titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;

  • «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

  • «destinatario»: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

  • «consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

  • «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati;

  • «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;

  • «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici;

  • «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

  • «stabilimento principale»:
  1. per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell'Unione e che quest'ultimo stabilimento abbia facoltà di ordinare l'esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;
  2. con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se il responsabile del trattamento non ha un'amministrazione centrale nell'Unione, lo stabilimento del responsabile del trattamento nell'Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente Regolamento;

  • «rappresentante»: la persona fisica o giuridica stabilita nell'Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell'art. 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente Regolamento;

  • «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un'attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un'attività economica;

  • «gruppo imprenditoriale»: un gruppo costituito da un'impresa controllante e dalle imprese da questa controllate;

  • «autorità di controllo»: l'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'art. 51;

  • Privacy by design: l'attività deve essere strutturata in modo da essere progettata fin dall'inizio per essere integrata con le nuove regole, quindi a scopo preventivo e non correggendo successivamente eventuali problemi di raccolta dati irregolare;
  • Privacy by default: per impostazione predefinita, le imprese devono trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario alla realizzazione delle stesse. Occorre pertanto progettare un sistema di trattamento che garantisca la non eccessività dei dati raccolti;
  • Accountability: l'azienda (o chi raccoglie i dati) è responsabile della raccolta dei dati conforme alle regole e pertanto risponde in prima persona in caso di violazioni e deve assicurarsi che essi siano raccolti in modo sicuro e non divulgati;
  • DPO (Data Protection Officer): nuova figura, ovvero chi sovrintende al rispetto delle norme. Il DPO è il responsabile designato dall'azienda per verificare il corretto trattamento dei dati, un sovrintendente che fa da referente per il garante della privacy. La presenza di questa figura è tanto più obbligatoria quanto l'azienda si occupa in maniera più intensa del trattamento di dati sensibili o giudiziari, o semplicemente ha a che fare con una grossa mole di dati personali.
Quadro normativo

Il 27 aprile 2016 il Parlamento Europeo e il Consiglio Europeo hanno approvato definitivamente il Regolamento sulla protezione e la libera circolazione dei dati personali delle persone fisiche 2016/679 (GDPR).

Tale Regolamento non ha trovato immediata applicazione, poiché tutti gli Stati membri hanno l'obbligo di adeguare le norme nazionali in materia di privacy alle prescrizioni regolamentari entro due anni, al termine dei quali, in mancanza di norme di recepimento, detto Regolamento trova automatica e diretta applicazione.

Il Regolamento è ispirato ad una maggiore trasparenza nella gestione dei dati ed è finalizzato a garantire al cittadino un maggiore controllo sull'utilizzo dei suoi dati. In questo nuovo contesto normativo va posta maggior attenzione al rispetto delle regole della privacy da parte delle imprese e della Pubblica Amministrazione, anche in considerazione delle pesanti sanzioni che, in casi particolari, possono arrivare fino ad un massimo di 20 milioni di euro o al 4% del fatturato dell'esercizio precedente.

I principi generali prevedono che il trattamento avvenga in modo lecito, equo e trasparente; i dati devono essere raccolti per finalità determinate, esplicite e legittime e successivamente trattati in modo compatibile con tali finalità.

È obbligatorio adottare misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati. I dati devono essere conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità del trattamento ovvero per periodi più lunghi, a condizione che siano trattati esclusivamente per finalità di archiviazione o per finalità di ricerca scientifica e storica o per finalità statistiche, fatta salva l'attuazione di misure tecniche e organizzative adeguate.

Va, inoltre, garantita la sicurezza del trattamento mediante misure tecniche e organizzative adeguate, proteggendolo da trattamenti non autorizzati o illeciti e da perdita, distruzione o danni accidentali. Il responsabile del trattamento è competente per il rispetto dei principi summenzionati.

