FAQ GDPR2019-02-15T16:39:42+02:00
Massimiliano Nicotra
Massimiliano NicotraAvvocato
Massimiliano Nicotra, Avvocato del Foro di Roma, è cultore della materia in Istituzioni di Diritto Pubblico e Diritto Amministrativo presso l’Università degli Studi di Roma Tor Vergata, nonché membro del Centro di Ricerche Economiche e Giuridiche della medesima Università, in cui è coordinatore della sezione Privacy e Compliance; svolge attività di docenza nel Corso di alta specializzazione “Data Protection Officer e Information Security”.

Protezione dei dati

Tutto ciò che c’è da sapere sulla GDPR
Chi viene assunto tramite APL ha due titolari? (APL e società cliente dell’APL)2019-02-13T14:18:03+02:00

Sì, l’APL è il datore di lavoro che esegue i trattamenti per le finalità di adempimento agli obblighi di legge e di contratto, il cliente dell’APL a sua volta è titolare autonomo perché effettua i trattamenti per altre sue finalità (sicurezza sul lavoro, rilevamento presenze per esigenze amministrative, sicurezza del patrimonio aziendale, etc.)

Se della selezione si occupa un Head Hunter chi è il titolare dei dati?2019-02-13T12:19:12+02:00

L’Head Hunter potrebbe configurarsi come autonomo titolare che trasferisce il dato all’azienda la quale opererà anch’essa quale autonomo titolare del trattamento (e che potrà rendere l’informativa ai sensi dell’art. 14)

È profilazione la valutazione del rendimento dei dipendenti?2019-02-13T12:30:54+02:00

No. La profilazione è l’analisi delle abitudini e/o dei comportamenti di un soggetto al fine di predirne una scelta futura, secondo il Working Party ex art. 29. La valutazione del rendimento di un dipendente non è eseguita al fine di valutare eventuali scelte future di quest’ultimo, ma rientra nelle prerogative del datore di lavoro.

Come va gestito il certificato medico e il suo invio all’assicurazione?2019-02-13T14:22:34+02:00

Il certificato medico potrebbe contenere dei dati particolari (dati sanitari) anche se non dovrebbe. La norma, per il trattamento dei dati particolari qualora non espressamente previsto dalla legge, richiede il consenso dell’interessato.

Il responsabile di un dipartimento può vedere le valutazioni annuali di un membro di un altro dipartimento?2019-02-13T12:32:50+02:00

Se è autorizzato dal Titolare del trattamento si.

Le foto fatte durante le feste aziendali possono essere condivise su uno share pubblico da cui i dipendenti che hanno accesso e possono scaricarle liberamente?2019-02-13T14:23:41+02:00

Il diritto all’immagine non coinvolge solo la protezione dei dati personali, ma anche i diritti della personalità e il diritto d’autore. Per poter fotografare qualcuno e diffondere la sua immagine è necessario ottenere un’espressa liberatoria dal soggetto.

Per raccogliere richieste dei dipendenti abbiamo predisposto delle liste, in cui però tutti possono vedere le richieste fatte da altri. È una violazione della privacy?2019-02-13T12:48:24+02:00

Sì, conviene inserire solo i numeri di matricola.

In materia di trattamento dei dati dei dipendenti all’interno di gruppi multinazionali, si possono inviare i dati dei dipendenti e le copie dei contratti di lavoro ad altre società del gruppo?2019-02-13T12:49:29+02:00

Ai sensi della normativa europea il trasferimento del dato è libero all’interno della UE (nel senso che non richiede particolari accorgimenti). Per il trasferimento dei dati verso Paesi extra UE il Regolamento Europeo richiede in alternativa:

  • Che vi sia una decisione di adeguatezza da parte della Commissione Europea;
  • In assenza che venga stipulato un apposito accordo tra i due soggetti secondo delle clausole standard;
  • Oppure che il gruppo abbia sottoposto alla Commissione delle “corporate binding rules” con cui disciplina i trasferimenti.
  • In assenza che vi sia il consenso espresso dell’interessato.

Per poter trasferire particolari categorie di dati (dati relativa alla salute) è necessario il consenso espresso da parte dell’interessato.

Hai domande sulla GDPR?

