Tutela della privacy in azienda

La privacy è un termine inglese che in italiano si traduce con riservatezza o privatezza. Nel lessico giuridico-legale, fa riferimento al diritto di alla riservatezza della vita privata di ogni singolo individuo.

Introduzione al concetto di privacy;
Adempimenti del datore di lavoro;
Parti coinvolte nel trattamento dei dati;
Diritti del lavoratore;
Violazioni e sanzioni.

INTRODUZIONE AL CONCETTO DI PRIVACY

Normativa

È necessario fare riferimento al Regolamento UE 679/2016 (GDPR) e al D.lgs. 101/2018.

Fattispecie

Il datore di lavoro entra in possesso di una serie di informazioni sulla sfera personale del dipendente (come dati anagrafici, biomedici, fotografie) e professionale (come la tipologia di contratto, l’inquadramento, la retribuzione, eventuali provvedimenti disciplinari).

Definizione di dati personali

È considerato dato personale qualsiasi informazione riguardante il lavoratore.

Il datore di lavoro può trattare i dati appartenenti al lavoratore al solo fine di dare corretta esecuzione al rapporto di lavoro.

Categorie particolari

Ci sono dati personali, in passato noti come dati sensibili, che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, i dati genetici, quelli relativi alla salute o all’orientamento sessuale.

Trattamento dei dati

Il trattamento dei dati consiste in qualsiasi operazione compiuta con o senza l’ausilio di processi automatizzati e applicata a dati personali o insiemi di dati personali (come la raccolta, registrazione, conservazione, modifica, cancellazione o distruzione).

In particolare, in base all’informazione sul lavoratore la possibilità di raccolta dei dati differisce:

Nel caso di dati personali o di categorie particolari di dati: è possibile raccogliere i dati, ma sono necessari il consenso, l’informativa e le specifiche riguardo alla finalità.
Nel caso di informazioni riferite a opinioni politiche, religiose o sindacali: non è possibile la raccolta dei dati.
Nel caso di informazioni sul lavoratore irrilevanti ai fini della valutazione delle sue capacita professionali: non è possibile la raccolta dei dati.

ADEMPIMENTI DEL DATORE DI LAVORO

Adozione di misure adeguate

Il titolare del trattamento dei dati deve attuare misure tecniche e organizzative adeguate a garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al GDPR (il c.d. principio di responsabilizzazione o accountability).

Sul piano concreto, il titolare decide autonomamente le misure da adottare e se esse sono sufficienti a garantire il rispetto del GDPR e la conformità ad esso.

Pertanto, è necessario che il trattamento avvenga nel rispetto dei seguenti parametri:

adozione di comportamenti che dimostrino la concreta attuazione di misure che assicurino l’applicazione del GDPR;
autonomia nel trattamento dei dati personali nel rispetto delle norme e alla luce di criteri specifici;
iniziale previsione con analisi a monte di garanzie indispensabili (c.d. “data protection by default and by design”);
valutazione del rischio di impatti negativi sulle libertà e i diritti degli interessati;
decisione del titolare in autonomia se iniziare il trattamento o consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale.

Informativa al lavoratore

Al momento della raccolta dei dati, il titolare del trattamento deve fornire al lavoratore le seguenti informazioni:

Identità e dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
Finalità del trattamento;
Eventuali destinatari o categorie di destinatari dei dati personali;
Eventuale intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo o a un’organizzazione internazionale;
Periodo di conservazione dei dati personali o criteri utilizzati per determinare tale periodo;
Esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento o di opporsi al trattamento;
Esistenza del diritto di revocare il consenso in qualsiasi momento;
Diritto di proporre reclamo a un’autorità di controllo;
Se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto e se l’interessato ha l’obbligo di fornire i dati personali.

Inoltre, l’informativa privacy deve essere redatta rispettando i seguenti criteri:

deve avere forma concisa, trasparente, intelligibile e facilmente accessibile;
occorre utilizzare un linguaggio chiaro e semplice;
è data per iscritto e preferibilmente in formato elettronico;
è ammesso l’utilizzo di icone solo in combinazione con l’informativa estesa.

