Provvedimento Garante privacy per le modalità di trattamento di categorie particolari di dati personali

Di seguito una una breve nota espositiva dei contenuti del provvedimento n. 146 adottato dal Garante della privacy il 5 giugno 2019 (pubblicato in G.U. il 29 luglio u.s.), relativo alle modalità di trattamento di categorie particolari di dati personali ai fini del rapporto di lavoro.
Le prescrizioni, rivolte anzitutto ai datori di lavoro, dettano precise istruzioni operative rispetto alle finalità, ai limiti ed alle modalità concernenti l’acquisizione di particolari tipi di informazioni che riguardano tanto i candidati al lavoro, quanto i dipendenti.

***

Attraverso il recente provvedimento n. 146, pubblicato in G.U. lo scorso 29 luglio, il Garante della privacy ha definito le modalità di trattamento di categorie particolari di dati personali (ovvero, ai sensi dell’art. 9 GDPR, quei dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici [1] intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) ai fini del rapporto di lavoro.

Le nuove prescrizioni si rivolgono ai soggetti che, in qualità di titolari o responsabili del trattamento, debbano acquisire dati sensibili ai fini dell’ instaurazione, gestione od estinzione del rapporto lavorativo.

In particolare, ai sensi dell’art. 1 dell’allegato 1, il provvedimento si applica a:

  • Agenzie per il lavoro e altri soggetti che svolgono attività di intermediazione, ricerca e selezione del personale, o supporto alla formazione professionale;
  • Persone fisiche e giuridiche, imprese (anche sociali) che utilizzano prestazioni lavorative;
  • Organismi paritetici o che gestiscono osservatori in materia di lavoro;
  • Rappresentanti dei lavoratori per la sicurezza;
  • Soggetti che curano gli adempimenti in materia di lavoro, di previdenza ed assistenza sociale e fiscale nell’interesse di altri soggetti che sono parte di un rapporto lavorativo;
  • Associazioni, organizzazioni, federazioni rappresentative di categorie di lavoratori;
  • Medico competente in materia di salute e sicurezza sul lavoro, quale libero professionista o dipendente del datore di lavoro o di strutture convenzionate.

I dati personali oggetto della presente disciplina devono poi riguardare:

a) candidati all’instaurazione dei rapporti di lavoro;
b) lavoratori subordinati, anche se parti di un contratto di apprendistato, di formazione, a termine, di lavoro intermittente, di lavoro occasionale ovvero praticanti per l’abilitazione professionale, ovvero prestatori di lavoro nell’ambito di un contratto di somministrazione di lavoro, o in rapporto di tirocinio, ovvero ad associati anche in compartecipazione;
c) consulenti e liberi professionisti, agenti, rappresentanti e mandatari;
d) soggetti che svolgono collaborazioni organizzate dal committente, o altri lavoratori autonomi in rapporto di collaborazione, anche sotto forma di prestazioni di lavoro accessorio;
e) persone fisiche che ricoprono cariche sociali o altri incarichi nelle persone giuridiche, negli enti, nelle associazioni e negli organismi indicati nel precedente punto 1.1.;
f) terzi danneggiati nell’esercizio dell’attività lavorativa o professionale;
g) terzi (familiari o conviventi dei soggetti di cui alla precedente lett. b) e d) per il rilascio di agevolazioni e permessi.

Il titolare del trattamento può, inoltre, acquisire dati c.d. “sensibili” soltanto ove ciò sia necessario a soddisfare le seguenti finalità:

a) adempiere o esigere l’adempimento di specifici obblighi legati all’instaurazione, gestione od estinzione del rapporto lavorativo; ottenere il riconoscimento di agevolazioni o l’erogazione di contributi; applicare la normativa in materia di previdenza ed assistenza, ovvero in tema di igiene e sicurezza del lavoro, nonché in materia fiscale e sindacale;
b) tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori;
c) salvaguardia della vita o dell’incolumità fisica del lavoratore o di un terzo;
d) far valere o difendere un diritto, anche da parte di un terzo, in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione;
e) adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di salute e sicurezza del lavoro e di malattie professionali o per i danni cagionati a terzi nell’esercizio dell’attività lavorativa o professionale;
f) assicurare le pari opportunità nel lavoro;
g) perseguire gli scopi individuati da statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi, in materia di assistenza sindacale ai datori di lavoro.

