Le politiche di gestione dei dati dei lavoratori

Il quadro aggiornato alla luce delle nuove regole tra GDPR, AI Act, Decreto Trasparenza, Direttiva UE sul lavoro mediante piattaforme e provvedimenti del Garante privacy

Destinatari

Il workshop è rivolto agli uffici del personale delle aziende per la corretta impostazione delle politiche del trattamento dei dati personali di qualsiasi tipologia di lavoratore, dalla fase di recruitment a quella di cessazione del rapporto di lavoro.

L’evento formativo è rivolto ai Direttori del Personale, ai Responsabili delle Relazioni Sindacali, ai Responsabili della Gestione e dello Sviluppo del Personale, ai Responsabili della Privacy, DPO, Avvocati e consulenti in materia lavoristica.
 

Finalità

Il trattamento dei dati personali nel contesto dei rapporti di lavoro (di qualsiasi tipologia lavoristica) è tra le attività che presentano le maggiori criticità, sia per la natura dei dati (si pensi al trattamento dei dati sanitari nei certificati di malattia o al trattamento dei dati biometrici per il controllo accessi o – ancora – al trattamento dei dati giudiziari del lavoratore o del candidato a posizioni lavorative) sia per la posizione del lavoratore, che nel trattamento dei dati che lo riguardano da parte del datore di lavoro è considerato un soggetto vulnerabile e debole.
Nel corso del workshop saranno analizzate le principali criticità connesse al trattamento dei dati dei lavoratori e fornite soluzioni pratiche e operative per la corretta impostazione di politiche organizzative e tecniche adeguate al rischio, analizzando i principali adempimenti data protection relativamente all’intero ciclo di vita del rapporto di lavoro (recruitment, contrattualizzazione e inserimento, gestione del rapporto, cessazione, ecc.).

Obiettivo dell'incontro è fornire ai partecipanti un quadro dettagliato e completo degli adempimenti data protection nella gestione del rapporto di lavoro, fornendo indicazioni pratiche e immediatamente applicabili alle diverse realtà aziendali.
 

Contenuti

ll quadro normativo generale sul trattamento dei dati dei lavoratori tra GDPR e Codice Privacy: dall’art. 88 del GDPR alle norme nazionali.

Come impostare le politiche del trattamento dei dati dei lavoratori: analisi del rischio e individuazione della corretta base di legittimità del trattamento dei dati dei lavoratori.

Il legittimo interesse del datore di lavoro e la legittimità del trattamento: i nove scenari del Parere n. 2/2017 applicati dai Garanti Europei al trattamento dei dati dei lavoratori:

- attività di recruitment;
- attività di screening nel corso del o successivamente al rapporto lavorativo (in-employment screening);
- attività di controllo, monitoraggio dell’utilizzo di risorse e mezzi ICT sul luogo di lavoro e controllo dell’uso c.d. “promiscuo” di mezzi personali del lavoratore;
- attività di controllo e monitoraggio dell’utilizzo di risorse e mezzi ICT fuori della sede lavorativa;
- attività di verifica delle presenze e dell’orario lavorativo;
- operatività di sistemi di videosorveglianza;
- utilizzo di veicoli da parte dei lavoratori;
- attività di comunicazione dei dati dei lavoratori a terze parti;
- attività di trasferimento internazionale di dati HR o di altri dati dei lavoratori.

L’articolo 9 del GDPR: superare il divieto di trattamento dei dati personali sensibili, sanitari e biometrici dei lavoratori. La deroga per l’esercizio dei diritti e gli obblighi nei rapporti di lavoro.

Trattamento dei dati sanitari per la sicurezza e la salute sui luoghi di lavoro e ruolo privacy del Medico Competente.

Il controllo dei lavoratori: le nuove regole dell’articolo 4 dello Statuto dei Lavoratori e il rapporto con la disciplina sul trattamento dei dati personali.

Controllo di e-mail e Internet sui luoghi di lavoro.
La e-mail come strumento di lavoro affidato al lavoratore; il provvedimento del Garante Privacy del 13 Luglio 2016.
Il trattamento dei dati personali nell’ambito della operatività di sistemi di videosorveglianza: le Linee Guida dell’EDPB 3/2019 sugli apparati video.
Monitoraggio dei lavoratori a distanza e controlli difensivi: differenze e rapporti tra norme data protection e norme lavoristiche.

