La gestione dei dati particolari alla luce del GDPR
GDPR per HR
Vale subito la pena ricordare come il GDPR all’art. 9 vieti espressamente il trattamento delle categorie particolari di dati, salvo poi ammetterlo nei casi indicati nel comma successivo del medesimo articolo.
In linea generale, dunque, possiamo dire che il trattamento dei dati particolari è vietato ma in maniera non assoluta.
Ne rimane vietato il trattamento a meno che sussista almeno una delle seguenti condizioni:
- l’interessato presta specifico consenso al trattamento;
- il trattamento è necessario per tutelare un interesse vitale dell’interessato;
- il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare o dell’interessato in materia di diritto del lavoro e della sicurezza sociale o protezione sociale;
- il trattamento è effettuato nell’ambito delle proprie attività e con opportune garanzie da un organismo senza scopo di lucro che persegue finalità politiche, filosofiche, ecc.;
- il trattamento riguarda dati resi pubblici dall’interessato;
- il trattamento è necessario per: motivi giudiziari, motivi di interesse pubblico, finalità di medicina preventiva o medicina del lavoro, per motivi di interesse pubblico, fini di archiviazione o ricerca scientifica per pubblico interesse.
Si evince, pertanto, quanto non sia tanto il trattamento in sé ad essere vietato, quanto piuttosto le finalità per le quali il trattamento viene eseguito.
In ambito di ricerca e selezione del personale, va da sé che il trattamento di dati particolari è permesso se lo stesso è necessario alla conclusione del rapporto di lavoro, rimanendo invece escluso qualora tale condizione non sussista. Ergo, se il trattamento del dato particolare in questione è propedeutico e giustificato dall’instaurazione del rapporto di lavoro, allora può essere eseguito.
In linea generale, gli addetti alla selezione e alla gestione del personale dovrebbero desistere dalla raccolta e dal trattamento di dati particolari non propedeutici alla instaurazione e/o prosecuzione del rapporto di lavoro.
Ricordiamo, inoltre, come per trattamento si intenda anche il mero trattamento verbale di un’informazione che può riguardare dati personali o anche particolari.
Poniamo l’esempio della centralinista di un’azienda che alla richiesta di parlare con un collega risponde che lo stesso è in malattia. In questo caso ci troveremmo di fronte a un trattamento non consentito di un dato particolare che riguarda il collega assente, in quanto si tratta di un dato riguardante la propria salute reso noto da una persona non autorizzata a farlo.
Diverso sarebbe se la centralinista in questione si ritrovasse a dover chiamare soccorso specificando che il suo collega non sta bene e ha perso i sensi. In questo specifico caso, la divulgazione del dato particolare trova giustificazione in una delle eccezioni identificate all’art. 9 c. 2 del GDPR (tutela dell’interesse vitale dell’interessato).
Allo stesso modo, sono ammissibili, a titolo di mero esempio, i seguenti trattamenti: l’iscrizione al sindacato per il conteggio dei congedi, la presenza o meno di una disabilità per il conteggio dei compensi o di un parente disabile per l’ottenimento di congedi, ecc.
Data la vastità di dati e la complessità della gestione del trattamento degli stessi, è buona norma dotarsi di strumenti, anche informatici, che siano in grado di gestire e organizzare in maniera opportuna e che coadiuvino gli operatori a svolgere un trattamento che sia il più possibile compliant alla normativa in vigore.
La gestione dei dati particolari alla luce del GDPR
GDPR per HR
Vale subito la pena ricordare come il GDPR all’art. 9 vieti espressamente il trattamento delle categorie particolari di dati, salvo poi ammetterlo nei casi indicati nel comma successivo del medesimo articolo.
In linea generale, dunque, possiamo dire che il trattamento dei dati particolari è vietato ma in maniera non assoluta.
Ne rimane vietato il trattamento a meno che sussista almeno una delle seguenti condizioni:
- l’interessato presta specifico consenso al trattamento;
- il trattamento è necessario per tutelare un interesse vitale dell’interessato;
- il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare o dell’interessato in materia di diritto del lavoro e della sicurezza sociale o protezione sociale;
- il trattamento è effettuato nell’ambito delle proprie attività e con opportune garanzie da un organismo senza scopo di lucro che persegue finalità politiche, filosofiche, ecc.;
- il trattamento riguarda dati resi pubblici dall’interessato;
- il trattamento è necessario per: motivi giudiziari, motivi di interesse pubblico, finalità di medicina preventiva o medicina del lavoro, per motivi di interesse pubblico, fini di archiviazione o ricerca scientifica per pubblico interesse.
Si evince, pertanto, quanto non sia tanto il trattamento in sé ad essere vietato, quanto piuttosto le finalità per le quali il trattamento viene eseguito.
In ambito di ricerca e selezione del personale, va da sé che il trattamento di dati particolari è permesso se lo stesso è necessario alla conclusione del rapporto di lavoro, rimanendo invece escluso qualora tale condizione non sussista. Ergo, se il trattamento del dato particolare in questione è propedeutico e giustificato dall’instaurazione del rapporto di lavoro, allora può essere eseguito.
In linea generale, gli addetti alla selezione e alla gestione del personale dovrebbero desistere dalla raccolta e dal trattamento di dati particolari non propedeutici alla instaurazione e/o prosecuzione del rapporto di lavoro.
Ricordiamo, inoltre, come per trattamento si intenda anche il mero trattamento verbale di un’informazione che può riguardare dati personali o anche particolari.
Poniamo l’esempio della centralinista di un’azienda che alla richiesta di parlare con un collega risponde che lo stesso è in malattia. In questo caso ci troveremmo di fronte a un trattamento non consentito di un dato particolare che riguarda il collega assente, in quanto si tratta di un dato riguardante la propria salute reso noto da una persona non autorizzata a farlo.
Diverso sarebbe se la centralinista in questione si ritrovasse a dover chiamare soccorso specificando che il suo collega non sta bene e ha perso i sensi. In questo specifico caso, la divulgazione del dato particolare trova giustificazione in una delle eccezioni identificate all’art. 9 c. 2 del GDPR (tutela dell’interesse vitale dell’interessato).
Allo stesso modo, sono ammissibili, a titolo di mero esempio, i seguenti trattamenti: l’iscrizione al sindacato per il conteggio dei congedi, la presenza o meno di una disabilità per il conteggio dei compensi o di un parente disabile per l’ottenimento di congedi, ecc.
Data la vastità di dati e la complessità della gestione del trattamento degli stessi, è buona norma dotarsi di strumenti, anche informatici, che siano in grado di gestire e organizzare in maniera opportuna e che coadiuvino gli operatori a svolgere un trattamento che sia il più possibile compliant alla normativa in vigore.
