Il regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea (4 maggio 2016) e si applica a decorrere da 25 maggio 2018.
Finalità del provvedimento
Il nuovo regolamento, che di fatto riscrive l’intera disciplina della privacy a livello europeo, è volto ad assicurare un’applicazione coerente e omogenea delle norme sul trattamento dei dati personali in tutta l’Unione. Per quanto riguarda il trattamento dei dati personali, gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l’applicazione delle norme del regolamento, che prevede anche un margine di manovra per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali («dati sensibili»). In tal senso, il regolamento non esclude che il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito.
Articolazione del Provvedimento
Il regolamento è composto di 99 articoli: ecco la sua articolazione
-CAPO I: detta le Disposizioni generali
-CAPO II: i principi ispiratori del trattamento dei dati
-CAPO III: si concentra sui Diritti dell’interessato
-CAPO IV: sulla figura del Titolare del trattamento e responsabile del trattamento
-CAPO V: sui Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali
-CAPO VI: sulle Autorità di controllo indipendenti
-CAPO VII: Cooperazione e coerenza
-CAPO VIII: Mezzi di ricorso, responsabilità e sanzioni
-CAPO IX: Disposizioni relative a specifiche situazioni di trattamento (in particolare vedasi l’art. 88 sui rapporti di lavoro)
-CAPO X: Atti delegati e atti di esecuzione
-CAPO XI: Disposizioni finali (all’art. 94 si dispone la Abrogazione della direttiva 95/46/CE; e all’art. 95 i rapporti con la Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche).
Trattamento dei dati nel mondo del lavoro
All’art.9 (Trattamento di categorie particolari di dati personali) il par. 1 si stabilisce il divieto di trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Tale divieto non si applica (par. 2 let. b) quando “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato“. Inoltre (lett. h par.2 dell’art. 9) “il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3”).
Per quanto concerne il mondo del Lavoro, l’articolo specifico di riferimento è quindi l’art. 88 dove si fonda il diritto degli Stati membri di prevedere, con legge o con i contratti collettivi -compresi gli «accordi aziendali»- norme specifiche per il trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per quanto riguarda le condizioni alle quali i dati personali nei rapporti di lavoro possono essere trattati sulla base del consenso del dipendente, per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.
Tali norme (punto 2 dell’art. 88) dovrebbero includere misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro (punto 2 dell’art. 88).
Al punto 3 dell’art. 88 si ricorda che ogni Stato membro notificherà alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro il 25 maggio 2018 e dovrà poi comunicare senza ritardo ogni successiva modifica.
Sempre in materia di rapporti di lavoro, si specifica (considerando n. 52) che la deroga al divieto di trattare categorie particolari di dati personali dovrebbe essere consentita anche quando è prevista dal diritto dell’Unione o degli Stati membri, fatte salve adeguate garanzie, per proteggere i dati personali e altri diritti fondamentali, laddove ciò avvenga nell’interesse pubblico, in particolare il trattamento dei dati personali nel settore del diritto del lavoro e della protezione sociale, comprese le pensioni, e per finalità di sicurezza sanitaria, controllo e allerta, la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi alla salute. Tale deroga, si chiarisce, può avere luogo per finalità inerenti alla salute, compresa la sanità pubblica e la gestione dei servizi di assistenza sanitaria, soprattutto al fine di assicurare la qualità e l’economicità delle procedure per soddisfare le richieste di prestazioni e servizi nell’ambito del regime di assicurazione sanitaria, o a fini di archiviazione nel pubblico interesse o di ricerca scientifica o storica o a fini statistici.
La deroga dovrebbe anche consentire di trattare tali dati personali se necessario per accertare, esercitare o difendere un diritto, che sia in sede giudiziale, amministrativa o stragiudiziale.
In un altro passaggio (considerando 54) si sottolinea come il trattamento dei dati relativi alla salute, effettuato per motivi di interesse pubblico non dovrebbe comportare il trattamento dei dati personali per altre finalità da parte di terzi, quali anche i datori di lavoro (oltre alle compagnie di assicurazione e istituti di credito).
Riferimenti normativi:
REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016
relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
FORMAZIONE e INFORMAZIONE
Informa organizza martedì 17 maggio il
SEMINARIO on-line gratuito – ore 15:00
IL NUOVO REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI PERSONALI
con l’Ing. Adalberto Biasiotti su “Le nuove figure professionali introdotte dal Regolamento europeo sulla protezione dei dati personali”
Clicca qui per iscriverti
Inoltre, scopri al seguente link tutta l’offerta formativa dell’Istituto INFORMA in materia di Privacy già aggiornata con le nuove disposizioni del Regolamento UE sulla Privacy!
Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore