GDPR per la Gestione delle Risorse Umane
Il trattamento dei dati dei dipendenti, dei candidati e dei collaboratori richiede basi giuridiche specifiche, informative dedicate e misure di sicurezza adeguate.
Il rapporto di lavoro è uno degli ambiti in cui il trattamento di dati personali è più pervasivo: dall'annuncio di selezione fino alla cessazione del rapporto, le aziende raccolgono e conservano informazioni sui candidati e sui dipendenti che spaziano dai dati anagrafici alle valutazioni delle prestazioni, dalle presenze ai dati retributivi, fino a informazioni di salute per le assenze. Ogni fase richiede una specifica base giuridica e misure adeguate.
Obblighi e adempimenti
Informativa al dipendentePrioritario
L'informativa privacy deve essere consegnata all'atto dell'assunzione, in forma scritta. Deve coprire tutte le finalità di trattamento nel contesto del rapporto di lavoro: gestione paghe, presenze, formazione, valutazione, videosorveglianza se presente, utilizzo dei dispositivi aziendali.
Base giuridica per i trattamenti HRPrioritario
Il trattamento dei dati dei dipendenti si fonda principalmente sull'esecuzione del contratto di lavoro e sugli obblighi di legge (retribuzione, contributi, obblighi fiscali). Il consenso del dipendente, data la posizione di subordinazione, è generalmente considerato non liberamente prestato e quindi non adeguato come base giuridica principale.
Gestione dei candidatiPrioritario
I CV ricevuti devono essere trattati informando i candidati della finalità (selezione), del periodo di conservazione (limitato, di norma non oltre 12 mesi) e della possibilità di opposizione. Non possono essere conservati indefinitamente in "banche dati" senza informare i candidati.
Videosorveglianza in aziendaPrioritario
L'installazione di sistemi di videosorveglianza in ambienti lavorativi richiede accordo sindacale o autorizzazione dell'Ispettorato del Lavoro (art. 4 St. Lav.), oltre agli adempimenti GDPR (informativa, segnaletica, conservazione limitata delle registrazioni).
Monitoraggio dei dispositivi aziendali
Il controllo dell'utilizzo di dispositivi aziendali (email, navigazione web) è soggetto agli stessi limiti della videosorveglianza. Deve essere previsto da policy aziendale portata a conoscenza dei dipendenti, e il monitoraggio deve essere proporzionato.
Rischi specifici del settore
Sanzioni per videosorveglianza non conforme
Il Garante ha sanzionato numerose aziende per sistemi di videosorveglianza installati senza accordo sindacale o senza adeguata informativa ai dipendenti. Le sanzioni possono cumularsi con quelle dell'Ispettorato del Lavoro.
Esposizione dei dati retributivi
La divulgazione involontaria di dati retributivi o di valutazione delle performance a personale non autorizzato costituisce data breach con potenziali obblighi di notifica.
Domande frequenti
Posso rifiutare un CV inviato spontaneamente senza registrarlo?
Se non aprite e non conservate il CV, non vi è trattamento. Ma se il CV viene aperto e conservato, anche solo temporaneamente, è necessario garantire le tutele GDPR al candidato.
I dati biometrici per il controllo presenze (es. impronta digitale) sono leciti?
Il loro trattamento richiede una delle deroghe dell'art. 9 GDPR e specifici adempimenti. Il Garante italiano ha più volte richiamato aziende che usavano impronte digitali per la rilevazione presenze senza adeguata base giuridica.