Questo sito contribuisce alla audience di
 
Diritto e Fisco | Articoli

Privacy e dipendenti: cosa scrivere nell’informativa?

11 Ottobre 2018


Privacy e dipendenti: cosa scrivere nell’informativa?

> Diritto e Fisco Pubblicato il 11 Ottobre 2018



Richiedi una consulenza ai nostri professionisti

Lo scorso 25 maggio 2018 è entrato in vigore il GDPR, ossia il nuovo regolamento europeo relativo al trattamento dei dati personali. Le direzioni del personale si interrogano su cosa debbano fare per adeguarsi alle nuove regole.

A partire dallo scorso 25 maggio 2018 è entrato definitivamente in vigore il tanto temuto GDPR, ossia, il Regolamento Europeo relativo al trattamento dei dati personali [1]. Sono tantissimi gli ambiti in cui il GDPR deve essere preso seriamente in considerazione e uno di questi è la gestione dei dati personali dei dipendenti. Le aziende, infatti, gestiscono i dati personali dei dipendenti e dei collaboratori e, nel gestire questi dati, devono adeguarsi alle nuove norme. Uno dei principali obblighi per le direzioni del personale è quello di consegnare una nuova informativa privacy ai loro dipendenti.  Cosa scrivere nell’informativa?

Quando sorge l’obbligo di adeguarsi al GDPR?

Il GDPR, così come il vecchio Codice Privacy [2] (che, occorre ricordare, non è stato abrogato con l’avvento del GDPR), prevede che tutti i soggetti che trattano dati personali devono farlo seguendo le regole previste nel GDPR stesso.

È dunque importante sapere che per dato personale si intende qualsiasi informazione che identifica o rende identificabile, direttamente o indirettamente, una persona. È un dato personale, ad esempio, il nome ed il cognome, la data di nascita, il codice fiscale, etc.

Il trattamento di dati è qualsiasi attività con cui un soggetto tratta i dati di una persona. Il trattamento si ha ogni volta in cui c’è raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione di dati.

Il GDPR impone a chi tratta i dati di rispettare una serie di regole tra cui il fondamentale obbligo di fornire all’interessato e, cioè, alla persona alla quale il dato si riferisce, l’informativa privacy.

Che cos’è l’Informativa privacy?

L’informativa privacy è un documento nel quale il soggetto che tratta i dati (che il GDPR definisce “titolare del trattamento”) fornisce tutta una serie di informazioni alla persona alla quale il dato si riferisce (che il GDPR definisce “interessato”) sul trattamento dei dati. Gli dice, in sostanza, chi è il soggetto che tratta i dati, per quali scopi li tratta, per quanto tempo li tratta, con quali modalità li tratta e cosa può fare per opporsi al trattamento [3].

Uno dei trattamenti di dati più diffusi per le aziende è quello relativo ai dati dei dipendenti. Il motivo è semplice. Praticamente tutte le aziende hanno almeno un dipendente e sono, dunque, chiamate a trattare i suoi dati adeguandosi alle norme del GDPR.

Cosa deve contenere l’Informativa privacy del dipendente?

Se l’azienda ha fornito già una informativa privacy ai dipendenti sulla base del vecchio Codice Privacy è consigliabile inviare una comunicazione al personale con cui si sostituisce la vecchia Informativa con una nuova Informativa adeguata al GDPR. Questo documento dovrà contenere le seguenti informazioni:

a) l’identità e i dati di contatto dell’azienda (ovvero del titolare del trattamento in base alla terminologia del GDPR);

b) i dati di contatto del responsabile della protezione dei dati, ove applicabile. Il responsabile della protezione dei dati è un professionista che l’azienda nomina e che osserva, valuta e da consulenza sulla protezione dei dati. Non è obbligatorio per tutte le aziende ma se c’è deve essere comunicato nell’informativa;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento. Nel caso dei dipendenti la finalità e la base giuridica è l’esecuzione e la gestione del contratto di lavoro tra l’azienda e il dipendente;

e) se i dati dei dipendenti vengono comunicati ad altri, ad esempio al consulente del lavoro che elabora le paghe, si devono indicare gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f) se l’azienda intende trasferire i dati personali del dipendente a un paese terzo o a un’organizzazione internazionale questa intenzione deve essere indicata. Se il trasferimento avviene in un paese esterno all’Unione Europea l’azienda deve dire se la Commissione Europea ha valutato che questo paese da opportune garanzie per la protezione dei dati e quali misure di sicurezza vengono adottate.

g) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

h) l’azienda deve far sapere al dipendente che ha diritto a chiedere l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

d) il diritto del dipendente di proporre reclamo al Garante privacy;

e) l’azienda dovrà far presente che la comunicazione dei dati è obbligatoria per poter concludere e gestire il contratto di lavoro e che, dunque, se il dipendente si opponesse non si potrebbe dare esecuzione al contratto di lavoro;

f) l’esistenza di un processo decisionale automatizzato come la profilazione.

È consigliabile consegnare a mano l’Informativa e ottenere una firma per avvenuta presa visione e consegna così che in ogni momento sia evidente che l’azienda ha rispettato l’obbligo di consegnare l’informativa.

Modulo / Fac simile

BOZZA DI INFORMATIVA PRIVACY DA CONSEGNARE AI DIPENDENTI

Informativa al trattamento dei dati personali di dipendenti e collaboratori

In osservanza al nuovo Regolamento Europeo 2016/679 (GDPR) in materia di protezione dei dati personali, ai sensi dell’Art. 13 dello stesso, desideriamo informarLa che i dati personali da Lei forniti saranno oggetto di trattamento nel rispetto della normativa sopra richiamata.

Il “TITOLARE DEL TRATTAMENTO”, ai sensi dell’Art. 4 comma 7 del GDPR, è …………con sede in ……., Via …….., N……. P.I. …………, indirizzo di posta elettronica ……………….., nella persona del legale rappresentante pro-tempore.

Il trattamento sarà effettuato sia con strumenti manuali che informatici e telematici nel rispetto delle norme in vigore e dei principi di correttezza, liceità, trasparenza, pertinenza, completezza e non eccedenza, esattezza e con logiche di organizzazione ed elaborazione strettamente correlate alle finalità perseguite e comunque in modo da garantire la sicurezza, l’integrità e la riservatezza dei dati trattati, nel rispetto delle misure organizzative, fisiche e logiche nel rispetto di quanto previsto dall’Art. 32 del GDPR 2016/679 oltre che di eventuali normative che dovessero impattare sul trattamento dati.

Tali misure saranno di volta in volta implementate ed incrementate anche in relazione allo sviluppo tecnologico per garantire riservatezza, disponibilità ed integrità dei dati trattati.

Per le finalità espresse nella presente informativa saranno trattati solo dati personali e particolari come meglio specificato per ottemperare agli obblighi contrattuali, in ambito salute e sicurezza sui luoghi di lavoro, previdenza ed assistenza, diritto sindacale e ambito giuslavoristico oltre che per ottemperare ad eventuali  norme nazionali o dell’Unione Europea che dovessero impattare sulla gestione del personale.

Finalità del trattamento

Le finalità del trattamento sono: esecuzione del contratto individuale di lavoro, del CCNL di riferimento applicato e delle normative connesse al rapporto di lavoro in ambito sindacale, salute e sicurezza sui luoghi di lavoro, previdenziale ed assistenziale.

La base giuridica del trattamento si può individuare negli obblighi contrattuali, norme fiscali, sindacali, in ambito previdenziale ed assistenziale e più in generale tutte le norme che impattano sul rapporto di lavoro (art. 6 lett.  b, c per quanto concerne i dati personali e art.9 lett. b per quanto riguarda i dati particolari).

Conservazione.I dati forniti saranno conservati per tutto il periodo di esecuzione del rapporto di lavoro e per un periodo di 10 anni a decorrere dalla cessazione del rapporto di lavoro.