Raccolta del consenso dell’interessato

Il trattamento è lecito quando è fondato sul consenso dell’interessato, che per essere valido deve essere:

libero;
specifico;
informato;
inequivocabile.

Il consenso dell’interessato non è necessario se il trattamento dei dati personali è effettuato per:

eseguire un contratto concluso tra il titolare e l’interessato;
adempiere un obbligo di legge;
salvaguardare interessi vitali di una persona fisica;
eseguire un compito di interesse pubblico o connesso all’esercizio di poteri pubblici;
perseguire lo specifico interesse del titolare del trattamento, ma a condizione che non prevalgano gli interessi, i diritti o le libertà fondamentali dell’interessato, specie se minore.

Quando si tratta di categorie particolari di dati personali, allora il consenso al loro trattamento deve avere determinate caratteristiche:

deve essere esplicito;
la forma scritta non è necessaria, ma serve a configurare l’inequivocabilità e il suo essere esplicito;
il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.

Invece, il consenso non è necessario quando il trattamento dei dati sensibili serve per:

assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
tutelare un interesse vitale dell’interessato o di un’altra persona fisica quando l’interessato si trova nell’incapacità fisica o giuridica di prestare il proprio consenso;
accertare, esercitare o difendere un diritto in sede giudiziaria;
motivi di interesse pubblico rilevante;
finalità di medicina;
motivi di interesse pubblico nel settore della sanità pubblica;
archiviazione dei dati nel pubblico interesse;
quando il trattamento è effettuato da una fondazione, associazione o altro organismo senza scopo di lucro;
quando il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato.

Revoca

L’interessato può in qualsiasi momento revocare il proprio consenso senza necessità di addurre alcuna giustificazione. Prima di esprimere il proprio consenso, l’interessato è informato di ciò.

La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca.

Registro delle attività di trattamento

Il titolare del trattamento o il suo rappresentante devono predisporre un registro delle operazioni di trattamento svolte sotto la loro responsabilità.

A seconda delle dimensioni occupazionali dell’azienda, l’obbligo di tenuta del Registro si differenzia così:

250 o più dipendenti: l’obbligo di tenuta del registro è previsto per qualunque tipologia di trattamento effettuato;
< di 250 dipendenti: l’obbligo di tenuta del registro è previsto in tutti i casi in cui il trattamento;
- presenta un rischio per i diritti e le libertà dell’interessato;
- non è occasionale;
- riguarda categorie particolari di dati o dati relativi a condanne penali e a reati.

Il Registro deve riportare:

l’indicazione dei titolari e responsabili del trattamento;
le caratteristiche del trattamento (finalità, categorie di dati, misure di sicurezza, modo di trasferimento dei dati);
una descrizione dei sistemi e delle misure di sicurezza a tutela degli interessati.

PARTI COINVOLTE NEL TRATTAMENTO DEI DATI

Titolare del trattamento

È la persona fisica o giuridica/l’autorità pubblica/il servizio/altro organismo che determina le finalità e i mezzi del trattamento dei dati personali.

Il titolare può prevedere che specifici compiti e funzioni connessi al trattamento dei dati siano attribuiti ad altre persone fisiche da lui designate nell’ambito del proprio assetto organizzativo.

Responsabile del trattamento

Il titolare designa un idoneo responsabile del trattamento, attribuendogli specifici compiti con un contratto che disciplina natura/durata/finalità del trattamento/tipo di dati personali/categorie di interessati/obblighi e diritti del titolare del trattamento.

Obblighi del Responsabile sono:

tenuta del Registro;
adozione di idonee misure tecniche e organizzative;
designazione del Responsabile della protezione dei dati.

Responsabile della protezione dei dati

L’RPD, o DPO, è un soggetto designato dal titolare e dal responsabile del trattamento con il compito di assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del GDPR.

Egli coopera con l’Autorità Garante e costituisce il punto di contatto fra la singola azienda e il Garante.

Inoltre, viene designato quando la principale attività del titolare (o del Responsabile del trattamento) consiste in trattamenti:

che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.

Il ruolo di RPD può essere ricoperto da un dipendente del titolare o del Responsabile del trattamento, ma anche da soggetti esterni.

Se scelto all’interno, va nominato mediante specifico atto di designazione; se, invece, scelto all’esterno, deve operare in base ad un contratto di servizi.

Una volta designato, il nominativo del RPD e i relativi dati vanno comunicati telematicamente al Garante Privacy. Detta comunicazione deve essere eseguita dal legale rappresentante del titolare/Responsabile del trattamento.

DIRITTI DEL LAVORATORE

L’interessato ha diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento dei dati personali che lo concernono e, in tal caso, di ottenere l’accesso a tali dati e alle seguenti informazioni:

finalità del trattamento;
categorie di dati personali in questione;
destinatari;
periodo di conservazione dei dati personali;
esistenza del diritto dell’interessato di chiedere al titolare la rettifica o la cancellazione dei dati o la limitazione del trattamento;
diritto di proporre reclamo a un’autorità di controllo;
se i dati non siano raccolti presso l’interessato;
esistenza di un processo decisionale automatizzato.

Cancellazione dei dati

L’interessato ha il diritto (noto come diritto all’oblio) alla cancellazione dei propri dati personali in forma rafforzata.

Infatti, si può pretendere che vengano cancellati dal titolare i dati che riguardano l’interessato senza ingiustificato ritardo, se sussiste uno dei seguenti motivi:

i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
l’interessato revoca il consenso su cui si basa il trattamento e non sussiste altro fondamento giuridico per il trattamento;
l’interessato si oppone al trattamento;
i dati personali sono stati trattati illecitamente;
i dati personali devono essere cancellati per adempiere un obbligo legale.

Invece, il diritto all’oblio non può essere esercitato in caso di trattamento necessario:

per l’esercizio del diritto alla libertà di espressione e di informazione;
per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’UE o dello Stato membro cui è soggetto il titolare del trattamento;
per motivi di interesse pubblico nel settore della sanità pubblica;
a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica oppure a fini statistici;
per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Il titolare del trattamento deve comunicare a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali cancellazioni del trattamento.

Limitazione del trattamento

L’interessato ha il diritto di ottenere dal titolare la limitazione del trattamento, quando ricorre una delle seguenti ipotesi:

l’interessato contesta l’esattezza dei dati personali;
il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Il titolare del trattamento deve comunicare a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali limitazioni del trattamento.

Portabilità dei dati

L’interessato ha il diritto di ricevere i propri dati personali forniti a un titolare del trattamento e avrà il diritto di trasmettere tali dati da un titolare del trattamento a un altro senza alcun impedimento da parte del titolare cui li ha forniti, se ricorrono entrambe le seguenti condizioni:

il trattamento si basa sul consenso dei propri dati personali per una o più specifiche finalità ed è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
il trattamento è effettuato con mezzi automatizzati.

VIOLAZIONI E SANZIONI

Violazioni

Dalla violazione delle disposizioni sul trattamento dei dati personali può derivare una responsabilità civile, penale o amministrativa.

Pertanto, chiunque subisca un danno causato da una violazione delle norme del GDPR ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal Responsabile del trattamento.

Il titolare risponde per il danno cagionato dal suo trattamento ed è esonerato da responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

Il Responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi specificamente diretti ai responsabili del trattamento oppure se ha agito in modo difforme o contrario rispetto alle istruzioni del titolare.

