Data protection

Il GDPR nelle Risorse Umane

Il GDPR si rivolge a tutte le aziende europee che trattano dati personali appartenenti a persone fisiche. La normativa ha interessato tutte le aree aziendali ma quella sulla quale si è avvertito un maggior impatto è la funzione delle Risorse Umane (di seguito anche HR). Tale dipartimento, infatti, svolgendo prettamente funzioni di “recruitment” (reclutamento) raccoglie, tratta e detiene una considerevole quantità di dati personali dei candidati. Le aziende devono quindi porre in essere una serie di adempimenti per garantire che il trattamento dei dati personali avvenga in osservanza delle disposizioni del GDPR, per non incorrere in ingenti sanzioni. La fase in cui una società seleziona nuove risorse è caratterizzata dalla raccolta di curricula dai quali si evincono diversi dati personali dei candidati seguita in genere da una fase di colloqui. Queste operazioni rientrano in piena regola nella definizione di trattamento di cui all’art 4, p.to 2, GDPR. I tradizionali processi di raccolta, utilizzo e conservazione delle informazioni degli aspiranti dipendenti devono essere quindi rivisti alla luce della nuova normativa sulla protezione dei dati. Qui di seguito gli aspetti più rilevanti. Consenso Il trattamento dei dati per essere lecito, ai sensi dell’art. 6 GDPR, deve essere sempre sorretto da una base giuridica. Quelle più comuni nel recruitment sono il legittimo interesse del titolare del trattamento ed il consenso dell’interessato. Da tale considerazione si desume che il consenso al trattamento, in presenza di altra condizione di liceità, non è indispensabile al reclutamento di personale, salvo che il trattamento non verta su dati sensibili (“dati particolari”) per il quali invece è sempre richiesto. Il consenso sarà altresì necessario nei casi in cui i dati raccolti siano oggetto di trattamenti automatizzati (inclusa la profilazione). Con l’entrata in vigore del D.Lgs 101/2018 (che novella il vecchio codice Privacy D.Lgs 196/2003) all’art 111-bis si dispone che “Nei limiti delle finalità di cui all’articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto.” Questa disposizione rubricata “Informazioni in caso di ricezione di curriculum” stabilisce che nei casi in cui la candidatura avvenga in maniera spontanea il consenso non è dovuto poiché in questo caso il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso. Si precisa che qualora un soggetto si candidi volontariamente ad una determinata posizione i suoi dati potranno essere trattati solo con riferimento a tale posizione. Diversamente nel caso in cui il candidato fosse ritenuto idoneo a svolgere altro ruolo, i responsabili delle HR dovranno raccogliere un consenso ad hoc. Nella prassi, l’azienda che cerca personale da assumere, in qualità di titolare del trattamento, prima di procedere alla raccolta di tali dati informa i candidati e raccoglie il loro consenso (quando dovuto). [Generalmente, per un eccesso di garantismo le aziende tendono a richiederlo sempre, con i pro e i contro che logicamente ne conseguono.] Il consenso per essere valido deve possedere determinati requisiti. Deve essere una “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. Da questa definizione si desume che: – per la manifestazione del consenso non è richiesta una forma particolare purché sia evidente e chiara; è di tutta evidenza però che il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento; – il consenso deve essere legato ad una precisa finalità: i dati raccolti infatti possono essere impiegati unicamente per le finalità e per i trattamenti per i quali il candidato lo ha prestato; – il candidato deve essere informato su tutto ciò che riguarda i propri dati dalla raccolta (quali dati raccolti?), al trattamento (quali finalità?) e alla conservazione (quanto tempo restano in archivio?) e deve avere contezza dei propri diritti. Per garantire tale trasparenza le aziende (i recruiter in particolare) devono fornire all’interessato una informativa sulla privacy (“privacy policy”). Informativa sulla privacy L’art. 13 del Regolamento europeo prevede che le aziende forniscano agli interessati tutte le informazioni relative all’intero ciclo di vita dei dati personali raccolti (cd. “privacy policy” ovvero informativa sulla privacy). Tale adempimento ha la funzione di garantire i principi di legittimità, correttezza e trasparenza. Il già citato art. 111-bis del Codice novellato stabilisce che l’informativa deve essere resa al candidato successivamente all’invio dei curricula trasmessi spontaneamente, ovvero al primo contatto utile. La privacy policy deve essere facilmente accessibile, solitamente le HR la inseriscono direttamente sull’annuncio lavorativo, o comunque rimandano alla sezione in cui poterla consultare. Più dettagliata sarà l’informativa meno saranno le possibilità per le aziende di incorrere in sanzioni, poiché con le policies si è in grado di assicurare conformità al nuovo Regolamento. Conservazione dei dati Quanto alla “Data Retention” (ovvero la conservazione dei dati), il GDPR precisa che il tempo di archivio dei dati raccolti non può essere indeterminato, deve sempre essere definito nella informativa. Tuttavia non prescrive un periodo massimo. A tale riguardo è bene sottolineare che l’art.11, comma 1, lett. e) del Codice della Privacy dispone che i dati personali oggetto di trattamento devono essere conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti o successivamente trattati. Ciò detto, se il titolare del trattamento conserva i dati oltre un periodo “congruo” dovrà poi dimostrare la necessità per la quale si è protratto il trattamento. In ogni caso, per scongiurare ipotetiche sanzioni, tale prolungamento temporale deve essere comunicato e giustificato al candidato e da quest’ultimo accordato. L’azienda, pertanto una volta soddisfatto ed esaurito lo scopo della raccolta, è tenuta ad eliminare tutti i dati. Diritti Il GDPR garantisce ai cittadini europei una serie di vantaggi oltre ad un ventaglio di diritti di cui erano sprovvisti in passato. In particolare, il candidato potrà esercitare il: Diritto di REVOCA (art. 7 GDPR): il candidato può, in ogni momento e senza impedimenti, richiedere la revoca del consenso prestato,