Ricordiamo che il trattamento è considerato lecito al ricorrere di almeno una delle seguenti condizioni:

1) l'interessato ha espresso il proprio consenso;

2) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali su richiesta dello stesso;

3) il trattamento è necessario per adempiere un obbligo legale del responsabile del trattamento;

4) il trattamento è necessario alla tutela degli interessi vitali dell'interessato o di un'altra persona fisica;

5) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il responsabile del trattamento;

6) il trattamento è necessario per il perseguimento del legittimo interesse del responsabile del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato, in particolare se l'interessato è un minore.

Per quanto concerne strettamente il consenso, il responsabile del trattamento deve poterne dimostrare l'acquisizione e, qualora sia espresso nel contesto di una dichiarazione scritta che riguarda anche altre materie, la richiesta deve essere chiara, distinguibile dalle altre, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. L'interessato può revocare il proprio consenso in qualsiasi momento.

Quali sono i principi per i rapporti di lavoro?

Il Regolamento conferisce il compito di dettagliare la disciplina della protezione dei dati nei rapporti di lavoro sia alla legge sia ai contratti collettivi.

L'art. 88 del Regolamento infatti è la norma che disciplina il trattamento dei dati nell'ambito delle varie fasi del rapporto di lavoro, stabilendo che gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l'adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell'esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto.

Il secondo paragrafo dell'art. 88 stabilisce che le norme di cui al primo paragrafo devono includere misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune e i sistemi di monitoraggio sul posto di lavoro.

Gli Stati membri devono notificare alla Commissione le disposizioni di legge adottate ai sensi dei commi precedenti entro il 25 maggio 2018 e comunicare senza ritardo ogni successiva modifica.

Il Considerando n. 155 del GDPR specifica che il diritto degli Stati membri o i contratti collettivi, (compresi gli accordi aziendali), possono prevedere norme specifiche per il trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro, con particolare riguardo alle condizioni alle quali i dati personali nei rapporti di lavoro possono essere trattati sulla base del consenso del dipendente, per finalità di assunzione, esecuzione del contratto di lavoro, compreso l'adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro e ai fini dell'esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.

Legittimità del trattamento dati nei rapporti di lavoro

L'evoluzione tecnologica ed i continui cambiamenti nel mondo del lavoro impongono adeguamenti anche in ambito legislativo.

Sullo sfondo il nuovo Regolamento, ispirato a maggiore trasparenza e ad un miglior controllo dei cittadini sull'utilizzo dei propri dati personali, anche nell'ambito del rapporto di lavoro.

E' prassi ormai diffusa l'utilizzo di strumenti digitali per la raccolta, l'elaborazione e la conservazione dei dati del personale. Professionisti, aziende e operatori nel settore delle Human Resources ricevono e trattano quotidianamente enormi quantità di informazioni in corrispondenza delle varie fasi di un rapporto di lavoro, a cominciare da quelle preventive di recruiting, alla rilevazione delle presenze, dalla gestione turni alla localizzazione dei veicoli aziendali, passando per le fasi relative alla formazione ed alla valutazione di skills e performance e, ovviamente, agli adempimenti amministrativi connessi alla gestione del rapporto, al pagamento delle retribuzioni, alle certificazioni dei redditi ed alle pratiche di malattia o infortuni.

Si diffonde sempre di più la prassi di rilevare queste informazioni talvolta comunicando con il personale tramite posta elettronica, moduli online o con mobile app, usando strumentazione dell'azienda o del dipendente stesso, memorizzando i dati su server aziendali o avvalendosi di piattaforme in cloud magari gestite da soggetti terzi.

In tale contesto assume notevole importanza la capacità di stabilire in primo luogo dove risiedono i dati personali dei dipendenti e quali sono le categorie di documenti con cui gli stessi vengono raccolti, modificati, aggiornati, elaborati ed archiviati. Queste considerazioni evidenziano, seppur indirettamente, la prima fase necessaria a valutare le opportune misure di sicurezza da adottare, ossia una mappatura completa delle tipologie di dati che il titolare del trattamento andrà a trattare.

La fase immediatamente successiva consiste nel comprendere sulla base di quale titolo giuridico nasce la facoltà di disporre dei queste informazioni.

