Print Friendly, PDF & Email

Risorse Umane

Risorse Umane (“HR”) ha molti profili che richiedono un’adeguata attuazione delle prescrizioni di legge sulla protezione dei dati personali: spesso anche aziende di settori a scarso impatto Data Protection riscontrano nell’ambito di competenza di HR elementi di sensibilità (esempio: gestione dei dati altamente personali dei dipendenti). Le domande che seguono contengono risposte sintetiche (cliccare sul tab per espanderlo) e rinviano al contenuto della pagina pertinente per approfondimento.

FAQ DI RISORSE UMANE

IN GENERALE

Quali sono le principali avvertenze privacy per il settore HR?

Censire i trattamenti di dati personali di pertinenza, fornire adeguata informativa privacy al personale, individuare una corretta base giuridica per ciascun trattamento, rendere agevole l’esercizio dei diritti privacy, determinare i periodi di conservazione dei dati o i criteri per determinarli.

L'uso delle informazioni dei dipendenti per la gestione del rapporto di lavoro è un trattamento?

Un’impresa che si avvale di persone per il soddisfacimento delle proprie attività realizza trattamenti di dati personali.

Quali ambienti HR sono interessati dal data protection (archivi cartacei, informatici)?

Anche un archivio cartaceo contenente dati del personale va utilizzato nel rispetto del GDPR.

Approfondisci qui

Il diritto alla riservatezza spetta anche al lavoratore?

Sì, entro determinati limiti.

Approfondisci qui

Quali ambiti HR non sono interessati dal data protection?

Quelle attività che vengono svolte senza la necessità di disporre di dati personali, di dipendenti o di terzi.

Approfondisci qui

PROCESSI HR

Quali avvertenze privacy nel processo di ricerca e selezione del personale?

Tutele e garanzie poste a protezione dei dati personali dei lavoratori sono applicabili anche in fase preassuntiva.

Approfondisci qui

Come gestire sotto il profilo privacy i CV trasmessi spontaneamente?

Informativa rilasciata al primo contatto utile, base giuridica esecuzione contrattuale, conservazione CV di regola non superiore a 1 anno, dati non pertinenti oscurati.

Approfondisci qui

Come gestire sotto il profilo privacy i CV sollecitati dall’impresa?

Informativa all’atto della raccolta dati, base giuridica l’interesse legittimo, definizione del ruolo soggettivo dell’head hunter.

Approfondisci qui

Quali caratteristiche privacy ha la gestione del fascicolo del personale?

Contenuti riservati, accesso ai soli soggetti autorizzati sulla base di quanto necessario per lo svolgimento dei compiti assegnati, adeguate misure di sicurezza tecnico-organizzative.

Approfondisci qui

Quali sono le avvertenze privacy nella gestione delle assenze?

L’uso delle informazioni necessarie per la gestione delle assenze dal lavoro è previsto da specifiche normative ma non deve ledere le libertà e la dignità del lavoratore.

Approfondisci qui

Quali sono le avvertenze privacy alla cessazione del rapporto di lavoro?

Disamina del materiale del fascicolo personale che debba essere mantenuto e quanto vada, invece, rimosso e cancellato.

Approfondisci qui

Quali sono le relazioni tra sicurezza sul lavoro e protezione dei dati personali?

Le due normative sono complementari e hanno punti di contatto.

Approfondisci qui

DIFFERENTI TIPI DI DATI

Quali sono gli ambiti aziendali in cui sono presumibilmente utilizzati dati delicati?

Presso la funzione HR.

Approfondisci qui

Quali sono le principali categorie di dati personali utilizzate dalla funzione HR?

Il GDPR richiede che vengano specificate (sia nell’informativa sia nel Registro dei trattamenti) le categorie di dati personali utilizzate dal titolare.

Approfondisci qui

HR deve anche graduare le cautele privacy secondo la tipologia di dati utilizzati?

Sì, in quanto vengono utilizzati anche dati personali maggiormente esposti a violazioni di riservatezza.

Approfondisci qui

Qual è la disciplina per i dati personali delicati?

Occorre una base giuridica (art. 6, GDPR) e rientrare in una delle deroghe al divieto (art. 9 GDPR). Dati sensibili e giudiziari presuppongono misure di sicurezza di maggior rigore.

Approfondisci qui

Come si devono gestire i dati sulla salute dei dipendenti?

Occorre una base giuridica (art. 6, GDPR) e rientrare in una delle deroghe al divieto (art. 9 GDPR). Dati sensibili e giudiziari presuppongono misure di sicurezza di maggior rigore.

Approfondisci qui

Come gestire i dati biometrici dei dipendenti?

Valutandone caso per caso la necessità d’uso, il livello di impatto su diritti e libertà dei lavoratori, fornendo adeguata informativa e individuando una corretta base giuridica; nonché rispettando lo Statuto dei lavoratori, se applicabile.

Approfondisci qui

Come gestire i dati di geolocalizzazione dei lavoratori?

