Risorse Umane
Risorse Umane (“HR”) ha molti profili che richiedono un’adeguata attuazione delle prescrizioni di legge sulla protezione dei dati personali: spesso anche aziende di settori a scarso impatto Data Protection riscontrano nell’ambito di competenza di HR elementi di sensibilità (esempio: gestione dei dati altamente personali dei dipendenti). Le domande che seguono contengono risposte sintetiche (cliccare sul tab per espanderlo) e rinviano al contenuto della pagina pertinente per approfondimento.
FAQ DI RISORSE UMANE
IN GENERALE
Censire i trattamenti di dati personali di pertinenza, fornire adeguata informativa privacy al personale, individuare una corretta base giuridica per ciascun trattamento, rendere agevole l’esercizio dei diritti privacy, determinare i periodi di conservazione dei dati o i criteri per determinarli.
Un’impresa che si avvale di persone per il soddisfacimento delle proprie attività realizza trattamenti di dati personali.
Anche un archivio cartaceo contenente dati del personale va utilizzato nel rispetto del GDPR.
Sì, entro determinati limiti.
Quelle attività che vengono svolte senza la necessità di disporre di dati personali, di dipendenti o di terzi.
PROCESSI HR
Tutele e garanzie poste a protezione dei dati personali dei lavoratori sono applicabili anche in fase preassuntiva.
Informativa rilasciata al primo contatto utile, base giuridica esecuzione contrattuale, conservazione CV di regola non superiore a 1 anno, dati non pertinenti oscurati.
Informativa all’atto della raccolta dati, base giuridica l’interesse legittimo, definizione del ruolo soggettivo dell’head hunter.
Contenuti riservati, accesso ai soli soggetti autorizzati sulla base di quanto necessario per lo svolgimento dei compiti assegnati, adeguate misure di sicurezza tecnico-organizzative.
L’uso delle informazioni necessarie per la gestione delle assenze dal lavoro è previsto da specifiche normative ma non deve ledere le libertà e la dignità del lavoratore.
Disamina del materiale del fascicolo personale che debba essere mantenuto e quanto vada, invece, rimosso e cancellato.
Le due normative sono complementari e hanno punti di contatto.
DIFFERENTI TIPI DI DATI
Presso la funzione HR.
Il GDPR richiede che vengano specificate (sia nell’informativa sia nel Registro dei trattamenti) le categorie di dati personali utilizzate dal titolare.
Sì, in quanto vengono utilizzati anche dati personali maggiormente esposti a violazioni di riservatezza.
Occorre una base giuridica (art. 6, GDPR) e rientrare in una delle deroghe al divieto (art. 9 GDPR). Dati sensibili e giudiziari presuppongono misure di sicurezza di maggior rigore.
Occorre una base giuridica (art. 6, GDPR) e rientrare in una delle deroghe al divieto (art. 9 GDPR). Dati sensibili e giudiziari presuppongono misure di sicurezza di maggior rigore.
Valutandone caso per caso la necessità d’uso, il livello di impatto su diritti e libertà dei lavoratori, fornendo adeguata informativa e individuando una corretta base giuridica; nonché rispettando lo Statuto dei lavoratori, se applicabile.
Valutandone caso per caso la necessità d’uso, il livello di impatto su diritti e libertà dei lavoratori, fornendo adeguata informativa e individuando una corretta base giuridica; nonché rispettando lo Statuto dei lavoratori, se applicabile.
La base giuridica è il legittimo utilizzo di tali dati da parte del datore di lavoro, e la legittimità d’uso è rimessa a casi eccezionali.
E-MAIL DEL LAVORATORE
La risposta dipende dalle specifiche circostanze e situazioni. Occorre una valutazione preliminare caso per caso.
La risposta dipende dalle specifiche circostanze e situazioni. Occorre una valutazione preliminare caso per caso.
La risposta dipende dalle specifiche circostanze e situazioni. Occorre una valutazione preliminare caso per caso.
La risposta dipende dalle specifiche circostanze e situazioni. Occorre una valutazione preliminare caso per caso.
Le aspettative di riservatezza per il contenuto delle e-mail personali del lavoratore sono maggiori di quelle di contenuto professionale; inoltre, il controllo del contenuto delle e-mail coinvolge la riservatezza di più soggetti: del trasmittente e ricevente esterno all’azienda, oltre che del lavoratore. Per questi motivi le condizioni per legittimare l’accesso e l’analisi sono più stringenti.
Con un’informativa preliminare che anticipi al dipendente le modalità di gestione, nel rispetto dei suoi diritti.
La casella di posta già assegnata all’ex-dipendente va rimossa senza ritardo, avendo cura di prevedere un messaggio di risposta per i mittenti, fornendo loro indicazioni a chi indirizzare le comunicazioni.
Non è una soluzione corretta.