Nel mese di giugno 2017, il Gruppo Articolo 29 (WP29, ossia il gruppo di lavoro istituito dall'art. 29 della Direttiva n. 46/1995) ha aggiornato le proprie indicazioni in materia di privacy nell'ambito dei rapporti di lavoro, anche in considerazione della massiccia diffusione di nuove tecnologie e del loro utilizzo in ambito aziendale. Ne consegue che l'introduzione di un'adeguata policy aziendale diventa un elemento imprescindibile, idoneo ad accrescere l'attenzione da parte dell'azienda al corretto trattamento dei dati dei propri dipendenti. In tal senso il provvedimento del WP29 richiama l'opportunità di effettuare sempre una valutazione preventiva dell'impatto del trattamento dei dati personali (Data Protection Impact Assessment) importante per l'azienda per conoscere esattamente l'impatto del trattamento dei dati sul proprio business e valutare la necessità e la proporzionalità del trattamento. Solo in quest'ottica sarà possibile rispettare efficacemente il principio di responsabilizzazione dei titolari e dei responsabili del trattamento (accountability) alla base della nuova normativa sulla privacy.

Il WP29 ha escluso che, nella generalità dei casi, la fonte di legittimazione al trattamento dei dati personali nell'ambito del rapporto di lavoro possa essere costituita dal consenso dell'interessato. Il Gruppo di lavoro ha precisato che per rapporto di lavoro non deve intendersi esclusivamente quello dipendente, ma qualunque forma di relazione lavorativa tra una persona ed un'impresa. È stato poi precisato che il trattamento dei dati può avvenire soltanto per l'esecuzione di obblighi derivanti da un contratto di lavoro, ove presente, nell'adempimento di obblighi di legge ovvero nell'interesse legittimo del datore di lavoro. In mancanza dei predetti presupposti il mero consenso del lavoratore non legittima al trattamento dei dati personali ed in tal senso l'art. 7 del Regolamento prevede che il consenso sia sempre revocabile, con modalità semplici quanto quelle previste per l'ottenimento dello stesso. A causa della disparità di potere tra il datore di lavoro ed il lavoratore, il consenso concesso da quest'ultimo, difatti, non può essere considerato “libero" pertanto non è ritenuto valido. Tutti i dati personali in possesso dell'azienda e relativi ai dipendenti, devono quindi trovare giustificazione su una base giuridica diversa dal consenso, ovvero:

  • nell'esecuzione di obblighi derivanti da un contratto di lavoro (ad esempio se il dato è trattato allo scopo di elaborare le buste paga);
  • nell'adempimento di obbligazioni previste dalla legge (ad esempio se il dato è trattato per fare calcoli o un conguaglio di imposte);
  • nell'interesse legittimo del datore di lavoro (ad esempio la prevenzione di danni o di perdite, ovvero l'incremento della produttività aziendale).

Il datore di lavoro potrà quindi valutare, in alternativa, il ricorso a disposizioni normative o contrattuali, oppure far valere il proprio “legittimo interesse”: ad esempio, alla sicurezza e alla corretta allocazione delle risorse. A questo proposito, i Garanti hanno ribadito che occorre bilanciare il legittimo interesse del datore di lavoro con i diritti e le libertà dei lavoratori alla luce dei principi di necessità e proporzionalità. In particolare, ogni trattamento deve essere proporzionato alla finalità perseguita, e deve essere limitato quanto più possibile l'uso dei dati personali.

Vale la pena di soffermarsi sull'ultimo punto, perché se un titolare intende sostenere che una o più categorie di dati personali dei propri dipendenti sono trattati per un interesse legittimo, il parere espresso dal gruppo di lavoro WP29 precisa che la finalità deve essere legittima e che i mezzi o le tecnologie con cui viene effettuato il trattamento devono essere necessari per perseguire quel legittimo interesse che è stato posto come fondamento giuridico. A tutto ciò si aggiunga che il trattamento deve essere proporzionato alle esigenze aziendali, svolto in modo meno intrusivo possibile e mirato allo specifico ambito di rischio. In generale, qualora si invochi l'interesse legittimo dell'azienda, devono essere presenti misure specifiche di attenuazione che garantiscano un equilibrio tra l'interesse aziendale e i diritti e le libertà fondamentali dei lavoratori, garantendo la tutela della loro vita privata.

