di Antonio Serriello

I datori di lavoro trovano nella Direttiva 95/46 CE la normativa di riferimento per il trasferimento dei dati personali dei dipendenti in una sede UE.

Il funzionamento dei mercati internazionali e la presenza di sedi estere richiedono che i dati personali dei dipendenti possano circolare liberamente all’interno degli Stati membri.
Numerosi imprenditori e responsabili aziendali ci pongono, a questo proposito, diversi questi.

Il caso imprenditoriale

“Sono un imprenditore responsabile del trattamento dei dati personali dei dipendenti e a breve dovrò trasmetterli in una sede UE. Il 4 maggio 2016 è stato pubblicato il nuovo Regolamento sulla libera circolazione dei dati: devo rifarmi a quello o posso ancora riferirmi alle normative con cui il nostro Paese ha dato attuazione alla Direttiva 95/46/CE?”

Il nuovo Regolamento, inerente la protezione e la libera circolazione dei dati personali, si applicherà dal 25 maggio 2018. I datori di lavoro avranno circa due anni di tempo per ottemperare agli obblighi di legge secondo la nuova normativa che si aggiunge a quella precedente. Quest’ultima potrà essere sempre applicata anche se non si esclude l’insorgere di perplessità interpretative dovute a norme differenti che disciplinano gli stessi eventi.
La Direttiva Privacy è stata recepita dai vari Stati attraverso l’attuazione di regolamenti poco armonizzati tra loro, per questo motivo la Commissione Europea ha elaborato il regolamento approvato il 6 aprile.

Quindi devo considerare sempre valida la direttiva 95/46 CE?

La Direttiva 95/46 CE 24 ottobre 1995 è diventata il testo di riferimento europeo per la protezione dei dati ed ha sancito un certo equilibrio tra la tutela e la circolazione dei dati personali all’interno della UE. Applicata sia ai dati trattati con supporti automatizzati sia a quelli contenuti in archivi cartacei, stabilisce i principi guida che rendono legale il trattamento. Questa direttiva, però, è nata quando le attività erano prevalentemente cartacee. L’enorme flusso di dati digitali ha visto la necessità di aumentare il controllo per la tutela dei soggetti interessati.

Per trasferire i dati personali dei dipendenti in una sede europea quali sono gli articoli di riferimento?

  • Per le sedi di Stati UE il trasferimento dei dati personali dei lavoratori viene attuato in base alla direttiva 95/46/ CE.
  • Il nostro Paese ha recepito la direttiva comunitaria e l’ha attuata inizialmente attraverso la legge 675/1996 e, successivamente, con il D.Lgs 196/03.
  • I trasferimenti dei dati all’estero sono compresi negli articoli 42, 43, 44 e 45.

L’art. 42 stabilisce che le disposizioni non possono essere applicate per limitare la circolazione dei dati personali negli Stati UE, tranne nel caso in cui siano adottati provvedimenti che hanno come finalità quella di eludere le disposizioni.

Il trasferimento dei dati personali dei dipendenti internamente all’UE è, quindi, consentito senza alcun vincolo, grazie alle normative adottate dagli Stati membri nel rispetto della direttiva 95/46/ CE. Rimangono, però, l’obbligo dell’informativa e del consenso dell’interessato.

Il trattamento dei dati personali: legalità e tutela

Quando è considerato legale il trattamento dei dati?

Il trattamento è lecito quando c’è il consenso del soggetto o un obbligo legale, ma anche nel caso di interesse vitale e quando deve essere perseguito un interesse pubblico.
I dati personali dei dipendenti devono essere trattati lealmente, conservati il tempo necessario e utilizzati per le finalità concordate. L’interessato deve avere libero accesso agli stessi, conoscere le finalità e i destinatari e poter esercitare il diritto di opposizione.

In cosa consiste la tutela?

I dati personali comprendono le informazioni inerenti alla persona fisica identificabile in base a determinati elementi. La tutela richiede che il trattamento che comprende raccolta, organizzazione, registrazione, conservazione, elaborazione e comunicazione, avvenga rispettando i diritti dell’interessato, secondo regole di riservatezza.

Nel 1996 il nostro Paese ha promulgato la legge n. 675 che ha stabilito gli ambiti di applicazione, gli obblighi per il titolare del trattamento e i diritti della persona interessata. È poi seguito il D.lgs. n.196 del 30 giugno del 2003 per il rispetto dei diritti in materia di trattamento dei dati personali.

Compiti del Garante e società controllate

Qual è il ruolo del Garante nel settore privato?

Il Garante per la protezione dei dati controlla i settori pubblici e privati perché sia assicurata la correttezza del trattamento e il rispetto dei diritti circa l’utilizzo delle informazioni. Inoltre coopera in ambito UE.
Con la deliberazione n. 53 del 23/11/ 2006 il Garante ha adottato le linee guida per il trattamento dei dati dei lavoratori dipendenti da datori di lavoro privati. Il comma 3, inerente al titolare e al responsabile del trattamento, stabilisce la rilevanza delle figure che possono trattare i dati, soprattutto per quanto riguarda il titolare e il responsabile.

Come avviene il trasferimento dei dati per le società controllate?

Per le società facenti parte di Gruppi di imprese le controllate possono delegare la capogruppo per gli adempimenti riguardanti il trattamento dei dati personali dei dipendenti. Bisogna ricordare, comunque, che la diffusione dei dati dei lavoratori può avvenire solo se essenziale all’espletamento di obblighi riportati nel contratto.
Il Garante, con delibera n.23/2007, ha adottato anche linee guida riguardanti il trattamento dei dati dei lavoratori pubblici. Circa le comunicazioni, al comma 5, è stabilito che sono lecite solo se indispensabili all’interesse pubblico.

Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.