Il provvedimento adottato dal Garante privacy, poi, limita il trattamento dei dati a seconda che questo venga svolto nella fase preliminare alle assunzioni, ovvero in corso di esecuzione del rapporto.

In particolare, prima dell’assunzione, le agenzie per il lavoro e gli altri intermediari possono trattare dati riguardanti lo stato di salute e l’origine etnico-razziale dei candidati soltanto allo scopo di instaurare un rapporto di lavoro.

In fase precontrattuale, inoltre, i dati (acquisiti tramite questionari inviati ai candidati o da questi ultimi inseriti spontaneamente nei curricula) devono riguardare le sole informazioni strettamente pertinenti e necessarie, anche tenuto conto delle particolari mansioni e/o delle specificità dei profili professionali richiesti.

Qualora, invece, il datore debba trattare dati sensibili del dipendente nel corso del rapporto lavorativo, deve tener presente che:

  1. le informazioni che rivelano orientamenti filosofico-religiosi del lavoratore possono essere trattate soltanto per la fruizione di permessi, in occasione di festività religiose o per la fruizione del servizio mensa;
  2. le informazioni circa opinioni politiche o sindacali del lavoratore possono essere trattate soltanto per concedere permessi o aspettativa, ovvero per l’esercizio dei diritti sindacali;
  3. qualora un dipendente partecipi ad operazioni elettorali quale rappresentante di lista, non può trattare dati che ne rivelino opinioni politiche.

Quanto alle modalità di trattamento, viene poi previsto che:

  1. i dati sensibili devono essere raccolti, di regola, presso l’interessato;
  2. tutte le comunicazioni riguardanti dati sensibili devono essere rivolte al relativo titolare (ovvero a un delegato); tali trasmissioni possono avvenire in forma scritta (documento cartaceo in busta chiusa, con firma per ricevuta) o per e-mail;
  3. qualora i documenti contenenti dati sensibili vadano trasmessi ad altri uffici o funzioni della stessa struttura organizzativa, devono contenere le sole informazioni necessarie allo svolgimento della funzione;
  4. se, per ragioni legate all’organizzazione del lavoro (per esempio, calendarizzazione dei turni), i dati riguardanti le assenze devono essere divulgati a più colleghi, tali informazioni devono riportare solo il giorno di assenza e non la causa (es. malattia, aspettativa, etc. ….).

[1]Definiti dall’art. 4, n. 14, GDPR, come i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.

La sicurezza ai tempi del mobile business: immagine del lavoratore sotto osservazione

“Renato D’Andrea, avvocato dello Studio Legale Lexellent, individua un altro tema rilevante alla luce del nuovo regolamento europeo, relativo al trattamento in ambito lavorativo dell’immagine o “identità fisica”, per usare l’espressione del legislatore comunitario”.
Leggi il testo integrale dell’articolo, pubblicato su “L’Impresa” di giugno: L’Impresa.

Privacy by design. Una rivoluzione annunciata.

Nel suo ultimo numero  l’Impresa affronta il tema delle nuove regole UE sulla protezione dei dati che potrebbero cambiare la vita alle imprese.
Dal 25 maggio entra in vigore il regolamento europeo sull’utilizzo dei dati in internet. Per le aziende non si tratta solo di adempimenti, ma soprattutto di una nuova filosofia che costringe a ragionare su come si usa la tecnologia e a mettere ordine nel data base …  poche però l’hanno compreso.
La redazione, tra l’altro, ha chiesto il parere a tre esperti, un economista – Riccardo Puglisi, docente di Economia Politica all”Università di Pavia e redattore di lavoce.info – , Carlo Mauceli, National Digital Officer di Microsoft Italia e all’avv. Sergio Barozzi, partner dello studio legale Lexellent che lo scorso 15 febbraio ha organizzato proprio un incontro sul tema GDPR.
Per leggere l’intero articolo, cliccare qui.
 