Il WP29 ha individuato 9 ambiti tipici di trattamento di dati personali dei lavoratori, basati su un interesse legittimo del titolare del trattamento e dai quali possono scaturire dei rischi per i diritti e per le libertà fondamentali dei lavoratori, analizziamoli brevemente:

1. Trattamento dei dati dei candidati presenti sui social network

Il datore di lavoro può trattare i dati dei candidati presenti sui loro profili social (opinioni personali, abitudini, interessi, ecc.) solo nelle ipotesi in cui tali profili siano utilizzati per finalità lavorative. Il candidato deve inoltre essere informato della procedura, anche mediante indicazione all'interno dell'annuncio di lavoro.

2. Trattamento dei dati dei lavoratori presenti sui social network

In relazione ai dipendenti, i presupposti previsti sono pressoché gli stessi di quelli per i candidati, si aggiunge che il datore di lavoro deve provare che non ci siano altri modi per arrivare alla finalità del trattamenti. Dette attività sono consentite esclusivamente se i profili degli interessati siano utilizzati per finalità lavorative e non per scopi personali. Alla base del monitoraggio dei profili social, pertanto, resta l'obbligo di contemperare gli interessi di entrambe le parti in causa (è legittimo, ad esempio, monitorare il profilo Linkedin di un ex dipendente per controllare che non abbia violato il patto di non concorrenza).

3. Monitoraggio della strumentazione informatica dei lavoratori

Il trattamento dei dati dei lavoratori, relativo all'utilizzo della loro strumentazione informatica (email, cronologia delle ricerche, telefonate, etc), rappresenta probabilmente la più grande minaccia alla loro sicurezza. In merito a questi particolari aspetti, il datore di lavoro è tenuto ad adottare soluzioni che limitino l'accesso indiscriminato ai dati, sia per tipologia sia nel tempo. Con particolare riguardo all'utilizzo di strumenti informatici utilizzabili da remoto, pur dovendo far fronte a possibili accessi da parte di terzi, le misure di sicurezza quali il monitoraggio dei movimenti del mouse, l'utilizzo di webcam o di tecnologie di “screen capture”, sono considerate illegittime.

4. Mobile Device Management

Prima dell'inizio del trattamento dati deve essere effettuata un Data Protection Impact Assessment (DPIA), al fine di verificare la necessità del trattamento rispetto alle finalità perseguite. I dipendenti devono inoltre essere adeguatamente informati dei controlli e delle conseguenze relative.

5. Wearable Devices

I dati personali raccolti tramite strumenti indossabili che monitorano l'attività fisica della persona, possono essere trattati solo dai diretti interessati ed eventualmente dal fornitore del servizio. Il monitoraggio da parte del datore di lavoro è considerato illegittimo.

6. Rilevazione della presenza dei lavoratori

Alcuni strumenti utilizzati dal datore di lavoro per finalità del tutto legittime, possono comportare monitoraggio indiretto della presenza e dell'attività dei dipendenti sul luogo di lavoro. Tali trattamenti di dati sono considerati legittimi in quanto di interesse del titolare, qualora siano finalizzati a tutelare la perdita e/o la sottrazione di informazioni riservate di natura aziendale. I lavoratori devono essere informati di tale trattamento con un'apposita informativa.

7. Trattamenti di dati mediante sistemi di videosorveglianza

L'utilizzo delle tecnologie che consentono il video-monitoraggio dei lavoratori è illecito, in quanto sproporzionato rispetto alla tutela dei diritti e delle libertà fondamentali degli interessati.

