GDPR e normativa giuslavoristica

Autore: Alessandro Moretti

GDPR e normativa giuslavoristica: come rispettare il limite di durata massima dei contratti a tempo determinato?

Il 12 luglio 2018 il Governo italiano ha adottato il decreto legge n. 87/2018 (cd. Decreto Dignità) con l’obiettivo di modificare la disciplina organica dei contratti di lavoro già contenuta nel decreto legislativo n. 81/2015 (cd. Jobs Act).

Tra le previsioni volte a stabilire misure efficaci per il contrasto al precariato, l’intervento di riforma ha inciso sul termine massimo di durata dei contratti di natura subordinata a tempo determinato che un soggetto può instaurare con lo stesso datore di lavoro.

In particolare, l’articolo 19, comma 2, del Jobs Act, come modificato dal Decreto Dignità, ha ridotto a 24 mesi il limite generale di durata che i rapporti a tempo determinato possono raggiungere cumulandosi l’un l’altro. A partire dal 1 novembre 2018 simile limitazione temporale interessa tutti quei rapporti che, nel corso della vita lavorativa di un soggetto, sono intercorsi con il medesimo datore di lavoro ed hanno avuto ad oggetto mansioni di pari livello e categoria legale. Non solo. Laddove venga superata la complessiva durata di 24 mesi, è previsto che il rapporto di lavoro si trasformi automaticamente in un contratto a tempo indeterminato a far data dal superamento del predetto limite temporale.

Ciò considerato, risulta di estrema importanza per il datore di lavoro poter consultare le informazioni sugli ex dipendenti prima di perfezionare un’assunzione a tempo determinato. Soltanto in questo modo, infatti, risulta possibile verificare l’osservanza del limite massimo dei 24 mesi ed il rispetto della normativa giuslavoristica.

Bisogna considerare che il datore di lavoro, in qualità di titolare del trattamento, è tenuto a rispettare contestualmente quanto disposto dalla normativa in materia di protezione dei dati personali. In particolar modo, il Regolamento europeo 2016/679 (cd. GDPR) sancisce il principio di limitazione della conservazione, circoscrivendo il mantenimento dei dati personali al tempo strettamente necessario a conseguire le finalità per le quali i dati sono stati raccolti.

Il limite della data retention imposto dal GDPR rischia dunque di presentare profili conflittuali rispetto a quanto previsto dalla normativa giuslavoristica in materia di contratti a tempo determinato, generando conseguentemente criticità operative di non immediata risoluzione.

Numerose imprese nel definire il periodo di conservazione dei dati personali degli ex dipendenti hanno optato per un periodo di 10 anni dalla cessazione del rapporto di lavoro. Simile durata si allinea al termine di prescrizione ordinaria e trova giustificazione nell’interesse dell’imprenditore a potersi difendere da eventuali e future rivendicazioni. Non è detto, tuttavia, che tale termine decennale permetta di ricomporre lo storico dei rapporti a tempo determinato e consenta, così, di soddisfare gli obblighi imposti dalla normativa giuslavoristica. Ciò è di particolare evidenza laddove si prendano in considerazione settori caratterizzati da grande dinamicità, ove è frequente il ricambio del personale ed è possibile che un soggetto venga assunto più volte, anche a distanza di diversi anni.

Alcune realtà risolvono le problematiche relative al limite di durata previsto dall’articolo 19, comma 2, del Jobs Act (come da ultimo modificato) cancellando i dati degli ex dipendenti ed affidandosi alla schiettezza dei candidati. In altri termini, durante il processo di selezione, viene chiesto a ciascun candidato se in passato abbia già avuto uno o più rapporti a tempo determinato con l’impresa. Simile soluzione ha il pregio di superare l’attrito tra il GDPR e la disciplina giuslavoristica, e tuttavia espone l’imprenditore a dichiarazioni non veritiere e a possibili comportamenti ingannevoli.

Non volendosi affidare alle dichiarazione dei candidati, all’imprenditore non resta che definire quale possa essere il tempo di conservazione dei dati attraverso cui garantire il rispetto della normativa giuslavoristica. Si potrebbe immaginare che i dati vengano mantenuti per il tempo presumibilmente necessario affinché ciascun ex dipendente, con il quale siano intercorsi rapporti a tempo determinato, raggiunga l’età pensionabile. Per quanto suggestiva, tale soluzione sembra essere difficilmente giustificabile dal punto di vista della disciplina privacy e, sotto il profilo tecnico-operativo, di non banale implementazione. Da un lato, infatti, bisognerebbe giustificare un tempo di conservazione che potrebbe spingersi fino a 40-50 anni, ben oltre il termine decennale generalmente previsto dalle imprese (si pensi al caso di una persona assunta a tempo determinato subito dopo aver compiuto la maggiore età). Dall’altro lato, risulta assai complesso per il datore di lavoro impostare una conservazione dei dati personalizzata che, per ciascun ex dipendente, coincida con il tempo necessario al raggiungimento dell’età pensionabile.

Se è vero che una data retention estremamente ampia risulta difficile da sostenere, è però possibile adottare misure specifiche che aiutino a giustificare un più lungo periodo di conservazione dei dati. In questo senso, i datori di lavoro potranno estendere il tempo di conservazione ai soli dati degli ex dipendenti che hanno avuto contratti a tempo determinato. Potranno mantenere soltanto i dati necessari e sufficienti ad individuare ciascun ex dipendente (i.e. codice fiscale). Potranno implementare una rigida segregazione dei dati, consentendone l’accesso al solo personale addetto alle assunzioni e unicamente durante lo svolgimento del processo di selezione. Potranno infine effettuare una valutazione d’impatto che accerti l’assenza di rischi elevati per l’individuo derivanti da una più lunga tenuta dei dati.

L’esigenza di storicizzare i rapporti a tempo determinato produce, sotto il profilo applicativo, forti criticità nel definire il periodo di retention dei dati degli ex dipendenti. La divergenza tra la regolamentazione privacy e quella giuslavoristica, infatti, obbliga il datore di lavoro ad attuare una scelta scomoda che, in ogni caso, rischia di esporlo ad una violazione della normativa.

Ci si trova in una situazione d’imbarazzo secondo la quale dall’osservanza di una disciplina deriva, potenzialmente, il mancato rispetto dell’altra. Per appianare la frizione tra le due normative e per assicurarne il coordinamento, risulterebbe prezioso un intervento del Garante per la protezione dei dati personali che faccia da ponte tra la disciplina privacy e quella giuslavoristica. Allo stesso modo, sarebbe utile un’attività del legislatore che, avvalendosi dei margini di flessibilità riconosciuti in ambito lavorativo dall’articolo 88 del GDPR, contribuisca a dotare di maggiore coerenza il quadro normativo.

Fonti:

Regolamento generale sulla protezione dei dati personali n. 2016/679
Decreto legislativo n. 81/2015
Decreto legge n. 87/2018, come modificato in sede di conversione, con la Legge n. 96/2018, ed attraverso la Legge di Bilancio n. 145/2018

Il ruolo della data governance nella sostenibilità delle smart cities

Il ruolo dei cookie paywall ed il valore dei dati personali

Riconoscimento facciale e sorveglianza: raising awareness

Diritto di accesso ad internet: un requisito per lo sviluppo di una cultura digitale

Deepfake: “when seeing isn’t believing anymore”

ABOUT US

LINKS

Community

About

Privacy e cookie policy

Login

SOCIAL