 
 
 

STUDIO LEGALE LEXELLENT – I CONVEGNI ORGANIZZATI DA LEXELLENT.

In occasione del convegno dal titolo GDPR 2016/679, dello scorso 15 febbraio, l’avvocato Barozzi è stato intervistato dalla redazione di LawTalks.
Qui di seguito riportiamo il video e anche la sinossi dell’intervista:

“Noi, come Lexellent, facciamo spesso iniziative informative destinate ai nostri Clienti, – Spiega l’avv. Sergio
Barozzi, Managing Partner di Lexellent –  ai potenziali clienti ed alle persone con cui siamo in contatto.
Abbiamo un vero e proprio programma formativo che chiamiamo Academy, in particolare poi ci
concentriamo su quelle che sono le novità legislative più importanti e più significative e, soprattutto, ci
focalizziamo sulle novità legislative che possono dare luogo a iniziative pratiche e concrete perché in
azienda le si deve mettere in atto.”
“Quindi lo scopo di questi nostri incontri è quello di fornire una veloce panoramica su quelle che sono le
novità ma soprattutto cosa fare per essere in ordine quando la legge entra in vigore. Da questo punto di
vista, quindi, il Convegno di oggi sul DPO e Regolamento n.679/2016 è strutturato proprio in questo modo:
abbiamo affrontato le varie problematiche connesse con il nuovo Regolamento Europeo sulla Privacy e sul
cosa cominciare a fare, per essere in ordine fra 99 giorni. Quando il nuovo Regolamento entrerà in vigore.”

La sfida della Privacy per imprese e professionisti. Adeguarsi al nuovo Regolamento Europeo evitando rischi e sanzioni.

E’ il titolo dell’incontro, organizzato in collaborazione con Andaf, Prometeo MC, Amrop, Union Internationale des Avocats e The British Chamber of Commerce for Italy, a cui prenderà parte come relatore l’avv. Renato D’Andrea, of counsel dello studio.

Programma della giornata:
Moderatore

  • Marco Cerù, Presidente ANDAF Sezione Centro Sud

Introduzione

  • Paolo Lenzi, Partner UHY Italy
    Alessandro Fantini, Partner Studio Legale SLVB Firenze

Interventi

  • Francesco Pizzetti, Professore Ordinario di Diritto Costituzionale all’Università di Torino, già Presidente dell’Autorità Garante per la protezione dei dati personali
  • Gianvincenzo Fedele, Senior Manager Prometeo Management Consulting, Privacy Consultant UHY Italy
  • Angela Tavaglione, Avvocato Studio Legale SLVB Firenze
  • Renato D’Andrea, Avvocato, of counsel Lexellent
  • Vito Gioia, Managing Director Amrop

Appuntamento:
Roma, mercoledì 21 marzo 2018
hr. 14,30 -18,00
Segue rinfresco
Sala Multimediale Banca Monte dei Paschi di Siena S.p.A.
Via Marco Minghetti 30/A, angolo Via del Corso, Roma
Ingresso libero previa registrazione.

La privacy per l’HR manager in vista dell’entrata in vigore del nuovo regolamento.

È il titolo del prossimo seminario organizzato dallo studio per il 15 febbraio, ossia a 99 giorni dall’entrata in vigore del GDPR 2016/679 – esattamente il 25 maggio 2018.
Un corso per approfondire la materia ed essere pronti ad affrontare le novità del regolamento.
I corsi sono a numero chiuso, si prega di prenotare con il dovuto anticipo.
Per informazioni: lexellent@creativeconnection.it, tel. 028725171.
Il programma del Convegno

PRIVACY PER HR MANAGER TRA VECCHIO E NUOVO REGOLAMENTO.

L’avv. Sergio Barozzi e l’avv. Sofia Bargellini prenderanno parte al prossimo incontro formativo organizzato con il patrocinio dell’Ordine degli Avvocati di Milano.