Per quanto concerne le sanzioni:

Sono previste sanzioni amministrativa fino a € 10.000.000 o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, per le violazioni in materia di:
- conservazione cartelle cliniche, nelle strutture sanitarie;
- contitolarità del trattamento;
- responsabili del trattamento;
- registro delle attività di trattamento;
- misure di sicurezza del trattamento;
- notifica della violazione dei dati personali all’autorità di controllo;
- comunicazione della violazione dei dati all’interessato;
- valutazione d’impatto sulla protezione dei dati;
- consultazione preventiva con l’autorità di controllo;
- designazione del RPD.
Sono previste sanzioni amministrativa fino a € 20.000.000 o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, per le violazioni in materia di:
- trattamento necessario di particolari categorie di dati per motivi di interesse pubblico rilevante;
- diffusione di dati genetici, biometrici e relativi alla salute;
- trattamento di dati personali relativi a condanne penali e a reati;
- trattamento dati identificativi degli interessati;
- informazioni da parte di strutture che erogano prestazioni sanitarie e sociosanitarie;
- rilascio copia cartelle cliniche, nelle strutture sanitarie;
- trattamento di dati relativi a studenti;
- durata del trattamento dei dati;
- regole deontologiche per trattamenti nell’ambito del rapporto di lavoro;
- conoscibilità di dati su mandato dell’interessato;
- richiesta di informazioni e di esibizione di documenti al Garante;
- principi di base del trattamento, comprese le condizioni relative al consenso;
- disposizioni relative ai diritti degli interessati;
- trasferimenti di dati personali a un destinatario in un Paese terzo o un’organizzazione internazionale.

Centro Studi | Studio Cassone

Il Centro Studi dello Studio Cassone è composto da un team di professionisti appassionati, dediti alla ricerca e alla condivisione delle informazioni così da garantire un aggiornamento costante del personale ed essere sempre un passo avanti.

In seguito alle novità introdotte dal correttivo bis ai decreti di riforma sul sito ...

Distacco del dipendente all’estero: è dovuto il diritto al bonus.

La Corte di Giustizia Tributaria ha confermato che hanno diritto a percepire il bonus ...

Addio al contributo addizionale della CIGO per le imprese colpite dall’emergenza climatica

Confermato l’esonero dal pagamento del contributo addizionale CIGO per le imprese del settore edile, ...

Consulenza
del lavoro

Amministrazione
del personale

Elaborazione
paghe

Ufficio
legale

Guide

News

Suite Dipendente

Suite Cliente

Suite analisi report

Tutela della privacy in azienda

INTRODUZIONE AL CONCETTO DI PRIVACY

ADEMPIMENTI DEL DATORE DI LAVORO

PARTI COINVOLTE NEL TRATTAMENTO DEI DATI

DIRITTI DEL LAVORATORE

VIOLAZIONI E SANZIONI

Centro Studi | Studio Cassone

INDICE

Le ultime dallo Studio

Pubblicata la guida pratica per la gestione operativa dei lavoratori degli EDS e degli Organismi sportivi

Distacco del dipendente all’estero: è dovuto il diritto al bonus.

Pubblicata la guida pratica per la gestione operativa dei lavoratori degli EDS e degli Organismi sportivi

Distacco del dipendente all’estero: è dovuto il diritto al bonus.

Addio al contributo addizionale della CIGO per le imprese colpite dall’emergenza climatica

Richiedi informazioni

Risorse

Servizi

Contattaci

INDICE

Consulenza del lavoro

Amministrazione del personale

Elaborazione paghe

Ufficio legale

Guide

News

Suite Dipendente

Suite Cliente

Suite analisi report

Tutela della privacy in azienda

INTRODUZIONE AL CONCETTO DI PRIVACY

ADEMPIMENTI DEL DATORE DI LAVORO

PARTI COINVOLTE NEL TRATTAMENTO DEI DATI

DIRITTI DEL LAVORATORE

VIOLAZIONI E SANZIONI

Centro Studi | Studio Cassone

INDICE

Le ultime dallo Studio

Pubblicata la guida pratica per la gestione operativa dei lavoratori degli EDS e degli Organismi sportivi

Distacco del dipendente all’estero: è dovuto il diritto al bonus.

Pubblicata la guida pratica per la gestione operativa dei lavoratori degli EDS e degli Organismi sportivi

Distacco del dipendente all’estero: è dovuto il diritto al bonus.

Addio al contributo addizionale della CIGO per le imprese colpite dall’emergenza climatica

INDICE

Consulenza
del lavoro

Amministrazione
del personale

Elaborazione
paghe

Ufficio
legale