Il mancato conferimento per la presente finalità ha come conseguenza l’impossibilità di ottemperare correttamente agli obblighi tipici del contratto di lavoro.

Diffusione, Eventuali destinatari o categorie di destinatari dei dati 

Diffusione. I dati non saranno diffusi

Destinatari. I dati forniti saranno trattati esclusivamente da persone autorizzate al trattamento ed opportunamente istruite, oltre che tramite responsabili del trattamento legati al titolare da specifico contratto ad esempio: commercialista, consulente del lavoro, consulente legale, enti di formazione, ed altri professionisti che fornendo beni o servizi, operano per conto del Titolare (Responsabili o Incaricati).

In tema salute e sicurezza sul luogo di lavoro le sue informazioni potranno essere trattate anche dal medico competenze il quale opera come titolare autonomo.

Resta inteso che i dati trattati saranno esclusivamente quelli necessari per il raggiungimento della specifica finalità, ne consegue che i dati gestiti tramite terzi saranno limitati alla specifica necessità.

I dati non saranno comunque trasferiti fuori dal territorio UE.

I dati potranno altresì essere comunicati a Enti Pubblici, Inps, Inail, Forze di Polizia o altri Soggetti Pubblici e Privati, ma esclusivamente al fine di adempiere ad obblighi contrattuali, di legge, regolamento o normativa comunitaria.

L’elenco aggiornato con gli estremi identificativi di tutti i Responsabili del Trattamento, potrà essere da Lei richiesto in qualunque momento al Titolare, che provvederà immediatamente a renderlo disponibile.

Diritti dell’interessato Artt. 15, 16, 17, 18, 20 e 21 del GDPR 

Lei può esercitare nei confronti del Titolare del trattamento. i diritti previsti dagli artt. 15v e seguenti del GDPR e con precisione al diritto di accesso ai dati personali, di rettifica, di cancellazione “diritto all’oblio”, di limitazione di trattamento, di portabilità dei dati e di opposizione in qualsiasi momento al trattamento dei dati personali che La riguardano.

La informiamo, inoltre, che Lei ha il diritto di revocare il consenso al trattamento dei Suoi dati in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca (art. 7, comma 3, del GDPR).

Ai sensi dell’art. 77 del Regolamento, Le è riconosciuto il diritto di proporre reclamo ad un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure nel luogo ove si è verificata la presunta violazione.

Inoltre Lei può richiedere di conoscere gli estremi identificativi degli amministratori di sistema nominati e dei gestionali all’interno dei quali sono presenti i dati di Sua competenza.

Lei potrà esercitare i Suoi diritti con richiesta scritta inviata al titolare anche tramite mail all’indirizzo …………………

La presente informativa è stata redatta in data ________.

Io sottoscritto_________________________________________________- dichiaro di aver ricevuto l’informativa relativa ai trattamenti legati alla gestione del rapporto di lavoro ed alle conseguenti attività organizzative amministrative contabili e legate alle normative che regolano il rapporto di lavoro dipendente.

Luogo data e firma     ____________

Il titolare del trattamento ____________

note

[1]Regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

[2]D. Lgs. n. 196/2003. Il GDPR, essendo un regolamento, appartiene a quelle fonti del diritto dell’Unione Europea che sonpo direttamente applicabili in tutti gli Stati membri senza che ogni stato debba approvare una legge per recepirlo. In ogni caso, l’entrata in vigore del GDPR non comporta l’automatica abrogazione del Codice Privacy. Dovranno essere considerate implicitamente abrogate solo le norme del Codice Privacy ormai in contrasto con le disposizioni del GDPR. Per favorire l’armonizzazione tra il GDPR e la normativa italiana il Governo ha approvato un decreto di armonizzazione al GDPR che è in corso di pubblicazione in Gazzetta Ufficiale.

[3]Artt 13 e 14, Regolamento (UE) n. 2016/679.


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

Informativa sulla privacy

CERCA CODICI ANNOTATI

CERCA SENTENZA

Prenota un appuntamento presso uno studio di LLpT