GDPR e trattamento dati nei rapporti di lavoro

Come devono essere trattati i dati dei lavoratori in virtù del nuovo regolamento privacy?

Foto di QuiFinanza

QuiFinanza

Redazione

QuiFinanza, il canale verticale di Italiaonline dedicato al mondo dell’economia e della finanza: il sito di riferimento e di approfondimento per risparmiatori, professionisti e PMI.

Pubblicato: 13 Settembre 2018 10:46Aggiornato: 13 Settembre 2018 10:46

La regolamentazione del trattamento dei dati nel rapporto di lavoro trova ampia trattazione nel Regolamento UE 2016/679GDPR sia in relazione ai presupposti del trattamento dei dati dei lavoratori che in riferimento all’organizzazione aziendale.

Presupposti del trattamento: 

non occorre richiedere il consenso esplicito al trattamento in quanto questo è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.

Diritti del lavoratore:

nonostante non sia necessario il consenso al trattamento dei dati identificativi e particolari dei lavoratori, al lavoratore sono dovute le informazioni ex artt. 13 e 14 del Regolamento Europeo. Il lavoratore gode dei diritti previsti dagli articoli 12 a 22 del Regolamento Europeo ed in particolare del diritto di accesso (articolo 15), che ha per oggetto anche i dati valutativi di natura soggettiva.

Continuità con la legislazione nazionale:

Più in generale per la disciplina della privacy applicata al contratto di lavoro, l’articolo 88 del Regolamento Europeo fa rinvio alla legislazione nazionale. Questo comporta una continuità normativa in materia di tutele e prerogative individuali e sindacali, come disposte dalla normativa italiana, in primis lo Statuto dei Lavoratori e le norme che lo richiamano.

La regola della continuità interessa anche i provvedimenti generali del Garante per la protezione dei dati personali, tra cui il Provvedimento 1° marzo 2007, in materia di uso di internet e della posta elettronica.

Le norme nazionali devono includere misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo o rete di imprese e i sistemi di controllo diretto e indiretto sul posto di lavoro.

Ogni Stato dovrà notificare alla Commissione le disposizioni di legge e comunicare senza ritardo ogni successiva modifica.

L’ importanza dell’ organizzazione aziendale:

A diretta conseguenza del principio di accountability (responsabilizzazione) previsto dal Regolamento Europeo, una grande novità riguarda la consapevolezza e responsabilità con cui il lavoratore è tenuto al trattamento del dato identificativo e/o particolare. Il lavoratore deve essere autorizzato al trattamento dei dati e deve ricevere specifiche istruzioni a riguardo del trattamento (articolo 29) ed a riguardo delle misure di sicurezza (articolo 32).

Inoltre il personale deve essere formato sui temi della protezione delle persone fisiche a riguardo del trattamento dei dati (articolo 39).

I dipendenti possono assumere il ruolo di responsabile della protezione dei dati, a patto che non incorrano nel conflitto di interessi (articoli 37 e 38). Inoltre ai dipendenti possono essere attribuite specifiche funzioni, anche previa designazione.

Questa ultima precisazione non deve spingere a confondere i soggetti interni designati per specifici adempimenti di privacy con i responsabili interni del trattamento, che la normativa attuale non prevede più (l’articolo 28 del Regolamento si applica ai responsabili esterni).

A cura di Barbara Garbelli
Consulente del Lavoro
Associazione Giovani Consulenti del Lavoro Pavia