Valutandone caso per caso la necessità d’uso, il livello di impatto su diritti e libertà dei lavoratori, fornendo adeguata informativa e individuando una corretta base giuridica; nonché rispettando lo Statuto dei lavoratori, se applicabile.

Approfondisci qui

Come gestire i dati su condanne penali e reati dei lavoratori?

La base giuridica è il legittimo utilizzo di tali dati da parte del datore di lavoro, e la legittimità d’uso è rimessa a casi eccezionali.

Approfondisci qui

E-MAIL DEL LAVORATORE

Il datore di lavoro può accedere a posta ed e-mail del lavoratore?

La risposta dipende dalle specifiche circostanze e situazioni. Occorre una valutazione preliminare caso per caso.

Approfondisci qui

Il datore di lavoro può accedere all’e-mail aziendale del lavoratore?

La risposta dipende dalle specifiche circostanze e situazioni. Occorre una valutazione preliminare caso per caso.

Approfondisci qui

Il datore di lavoro può accedere ai contenuti delle e-mail aziendali del lavoratore?

La risposta dipende dalle specifiche circostanze e situazioni. Occorre una valutazione preliminare caso per caso.

Approfondisci qui

Il datore di lavoro può controllare (monitorare) il contenuto delle e-mail aziendali del lavoratore?

La risposta dipende dalle specifiche circostanze e situazioni. Occorre una valutazione preliminare caso per caso.

Approfondisci qui

Il datore di lavoro può accedere ed esaminare il contenuto delle e-mail personali del lavoratore?

Le aspettative di riservatezza per il contenuto delle e-mail personali del lavoratore sono maggiori di quelle di contenuto professionale; inoltre, il controllo del contenuto delle e-mail coinvolge la riservatezza di più soggetti: del trasmittente e ricevente esterno all’azienda, oltre che del lavoratore. Per questi motivi le condizioni per legittimare l’accesso e l’analisi sono più stringenti.

Approfondisci qui

Come si gestisce l’account e-mail del dipendente in caso di malattia o assenza improvvisa?

Con un’informativa preliminare che anticipi al dipendente le modalità di gestione, nel rispetto dei suoi diritti.

Approfondisci qui

Alla cessazione del rapporto di lavoro può essere mantenuta la casella di posta elettronica dell’ex dipendente?

La casella di posta già assegnata all’ex-dipendente va rimossa senza ritardo, avendo cura di prevedere un messaggio di risposta per i mittenti, fornendo loro indicazioni a chi indirizzare le comunicazioni.

Approfondisci qui

E’ corretto impostare un reindirizzamento automatico sull’account dell’ex capo?

Non è una soluzione corretta.

Approfondisci qui

DIRITTI PRIVACY

Come si attua l’accesso del lavoratore ai propri dati personali?

Rivolgendo istanza all’azienda (titolare del trattamento) e ricevendone riscontro scritto entro un mese. In casi di particolare complessità e dietro preventiva motivazione, questo termine può essere prorogato di ulteriori due mesi. In talune circostanze adeguatamente motivate e documentate il diritto del lavoratore può essere limitato o sospeso.

Approfondisci qui

Come e quando possono essere limitati i diritti privacy del lavoratore?

Con comunicazione motivata e resa senza ritardo al dipendente (interessato) se ciò si rende necessario per salvaguardare lo «svolgimento delle investigazioni difensive o (…) l’esercizio di un diritto in sede giudiziaria».

Approfondisci qui

MISURE DI SICUREZZA

In cosa consiste la pseudonimizzazione e perché è una garanzia per il lavoratore?

La pseudonimizzazione è quel procedimento che rende parzialmente non identificabile il soggetto cui si riferiscono le informazioni. Riduce, pertanto, i rischi di abuso nel trattamento di dati personali dei lavoratori.

Approfondisci qui

REGISTRO DEI TRATTAMENTI

Come contribuisce la funzione HR alla compilazione del Registro dei trattamenti?

Mappando i trattamenti di dati personali di propria pertinenza.

Approfondisci qui

Quali sono i trattamenti tipici HR da censire nel relativo Registro?

Sebbene la mappatura dei trattamenti di pertinenza HR può variare da azienda ad azienda, ve ne sono alcuni che sono tipici di questa funzione.

Approfondisci qui

RUOLI SOGGETTIVI PRIVACY

Quali sono i ruoli soggettivi data protection tipici dell’ambito HR?

La funzione HR ha rapporti diretti con fornitori, medico competente, enti, oltre ad avvalersi di addetti che utilizzano dati personali per lo svolgimento dei propri compiti. Tutti costoro devono essere correttamente inquadrati nei ruoli legali data protection.

Approfondisci qui

Qual è il ruolo soggettivo privacy del consulente del lavoro?

Sebbene la mappatura dei trattamenti di pertinenza HR può variare da azienda ad azienda, ve ne sono alcuni che sono tipici di questa funzione.

Approfondisci qui

Qual è il ruolo soggettivo privacy del medico competente?