Privacy per HR manager tra vecchio e nuovo regolamento
Mercoledì 21 febbraio 2018 – ore 14:30 – 18:30
Palazzina ANMIG, Salone Valente – Via San Barnaba, 29 Milano

Programma
Verranno ripresi i classici temi legati all’art 4 rivisti alla luce anche della nuova normativa di derivazione comunitaria che entrerà in vigore il prossimo 25 maggio. Si tratta di argomenti che devono essere rivisti e rielaborati alla luce del nuovo regolamento sulla protezione dei dati personali.
Del tutto nuovo sarà il format del convegno: ogni intervento avrà la durata massima tassativa di 8 minuti e nella
presentazione si avvicenderanno professionisti di diverse opinioni in modo da presentare una alternanza di posizioni. Ogni intervento si chiuderà con una “pillola informativa”: che si tratti di uno spunto di riflessione, di una domanda, dell’indicazione di una sentenza i partecipanti potranno portare a casa delle informazioni di immediata applicazione .

  • Ore 14.00 – Registrazione Partecipanti
  • Ore 14.15 – Saluti:
    – Avv. Andrea Del Corno, Consigliere dell’Ordine degli Avvocati di Milano:
    – Avv. Tatiana Biagioni, Presidente AGI Lombardia:
    – Dr. Marco Vigini, Presidente AIDP Gruppo Regionale Lombardia

Moderatore: Avv. Sergio Barozzi, Lexellent

  • Ore 14.30 – Introduzione
    Gli impianti audiovisivi da cui derivi la possibilità di controllo:
    Individuazione – Avv. Angelo Zambelli, Grimaldi Studio Legale
    Le esigenze organizzative – Avv. Marco De Bellis, Studio Marco De Bellis
    – Le esigenze di tutela del patrimonio aziendale: ambito di utilizzo – Avv. Renato Scorcelli, Scorcelli Rosa & Partners
    Le esigenze di tutela del patrimonio aziendale: limiti di utilizzo – Avv. Tatiana Biagioni, Studio Avv. Tatiana Biagioni
    Modalità e condizioni di utilizzo– Avv. Paola Pucci, Toffoletto De Luca Tamajo e Soci
    Gli strumenti da cui derivi accidentalmente il controllo: strumenti di terzi e vigilanza sul lavoratore, limiti –
    Avv. Antonella Negri, Studio Legale Bonelli Erede
    Gli strumenti utilizzati per rendere la prestazione: cosa sono e come si individuano – Avv. Gabriele Fava, Studio Legale Fava & Associati – Avv. Maddalena Boffoli, Studio Legale Boffoli
    Gli strumenti necessari: hardware e software – Avv. Piercarlo Antonelli, Avvocati Ass. Franzosi Dal Negro Setti
    Software destinati al mero controllo – Avv. Luigi De Andreis, LegaliLavoro – Francioso e soci
    Cosa fare dei dati: le policy aziendaliAvv. Sofia Bargellini, Lexellent
    I controlli difensivi – Avv. Luca Failla, LabLaw – Avv. Andrea Bordone, Avvocati Ass. Bordone Giovannini Perone & Perucco
    Il nuovo codice privacy:
    Il ruolo dell’HR – Avv. Sergio Barozzi, Lexellent
     Cosa cambia – Avv. Annamaria Pedroni, Stanchi Studio Legale
     Cosa non cambia – Avv. Giuseppe Bulgarini d’Elci, Carnelutti Studio Legale Associato
    L’organizzazione privacy: nuovi compiti e ruoli – Avv. Luigi Granato, FDL Studio legale e tributario
    Le nuove figure: il Data protection officer, compiti e scelta– Avv. Mario Cammarata, Trifirò & Partners Avvocati
    Valutazione di impatto (PIA) – Avv. Daniele Colombo, Studio Legale Colombo
    Data breach: l’unità di crisi – Avv. Marcello Floris, Eversheds Sutherland
    Registro delle attività di trattamento – Avv. Uberto Percivalle, Baker & McKenzie

La partecipazione all’incontro consente l’attribuzione di 4 crediti formativi ai sensi del regolamento per la Formazione.