Il trattamento dei dati personali nell’utilizzo di veicoli aziendali e installazione di sistemi GPS. Le linee Guida dell’EDPB n. 1/2020 sui veicoli “connessi”.

L’esercizio dei diritti data protection da parte dei lavoratori: le procedure per la ricezione e gestione delle istanze ai sensi degli articoli 15-22 del GDPR. Il caso particolare del diritto alla portabilità dei dati personali del lavoratore.

Cessazione del rapporto di lavoro e cautele nel trattamento successivo dei dati dei lavoratori.

I profili data protection connessi alla disciplina del Decreto Trasparenza (D. Lgs. n. 104/2022).

La trasparenza come principio fondamentale nel settore data protection: dall’articolo 5 del Regolamento UE 2016/679 (GDPR) alle Linee Guida sulla Trasparenza del Comitato Europeo per la Protezione dei Dati Personali.
Trasparenza data protection e trasparenza lavoristica: differenze e ricadute pratiche sull’organizzazione del datore di lavoro.
Informativa ai lavoratori ai sensi dell’articolo 13 del GDPR e gli obblighi informativi ai sensi del Decreto Trasparenza attuativo della Direttiva UE 2019/1152: rapporti, tempistiche, differenze. Impostazione della documentazione informativa per il lavoratore.
Prestazioni organizzate mediante l’utilizzo di sistemi decisionali o di monitoraggio automatizzati: gli obblighi informativi riguardanti l’utilizzo di sistemi automatizzati di decisione e monitoraggio anche delle prestazioni.
Il rapporto con le disposizioni dello Statuto dei Lavoratori che regolano l’esercizio dei controlli a distanza.
Le informazioni sul livello di cybersicurezza dei sistemi utilizzati dal lavoratore.
Impostazione della profilazione del lavoratore tra vincoli data protection e lavoristici. Le Linee Guida sui trattamenti di dati personali mediante decisioni automatizzate del Comitato Europeo per la Protezione dei Dati Personali.
Il diritto del lavoratore di accedere ai dati raccolti tramite i sistemi automatizzati: rapporti tra il diritto di accesso del Decreto Trasparenza e diritto di accesso ai sensi dell’art. 15 del GDPR.
Impostazione delle procedure di riscontro al lavoratore.
Le sanzioni per l’inosservanza del Decreto Trasparenza relative all’omissione delle informazioni aggiuntive in caso di utilizzo dei sistemi decisionali o di monitoraggio. 
Rapporti e criticità con le sanzioni data protection.

Dal lavoro agile al lavoro digitale e algoritmico: una panoramica delle normative nazionali e UE e gli adempimenti aziendali e datoriali negli scenari tecnologici.

Il trattamento dei dati personali nell’ambito dei trasferimenti internazionali dei dati dei lavoratori, anche nell’ambito di servizi cloud e applicazioni online.

L’applicazione di sistemi e servizi basati sull’Intelligenza Artificiale al rapporto di lavoro: i sistemi AI “ad alto rischio” nel comparto lavoristico e il trattamento dei dati dei lavoratori alla luce delle norme del Regolamento Generale UE sull’Intelligenza Artificiale 2024/1689.

L’apparato sanzionatorio per la violazione delle regole sul trattamento dei dati personali del lavoratore: sanzioni amministrative, civili e penali. 

Docenti

Alessandro Del Ninno
titolare della Cattedre di Intelligenza Artificiale, Machine Learning e Diritto LABGP4 e di Informatica Giuridica LABGP2 presso la LUISS Guido Carli di Roma. Avvocato esperto di ICT, AI, Data Protection, Partner di FIVERS Studio Legale e Tributa-rio. Presidente del Comitato Scientifico dell’Associazione Nazionale per la Protezione dei Dati Personali. Membro del Comitato Scientifico dell’Istituto Italiano Privacy. Appointed member del Pool of Experts europei di supporto e consulenza al Comitato Europeo per la Protezione dei Dati Personali. Relatore nell’ambito dei più importanti convegni nazionali e internazionali ove viene frequentemente invitato in qualità di esperto su tematiche legate all’Information& Communication Technology, all’IP e alla Data Protection. Nelle stesse materie è autore di oltre 150 tra libri, trattati, monografie, saggi e articoli. Per Key Editore è Direttore delle due collane editoriali “GDPR: casi pratici risolti” e “Le Leggi del Decennio Digitale 2020-2030 della