Privacy, lavoro e Risorse Umane

[fusion_builder_container hundred_percent=”no” equal_height_columns=”no” menu_anchor=”” hide_on_mobile=”small-visibility,medium-visibility,large-visibility” class=”” id=”” background_color=”” background_image=”” background_position=”center center” background_repeat=”no-repeat” fade=”no” background_parallax=”none” parallax_speed=”0.3″ video_mp4=”” video_webm=”” video_ogv=”” video_url=”” video_aspect_ratio=”16:9″ video_loop=”yes” video_mute=”yes” overlay_color=”” video_preview_image=”” border_size=”” border_color=”” border_style=”solid” padding_top=”” padding_bottom=”” padding_left=”” padding_right=””][fusion_builder_row][fusion_builder_column type=”1_1″ layout=”1_1″ background_position=”left top” background_color=”” border_size=”” border_color=”” border_style=”solid” border_position=”all” spacing=”yes” background_image=”” background_repeat=”no-repeat” padding_top=”” padding_right=”” padding_bottom=”” padding_left=”” margin_top=”0px” margin_bottom=”0px” class=”” id=”” animation_type=”” animation_speed=”0.3″ animation_direction=”left” hide_on_mobile=”small-visibility,medium-visibility,large-visibility” center_content=”no” last=”no” min_height=”” hover_type=”none” link=””][fusion_text]

di Carmine Andrea Trovato 1 maggio 2018

Dal 25 maggio 2018, il GDPR sarà applicabile in tutti i Paesi dell’Unione europea.
I singoli Stati hanno il compito di disciplinare alcuni temi sui quali il GDPR lascia loro un margine discrezionale: tra questi vi è il trattamento dei dati nel rapporto di lavoro (art. 88).
Vista la continuità dell’attuale disciplina in materia di lavoro con quella prevista dal GDPR, è presumibile che il Governo non apporti modifiche rilevanti.
Dunque, da tale data, tutte le operazioni di trattamento dei dati personali dovranno garantire il rispetto del GDPR non soltanto nella fase di esecuzione, ma anche in quelle di ideazione e progettazione dei prodotti o servizi alle quali si riferiscono (privacy by design e privacy by default).
Quali sono alcune delle principali misure che dovranno essere impostate a tal fine per i trattamenti tipici effettuati dall’area risorse umane (e.g. recruitment, payroll etc.)?

1) Responsabilizzazione del titolare del trattamento
Il principio di accountability (artt. 5 e 24) prevede che il titolare del trattamento metta in atto le misure adeguate per garantire, ed essere in grado di dimostrare, la conformità al GDPR. Dunque, il suddetto trattamento dovrà limitarsi ai soli dati necessari alla gestione dei singoli rapporti (principi di necessità e minimizzazione). Un’immediata ricaduta con riferimento all’HR è sicuramente quella relativa ai tempi di conservazione. I curriculum vitae ad esempio, dovranno essere conservati soltanto per il periodo necessario alla valutazione dei profili e, successivamente, per un termine congruo (ma non illimitato) a garantire che gli stessi possano essere presi in considerazione nuovamente in caso di posizioni vacanti.

2) Nuovi diritti degli interessati
Ciascun lavoratore deve essere informato sulle modalità attraverso cui vengono trattati i suoi dati tramite un’informativa privacy che contenga tutti gli elementi previsti dall’art. 13 del GDPR.
In particolare, per quanto riguarda i trattamenti di dati che hanno un impatto sull’HR, il GDPR prevede che il titolare del trattamento garantisca e indichi all’interno dell’informativa i seguenti diritti del lavoratore:

a) diritto alla cancellazione dei dati (oblio – art. 17)
Ogni lavoratore può richiedere la cancellazione dei propri dati dal database aziendale qualora essi non siano più necessari per la gestione del rapporto di lavoro oppure, nei pochi casi in cui il trattamento si basi sul consenso e il lavoratore lo abbia revocato (ad esempio per la pubblicazione delle foto nel sito web aziendale).