DIRITTI PRIVACY
Rivolgendo istanza all’azienda (titolare del trattamento) e ricevendone riscontro scritto entro un mese. In casi di particolare complessità e dietro preventiva motivazione, questo termine può essere prorogato di ulteriori due mesi. In talune circostanze adeguatamente motivate e documentate il diritto del lavoratore può essere limitato o sospeso.
Con comunicazione motivata e resa senza ritardo al dipendente (interessato) se ciò si rende necessario per salvaguardare lo «svolgimento delle investigazioni difensive o (…) l’esercizio di un diritto in sede giudiziaria».
MISURE DI SICUREZZA
La pseudonimizzazione è quel procedimento che rende parzialmente non identificabile il soggetto cui si riferiscono le informazioni. Riduce, pertanto, i rischi di abuso nel trattamento di dati personali dei lavoratori.
REGISTRO DEI TRATTAMENTI
Mappando i trattamenti di dati personali di propria pertinenza.
Sebbene la mappatura dei trattamenti di pertinenza HR può variare da azienda ad azienda, ve ne sono alcuni che sono tipici di questa funzione.
RUOLI SOGGETTIVI PRIVACY
La funzione HR ha rapporti diretti con fornitori, medico competente, enti, oltre ad avvalersi di addetti che utilizzano dati personali per lo svolgimento dei propri compiti. Tutti costoro devono essere correttamente inquadrati nei ruoli legali data protection.
Sebbene la mappatura dei trattamenti di pertinenza HR può variare da azienda ad azienda, ve ne sono alcuni che sono tipici di questa funzione.
Tendenzialmente, quello di titolare autonomo del trattamento per le attività sanitarie di propria pertinenza.
Quello di autonomi titolari del trattamento.
Quello di responsabile del trattamento per conto dell’azienda del gruppo che riceve il servizio.
Come autorizzati al trattamento.
COMUNICAZIONI INTERNE
Avendo cura di adottare adeguate misure di sicurezza per la riservatezza delle informazioni.
Con un atto giuridico che regoli i flussi di dati personali, se le consociate sono entrambe titolari di autonomi trattamenti; con un atto di designazione a responsabile del trattamento, quando una di esse effettua servizi per conto dell’altra.
DISPOSITIVI TECNOLOGICI IN DOTAZIONE
Con un’informativa preliminare ai sensi degli articoli 13 e 14 del GDPR e nel rispetto dell’articolo 4 dello Statuto dei lavoratori, se applicabile.
Solo se l’attività è svolta per perseguire esclusivamente finalità organizzative, di produzione, di sicurezza sul lavoro o di tutela del patrimonio e si rispetta la procedura dell’accordo sindacale o autorizzazione dell’Ispettorato (art. 4, Statuto). In mancanza, occorre che siano rispettati i presupposti dei controlli difensivi. Vanno anche rispettati principi e prescrizioni di GDPR e codice privacy.
VIDEOSORVEGLIANZA
Con un’informativa preliminare ai sensi degli articoli 13 e 14 del GDPR e nel rispetto dell’articolo 4 dello Statuto dei lavoratori.
CONTENZIOSO COL PERSONALE
Con determinate cautele, i diritti privacy del lavoratore possono essere limitati.
BASI GIURIDICHE
Esecuzione contrattuale, obbligo di legge e interesse legittimo. Raramente anche il consenso del lavoratore, quando questi gode di un’effettiva libertà di scelta.
In generale, considerata la situazione di sperequazione tra datore e lavoratore dovuta al rapporto di subordinazione, il consenso del lavoratore volto a legittimare un trattamento di dati personali da parte dell’azienda non è ritenuto realmente libero e, di conseguenza, valido. Tuttavia, possono esservi situazioni – specie quando il trattamento è svolto nell’esclusivo interesse del lavoratore – in cui il consenso del dipendente costituisce una valida base giuridica per il trattamento dei dati.
CONTROLLI A DISTANZA E INDAGINI SULLE OPINIONI
Rispetto della procedura del tentativo accordo sindacale o, in mancanza, dell’autorizzazione dell’Ispettorato del lavoro (art. 4 dello Statuto).
Nel divieto (assoluto) di indagare sulle opinioni del lavoratore che siano rilevanti per valutare l’attitudine professionale (art. 8 dello Statuto dei lavoratori).
PERIODI DI CONSERVAZIONE DEI DATI
Il GDPR prescrive che per ogni finalità vengano indicati i periodi di conservazione dei dati, o in misura determinata o specificando il creterio di determinazione. Questa indicazione va fornita nell’informativa privacy e annotata nel Registro dei trattamenti.
TRASPARENZA
Nell’obbligo di informare il lavoratore, in quanto soggetto cui si riferiscono i dati personali utilizzati dall’azienda, dell’utilizzo che di questi viene fatto, secondo contenuti e modalità dettati dal GDPR.