8. Geolocalizzazione dei veicoli

Il trattamento dei dati tratti dalla geolocalizzazione dei veicoli aziendali, effettuato per il perseguimento di finalità legittime del datore di lavoro quali, ad esempio, la tutela della sicurezza di veicoli e/o lavoratori o ancora per esigenze organizzative o produttive, ad esempio per la pianificazione in tempo reale di alcune attività lavorative, risulta del tutto lecito. Illecito è invece monitorare i lavoratori e la loro posizione geografica nel caso in cui i veicoli aziendali possano essere utilizzati anche per finalità private. E' consigliabile inserire un'informativa sulla privacy all'interno del veicolo.

9. Trasferimento dei dati personali dei lavoratori a terzi

In relazione al trasferimento dei dati dei lavoratori a terzi, il WP29 ha individuato due casi: quello in cui tali dati siano trasferiti ai clienti finali e l'ipotesi in cui siano comunicati tra società del medesimo gruppo aventi sede fuori dall'Italia. Con riferimento alla prima fattispecie, si ritiene che il trasferimento possa avvenire solo se fondato su un legittimo interesse del titolare; in relazione alla seconda, si richiamano i principi generali per il trasferimento di dati previsti dalla Direttiva 95/46/CE e, attualmente, trasposti all'interno del GDPR. Sull'argomento il Garante italiano si era già espresso stabilendo che il trasferimento di dati personali da paesi appartenenti all'UE verso Paesi "terzi" (non appartenenti all'UE o allo Spazio Economico Europeo: Norvegia, Islanda, Liechtenstein) è vietato, in linea di principio (articolo 25, comma 1, della Direttiva 95/46/CE) a meno che il Paese in questione garantisca un livello di protezione "adeguato"; la Commissione ha il potere di stabilire tale adeguatezza attraverso una specifica decisione (articolo 25, comma 6). In deroga a tale divieto, il trasferimento verso Paesi terzi è consentito anche nei casi menzionati dall'art. 26, comma 1, (consenso della persona interessata, necessità del trasferimento ai fini di misure contrattuali/precontrattuali, interesse pubblico preminente, ecc.), nonché sulla base di strumenti contrattuali che offrano garanzie adeguate (articolo 26, comma 2). Le recenti linee guida del Garante italiano, pubblicate nel 2018, sottolineano che viene meno il requisito dell'autorizzazione nazionale (art. 45, paragrafo 1, e art. 46, paragrafo 2) pertanto il trasferimento verso un Paese terzo "adeguato" ai sensi della decisione assunta in futuro dalla Commissione, ovvero sulla base di clausole contrattuali modello, debitamente adottate, o di norme vincolanti d'impresa approvate attraverso la specifica procedura di cui all'art. 47 del Regolamento, potrà avere inizio senza attendere l'autorizzazione nazionale del Garante. Quest'ultima, tuttavia, sarà ancora necessaria se un titolare desidera utilizzare clausole contrattualinon riconosciute come adeguate tramite decisione della Commissione europea oppure accordi amministrativi stipulati tra autorità pubbliche. Il Regolamento consente di ricorrere anche a codici di condotta ovvero a schemi di certificazione per dimostrare le "garanzie adeguate" previste dall'art. 46. Ciò significa che i titolari o i responsabili del trattamento stabiliti in un Paese terzo potranno far valere gli impegni sottoscritti attraverso l'adesione al codice di condotta o allo schema di certificazione, ove questi disciplinino anche o esclusivamente i trasferimenti di dati verso Paesi terzi, al fine di legittimare tali trasferimenti. Ititolari dovranno assumere, inoltre, un impegno vincolante mediante uno specifico strumento contrattuale o un altro strumento che sia giuridicamente vincolante e azionabile dagli interessati. E' opportuno ricordare, tra gli aspetti di maggior rilievo, ancora in vigenza del D.Lgs. n. 196/2003 per la corretta gestione dei dati personali in ambito aziendale, l'adozione di un disciplinare interno necessario al corretto utilizzo della posta elettronica dei dipendenti/collaboratori (Garante Privacy, Registro delle deliberazioni n. 13 del 1° marzo 2007). È, inoltre, previsto che con l'adozione dei nuovi principi l'intervento delle autorità di controllo avverrà sostanzialmente ex post, successivamente alle determinazioni assunte autonomamente dal titolare. A tale proposito è prevista l'abolizione dal 25 maggio 2018 di alcuni istituti della previgente normativa, tra cui la notifica preventiva dei trattamenti all'autorità di controllo e il cosiddetto prior checking (verifica preliminare), sostituiti da obblighi di tenuta di un registro dei trattamenti da parte del titolare/responsabile e di effettuazione di valutazioni di impatto.

