Gli adempimenti del datore dopo le modifiche al Codice della privacy
È entrato in vigore il 19 settembre 2018 il Dlgs 101 del 10 agosto 2018, di armonizzazione della legislazione italiana con le regole del regolamento Ue 2016/679, già operativo dal 25 maggio 2018.
I principali adempimenti in materia di privacy sono già in vigore da quest'ultima data e in particolare l'obbligo di rilasciare ai lavoratori interessati la prescritta informazione sulle finalità e modalità del trattamento e sui diritti di accesso degli interessati.
Il D.Lgs. n. 101/2018 modifica e integra il cosiddetto codice della privacy contenuto nel D.Lgs. 196/2003 che, come confermato anche dallo stesso Garante, resta in vigore a fianco del regolamento europeo.
Il nuovo provvedimento ha armonizzato la nostra normativa a quella europea, fermo restando che nell'eventuale incompatibilità tra le due discipline, prevarrebbe quella europea.
L'intervento legislativo non tocca le principali disposizioni contenute nel regolamento europeo che pertanto risultano confermate:
- l'obbligo di informazione;
- la valutazione di impatto;
- la presenza o meno del responsabile della protezione dei dati (DPO);
- le figure del responsabile del trattamento e dei contitolari;
- il registro dei trattamenti;
- la notifica al Garante delle violazioni informatiche.
Concentriamo ora su alcune principali novità presenti nel D.Lgs. 101/2018 che si ripercuotono in qualche modo sul comportamento che il datore di lavoro, titolare del trattamenti dei dati, deve tenere nei riguardi della gestione della privacy nel rapporto di lavoro. Prima però passiamo velocemente in rassegna le principali novità:
- la conferma del potere del Garante di emanare le autorizzazioni generali per semplificare la gestione di determinati trattamenti di dati come avveniva prima del 25 maggio 2018;
- la previsione di codici deontologici rivolti anche ai datori di lavoro privati interessati al trattamento dei dati personali;
- la revisione del sistema sanzionatorio e l'introduzione di specifici reati per le violazioni più gravi.
Dati particolari e rilevante interesse pubblico – I titolari che trattano dati particolari (sensibili) in base all'art. 9 del reg. UE per ragioni di interesse pubblico lo possono fare solo se previsto dalla legge o da regolamento. Il D.Lgs. n. 101/2018 individua tra i numerosi casi di rilevante interesse pubblico l'instaurazione, gestione ed estinzione di rapporti di lavoro di qualunque tipo, anche non retribuito o onorario, e di altre forme di impiego, materia sindacale, occupazione e collocamento obbligatorio, previdenza e assistenza, tutela delle minoranze e pari opportunità nell'ambito dei rapporti di lavoro, adempimento degli obblighi retributivi, fiscali e contabili, igiene e sicurezza del lavoro o di sicurezza.
Con questa specificazione normativa il datore di lavoro può pertanto trattare dati particolari anche se non espressamente previsto da una norma specifica di legge e anche senza chiedere il consenso del lavoratore interessato, purché, il trattamento sia proporzionato alla finalità perseguita, rispetti l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.
Così ad esempio la raccolta dei dati comportamentali (particolari riferito alla salute, di tipo sindacale ecc.) del lavoratore ai fini valutativi per la formazione del fascicolo personale (per eventuali promozioni o per erogare premi di rendimento ecc.), come la puntualità al lavoro, le relazioni coi colleghi o clienti, l'utilizzo dei dati pubblici sui social network ecc. è ammissibile ma senza che ciò possa determinare un'eccessiva ingerenza nella vita privata del lavoratore, tenendo cioè coto dei diritto dell'interessato.
Dati penali – Dopo l'intervento del D.Lgs. n. 101/2018 risulta più complicato trattare dati relativi a condanne del lavoratore.
Infatti Il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza è consentito solo se autorizzato da una norma di legge o, di regolamento, o in mancanza, di decreto emanato dal Ministero della giustizia. Il decreto potrà autorizzare questi trattamenti, tra gli altri, per i casi di gestione del rapporto di lavoro.
Pertanto attualmente salvo alcuni casi sporadici (attività lavorative a contatto coi minori – assunzione di guardie giurate ecc.) dove già la legge prevede come obbligatoria l'acquisizione del casellario giudiziale per poter costituire il rapporto, negli altri casi in cui il datore di lavoro gestisce dati penali per altri finalità discrezionalmente individuate, tali trattamenti rischiano di non avere una giustificazione, almeno fina a quando il Ministero di grazia e giustizia non avrà emanato il previsto decreto.
Invio curricula – Il nuovo decreto conferma quanto già previsto e che cioè i dati contenuti in curriculum inviato spontaneamente dal candidato e trattati o archiviati dall'impresa non obbligano a rilasciare l'informativa al candidato. L'informazione però va fornita in occasiona del primo contatto tra le parti. In mancanza e in caso di contestazioni il garante potrebbe applicare una sanzione amministrativa molto pesante fino a venti milioni di euro oppure fino al 4% del fatturato.
Definizione agevolata – Infine per le principali violazioni che risultino non ancora definite con l'adozione dell'ordinanza-ingiunzione alla data del 25 maggio 2018, in relazione ad a illeciti contestati prima di tale data, è ammesso il pagamento in misura ridotta di un somma pari a due quinti del minimo edittale.
Il pagamento potrà essere effettuato entro 90 giorni dalla data di entrata in vigore del D.Lgs. n 101/2018 cioè entro il 18 dicembre 2018.
Fruzione dei permessi 104
di Gianfranco Nobis
Patente a crediti, operatività subordinata a un decreto del Lavoro
di Barbara Garbelli