Il Regolamento europeo n. 679/2016 sulla protezione dei dati personali, in breve GDPR (General Data Protection Regulation), è entrato in vigore il 24 maggio 2016 ed è direttamente applicabile in tutti gli Stati membri dell’Unione Europea a partire dal 25 maggio 2018. Con il regolamento europeo non è richiesta una legge di recepimento nazionale diversamente da ciò che accade in caso di direttive europee. La previsione del Regolamento europeo sulla protezione dei dati ha comportato la modifica della normativa sulla privacy (Dlgs n. 196/2003).
Si ha un rafforzamento della precedente normativa con la previsione di nuovi diritti in capo ai soggetti interessati.
Le novità che vengono introdotte dal GDPR derivano da alcune circostanze ben precise:
• la mole di dati personali a disposizione;
• l’evoluzione tecnologica che caratterizza sempre di più la nostra vita quotidiana;
• la necessità di uniformare la normativa sulla privacy a livello europeo.
Negli ultimi anni la raccolta e la condivisione di dati personali è aumentata in modo considerevole grazie all’impiego di tecnologie sempre più sofisticate.
L’obiettivo del GDPR è quello di fornire un quadro normativo di riferimento sempre più solido e coerente in materia, per garantire il diritto fondamentale di ogni persona alla protezione dei propri dati. Esso si applica a tutte le imprese che offrono servizi o prodotti alle persone che si trovano nell’Unione Europea.
A garanzia del rispetto della normativa gli Stati membri della UE sono tenuti ad istituire un’autorità di controllo (Garante della privacy) che abbia la funzione di sorvegliare il rispetto del Regolamento a salvaguardia dei diritti fondamenti delle persone fisiche.
Anche nell’ambito dei rapporti di lavoro si è reso pertanto necessario l’adeguamento ai principi della nuova normativa. Per comprendere meglio la materia, che presenta un certo livello di complessità, è fondamentale conoscere alcuni concetti essenziali e i principi generali su cui essa si basa. Da precisare, inoltre, che in questo processo di cambiamento non saranno coinvolte soltanto le aziende bensì anche gli studi professionali.
Indice
Quali sono i dati personali
È bene innanzitutto avere chiaro cosa si intenda per dato personale. Si tratta di qualsiasi informazione riguardante una persona fisica, identificata o identificabile, definita “Interessato” dalla normativa. Tra i dati personali rientrano:
- i dati comuni, come può essere il codice fiscale della persona o l’indirizzo;
- i dati particolari, ovvero i dati sensibili come li definiva la precedente normativa, sono quelli afferenti alla salute, alle convinzioni religiose, alle opinioni politiche dell’interessato;
- i dati giudiziari, ovvero quelli relativi ad eventuali condanne penali o commissioni di reati.
Come avviene il trattamento dei dati personali
Altro concetto dal quale non si può prescindere è quello del trattamento dei dati personali. Si intende qualsiasi operazione compiuta sui dati personali, con o senza il supporto di processi automatizzati. Si pensi alla raccolta, registrazione, elaborazione o conservazione di dati personali. I dati devono essere trattati, nel rispetto del soggetto interessato, in modo lecito, corretto e trasparente in riferimento all’uso e alle finalità degli strumenti di monitoraggio e controllo.
Il trattamento dei dati personali del lavoratore
Nell’ambito lavorativo il trattamento dei dati personali si regge sui seguenti principi: proporzionalità, sussidiarietà, minimizzazione, consenso e legittimo interesse del datore di lavoro. Si garantisce, infatti, al soggetto interessato la possibilità di controllare ciò che accade ai propri dati personali e si assicura inoltre che essi siano gestiti e tutelati grazie ad elevati standard di protezione.
Sarà necessario mantenere esatti i dati raccolti e non conservarli più a lungo di quelle che sono le necessità sottese.
Altro punto dal quale non si può prescindere è consentire l’esercizio dei diritti fondamentali dei dipendenti o, in generale, dei soggetti interessati.
I soggetti coinvolti nel GDPR
Quali sono i soggetti coinvolti nel trattamento dei dati personali? Oltre all’interessato (il soggetto dei cui dati si tratta) di cui ci siamo già occupati, dobbiamo menzionare il Titolare del trattamento dei dati personali, ovvero la persona fisica o giuridica che determina le finalità e i mezzi del trattamento dei dati personali. Egli è preposto a valutare la liceità del trattamento da effettuare. Ruolo significativo è inoltre quello del Responsabile del trattamento dei dati personali coincidente con il soggetto, persona fisica o giuridica, che tratta i dati personali per conto del titolare degli stessi.
Il titolare del trattamento dei dati personali
In ambito lavorativo il datore di lavoro riveste di solito il ruolo di Titolare del trattamento. I dati personali che normalmente il datore di lavoro si trova a dover trattare sono il più delle volte comunicati dal lavoratore all’atto della sua assunzione. Essi vengono inseriti su documenti e hanno la funzione di dare esecuzione al contratto di lavoro.
Per assicurare la dovuta protezione il datore di lavoro deve garantire che i dati siano trattati con lo scopo di soddisfare finalità specifiche e legittime, assicurando che gli stessi siano limitati, pertinenti e adeguati. I dati devono essere esatti e non devono essere conservati per un periodo più lungo del necessario. Devono inoltre essere adottate tutte le misure cautelative volte alla loro protezione affinché siano impediti accessi che non siano stati autorizzati.
Altro aspetto fondamentale è informare in modo puntuale il personale dipendente in merito agli obblighi in materia di protezione di tali dati. Il trattamento, anche in ambito lavorativo, deve essere supportato da un fondamento giuridico affinché possa dirsi lecito. Esso è tale nei seguenti casi:
- se sorge dall’esigenza di dare esecuzione al contratto di lavoro;
- quando consente al datore di lavoro di adempiere ad obblighi di carattere previdenziale, assistenziale o amministrativo e tributario;
- se soddisfa interessi legati alla salute del dipendente o di altra persona fisica nei luoghi di lavoro.
Il responsabile del trattamento
Il responsabile del trattamento è colui che garantisce la messa in atto di misure tecniche e organizzative affinché il trattamento soddisfi i requisiti del GDPR e si tuteli i diritti dei lavoratori. Egli, inoltre, deve predisporre il registro dei trattamenti.
Il medico competente
Altra figura che merita di essere citata è quella del medico competente nominato nei casi previsti dalla legge per assolvere agli obblighi in materia di tutela e sicurezza nei luoghi di lavoro. Egli effettua il trattamento dei dati relativi alla salute dei dipendenti e provvede ad effettuarne l’archiviazione. Il medico competente custodisce la documentazione sanitaria e mantiene il segreto professionale in merito ad eventuali patologie dei dipendenti. Il datore di lavoro verrà a conoscenza esclusivamente dalla valutazione finale dell’idoneità del dipendente.
Il consenso del lavoratore: quando è richiesto
Per consenso del soggetto interessato si intende qualunque manifestazione della volontà che sia fornita in libertà, in maniera specifica e che sia informata. Con il consenso il soggetto interessato prende atto e accetta che i suoi dati personali siano oggetto di trattamento. Il consenso prestato può sempre essere revocato in qualsiasi momento e questo è elemento essenziale per la sua stessa validità. Esso deve essere dato in modo semplice e chiaro, ma non è prevista obbligatoriamente la forma scritta. In questo caso incombe sul titolare l’obbligo di provare che il soggetto interessato ha prestato il consenso.
In ambito lavorativo non sempre è richiesto il consenso esplicito. Ciò accade quando il trattamento è finalizzato ad assolvere gli obblighi e ad esercitare i diritti propri del rapporto di lavoro. Nel caso in cui il titolare del trattamento tratti dei dati senza il consenso del soggetto interessato, vi sarà l’obbligo di informare il Garante della privacy affinché l’autorità sia messa nella condizione di accertare un legittimo interesse a procedere in tal senso.
Quanto sopra si fonda sul principio di responsabilizzazione che impone al titolare di effettuare una prima valutazione in merito all’azione da intraprendere. Si pensi al datore di lavoro che voglia inserire degli strumenti finalizzati a monitorare l’operato dei suoi dipendenti. Elemento imprescindibile è l’esistenza di idonee garanzie per la salvaguardia dei diritti fondamentali del lavoratore.
L’informativa
Ai soggetti interessati deve essere garantita l’informazione di cui agli articoli 13 e 14 del GDPR. Essa deve essere erogata in modo chiaro e semplice, deve essere facilmente accessibile e improntata alla trasparenza. Si devono rendere note le modalità attraverso le quali dovrà avvenire l’utilizzazione, la gestione e il trattamento dei dati. Deve essere fornita in modalità cartacea o elettronica ma, su richiesta del soggetto interessato è anche ammessa la forma orale purché venga provata l’identità di quest’ultimo.
L’informativa deve, inoltre, avere ad oggetto il diritto dell’interessato all’accesso ai dati, alla cancellazione degli stessi (diritto all’oblio), alla loro modifica nonché alla limitazione del trattamento, alla portabilità e all’opposizione.
