Basi giuridiche
Una volta individuati i trattamenti rientranti nel proprio ambito di competenza (anche avvalendosi del criterio distintivo degli scopi d’uso o finalità) si passa alla fase successiva.
Ogni scopo deve rispondere ad uno specifico fondamento giuridico (art. 6, GDPR) e le informazioni raccolte per uno scopo, non possono essere riutilizzate per perseguire un altro obiettivo che sia incompatibile con quello originale. Qualsiasi nuovo utilizzo dei dati (cioè, per un nuovo scopo) deve soddisfare le prescrizioni dettate dalla disciplina e deve avere una propria base giuridica. Ad esempio, non sarebbe legittimo utilizzare le informazioni desunte dai rapporti con gli organi sindacali per il diverso fine di gestione della carriera e della mobilità, salvo che questo scopo secondario abbia un proprio fondamento giuridico.
Il responsabile delle Risorse Umane, per conto del titolare e col supporto delle competenze specialistiche presenti in azienda, dovrà individuare ed associare una specifica base giuridica a ciascun pertinente trattamento rilevato nel proprio ambito. Questa operazione è importante in quanto, da un lato, indica il fondamento della legittimità di (cioè, perché sia legittimo) quanto viene realizzato con i dati personali di riferimento, dall’altro lato, evidenzia la disciplina applicabile a quel particolare contesto; la base giuridica, ad esempio, indica quali diritti sono realmente esercitabili dall’interessato. L’indicazione della base giuridica di ciascuno specifico trattamento va riportata nell’informativa e, siccome essa condiziona la disciplina da attuare nel contesto di riferimento, è opportuno che essa sia riportata anche nel registro dei trattamenti.
Le basi giuridiche sono tassativamente elencate all’articolo 6.1 del GDPR.
V. in proposito la sezione “Principi e basi giuridiche”
Volendo semplificare, le basi giuridiche più frequentemente utilizzate nel contesto della gestione delle risorse umane sono:
- il rispetto di un obbligo legale da parte dell’organizzazione [art. 6.1 c) GDPR], ad esempio, per i trattamenti di dati personali operati dall’azienda per soddisfare gli obblighi previdenziali e assistenziali (artt. 2114 e ss. cod. civile), quelli sulla sicurezza sul lavoro (art. 2087 c.c., Dlgs 81/2008), per i trattamenti di dati personali necessari per rispondere alle prescrizioni delle specifiche norme epidemiologiche anti-covid, per gli obblighi relativi alla tenuta di un unico fascicolo del personale, per il canale di comunicazione del whistleblowing (legge n. 179/2017); allo stesso tempo, se le informazioni coinvolte riguardano categorie particolari di dati personali, le deroghe al divieto del loro uso sono riconducibili a quanto previsto all’articolo 9.2 lettera b) e 88 del GDPR
- l’esecuzione di un contratto di cui l’interessato (dipendente) è parte, o di misure precontrattuali adottate su sua richiesta [ad es. il candidato, art. 6.1 b) GDPR]; come nel caso dell’elaborazione di domande di assunzione e relativi CV, per verificare l´esatto adempimento della prestazione o commisurare l´importo della retribuzione, anche per lavoro straordinario, o dei premi da corrispondere, per quantificare le ferie e i permessi, per appurare la sussistenza di una causa legittima di assenza, per la gestione della retribuzione e la comunicazione dei dati agli istituti di credito per il relativo pagamento [in caso di uso di categorie particolari di dati, la deroga al divieto sarà quella prevista dall’art. 9.2 b), GDPR]
- la realizzazione dell’interesse legittimo perseguito dall’organizzazione o dal destinatario dei dati, fermo restando che non si trascurano l’interesse o i diritti e le libertà fondamentali dell’interessato [art. 6.1 f), GDPR]; come per l’ipotesi di ricerca del personale, della creazione di una banca dati dei CV raccolti, la gestione di directory interne e organigrammi, la gestione della dotazione dei dispositivi professionali, attrezzature, veicoli, carte di pagamento, ecc.
- l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento [art. 6.1 e) GDPR].
In alcuni casi eccezionali, nel contesto delle risorse umane può anche essere invocato come base giuridica il consenso libero, specifico, informato e inequivocabile dell’interessato [artt. 6.1 a) GDPR e, per le categorie particolari di dati, 9.2 a), GDPR]. Se si è dell’avviso che il consenso sia la giusta base giuridica, occorre fare attenzione che i dipendenti sono raramente in grado di dare, rifiutare o revocare il proprio consenso liberamente, data la subordinazione che deriva dal rapporto datore di lavoro / dipendente. I dipendenti possono dare il loro consenso libero (cioè, valido) solo se l’accettazione o il rifiuto di una proposta non ha conseguenze sulla loro situazione.
V. in proposito la sezione “Consenso”
Esempi
Esempio 1: come rilevato dal CNIL (autorità francese), le operazioni di trattamento effettuate nel contesto delle operazioni di assunzione non possono basarsi sul consenso dei candidati, in quanto un rifiuto da parte loro potrebbe influire sulle loro possibilità di ottenere un lavoro (o alcuni tipi di posti di lavoro).
Esempio 2: Al contrario, la registrazione di una clip promozionale in un’area di lavoro che mostra dipendenti identificabili, può essere basata sul loro consenso purché le persone interessate abbiano la possibilità di scegliere se apparire o meno in queste registrazioni, e a condizione che la scelta effettuata non abbia alcun impatto su di essi (in particolare per quanto riguarda le condizioni di lavoro, la retribuzione, la promozione, ecc.).
Esempio 3: Il trattamento di dati personali di dipendenti e familiari nel contesto della maggior parte delle eventuali iniziative dell’organizzazione per il welfare del proprio personale per indennità accessorie o “fringe benefits” può avere come base giuridica il consenso degli interessati a seguito della natura eminentemente facoltativa di tali iniziative, rimesse alla libera e autonoma determinazione dei beneficiari. Esempi in questo ambito sono: auto aziendale, telefono cellulare aziendale, buoni pasto, alloggio, polizze assicurative sulla vita, servizi di educazione e istruzione, mensa, ludoteca, centri sportivi estivi e invernali, borse di studio, cessioni di prodotti aziendali a condizioni di favore, prestito personale ai dipendenti a tassi inferiori a quelli di mercato, strumenti di previdenza complementare (es. fondi pensione).