I datori di lavoro trovano nella Direttiva 95/46 CE la normativa di riferimento per il trasferimento dei dati personali dei dipendenti in una sede UE.

Il funzionamento dei mercati internazionali e la presenza di sedi estere richiedono che i dati personali dei dipendenti possano circolare liberamente all’interno degli Stati membri.
Numerosi imprenditori e responsabili aziendali ci pongono, a questo proposito, diversi questi.

Il caso imprenditoriale

“Sono un imprenditore responsabile del trattamento dei dati personali dei dipendenti e a breve dovrò trasmetterli in una sede UE. Il 4 maggio 2016 è stato pubblicato il nuovo Regolamento sulla libera circolazione dei dati: devo rifarmi a quello o posso ancora riferirmi alle normative con cui il nostro Paese ha dato attuazione alla Direttiva 95/46/CE?”

Il nuovo Regolamento, inerente la protezione e la libera circolazione dei dati personali, si applicherà dal 25 maggio 2018. I datori di lavoro avranno circa due anni di tempo per ottemperare agli obblighi di legge secondo la nuova normativa che si aggiunge a quella precedente. Quest’ultima potrà essere sempre applicata anche se non si esclude l’insorgere di perplessità interpretative dovute a norme differenti che disciplinano gli stessi eventi.
La Direttiva Privacy è stata recepita dai vari Stati attraverso l’attuazione di regolamenti poco armonizzati tra loro, per questo motivo la Commissione Europea ha elaborato il regolamento approvato il 6 aprile.

Quindi devo considerare sempre valida la direttiva 95/46 CE?

La Direttiva 95/46 CE 24 ottobre 1995 è diventata il testo di riferimento europeo per la protezione dei dati ed ha sancito un certo equilibrio tra la tutela e la circolazione dei dati personali all’interno della UE. Applicata sia ai dati trattati con supporti automatizzati sia a quelli contenuti in archivi cartacei, stabilisce i principi guida che rendono legale il trattamento. Questa direttiva, però, è nata quando le attività erano prevalentemente cartacee. L’enorme flusso di dati digitali ha visto la necessità di aumentare il controllo per la tutela dei soggetti interessati.

Per trasferire i dati personali dei dipendenti in una sede europea quali sono gli articoli di riferimento?

  • Per le sedi di Stati UE il trasferimento dei dati personali dei lavoratori viene attuato in base alla direttiva 95/46/ CE.
  • Il nostro Paese ha recepito la direttiva comunitaria e l’ha attuata inizialmente attraverso la legge 675/1996 e, successivamente, con il D.Lgs 196/03.
  • I trasferimenti dei dati all’estero sono compresi negli articoli 42, 43, 44 e 45.

L’art. 42 stabilisce che le disposizioni non possono essere applicate per limitare la circolazione dei dati personali negli Stati UE, tranne nel caso in cui siano adottati provvedimenti che hanno come finalità quella di eludere le disposizioni.

Il trasferimento dei dati personali dei dipendenti internamente all’UE è, quindi, consentito senza alcun vincolo, grazie alle normative adottate dagli Stati membri nel rispetto della direttiva 95/46/ CE. Rimangono, però, l’obbligo dell’informativa e del consenso dell’interessato.

Il trattamento dei dati personali: legalità e tutela

Quando è considerato legale il trattamento dei dati?

Il trattamento è lecito quando c’è il consenso del soggetto o un obbligo legale, ma anche nel caso di interesse vitale e quando deve essere perseguito un interesse pubblico.
I dati personali dei dipendenti devono essere trattati lealmente, conservati il tempo necessario e utilizzati per le finalità concordate. L’interessato deve avere libero accesso agli stessi, conoscere le finalità e i destinatari e poter esercitare il diritto di opposizione.

In cosa consiste la tutela?

I dati personali comprendono le informazioni inerenti alla persona fisica identificabile in base a determinati elementi. La tutela richiede che il trattamento che comprende raccolta, organizzazione, registrazione, conservazione, elaborazione e comunicazione, avvenga rispettando i diritti dell’interessato, secondo regole di riservatezza.

Nel 1996 il nostro Paese ha promulgato la legge n. 675 che ha stabilito gli ambiti di applicazione, gli obblighi per il titolare del trattamento e i diritti della persona interessata. È poi seguito il D.lgs. n.196 del 30 giugno del 2003 per il rispetto dei diritti in materia di trattamento dei dati personali.

Compiti del Garante e società controllate

Qual è il ruolo del Garante nel settore privato?

Il Garante per la protezione dei dati controlla i settori pubblici e privati perché sia assicurata la correttezza del trattamento e il rispetto dei diritti circa l’utilizzo delle informazioni. Inoltre coopera in ambito UE.
Con la deliberazione n. 53 del 23/11/ 2006 il Garante ha adottato le linee guida per il trattamento dei dati dei lavoratori dipendenti da datori di lavoro privati. Il comma 3, inerente al titolare e al responsabile del trattamento, stabilisce la rilevanza delle figure che possono trattare i dati, soprattutto per quanto riguarda il titolare e il responsabile.

Come avviene il trasferimento dei dati per le società controllate?

Per le società facenti parte di Gruppi di imprese le controllate possono delegare la capogruppo per gli adempimenti riguardanti il trattamento dei dati personali dei dipendenti. Bisogna ricordare, comunque, che la diffusione dei dati dei lavoratori può avvenire solo se essenziale all’espletamento di obblighi riportati nel contratto.
Il Garante, con delibera n.23/2007, ha adottato anche linee guida riguardanti il trattamento dei dati dei lavoratori pubblici. Circa le comunicazioni, al comma 5, è stabilito che sono lecite solo se indispensabili all’interesse pubblico.