Segnaliamo sette azioni operative che i datori di lavoro sono tenuti a realizzare per adeguare la propria organizzazione aziendale alla normativa sulla protezione dei dati personali (cd. GDPR) nell’ambito dei nuovi obblighi imposti dalla Direttiva:
- valutare fin da subito se sia necessario effettuare una Valutazione d’impatto sulla protezione dei dati (cd. DPIA) ex art. 35 del GDPR, in base alla natura del trattamento, alla quantità di dati coinvolti e alle tecnologie utilizzate per elaborarli o confrontarli.
- integrare il Registro dei trattamenti ex art. 30 del GDPR indicando con precisione le nuove finalità legate alla Direttiva, aggiornando anche le misure di sicurezza.
- predisporre una Policy sulla conservazione dei dati (cd. Data Retention Policy) chiara: bisogna stabilire con trasparenza per quanto tempo verranno conservati questi dati, e quando saranno cancellati.
- redigere o modificare l’Informativa Privacy ex artt. 13 e 14 del GDPR per i dipendenti, indicando il nuovo trattamento, i diritti degli interessati e i canali per esercitarli (es. DPO, ufficio HR).
- individuare le figure aziendali coinvolti (es. HR, compliance, legale, payroll) e formarli adeguatamente sulla normativa privacy.
- coinvolgere il DPO, se presente, per validare le scelte fatte, fornire supporto tecnico-giuridico e garantire che il trattamento avvenga nel rispetto della normativa europea e italiana.
- in caso di trasferimento verso paesi extra-UE (es. casa madre in India o USA), è fondamentale applicare le tutele previste dagli artt. 44–49 del GDPR, come le Clausole Contrattuali Standard.
Dal 2026, infatti, le aziende dovranno fare i conti con nuove regole sulla trasparenza retributiva. L’obiettivo? Ridurre il Gender Pay Gap e garantire la parità salariale tra uomini e donne.
La Direttiva introduce il diritto dei lavoratori a richiedere e ricevere informazioni sulla propria retribuzione e sui livelli retributivi medi, divisi per sesso, delle categorie di lavoratori che svolgono lo stesso lavoro o un lavoro di pari valore (art. 7), obbliga le aziende a comunicare periodicamente i dati sul divario retributivo (art. 9) e prevede valutazioni congiunte quando emergono differenze retributive ingiustificate, da correggere con misure concrete (art. 10).
Tuttavia, la condivisione delle informazioni ai sensi degli artt. 7, 9 e 10 da parte del datore di lavoro, quando ciò comporti il trattamento di dati personali, deve avvenire in conformità alla normativa sulla protezione dei dati personali (cd. GDPR). Il paragrafo 1 dell’art. 12 richiama integralmente le disposizioni del GDPR.
Inoltre, il secondo paragrafo dell’art. 12 richiama uno dei principi cardine della normativa privacy, ossia il principio di limitazione della finalità: è il legislatore europeo stesso che individua la finalità del trattamento e stabilisce che i dati personali trattati a norma degli artt. 7, 9 e 10 non possano essere utilizzati per scopi diversi dall’applicazione del principio della parità di retribuzione. Di nuovo, viene riconosciuto un ruolo importante ai datori di lavoro nel garantire il rispetto di tale principio: essi possono esigere che i lavoratori che abbiano ottenuto informazioni, ai sensi dell’art. 7, diverse da quelle relative alla propria retribuzione o al proprio livello retributivo non utilizzino tali informazioni per finalità diverse dal loro diritto alla parità di retribuzione.
Un’altra disposizione di grande importanza per il datore di lavoro e rilevante dal punto di vista privacy è l’art. 5, paragrafo 2, il quale stabilisce il divieto di chiedere ai candidati informazioni sulle retribuzioni percepite negli attuali o nei precedenti rapporti di lavoro.
A cura di Benedetta Zanetti
