PRIVACY: AGGIORNAMENTO DEL GARANTE SUI TRATTAMENTI DEI DATI DEI DIPENDENTI

Il Garante della Privacy, con provvedimento n. 146 del 5 giugno 2019, pubblicato sulla Gazzetta Ufficiale del 29 luglio, ha aggiornato e definito le modalità per il trattamento di categorie particolari di dati personali.

L’Autorità preposta al rispetto del corretto trattamento dei dati, quindi, alla luce del Regolamento Europeo n. 679/2016/UE (noto con l’acronimo GDPR), ha completato la procedura di revisione delle 9 autorizzazioni generali rilasciate nel 2016 in vigenza del D. Lgs. n. 196/2003 (cd. “Codice Privacy”). 
Il provvedimento n. 146/2019, che di fatto sostituisce il n. 1/2016, indica gli obblighi che devono, e dovranno, essere rispettati da soggetti, pubblici e privati, in diversi settori, per poter trattare particolari categorie di dati personali, come quelli legati alla salute, alle opinioni politiche, all’etnia, all’orientamento sessuale (ossia quelli che nella precedente normativa era individuati come “dati sensibili”).

 

Le prescrizioni, quindi, riguardano il trattamento di queste categorie particolari di dati da parte dei datori di lavoro, degli organismi di tipo associativo (associazioni, fondazioni, chiese e associazioni o comunità religiose) come anche da parte degli investigatori privati, nonché il trattamento dei dati genetici e il trattamento effettuato per scopi di ricerca scientifica.

Per i rapporti di lavoro, quindi, il Garante ha indicato le finalità del trattamento dei dati, con riferimento alla “instaurazione, gestione ed estinzione del rapporto di lavoro” (pertanto, anche a ogni vicenda connessa ai rapporti stessi) e alla difesa di un diritto “in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione” (ossia per la gestione delle controversie tra datore di lavoro e lavoratore, o terze parti).

Ancorché il provvedimento del Garante abbia preso in considerazione pure altre finalità per il trattamento dei dati, quelle sopra indicate sono, di fatto, le due categorie più ampie e rilevanti.

In particolare, l’Autorità ha regolamentato il trattamento dei dati relativi ai rapporti di lavoro in ogni fase del rapporto stesso (dal colloquio di recruiting alla definizione della causa relativa alla estinzione).

Con il provvedimento n. 146 del 2019, quindi, il Garante ha prescritto specifiche tutele e obblighi sia per la fase di recruiting (che deve comportare il trattamento di dati “strettamente pertinenti” alla ricerca del candidato) che per quella del rapporto di lavoro e della sua estinzione/cessazione.

I principi del GDPR, in relazione al trattamento dei dati, quindi, vanno applicati alle mansioni e ai profili professionali per i quali il recruiting è effettuato. I dati esuberanti tale ambito, di fatto, non potranno essere utilizzati/trattati dal (potenziale) datore di lavoro e, pertanto, non potranno essere oggetto di valutazione, per esempio, al fine dell’idoneità del candidato.

Una volta assunto, o comunque selezionato, invece, il lavoratore dovrà fornire al datore di lavoro solo i dati necessari all’esecuzione del rapporto. Sul punto, il provvedimento in esame precisa che tali dati non possono comprendere quelli relativi alle convinzioni religiose, alle idee politiche o all’esercizio di funzioni pubbliche e sindacali. In linea con le prescrizioni dello Statuto dei lavoratori, infatti, questi ultimi non sono lecitamente trattati se utilizzati per la valutazione del lavoratore.

Il provvedimento del Garante, comunque, mediante prescrizioni pratiche, specifica le modalità di trattamento che tengono conto della “particolarità” dei dati trattati, ossia quelli che richiedono cautele e protezioni maggiori, da inserire come modalità di default nell’organizzazione aziendale, in linea con il principio generale dell’accountability.

Nello provvedimento in esame, infine, il Garante ha precisato che l’autorizzazione generale sul trattamento dei dati giudiziari da parte di privati, Enti pubblici economici e soggetti pubblici n. 7/2016, alla luce della disciplina applicabile ai medesimi dati contenuta nel Regolamento e nel “Codice Privacy” (art. 10 Regolamento; art. 2-octies del “Codice”; art. 21 del Dlgs. n. 101/2018) ha cessato di produrre effetti giuridici, come anche le autorizzazioni generali nn. 2, 4 e 5 – riguardanti rispettivamente il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, il trattamento dei dati sensibili da parte dei liberi professionisti e il trattamento dei dati sensibili da parte di diverse categorie di titolari – poiché prive di specifiche prescrizioni.

 

Scarica il pdf del "Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101"

  

GF Legal stp  Milano I Roma I Londra
Diritto del lavoro - Diritto sindacale - Relazioni industriali - Diritto commerciale e societario

Chiedi maggiori informazioni: info@gflegal.it
Ricevi i nostri approfondimenti: iscriviti alla Newsletter mensile
Seguici su Linkedin: @GFLegalstp


19.09.2019 - PRIVACY: AGGIORNAMENTO DEL GARANTE SUI TRATTAMENTI DEI DATI DEI DIPENDENTI © riproduzione riservata dello Studio GF LEGAL STP