La protezione dei dati personali dei defunti

Anche i defunti hanno Diritto alla Privacy. Ma cosa succede ai dati personali in caso di decesso? I dati personali dei deceduti non rientrano nell’ambito applicativo del GDPR ed è per tale ragione che il Regolamento europeo ha riconosciuto agli Stati membri la facoltà di introdurre norme ad hoc sul trattamento di tali dati. Il legislatore italiano ha, all’uopo, emanato il D.Lgs. 101/2018 al fine di armonizzare le norme contenute nel Codice della privacy (D.Lgs 196/2003) con quelle introdotte dal Regolamento UE 679/2016. Con riguardo ai diritti riguardanti le persone decedute il suddetto decreto, all’art. 2-terdecies, comma 1°, prevede che: “I diritti di cui agli articoli da 15 a 22 del Regolamento UE 2016/679 riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”. Questa disposizione abroga l’art. 9 del Codice della Privacy, che al 3° comma, di fatto, prevedeva la medesima possibilità. Si ribadisce, a costo di essere ridondanti, che il D.Lgs 196/2003 seppur novellato ad oggi è ancora in vigore. La novità risiede nel fatto che l’interessato può preventivamente disporre, con una dichiarazione scritta, espressa ed inequivocabile, e limitatamente all’offerta diretta di servizi della società dell’informazione*, quali fra il diritto di accesso, rettifica, cancellazione, limitazione e portabilità (artt. da 15 a 22 GDPR) non potrà essere esercitato da parte di terzi, una volta deceduto. [*Per completezza espositiva, si precisa che per “servizi della società dell’informazione” si intendono tutti quei “servizi prestati dietro retribuzione, a distanza, per via elettronica, mediante apparecchiature elettroniche di elaborazione e di memorizzazione di dati, e a richiesta individuale di un destinatario” (direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998).] Non vi sono dubbi che, come specificato all’ultimo comma dell’art. 2-terdecies, tale divieto non è consentito ove l’accesso ai dati personali del defunto sia necessario a terzi per l’esercizio di diritti patrimoniali ovvero per la difesa dei propri interessi in sede processuale. Dal dettato normativo emerge che i soggetti che possono esercitare tali diritti, oltre a coloro che vantano un interesse proprio (ed è la categoria poc’anzi trattata), vi sono anche coloro che agiscono per conto di terzi in qualità di mandatari, e.g. gli esecutori testamentari, e coloro il cui interesse risiede nel legame familiare col defunto, nello specifico il coniuge, i figli, i fratelli e tutti gli ascendenti e discendenti diretti sino al 4° grado. Il Garante della Privacy ha recentemente fornito un parere sulla materia, nell’ambito del procedimento relativo ad una richiesta di riesame del diniego di accesso civico, per un presunto caso di “malasanità”.(Parere del 10 Gennaio 2019 – 9084520) L’Azienda sanitaria aveva negato l’accesso poiché dalla documentazione richiesta si evincevano dati sensibili personali del paziente deceduto, pertanto fuori dall’ambito applicativo del D.Lgs 33/2013 (aggiornata al D.Lgs 97/2016). In particolare, trattavasi di dati sulla salute, che fornivano infatti il quadro clinico del defunto, con specifici e accurati dettagli su ricovero, degenza, sintomi, anamnesi, diagnosi, esami effettuati (di cui alcuni particolarmente invasivi) con relativi risultati, terapia, farmaci somministrati, consulenze mediche effettuate, nonché informazioni sul credo religioso professato. Prima di entrare nel merito della vicenda, il Garante ha precisato che sebbene il Regolamento europeo sulla protezione dati non si applichi ai dati delle persone decedute, questi vengano tutelati dal D.Lgs 101/2018, introdotto appositamente per armonizzare la normativa del GDPR a quella italiana preesistente. Da ciò ne deriva che ai dati delle persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali anche dopo l’applicazione del Regolamento UE 679/2016. Fatte le necessarie premesse, prosegue sottolineando che l’accesso civico, istituto regolato all’art. 5 del D.Lgs 33 del 2013, introduce una legittimazione generalizzata, gratuita e senza necessità di motivazione, a richiedere la pubblicazione di documenti, informazioni o dati per i quali sussiste l’obbligo di pubblicazione da parte delle pubbliche amministrazioni, ai sensi della normativa vigente. Nel caso di specie, trattandosi di dati sanitari, il Codice della Privacy, all’art. 2-septies, comma 8, e all’art. 2-ter, prevede un espresso divieto di diffusione di tali dati, per cui è impossibile “darne conoscenza a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”. In linea, peraltro, con quanto previsto dal D.lgs 33/2013 all’art. 7 bis, comma 6, sul “riutilizzo dei dati pubblicati”. Secondo l’Autorità Garante, si è dunque in presenza di una delle ipotesi di esclusione dell’accesso civico, previste dalla normativa statale in materia di trasparenza, che prevede espressamente come l’accesso civico debba essere escluso nei “casi di divieti di accesso o divulgazione previsti dalla legge” (art. 5-bis, comma 3, del d. lgs. n. 33/2013). Per tutto quanto evidenziato, il Garante della Privacy si è espresso in favore della Azienda sanitaria la quale ha correttamente respinto l’istanza di accesso ai dati del defunto. Si parla ormai di eredità digitale con riguardo a tutte quelle informazioni relative ad un soggetto ed in possesso del gestore di un servizio (piattaforma sociale, fornitore di servizio email, etc.). Nonostante i numerosi strumenti a disposizione, spesso i dati, una volta introdotti nel mondo di internet, godono di vita propria. Come detto, il nuovo Codice della Privacy ha esteso la tutela della privacy anche ai defunti, riconoscendo i diritti previsti dal GDPR a coloro che ne hanno interesse. In ogni caso chiunque può decidere preventivamente sulla sorte delle proprie informazioni digitali. E’ preferibile comunque non lasciare nulla al caso perché i dati sono eterni e non sempre la morte fisica della persona coincide con quella virtuale.   VP    