b) diritto alla limitazione del trattamento (art. 18)
La limitazione del trattamento in corso, si configura come una sospensione temporanea dello stesso. Può essere richiesta se il lavoratore: (a) contesta l’esattezza dei dati personali trattati, (b) si è opposto al trattamento e si sia in attesa delle verifiche necessarie a capire se prevalga l’interesse del datore di lavoro, (c) ha necessità di conservare tali dati per l’esercizio di un diritto in sede giudiziaria o, infine (d) nel caso in cui il trattamento effettuato dal datore di lavoro sia illecito. Pertanto, in questi casi il datore di lavoro dovrà limitarsi alla sola conservazione dei dati, non potendo effettuare sugli stessi nessun’altra operazione di trattamento, nemmeno quelle legate all’area risorse umane, salvo che gli stessi dati non siano per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

c) diritto alla portabilità dei dati (art. 20)
Qualora il trattamento si basi sul consenso (e.g. i dati trattati nell’ambito di attività di formazione aziendale ulteriori rispetto a quelli necessari a svolgere la prestazione lavorativa) i lavoratori potranno richiedere al titolare la trasmissione dei dati personali che li riguardano, nonché la comunicazione degli stessi ad un nuovo datore di lavoro. In ogni caso, il diritto alla portabilità potrà essere esercitato soltanto laddove: (i) sia tecnicamente fattibile, (ii) non leda altri diritti (e.g. proprietà intellettuale o tutela dei segreti aziendali).

3) Rapporto con i fornitori di servizi
Nel caso in cui alcune attività del servizio HR siano esternalizzate (si veda ad esempio il caso del payroll), è necessario predisporre uno specifico data processing agreement tra il titolare del trattamento e il fornitore del servizio. Tale atto, che dovrà contenere tutti i requisiti dell’art. 28, sostituisce la nomina a responsabile del trattamento prevista dal Codice Privacy.

4) Violazione dei dati personali
Qualunque violazione dei dati che causi la distruzione, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso di terzi a dati personali trattati dall’azienda, si configura come violazione di dati (data breach). Ad esempio, lo smarrimento di un dispositivo aziendale (pc, smartphone etc.) da parte di un lavoratore può far scaturire l’obbligo di notificazione di tale avvenimento all’autorità di controllo con le modalità previste dall’art. 33 del GDPR. A tal fine, l’HR dovrà fornire pronta collaborazione affinchè tale notificazione avvenga entro le 72 ore previste dalla norma.
Inoltre, la sempre più frequente apertura delle aziende nei confronti (i) del B.Y.O.D. (ossia la possibilità per i lavoratori di utilizzare propri dispositivi – smartphone, pc – per fornire la prestazione lavorativa), nonchè (ii) dello smart working (in cui la prestazione lavorativa è svolta senza una postazione fissa) possono aumentare il rischio di data breach e richiedono pertanto la predisposizione di misure tecniche e organizzative più stringenti (policy, accessi alle aree informatiche aziendali definiti e coperti da password etc.).

FONTI:

Garante Privacy – Autorizzazione n. 1/2016 – Autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro;

Garante Privacy – Linee guida sul trattamento di dati personali dei lavoratori privati – 23 novembre 2006;

Garante Privacy – Provvedimento n. 547 del 22 dicembre 2016

WP29 Opinion 2/2017 on data processing at work.

[/fusion_text][/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]

Il ruolo della data governance nella sostenibilità delle smart cities

Il ruolo dei cookie paywall ed il valore dei dati personali

Riconoscimento facciale e sorveglianza: raising awareness

Diritto di accesso ad internet: un requisito per lo sviluppo di una cultura digitale

Deepfake: “when seeing isn’t believing anymore”

ABOUT US

LINKS

Community

About

Privacy e cookie policy

Login

SOCIAL