Quando instauriamo rapporti di collaborazione – a qualsiasi titolo – trattiamo necessariamente i dati dei collaboratori che possono essere configurati come dati comuni (dati anagrafici) o come dati sensibili (es: adesione a sindacati, stato di malattia).
I collaboratori hanno diritto – come tutti gli interessati al trattamento – di ricevere informazioni sul trattamento dei dati, adempimento su cui ci siamo soffermati nella nostra circolare n.40 del 9/5/2018.
Non è invece necessario acquisire il consenso al trattamento dei dati - quando finalizzato esclusivamente alla gestione del rapporto di lavoro - in quanto i contratti di lavoro sono stati inclusi tra i contratti esonerati dall’obbligo di acquisizione del consenso (ex art.6, paragrafo 1, lettera b), e art.9, paragrafo 2, lettera b), del Regolamento europeo - GDPR) a condizione che siano assicurate garanzie appropriate per i diritti fondamentali dell'interessato. Tali garanzie possono essere previste anche dai contratti collettivi o da un regolamento aziendale sulla protezione dei lavoratori in relazione al trattamento dei dati.
I nostri collaboratori a loro volta trattano dati personali: ne consegue che il lavoratore deve essere autorizzato al trattamento dei dati e deve ricevere specifiche istruzioni su come effettuare il trattamento (articolo 29) e quindi anche sulle misure di sicurezza adottate (articolo 32). Inoltre, il personale deve essere formato sui temi della protezione delle persone fisiche a riguardo del trattamento dei dati (articolo 39).
I dipendenti possono assumere il ruolo di responsabile della protezione dei dati, purché non incorrano nel conflitto di interessi (articoli 37 e 38) ed ai dipendenti possono essere attribuite specifiche funzioni, anche previa designazione.
Più in generale per la disciplina della privacy applicata al contratto di lavoro il GDPR (art.88) fa rinvio alla legislazione nazionale e alla disciplina attraverso i contratti collettivi.
Un aspetto delicato è rappresentato dall’uso di internet e della posta elettronica su cui si era soffermato il Garante per la privacy con il Provvedimento del 1° marzo 2007.
Particolari tutele devono poi essere assicurate nel caso in cui il datore di lavoro adotti sistemi di controllo indiretto o nel caso in cui doti i propri dipendenti di device per l’effettuazione della prestazione lavorativa: per intenderci, è il caso controverso di Amazon che ha brevettato il braccialetto elettronico per l’effettuazione della prestazione lavorativa in grado però di tracciare il lavoro del collaboratore. In questo caso diventa infatti necessario elaborare una valutazione di impatto privacy (art.35 GDPR).
Rinviamo, per maggiori informazioni, alle precedenti comunicazioni sul tema, ossia:
1. PRIVACY: cosa cambia per le associazioni?
2. PRIVACY: le figure individuate dal Regolamento.
3. PRIVACY: gli adempimenti da espletare
4. PRIVACY: diritti e sanzioni
5. PRIVACY: le novità scattano da domani anche se il Governo si è preso più tempo ...
Arsea comunica n. 47 del 31/05/2018
Lo staff di Arsea
Siete interessati ad avere maggiori informazioni sui nostri servizi?
Non esitate a contattarci.
I nostri uffici sono presenti a:
Bologna - Sede legale ed operativa
Via S. Maria Maggiore n.1
40121 Bologna
Tel. 051/238958
Fax 051/225203
Si accede anche da Via Riva di Reno n.75/3, terzo piano, ingresso UISP Comitato Regionale Emilia Romagna
Reggio Emilia - Sede decentrata
c/o UISP Comitato Reggio Emilia
Via Tamburini n.5
42100 Reggio Emilia (RE)
Tel. 0522/267207
Fax: 0522/332782
Si riceve su appuntamento.
Resta aggiornato sulle nostre novità
© 2016 Arsea s.r.l - via S.Maria Maggiore, 1 - 40121 Bologna - P.IVA 02223121209