Le principali novità introdotte dal Regolamento europeo sulla protezione dei dati personali

La normativa sulla privacy è stata recentemente riformata dal Regolamento Ue 679/2016, noto come GDPR (General Data Protection Regulation), direttamente applicabile in tutti gli Stati membri dal 25 maggio 2018. Il trattamento e la libera circolazione dei dati personali delle persone fisiche necessitavano di un quadro normativo più omogeneo tra gli Stati membri, in vista di un ruolo sempre più rilevante della tecnologia e dell’informatica, in particolare dei social media. Qui di seguito un breve elenco delle più importanti novità introdotte dal Regolamento europeo. Il consenso (art. 7 GDPR) Viene introdotto il principio dell’inequivocabilità del consenso. Il consenso deve essere esplicito (ma non necessariamente scritto) sia per il trattamento di dati “sensibili” che per le decisioni basate su trattamenti automatizzati (compresa la profilazione). Conseguenza diretta è l’inammissibilità di un consenso tacito o presunto. L’informativa (art. 12 GDPR) La differenza sostanziale rispetto al passato sta nel testo dell’informativa. Le vecchie informative erano lunghissime e con numerosi riferimenti normativi, quelle post riforma dovranno essere concise, trasparenti, intelligibili per l’interessato e facilmente accessibili, con un linguaggio chiaro e semplice.  I Diritti riconosciuti agli interessati  Il Diritto di accesso ai dati (art. 15 GDPR) L’interessato ha diritto ad ottenere dal titolare l’accesso ai dati che lo riguardano nonché il diritto di conoscere le finalità perseguite con il trattamento avente ad oggetto i propri dati, i destinatari a cui verranno comunicati, la durata del trattamento ed infine, le eventuali conseguenze di un trattamento basato sulla profilazione.  Il Diritto all’oblio (art. 17 GDPR) Il Diritto alla cancellazione (anche conosciuto come “Diritto all’oblio”) in passato riconosciuto esclusivamente a livello giurisprudenziale, per la prima volta riceve una espressa regolamentazione. Nello specifico consiste nel diritto di un soggetto ad essere “dimenticato”, in buona sostanza al ricorrere di una delle condizioni individuate nel GDPR il soggetto interessato potrà esigere la cancellazione dei propri dati personali da parte del titolare del trattamento, che dovrà attivarsi senza ritardo. Il Diritto alla limitazione del trattamento (art. 18 GDPR) Il soggetto interessato può esigere la limitazione del trattamento dei propri dati personali, nei casi individuati dal GDPR come la violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), ma anche se l’interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento. Il Diritto alla portabilità dei dati (art. 20 GDPR) L’interessato ha diritto di ricevere dal titolare del trattamento i propri dati personali, in un formato strutturato, di uso comune, e leggibile da dispositivo informatico, al fine di memorizzarli su un dispositivo proprio (o nella propria disponibilità) ed eventualmente (ma non è lo scopo indispensabile del diritto) trasferirli a un altro titolare.  