L’Avv. Nicotra sarà felice di rispondere alle vostre domande

Key questions

GDPR Key questions
Cosa deve fare oggi un HR per poter soddisfare a pieno tutti i requisiti ed il diktat imposti dalla GDPR?2019-02-13T13:18:51+02:00

Il nuovo Regolamento (UE) n. 679/2016 si applica al trattamento dei dati personali di persone fisiche (non giuridiche). Nel caso di svolgimento di tale trattamento le nuove norme, sinteticamente, richiedono di porre in essere i seguenti adempimenti:

  • Predisposizione informativa secondo i requisiti e con gli elementi di cui agli art. 13 e 14 del Regolamento;
  • Definizione delle basi giuridiche del trattamento e del periodo di conservazione dei dati (data retention);
  • Nomina di un Rappresentante nel paese UE per i titolari del trattamento con stabilimento extra-UE;
  • Eventuale nomina del Data Protection Officer qualora ricorrano i requisiti di cui all’art. 37;
  • Predisposizione del registro dei trattamenti (art. 30)
  • Individuazione e regolazione per iscritto dei rapporti con i responsabili del trattamento (art. 28);
  • Predisposizione di apposita procedura per la segnalazione dei data breach (art. 33);
  • Verifica ed adozione delle misure di sicurezza (art. 32);
  • Svolgimento di una valutazione di impatto nei casi previsti (art. 35);
  • Predisposizione di un sistema di gestione privacy per soddisfare il requisito dell’accountability;

Procedure per l’adempimento degli obblighi di privacy by design e privacy by default.

Cosa mi aspetto di trovare sul CV di una persona svizzera che cerca lavoro in Svizzera, di una persona della comunità europea che cerca lavoro in Svizzera e di una persona della comunità europea che cerca lavoro in un paese della comunità europea?2019-02-13T13:17:32+02:00

In verità anche sulla base del nuovo Regolamento Europeo la “classica” frase con cui il candidato “autorizza al trattamento dei dati personali” è superflua. Questo perché l’invio del CV è equiparato ad una manifestazione espressa di consenso al trattamento dei dati e comunque si tratta di dati trattati sulla base giuridica di cui all’art. 6, lett. a) del GDPR facendo riferimento ad una fase precontrattuale.

In ogni caso:

  • In caso di candidato svizzero questi farà un richiamo alla norma svizzera del 1992;
  • In caso di candidato italiano teoricamente non dovrebbe inserire alcuna frase (anche il d.lvo n. 101/2018 nel modificare il Codice Privacy n. 196/2003 ha specificato che per le candidature spontanee non è necessario il consenso al trattamento);
  • Anche il cittadino di altro Paese UE non dovrebbe inserire alcuno “consenso esplicito”.
Per quanto tempo si possono tenere i CV dei candidati che non vengono invitati per un colloquio? Quanto tempo quelli che dopo il colloquio non vengono scelti?2019-02-13T13:15:41+02:00

Il periodo di conservazione dei CV può essere fissato liberamente dal Titolare del trattamento. L’importante è che sia indicato nell’informativa a cui i candidati possono accedere e che tale periodo non sia eccessivo rispetto alle finalità perseguite.

Tutti i dipendenti dovrebbero firmare il consenso al trattamento dei propri dati personali?2019-02-13T13:14:41+02:00

In realtà no. Il consenso serve solamente se vengono effettuati trattamenti che non sono riconnessi agli adempimenti di obblighi di legge o all’adempimento delle prestazioni derivanti dal contratto di lavoro.

Ad esempio se il trattamento riguarda la rilevazione delle ore lavorate, il pagamento della retribuzione, la segnalazione agli organi amministrativi competenti il consenso del dipendente non è necessario.

I dipendenti dei dipartimenti che trattano i dati del personale o ne vengono a conoscenza indirettamente (Risorse Umane, Finanze etc.) dovrebbero firmare un documento specifico che li vincoli alla confidenzialità dei dati?2019-02-13T14:15:49+02:00

I dipendenti, secondo il nuovo Regolamento (UE) rientrano tra quei soggetti che si considerano “autorizzati” al trattamento dei dati da parte del Titolare. È una pratica diffusa – ma non obbligatoria – quella di fornire “per iscritto”, ai dipendenti le cui mansioni richiedono il trattamento di dati particolari (dati sulla salute, economici, etc.), delle istruzioni per il trattamento in cui vengono specificate le modalità, gli ambiti e le regole di sicurezza dei trattamenti stessi.

Selezione in Svizzera ma assunzione in altro Paese. Cosa comunicare al dipendente e come ottenere il consenso al trasferimento dei dati in un paese extra UE?2019-02-13T13:12:15+02:00

Al dipendente va comunque fornita l’informativa ex art. 13 ed il consenso al trasferimento del dato nel Paese extra UE potrà essere raccolto in calce alla stessa.

