Skip to main content
Diritto del lavoro

Gli obblighi del datore di lavoro secondo il GDPR

GDPR e OBBLIGHI DEL DATORE DI LAVORO

Nel contesto della gestione del personale, della retribuzione e delle carriere i datori di lavoro possono ricorrere a strumenti informatici che raccolgono numerose informazioni sui loro dipendenti. Sulla pase del GDPR, ciò solleva profili problematici in merito alla privacy e all’utilizzo dei dati personali.

Quali informazioni possono essere raccolte secondo il GDPR?

Dopo il reclutamento e l’assunzione del candidato, il datore di lavoro può raccogliere ulteriori informazioni sul dipendente. Oltre a quelle necessarie per rispettare un obbligo legale (ad esempio, dichiarazioni sociali obbligatorie), il datore di lavoro può raccogliere informazioni utili per:

  • la gestione amministrativa del personale (ad esempio, tipo di patente di guida posseduta o contatti di persone da avvisare in caso di emergenza);
  • l’organizzazione del lavoro (ad esempio, fotografia facoltativa del dipendente/agente per annuari interni e organigrammi);
GDPR

GDPR

Un accesso controllato e limitato in base al GDPR

Il datore di lavoro deve garantire la sicurezza delle informazioni raccolte e assicurare che solo le persone autorizzate ne prendano conoscenza. Le azioni sui dati effettuate dalle persone autorizzate devono essere registrate (sapere chi accede a cosa, quando e per fare cosa).

Tali dati devono essere a disposizioni di un numero limitato di utenti: oltre agli enti informati dell’assunzione (ad esempio, assicurazione disoccupazione, malattia, pensione, assicurazione salute…), solo le persone incaricate della gestione del personale possono consultare le informazioni sui dipendenti/agenti. I superiori gerarchici possono accedere alle informazioni necessarie per l’esercizio delle loro funzioni (ad esempio, dati di valutazione, retribuzione…).

Il datore di lavoro non può divulgare i dati personali di un dipendente/agente a meno che la legge o una decisione giudiziaria lo preveda (es. medico ispettore della sicurezza sociale, ufficiale giudiziario con titolo esecutivo…).

I rappresentanti dei dipendenti hanno accesso ai dati contenuti nel registro unico del personale (nome, nazionalità, funzione, data di ingresso nell’organismo, ecc.).

Le altre istanze (comitato aziendale, delegati sindacali) possono ottenere alcune informazioni per svolgere i loro compiti. Ad esempio, il datore di lavoro può trasmettere al comitato aziendale (CA), previa informazione dei dipendenti/agenti, i dati di coloro che non si sono opposti. Queste informazioni consentiranno al CA di proporre attività e servizi adeguati.

Le garanzie per la privacy previste dal GDPR

Tutti i dipendenti, titolari dei dati personali, hanno il diritto di essere informati sul loro utilizzo e sulla loro raccolta. Nessuna informazione su un dipendente può essere raccolta da un dispositivo che non sia stato preventivamente portato a sua conoscenza.

I dipendenti devono essere informati:

  • sull’identità del responsabile del file (servizio risorse umane);
  • sull’obiettivo perseguito (gestione del personale);
  • sulla base legale del dispositivo (obbligo derivante dal codice del lavoro, ad esempio, o interesse legittimo del datore di lavoro);
  • sulla natura obbligatoria o facoltativa delle risposte e sulle conseguenze di un mancato riscontro;
  • sui destinatari delle informazioni;
  • sulla durata di conservazione dei dati;
  • sulle modalità di esercizio dei loro diritti di opposizione (per giustificato motivo), di accesso e di rettifica;
  • sulla possibilità di presentare un reclamo presso la CNIL.

Inoltre, il datore di lavoro deve informare le istanze rappresentative del personale prima di utilizzare i file di gestione del personale.

Su semplice richiesta e senza doverla motivare, un dipendente può ottenere una copia dei dati che lo riguardano (reclutamento, storia professionale, retribuzione, valutazione delle competenze, fascicolo disciplinare…).

Inoltre, i dati raccolti hanno una durata di conservazione limitata, solo per il tempo strettamente necessario al conseguimento delle finalità perseguite. Il responsabile del trattamento dei dati è infatti tenuto a stabilire questa durata prima di avviare il trattamento stesso.

In particolare, i dati relativi a un dipendente sono conservati per tutta la sua permanenza nella società.

Una volta che il dipendente lascia l’azienda, tuttavia, alcune informazioni devono essere conservate dal datore di lavoro su supporto d’archivio (ad esempio, 5 anni dopo la partenza del dipendente per le buste paga).

Se il datore di lavoro ha designato un delegato alla protezione dei dati (DPO),  quest’ultimo deve essere coinvolto nell’implementazione di questi dispositivi.

I vari file di gestione del personale devono essere registrati nel registro delle attività di trattamento tenuto dal datore di lavoro.

 

Tags:

Avvocato Aurora Visentin

Avvocato Aurora Visentin

Avvocato italiano in Francia specializzata in diritto del lavoro. Svolgo la mia attività a Parigi e a Milano. Attraverso il mio studio legale italo-francese assisto le società italiane che hanno interessi commerciali in Francia e le società Francesi che operano nel mercato italiano.

Articoli correlati

harcelement moral Diritto del lavoro

Harcelement Moral e mobbing: cosa deve fare il datore di lavoro?

La responsabilità del datore di lavoro in materia di harcèlement moral Il Codice del Lavoro…
Avvocato Aurora Visentin
Avvocato Aurora Visentin10/10/2024
Diritto del lavoro

Dipendenti in Francia: infografica

Avvocato Aurora Visentin
Avvocato Aurora Visentin24/07/2024
Diritto del lavoro

Azioni giudiziarie in Francia: infografica

Avvocato Aurora Visentin
Avvocato Aurora Visentin20/07/2024
Avvocato Aurora Visentin