Le nuove figure coinvolte nella tutela della privacy Designazione del “Data Protection Officer” (art. 37 GDPR) Il Regolamento prevede una nuova figura: il Responsabile della protezione dei dati personali (“Data Protection Officer” – DPO). La designazione di tale soggetto è obbligatorio quando i dati vengono trattati da un soggetto pubblico e, nel caso di soggetti privati, quando le attività principali consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala e quando consistono nel trattamento, su larga scala, di dati sensibili o giudiziari. Il titolare del trattamento deve definire esplicitamente l’ambito di responsabilità e i compiti del DPO. Adempimenti e poteri dei soggetti designati  Principio di “Accountability” (art. 22 GDPR) Il regolamento pone l’accento sul principio di responsabilizzazione o “Accountability” dei titolari e dei responsabili, esso consiste nell’adozione di tutte le misure necessarie al fine di garantire una protezione effettiva dei dati che saranno oggetto di trattamento. Il trattamento dei dati sarà quindi oggetto di un processo aziendale da gestire sin dalla fase ideativa mediante un modello organizzativo specifico. Registro delle attività di trattamento (art. 30 GDPR) La redazione di questo Registro è obbligatoria per le aziende con oltre 250 dipendenti ed ha la funzione di documentare tutte le attività di trattamento dei dati personali effettuate dall’azienda stessa. Privacy by design e Privacy by default (art. 25 GDPR) Questi concetti si collegano al principio di responsabilizzazione poc’anzi trattato. Per Privacy by design si intende la necessità di tutelare il dato sin dalla progettazione di sistemi informatici che ne prevedano l’utilizzo, anche nella valutazione dei rischi ab origine (Risk based approch) Per Privacy by default il titolare del trattamento deve assicurarsi di mettere in atto tutte le misure idonee a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. La notificazione dei “Data breaches” (art. 33 GDPR) I titolari del trattamento al fine di garantire il rispetto dei principi applicabili al trattamento dei dati personali sono tenuti a comunicare tempestivamente (entro 72 ore dall’accaduto) alle autorità eventuali violazioni dei sistemi di sicurezza che possano determinare in maniera accidentale o illecita la distruzione e la conseguente perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati. Valutazione d’impatto sulla protezione dei dati personali (art. 35 GDPR) Per DPIA, Data Protection Impact Assessment, si intende l’analisi dei rischi generati dal trattamento dei dati a cui andrebbe incontro un trattamento laddove dovessero essere violate le misure di protezione dei dati. L’analisi dei rischi deve necessariamente essere svolta in una fase preliminare alla raccolta del dato, prima dell’inizio di ogni operazione di trattamento in modo da rispettare il principio della privacy by design.  Trasferimento dei dati verso Paesi extra UE (art. 44 GDPR) Il regolamento, nell’ottica di una tutela omnicomprensiva del trattamento dei dati personali, individua una serie di requisiti per il loro trasferimento fuori dall’UE. Tali trasferimenti possano infatti comportare un rischio rilevante per gli interessati, e la prospettiva del GDPR è quella di garantire il medesimo livello di protezione che gli stessi avrebbero (con riferimento ai loro dati) se rimanessero in UE.  Sanzioni (art. 84 GDPR) Con l’entrata in vigore del Regolamento, il quadro sanzionatorio è ben più severo, non soltanto per ciò che riguarda l’entità degli importi, ma anche per quanto concerne le ipotesi per cui possono essere comminate le sanzioni. VP

Scroll to Top