Lavoro e privacy: come tutelare i dati sensibili
Questo contributo è tratto da
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
32.00 € 25.60 €
Il tema della privacy in ambito lavorativo è tanto importante quanto delicato da affrontare. Il mondo del lavoro ha visto, soprattutto negli ultimi anni con l’avvento della tecnologia digitale, una trasformazione radicale, al punto che si è parlato di una vera e propria “rivoluzione digitale” che ha modificato la società, tanto quanto fece la rivoluzione industriale nell’800. La tecnologia digitale, oltre che trasformare i processi lavorativi, ha messo a dura prova le leggi e i regolamenti esistenti, modificando continuamente i contesti e costringendo il legislatore a continui e non semplici interventi di aggiornamento. Al fine di effettuare una disamina della situazione normativa corrente, occorre innanzitutto comprendere che, nel contesto lavorativo, vi sono due contrapposti diritti meritevoli di tutela:
il diritto del datore di lavoro al controllo del corretto esercizio della prestazione lavorativa e della tutela dell’immagine aziendale;
il diritto del lavoratore alla sua riservatezza.
La linea di confine tra le informazioni riguardanti l’attività lavorativa e la sfera personale e privata del lavoratore (e di terzi) può, talvolta, essere tracciata solo con difficoltà, come affermato anche dalla Corte europea dei diritti dell’uomo. La gestione del rapporto lavorativo, infatti, risulta da sempre particolarmente delicata. Lo squilibrio tra le parti, datore di lavoro e lavoratore, rende il campo di gioco difficile da arbitrare. Il quadro normativo di riferimento è ampio, e la Costituzione indica il principio generale che fa da guida in ambito economico, secondo cui l’iniziativa economica, sia pubblica che privata, è libera, purché siano rispettate la libertà e la dignità umana. Un’altra norma che sicuramente assolve il compito di regolare e stabilire i limiti dei contrapposti diritti, è la legge n. 300 del 20 maggio 1970, anche denominata Statuto dei lavoratori.
Potrebbe interessarti anche Il licenziamento dopo l’emergenza sanitaria
È necessario, parlando di protezione dati, prendere in considerazione anche le principali fonti normative in ambito di trattamento dati personali, ovvero il Regolamento europeo 2016/679 GDPR e il Codice privacy 196/2003 novellato dal d.lgs. 101/2018. Dopo aver fatto una breve panoramica sulle fonti normative, occorre individuare quali sono i principi che il datore di lavoro deve rispettare nel trattamento dei dati dei lavoratori: liceità. Il trattamento non deve essere contrario a disposizioni di legge; correttezza. Il trattamento deve perseguire uno scopo determinato, esplicito e legittimo ed i dati devono essere trattati in modalità compatibile con tale finalità; trasparenza. Devono essere chiari ed espliciti gli scopi e le modalità di trattamento ed è necessario comunicare queste informazioni in modo comprensibile e facilmente accessibile; proporzionalità. Il trattamento deve essere proporzionato allo scopo che si intende raggiungere (vedi anche i principi di privacy by design e privacy by default); sicurezza. I trattamenti devono essere effettuati con modalità e strumenti adeguati onde non mettere in pericolo i diritti e le libertà dell’interessato.
All’interno del regolamento 2016/679 è contenuto un articolo che fa espresso riferimento al trattamento dati nell’ambito dei rapporti di lavoro. L’art. 88, infatti, pone una riserva di legge in capo agli Stati membri, i quali possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà, con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro. L’articolo, al secondo comma, indica quali sono i diritti che intende tutelare, e cioè: la dignità umana, gli interessi legittimi e i diritti fondamentali degli interessati, in particolare per quanto concerne la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale che svolge un’attività economica comune, ed i sistemi di monitoraggio sul posto di lavoro.
Il ruolo del consulente del lavoro
La posizione giuridica del consulente del lavoro è stata oggetto di specifici chiarimenti da parte del Garante privacy. Il consulente del lavoro svolge una duplice attività di trattamento: da un lato tratta i dati dei propri dipendenti, ovvero dei propri clienti (persone fisiche) nella sua qualità di professionista, attività fiscalmente e normativamente regolamentata, dall’altro svolge la diversa attività (tipica di questo ordine professionale) per la quale il medesimo soggetto tratta i dati dei dipendenti del cliente. Nel primo caso il professionista determina autonomamente mezzi e finalità del trattamento per cui potrà essere qualificato come titolare del trattamento. Sarà obbligato, ad esempio, a fornire l’informativa e/o a redigere il Registro delle attività di trattamento da titolare. Nel secondo caso, i consulenti del lavoro sono incaricati dal loro cliente della predisposizione delle buste paga, delle pratiche di assunzione e cessazione del rapporto di lavoro, previdenziali e assistenziali, trattando una pluralità di dati personali, anche sensibili, dei lavoratori. I dati sono trattati dal datore di lavoro sulla base del contratto con il dipendente e/o in ottemperanza a norme di legge (ad esempio quelle in materia di lavoro, previdenziale o assistenziale). Il titolare del trattamento (datore di lavoro), in seguito, esternalizza il trattamento al consulente del lavoro, regolando il rapporto attraverso il contratto di incarico. Sarà fondamentale, in virtù degli adempimenti richiesti dall’art. 28 del Regolamento UE 2016/679, includere nel contratto anche le clausole relative al trattamento dati.
Il consulente del lavoro, infatti, andrà designato quale responsabile del trattamento, ed andranno specificati i trattamenti di cui sarà direttamente incaricato, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. In questo caso, infatti, il consulente non determina autonomamente le finalità di trattamento, ma si limita a svolgere un trattamento di dati per conto del suo cliente (datore di lavoro – titolare del trattamento dei dati dei dipendenti). Qualora il consulente si avvalga di collaboratori o dipendenti di fiducia, questi potranno operare sotto la sua diretta autorità in base alle istruzioni impartite ex art. 29 del GDPR. I collaboratori possono, in alternativa, assumere il ruolo di sub-responsabili ex art. 28, par. 4 GDPR, qualora sia demandata “l’esecuzione di specifiche attività di trattamento per conto del titolare”.
Tale ipotesi deve necessariamente essere prevista nell’atto con cui il titolare del trattamento designa il responsabile (in questo caso l’atto con cui il l’azienda incarica il consulente del lavoro), precisando che l’autorizzazione alla nomina del sub-responsabile non deve essere necessariamente specifica ma può essere generale. Il regolamento 2016/679 attribuisce direttamente al responsabile il compito di individuare e predisporre delle misure idonee di sicurezza, adeguandole al rischio, che si dividono in due tipologie: tecniche e organizzative. Il consulente, quindi, avrà un ampio margine di autonomia (e naturalmente anche di responsabilità), potendo
autonomamente individuare i sistemi di sicurezza, tecnici ed organizzativi, adeguati. In tale quadro, pertanto, la legge che disciplina l’ordinamento della professione di consulente del lavoro si incarica di chiarire che gli adempimenti in materia di lavoro, previdenza ed assistenza sociale che il datore di lavoro può affidare all’esterno, data la loro delicatezza, possono essere assunti esclusivamente da soggetti qualificati che siano iscritti nell’albo dei consulenti del lavoro “nonché da coloro che siano iscritti negli albi degli avvocati […], dei dottori commercialisti, dei ragionieri e periti commerciali”.
Il provvedimento, inoltre, ha ad oggetto l’individuazione dei requisiti per lo svolgimento della professione di consulente del lavoro.
Questo contributo è tratto da
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento