Privacy e dipendenti: cosa scrivere nell’informativa?
Lo scorso 25 maggio 2018 è entrato in vigore il GDPR, ossia il nuovo regolamento europeo relativo al trattamento dei dati personali. Le direzioni del personale si interrogano su cosa debbano fare per adeguarsi alle nuove regole.
A partire dallo scorso 25 maggio 2018 è entrato definitivamente in vigore il tanto temuto GDPR, ossia, il Regolamento Europeo relativo al trattamento dei dati personali [1]. Sono tantissimi gli ambiti in cui il GDPR deve essere preso seriamente in considerazione e uno di questi è la gestione dei dati personali dei dipendenti. Le aziende, infatti, gestiscono i dati personali dei dipendenti e dei collaboratori e, nel gestire questi dati, devono adeguarsi alle nuove norme. Uno dei principali obblighi per le direzioni del personale è quello di consegnare una nuova informativa
Indice
Quando sorge l’obbligo di adeguarsi al GDPR?
Il GDPR, così come il vecchio Codice Privacy [2] (che, occorre ricordare, non è stato abrogato con l’avvento del GDPR), prevede che tutti i soggetti che trattano dati personali devono farlo seguendo le regole previste nel GDPR stesso.
È dunque importante sapere che per dato personale si intende qualsiasi informazione che identifica o rende identificabile, direttamente o indirettamente, una persona. È un dato personale, ad esempio, il nome ed il cognome, la data di nascita, il codice fiscale, etc.
Il trattamento di dati è qualsiasi attività con cui un soggetto tratta i dati di una persona. Il trattamento si ha ogni volta in cui c’è raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione di dati.
Il GDPR impone a chi tratta i dati di rispettare una serie di regole tra cui il fondamentale obbligo di fornire all’interessato e, cioè, alla persona alla quale il dato si riferisce, l’informativa privacy.
Che cos’è l’Informativa privacy?
L’informativa privacy è un documento nel quale il soggetto che tratta i dati (che il GDPR definisce “titolare del trattamento”) fornisce tutta una serie di informazioni alla persona alla quale il dato si riferisce (che il GDPR definisce “interessato”) sul trattamento dei dati. Gli dice, in sostanza, chi è il soggetto che tratta i dati, per quali scopi li tratta, per quanto tempo li tratta, con quali modalità li tratta e cosa può fare per opporsi al trattamento
Uno dei trattamenti di dati più diffusi per le aziende è quello relativo ai dati dei dipendenti. Il motivo è semplice. Praticamente tutte le aziende hanno almeno un dipendente e sono, dunque, chiamate a trattare i suoi dati adeguandosi alle norme del GDPR.
Cosa deve contenere l’Informativa privacy del dipendente?
Se l’azienda ha fornito già una informativa privacy ai dipendenti sulla base del vecchio Codice Privacy è consigliabile inviare una comunicazione al personale con cui si sostituisce la vecchia Informativa con una nuova Informativa adeguata al GDPR. Questo documento dovrà contenere le seguenti informazioni:
a) l’identità e i dati di contatto dell’azienda (ovvero del titolare del trattamento in base alla terminologia del GDPR);
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile. Il responsabile della protezione dei dati è un professionista che l’azienda nomina e che osserva, valuta e da consulenza sulla protezione dei dati. Non è obbligatorio per tutte le aziende ma se c’è deve essere comunicato nell’informativa;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento. Nel caso dei dipendenti la finalità e la base giuridica è l’esecuzione e la gestione del contratto di lavoro tra l’azienda e il dipendente;
e) se i dati dei dipendenti vengono comunicati ad altri, ad esempio al consulente del lavoro che elabora le paghe, si devono indicare gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
f) se l’azienda intende trasferire i dati personali del dipendente a un paese terzo o a un’organizzazione internazionale questa intenzione deve essere indicata. Se il trasferimento avviene in un paese esterno all’Unione Europea l’azienda deve dire se la Commissione Europea ha valutato che questo paese da opportune garanzie per la protezione dei dati e quali misure di sicurezza vengono adottate.
g) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
h) l’azienda deve far sapere al dipendente che ha diritto a chiedere l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
d) il diritto del dipendente di proporre reclamo al Garante privacy;
e) l’azienda dovrà far presente che la comunicazione dei dati è obbligatoria per poter concludere e gestire il contratto di lavoro e che, dunque, se il dipendente si opponesse non si potrebbe dare esecuzione al contratto di lavoro;
f) l’esistenza di un processo decisionale automatizzato come la profilazione.
È consigliabile consegnare a mano l’Informativa e ottenere una firma per avvenuta presa visione e consegna così che in ogni momento sia evidente che l’azienda ha rispettato l’obbligo di consegnare l’informativa.