Con la Legge n. 81 del 22 maggio 2017 recante “Misure per la tutela del lavoro autonomo non imprenditoriale e misure volte a favorire l’articolazione flessibile nei tempi e nei luoghi del lavoro subordinato”, è stato regolamentato per la prima volta nel nostro ordinamento il lavoro agile (comunemente definito “smart working”). Si tratta di una modalità flessibile di esecuzione della prestazione lavorativa, nell’ambito del rapporto di lavoro subordinato, caratterizzata dall’assenza di vincoli di orario o luogo di lavoro e da forme di organizzazione per fasi, cicli e obiettivi.
Nell’implementare Il lavoro agile nella propria azienda il datore di lavoro deve tener conto della normativa dettata in materia di protezione dei dati personali.
Il Regolamento (UE) 2016/679 in materia di protezione dei dati personali (“GDPR”) ha introdotto il c.d. principio di accountability ossia l’adozione, da parte del Titolare del trattamento (nel nostro caso il datore di lavoro), di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del GDPR stesso. In sostanza, il datore di lavoro è tenuto ad individuare e gestire i rischi relativi ai trattamenti svolti, nel rispetto del principio della protezione dei dati fin dalla progettazione di ciascun trattamento (“by design”) e della protezione dei dati medesimi di default (“by default”).
Ciò significa che, nel lavoro agile, il datore di lavoro deve effettuare un idoneo risk assessment e, ove necessario, una valutazione di impatto in modo tale da analizzare tutti i rischi esistenti e potenziali nonché individuare le misure di sicurezza, tecniche e organizzative, adeguate a garantire la sicurezza e la protezione dei dati. In questa ottica il datore di lavoro deve adottare Regolamenti, Policies o Linee Guida recanti i comportamenti che i lavoratori agili devono tenere per garantire la riservatezza, l’integrità e la disponibilità dei dati trattati nello svolgimento delle proprie mansioni.
Il datore di lavoro deve, altresì, verificare che il controllo da remoto non sia un controllo invasivo in contrasto con l’art. 4 della Legge 300/1970. Ciò comporta un esame dettagliato dei sistemi che consentono un monitoraggio continuo dell’utilizzo degli strumenti di lavoro e della rete aziendale da parte dei dipendenti.
Proprio per questo il lavoratore agile deve essere dettagliatamente informato delle modalità tramite le quali il datore esercita il potere di controllo nonché di quali sono i comportamenti passibili di una eventuale sanzione disciplinare.
Non solo. Il datore di lavoro deve formare i lavoratori agili affinché questi abbiano piena consapevolezza e conoscenza degli strumenti messi a loro disposizione, dei rischi e delle misure da adottare durante il lavoro agile.
L’uscita del Regno Unito dall’Unione Europea (cd. “Brexit”) avrà impatti sulla mobilità internazionale a fini lavorativi e sul trasferimento dei dati personali verso il Regno Unito.
Il Regno Unito ha previsto la possibilità per i cittadini UE già presenti da almeno 5 anni sul territorio britannico alla data del 31 dicembre 2020 di richiedere la conferma del diritto di soggiorno (per lavoro, studio etc.) oltre tale data. La richiesta potrà essere inoltrata on-line entro il 30 giugno 2021 attraverso la compilazione dell’EU Settlement Scheme messo a disposizione sul sito del Governo britannico, ottenendo il settled status.
Se il periodo di permanenza è inferiore a 5 anni sarà possibile richiedere di restare nel Regno Unito per completarlo ottenendo, sempre attraverso il modulo di cui sopra, il pre-settled status. A differenza del settled status, il pre-settled status si perde con un’assenza dal paese pari o superiore a due anni.
Questa procedura garantirà gli stessi diritti di cui un cittadino facente parte dell’UE e residente nel Regno Unito godeva prima della Brexit. Sarà infatti possibile restarvi indefinitamente, lavorare, avvalersi del servizio sanitario, studiare e usufruire dell’accesso ai fondi pubblici, quali prestazioni sociali e pensioni.
Per i nuovi ingressi effettuati dal 1° gennaio 2021 sarà, invece, necessario richiedere il visto secondo il nuovo sistema di immigrazione a punti, il Points-based immigration system.