TABELLA FASI TIPICHE DI TRATTAZIONE

PROCEDURE DI ASSUNZIONE

CV, portfolio, modelli di domanda, lettere di presentazione

RETRIBUZIONE

Conservazione digitale o cartacea, criptografia degli archivi, pseudonomizzazione, diritto all'oblio

TRASFERTE E DATI SANITARI

Note spesa, dati delle trasferte, dati medici, assicurazioni

TRASFERIMENTO

Comunicazione dati all'esterno della UE

TABELLA GESTIONE DATI DEL PERSONALE

Tipologia di dati

Identificativi, dati particolari

Tipologia di trattamento

Amministrazione del personale, iscrizione a sindacati, dati relativi al pagamento delle retribuzioni, rilevazione presenze, pagamento note spese e rimborsi.

Tipologie di interessati

Dipendenti, soggetti non dipendenti (professionisti, collaboratori, consulenti, periti, assicuratori etc.).

Destinatari dei dati

Personale interno, soggetti terzi (consulente del lavoro, commercialista, professionisti in genere), Istituzioni, Autorità di vigilanza, Autorità giudiziaria.

Tempi di conservazione

10 anni o termine diverso.

Rischi specifici

Perdita, distruzione, divulgazione non autorizzata, uso improprio.

Misure di sicurezza e tipi di processo

Presenza di un disciplinare tecnico, protezione fisica dei documenti, accessi riservati a personale autorizzato, protezione archivi informatici, sistemi di backup, antivirus, disaster recovery, antimalware, password.

Tempi di conservazione dei dati

Il tempo di conservazione dei dati è, in generale, intrinsecamente legato alla finalità del trattamento, e pertanto, il medesimo dato, se utilizzato per differenti finalità, potrebbe avere tempi di conservazione diversi, che devono essere opportunamente gestiti dall'azienda oltre che comunicati nell'informativa.

Si può verificare, ad esempio, una situazione in cui il dato raccolto dall'azienda, per una certa finalità sarà conservato 5 anni e per un'altra finalità 10 anni: in questo caso, sarà necessario stabilire, dal punto di vista tecnico, il tipo di intervento da mettere in atto, anche in funzione della specifica architettura informatica degli archivi del titolare del trattamento.

Se, infatti, lo stesso dato è replicato in archivi diversi, si potrà procedere alla cancellazione del dato nell'archivio relativo alla finalità che si esaurisce in 5 anni e lasciarlo nell'archivio relativo alla finalità che si conclude in 10 anni.

Se, invece, il dato è presente in un solo archivio, sarà necessario impedire il suo uso per la prima finalità al termine dei 5 anni, revocando, per esempio, le credenziali di accesso ai soggetti e/o alle applicazioni che svolgono tale finalità.

In ogni caso, il titolare del trattamento dovrà essere in grado di dimostrare l'efficacia, sotto questo profilo, del tipo di intervento prescelto.

In merito ai tempi di conservazione dei dati il GDPR prevede alcune norme molto chiare:

  • Considerando n. 39: “… i dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l'obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario (…). Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati“;
  • art. 5, lett. e): “i dati personali sono (…) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica ( …)”;
  • artt. 13 e 14, comma 2, lett. a) (informativa): “(…) il titolare del trattamento fornisce all'interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente: a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo“.

Ogni azienda, società o altro tipo di ente dovrà, quindi, adeguarsi a tale principio, stabilendo la propria policy in tema di cancellazione o anonimizzazione dei dati, nel momento in cui la conservazione degli stessi non sia ulteriormente giustificata.