Chi è il controller/titolare del trattamento?2019-02-13T13:10:53+02:00

Secondo la definizione del GDPR il controller/titolare del trattamento è la persona fisica, giuridica, ente, organizzazione o agenzia che definisce le finalità ed i mezzi del trattamento. E’ bene evidenziare che per gli enti collettivi (società, istituzioni, etc.) il titolare è l’ente nel suo complesso, e non la persona fisica che lo rappresenta.

Chi è il co-titolare del trattamento tra le società collegate?2019-02-13T13:10:08+02:00

Il collegamento societario di per sé non determina alcuna co-titolarità del trattamento. La situazione di contitolarità si determina quando due o più titolari definiscono congiuntamente mezzi e finalità del medesimo trattamento.

Buste paga: occorre nominare la fiduciaria o la società che elabora le buste paga?2019-02-13T13:07:55+02:00

Sì, in ogni ipotesi in cui il Titolare affida a terzi operazioni di trattamento di dati personali deve essere stipulato per iscritto un atto con i contenuti di cui all’art. 28 GDPR.

Cosa succede se il responsabile/processor non firma la lettera di nomina?2019-02-13T13:05:23+02:00

Questa ipotesi ha due conseguenze: a) che il “passaggio” di dati personali tra titolare e processor è illegittimo; 2) che il processor viene considerato come titolare del trattamento (e quindi risponde verso gli interessati per non aver posto in essere gli adempimenti previsti)

Se il dipendente non segue la procedura aziendale cosa succede? L’azienda è responsabile ma può rifarsi poi sul dipendente?2019-02-13T13:04:08+02:00

Sì, per l’operato dei dipendenti rispondono sempre i datori di lavoro, che poi possono rifarsi civilmente sul dipendente stesso.

Monitoraggio delle mail è possibile? Come e in quali casi?2019-02-13T13:02:18+02:00

La e-mail può essere considerata uno strumento aziendale. Ciò però non autorizza il datore di lavoro a svolgere un monitoraggio costante dello strumento che è considerato in tal senso eccessivamente invasivo della sfera di protezione dei dati personali. Ad ogni modo, in relazione all’utilizzo degli strumenti aziendali da parte dei dipendenti, è buona prassi redigere un’apposita policy in cui si fornisce una disciplina di ciò che è permesso e ciò che è vietato svolgere tramite tali strumenti, prevedendo inoltre sanzioni (disciplinari) per i dipendenti che violano la policy.

Come gestire l’informativa (per visualizzare ed utilizzare i dati pubblicati sui social network tipo LinkedIn) per i candidati?2019-02-13T13:01:29+02:00

L’informativa dovrebbe essere resa disponibile presso una pagina del sito web aziendale. Qualsiasi trattamento di raccolta di dati personali deve veicolare l’informativa. Si ricorda che l’informativa, ai sensi dell’art. 14, qualora il dato non venga acquisito direttamente dall’interessato (come nel caso dei dati raccolti sui social network) deve essere fornita al momento del primo contatto ed al più tardi entro 30 giorni dalla raccolta.

Valutazione di impatto: a chi deve essere fatta vedere?2019-02-13T12:56:16+02:00

L’art. 35 prevede che il Data Protection Officer, se nominato, deve esprimere un parere sulla valutazione di impatto svolta dal titolare. Se non è presente un DPO non è necessario comunicare a terzi la valutazione di impatto (salvo che il rischio residuale sul trattamento risulti elevato, caso in cui è necessario richiedere una consultazione preventiva con l’Autorità di controllo competente)

Furto di pc è da considerarsi data breach? E il furto del cellulare?2019-02-13T14:13:32+02:00

Il data breach si verifica qualora vi sia una violazione dei dati personali. Se sono state attuate delle misure (come la cifratura dei dischi, o l’attivazione dei sistemi di blocco remoto degli smartphone) idonei a prevenire la violazione del dato allora sarà possibile escludere un data breach. In caso contrario sarà necessario valutare se il furto può comportare la violazione dei dati e l’estensione della stessa ed, eventualmente, effettuare la segnalazione all’Autorità di controllo.

Relativamente agli operai dell’impresa di pulizia chi è il titolare dei loro dati?2019-02-13T12:52:32+02:00

L’impresa di pulizia.

Casellario giudiziario (solo penale)2019-02-13T13:13:57+02:00

Il GDPR è molto restrittivo sull’uso dei dati giudiziari, prevedendo che essi possono essere trattati solo se espressamente previsto da una norma di legge. È quindi necessario che vi sia un provvedimento che autorizzi tale trattamento.