Tendenzialmente, quello di titolare autonomo del trattamento per le attività sanitarie di propria pertinenza.

Approfondisci qui

Qual è il ruolo soggettivo privacy delle agenzie sul lavoro?

Quello di autonomi titolari del trattamento.

Approfondisci qui

Qual è il ruolo soggettivo privacy della consociata del gruppo per fornisce servizi HR all’azienda?

Quello di responsabile del trattamento per conto dell’azienda del gruppo che riceve il servizio.

Approfondisci qui

Come deve essere inquadrato in ottica privacy il personale in ambito HR?

Come autorizzati al trattamento.

Approfondisci qui

COMUNICAZIONI INTERNE

Come vanno gestite le comunicazioni interne HR?

Avendo cura di adottare adeguate misure di sicurezza per la riservatezza delle informazioni.

Approfondisci qui

Come vanno gestite a livello privacy le comunicazioni tra consociate?

Con un atto giuridico che regoli i flussi di dati personali, se le consociate sono entrambe titolari di autonomi trattamenti; con un atto di designazione a responsabile del trattamento, quando una di esse effettua servizi per conto dell’altra.

Approfondisci qui

DISPOSITIVI TECNOLOGICI IN DOTAZIONE

Come comportarsi con i dispositivi tecnologici in dotazione che raccolgono dati del dipendente?

Con un’informativa preliminare ai sensi degli articoli 13 e 14 del GDPR e nel rispetto dell’articolo 4 dello Statuto dei lavoratori, se applicabile.

Approfondisci qui

E' lecito controllare la navigazione internet del dipendente?

Solo se l’attività è svolta per perseguire esclusivamente finalità organizzative, di produzione, di sicurezza sul lavoro o di tutela del patrimonio e si rispetta la procedura dell’accordo sindacale o autorizzazione dell’Ispettorato (art. 4, Statuto). In mancanza, occorre che siano rispettati i presupposti dei controlli difensivi. Vanno anche rispettati principi e prescrizioni di GDPR e codice privacy.

Approfondisci qui

VIDEOSORVEGLIANZA

Come gestire l’impianto di videosorveglianza sotto il profilo privacy?

Con un’informativa preliminare ai sensi degli articoli 13 e 14 del GDPR e nel rispetto dell’articolo 4 dello Statuto dei lavoratori.

Approfondisci qui

CONTENZIOSO COL PERSONALE

Come comportarsi quando l’azienda è in una situazione di contenzioso o pre-contenzioso con il lavoratore?

Con determinate cautele, i diritti privacy del lavoratore possono essere limitati.

Approfondisci qui

BASI GIURIDICHE

Quali sono le principali basi giuridiche che legittimano i trattamenti di pertinenza HR?

Esecuzione contrattuale, obbligo di legge e interesse legittimo. Raramente anche il consenso del lavoratore, quando questi gode di un’effettiva libertà di scelta.

Approfondisci qui

Dal punto di vista privacy è valido il consenso prestato dal lavoratore?

In generale, considerata la situazione di sperequazione tra datore e lavoratore dovuta al rapporto di subordinazione, il consenso del lavoratore volto a legittimare un trattamento di dati personali da parte dell’azienda non è ritenuto realmente libero e, di conseguenza, valido. Tuttavia, possono esservi situazioni – specie quando il trattamento è svolto nell’esclusivo interesse del lavoratore – in cui il consenso del dipendente costituisce una valida base giuridica per il trattamento dei dati.

Approfondisci qui

CONTROLLI A DISTANZA E INDAGINI SULLE OPINIONI

In cosa consiste la disciplina sui controlli a distanza?

Rispetto della procedura del tentativo accordo sindacale o, in mancanza, dell’autorizzazione dell’Ispettorato del lavoro (art. 4 dello Statuto).

Approfondisci qui

In cosa consiste il divieto di indagini sulle opinioni del lavoratore?

Nel divieto (assoluto) di indagare sulle opinioni del lavoratore che siano rilevanti per valutare l’attitudine professionale (art. 8 dello Statuto dei lavoratori).

Approfondisci qui

PERIODI DI CONSERVAZIONE DEI DATI

Quali sono i principali periodi di conservazione dei dati personali utilizzati da HR?

Il GDPR prescrive che per ogni finalità vengano indicati i periodi di conservazione dei dati, o in misura determinata o specificando il creterio di determinazione. Questa indicazione va fornita nell’informativa privacy e annotata nel Registro dei trattamenti.

Approfondisci qui

TRASPARENZA

In cosa consiste l’obbligo di trasparenza verso il lavoratore?

Nell’obbligo di informare il lavoratore, in quanto soggetto cui si riferiscono i dati personali utilizzati dall’azienda, dell’utilizzo che di questi viene fatto, secondo contenuti e modalità dettati dal GDPR.

Approfondisci qui

Contattaci

Scrivici via e-mail, ti risponderemo al piĆ¹ presto.

Not readable? Change text. captcha txt
0