Sul punto, il Garante italiano si era già espresso con alcune pronunce relative alla conservazione dei dati personali raccolti con finalità di marketing, invitando le aziende, nell'ambito della propria autonomia organizzativa, a prevedere una durata predeterminata.

In merito alla determinazione dei tempi di conservazione, va sottolineato che questa può avvenire in base ad una normativa o anche solo in base ad una valutazione del titolare del trattamento, soprattutto qualora non esista una specifica norma.

In questo secondo caso, però, il titolare del trattamento dovrà essere in grado di giustificare i tempi di conservazione prescelti, riferendosi anche, laddove esistano, a provvedimenti dell'Autorità Garante su analoghe situazioni; oppure si potrebbero prevedere termini di conservazione più ampi di quelli ritenuti ragionevoli se vi fosse la fondata necessità di difendersi in giudizio da potenziali pretese con termini di prescrizione molto lunghi.

Le analisi da compiere devono quindi tenere conto di cosa conservare e per quanto tempo e possono differire da una realtà imprenditoriale all'altra.

In ogni caso, è opportuno che ogni azienda adotti una propria policy che conduca alla redazione di un documento, da aggiornare periodicamente, in cui sia chiaramente indicata la propria scelta in tema di conservazione dei dati, stabilendo, nel dettaglio, le scadenze da rispettare nella conservazione dei dati personali nelle diverse ipotesi che potrebbero verificarsi.

Informativa ai dipendenti

Una volta stabilite le basi giuridiche su cui si fonda il trattamento dei dati personali dei propri dipendenti, l'azienda ha il dovere di informare in modo efficace i propri dipendenti sull'attuazione del trattamento, delle sue finalità e delle circostanze nelle quali viene svolto. L'informazione è improntata alla massima trasparenza e tale principio deve essere mantenuto in tutte le fasi del rapporto, anche quelle propedeutiche all'assunzione.

I candidati hanno infatti il diritto di essere informati sulle modalità di svolgimento delle procedure di assunzione, compreso l'esame dei propri profili pubblici sui social network.

Trasparenza significa che ai titolari dei dati deve essere garantita un'informazione, chiara, semplice e facilmente accessibile, delle modalità attraverso le quali avviene l'utilizzazione, la consultazione e il trattamento dei dati personali che li riguardano.

Allo stesso modo i dipendenti devono essere informati circa l'esistenza di sistemi di monitoraggio degli orari, delle presenze o gli accessi a specifici locali aziendali ovvero a determinati luoghi di lavoro. Gli artt. 13 e 14 del Regolamento indicano le informazioni che devono essere fornite qualora i dati siano raccolti presso l'interessato o presso altri soggetti. Mediante l'informativa il datore concede all'interessato la possibilità di conoscere una serie di dati estremamente importanti, tra questi, ad esempio, il periodo e le modalità di conservazione dei dati ed i diritti che gli sono riconosciuti dal Regolamento.

TABELLA DIRITTI DELL'INTERESSATO

DIRITTO DI ACCESSO AI DATI

Art. 15 GDPR

L'interessato ha diritto di ottenere dal titolare del trattamento l'accesso alle seguenti informazioni: finalità del trattamento, categorie di dati, destinatari a cui saranno comunicati (in particolare se trattasi di Paesi terzi), periodo di conservazione (se non è possibile indicare il periodo si indicano i criteri utilizzati per determinarlo), esistenza dei diritti di rettifica, cancellazione, limitazione o opposizione al trattamento, diritto di proporre reclamo ad un'Autorità di controllo, informazioni relative all'origine dei dati non raccolti direttamente dall'interessato, esistenza di processi automatizzati e profilazione. Il titolare fornisce una copia dei dati oggetto di trattamento.

DIRITTO DI RETTIFICA

Art. 16 GDPR

L'interessato ha diritto di ottenere rettifica dei dati inesatti che lo riguardano, senza ingiustificato ritardo ed eventualmente integrare i dati incompleti.