Anche l’Italia ha previsto una procedura di conferma dei diritti acquisiti dai cittadini britannici presenti sul territorio nazionale alla data del 31 dicembre 2020; questi, infatti, potranno richiedere il “documento di soggiorno in formato elettronico” presso la Questura competente per luogo di residenza. Mentre a coloro che effettueranno il proprio ingresso a partire dal 1° gennaio 2021 verranno applicate le stesse procedure previste per i cittadini extracomunitari.
Protezione dei dati personali
Per il trasferimento dei dati personali verso il Regno Unito, sarà necessario, come chiarisce l’Autorità Garante per la protezione dei dati personali (il “Garante”), fare riferimento all’”Accordo commerciale e di cooperazione” (“Accordo”) sottoscritto lo scorso 30 dicembre 2020 dall’Unione Europea e dal Regno Unito (“Trade And Cooperation Agreement Between The European Union And The European Atomic Energy Community, Of The One Part, And The United Kingdom Of Great Britain And Northern Ireland, Of The Other Part”).
Secondo l’Accordo, nel Regno Unito continuerà a trovare applicazione il Regolamento (UE) 2016/679 in materia di protezione dei dati personali (il “GDPR”) per un periodo massimo di 6 mesi, ovvero fino al 30 giugno 2021. Di conseguenza, stando a quanto precisato dal Garante, “in questo periodo qualsiasi comunicazione di dati personali verso il Regno Unito potrà avvenire secondo le medesime regole valevoli al 31 dicembre 2020 e non sarà considerata un trasferimento di dati verso un paese terzo”.
Sempre secondo l’Accordo, durante questo periodo di transizione, il Regno Unito e l’Unione Europea si sono impegnate ad adottare delle decisioni di adeguatezza reciproche. In mancanza di tali decisioni, troverebbero applicazione le disposizioni di cui al Capo V del GDPR che disciplinano il trasferimento di dati dall’UE verso Paesi Terzi. Tali disposizioni richiedono l’esistenza di garanzie adeguate, quali ad esempio norme vincolanti di impresa, clausole contrattuali tipo e codici di condotta (cfr art. 46 del GDPR). Ciò salvo deroghe specifiche, come il consenso dell’interesso o trasferimento necessario per l’esecuzione di un contratto o per importanti motivi di interesse pubblico (art. 49 del GDPR).
Inoltre, dal 1° gennaio 2021, i Titolari e i Responsabili del trattamento che hanno la propria sede nel Regno Unito e che sono comunque soggetti all’applicazione del GDPR, poiché trattano dati per l’offerta di beni e servizi o per il monitoraggio del comportamento di interessati all’interno dell’Unione (cfr. art. 3, par. 2, GDPR), dovranno designare un Rappresentante nello Spazio Economico Europeo ai sensi dell’articolo 27 del GDPR.
Altri insights correlati:
Martina De Angeli, componente del Dipartimento Compliance del nostro Studio, è intervenuta come docente alle sessioni formative tenutesi lo scorso 10 e 11 ottobre nell’ambito del Modulo “Compliance Management. I Processi Di Compliance Aziendale” all’interno dell’”Executive Master in Data Protection Management (GDPR) & Cyber Security for Digital Transformation” organizzato da Sida Group S.r.l.
L’intervento ha avuto ad oggetto i principi, le disposizioni nonché gli adempimenti necessari per una corretta costruzione del Modello Organizzativo così come disciplinato dal D.lgs. 231/2001. E’ stato, altresì, approfondito il tema del rapporto tra la disciplina sulla responsabilità amministrativa degli enti ed il Regolamento (UE) in materia di protezione dei dati personali 2016/679 (c.d. GDPR) e vi sono stati momenti di analisi e condivisione di specifici Case Studies.
Paper a cura della “Coronavirus HR Task Force dello Studio”
Continua incessantemente dall’inizio di febbraio il lavoro della nostra “Coronavirus HR Task Force” composta dal nostro team di avvocati (per le tematiche giuslavoristiche, di sicurezza del lavoro e di privacy) e i consulenti del lavoro.
L’emergenza COVID-19, decretata ufficialmente come pandemia dall’OMS, ha comportato l’adozione da parte:
Il presente Paper, dato il susseguirsi incalzante degli eventi e dei provvedimenti, è in continuo aggiornamento.
De Luca & Partners rimane a disposizione per fornire ogni informazione necessaria a fronteggiare l’emergenza, nonché per elaborare le migliori strategie volte a minimizzare l’impatto della stessa sulla produttività aziendale.
Compila il seguente form per ricevere la versione integrale del Paper.