DIRITTO ALL'OBLIO (cancellazione)

Art. 17 GDPR

L'interessato ha diritto di ottenere la cancellazione dei dati che lo riguardano, senza ingiustificato ritardo e il titolare deve provvedere alla cancellazione, nei casi di revoca del consenso, venir meno delle finalità per cui erano stati raccolti, opposizione al trattamento, trattamento illecito, adempimento obblighi legali previsti dalla UE o dallo Stato membro.

DIRITTO DI LIMITAZIONE DEL TRATTAMENTO

Art. 18 GDPR

L'interessato ha diritto di ottenere la limitazione del trattamento in caso di contestazione dell'esattezza degli stessi, trattamento illecito con richiesta di limitazione e non cancellazione, in caso di utilizzo per difesa in sede giudiziaria sebbene il titolare non ne abbia più bisogno. Il titolare deve informare l'interessato dell'avvenuta limitazione.

DIRITTO ALLA PORTABILITA' DEI DATI

Art. 20 GDPR

L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora il trattamento si basi sul consenso ai sensi dell'art. 6, paragrafo 1, lett. a), o dell'art. 9, paragrafo 2, lett. a), o su un contratto ai sensi dell'art. 6, paragrafo 1, lett. b) e il trattamento sia effettuato con mezzi automatizzati.

DIRITTO DI OPPOSIZIONE

Art. 21 GDPR

L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano, compresa la profilazione. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria. Qualora i dati personali siano trattati per finalità di marketing diretto, l'interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione.

Per quanto riguarda l'informativa privacy, il nuovo GDPR elenca tassativamente i contenuti prevedendo che il titolare del trattamento dei dati specifichi i dati di contatto del DPO (Responsabile della protezione dei dati - Data Protection Officer), ove esistente, la base giuridica del trattamento dei dati ovvero l'interesse legittimo, se vengono trasferiti i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti, il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all'Autorità di controllo.

Se il trattamento comporta processi decisionali automatizzati o la profilazione, deve essere indicata anche la logica di tali processi decisionali e le conseguenze previste per l'interessato.

Qualora i dati personali non siano stati raccolti direttamente presso l'interessato, l'informativa deve essere fornita entro un termine ragionevole che non può superare un mese dalla raccolta dei dati ovvero dal momento della comunicazione (non della registrazione) dei dati (a terzi o all'interessato), diversamente da quanto prevede l'art. 13, comma 4, D.Lgs. n. 196/2003.

Il Regolamento specifica molto più in dettaglio rispetto all'attuale Codice privacy le caratteristiche dell'informativa, che deve essere fornita per iscritto e preferibilmente in formato elettronico, anche se sono ammessi “altri mezzi”, quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui al paragrafo 1 dell'art. 12 del Regolamento.

Si aggiunge infine che il Regolamento impone di informare l'interessato prima di procedere al trattamento ulteriore, ogni qualvolta le finalità mutino nel tempo.

TABELLA CARATTERISTICHE DELL'INFORMATIVA

TRASPARENZA

CHIAREZZA E INTELLEGIBILITA'

SEMPLICITA'

FACILMENTE ACCESSIBILE

FORMA CONCISA

PREFERIBILMENTE SCRITTA o FORMATO ELETTRONICO (anche con altri mezzi se rispetta caratteristiche precedenti)

Conclusioni

L'adeguamento al nuovo GDPR va considerato non come un costo ma come un investimento; ciò assume connotati più specifici nell'ambito dei rapporti di lavoro, ove facilmente si riscontrano contrapposizioni tra le parti e dove un'eventuale trattamento non conforme potrebbe essere motivo di ulteriori pretese da parte del lavoratore, oltre a rappresentare un indiscutibile danno reputazionale per il datore di lavoro.

In un successivo approfondimento analizzeremo le nuove regole e i riverberi che queste hanno sulle fasi più importanti del rapporto di lavoro, da quelle precedenti all'instaurazione a quelle successive alla cessazione, con particolare attenzione alla gestione documentale, agli indirizzi forniti nel tempo dall'Autorità Garante in relazione ai casi più comunemente riscontrabili nella pratica quotidiana, con uno sguardo anche al rapporto tra professionista e datori di lavoro clienti.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario