GDPR. Quattro lettere che attualmente dominano i pensieri di ogni impresa in Europa. Il Regolamento Generale sulla Protezione dei Dati è entrato in vigore venerdì 25 maggio 2018.I suoi principi fondamentali sono la liceità, l’equità, la trasparenza, la limitazione, la minimizzazione, l’accuratezza, l’integrità e la riservatezza. La maggior tutela per i soggetti interessati ha presentato grattacapi per i datori di lavoro.

Una di queste preoccupazioni deriva dalla Legge sull’immigrazione. L’assunzione di lavoratori immigrati comporta necessariamente l’elaborazione di un’enorme quantità di dati personali (e spesso dati personali sensibili) da parte dei datori di lavoro e di altre parti (come ad esempio gli avvocati). Parecchie situazioni che si verificano comunemente posso vedere i requisiti dell’immigrazione in conflitto con (o per lo meno presentare un ostacolo per) i requisiti di protezione dei dati. Ecco alcuni esempi:

Resident Labour Market Test (“RLMT”)

  • I datori di lavoro che desiderano assumere un lavoratore sulla base di un Tier 2 General Visa solitamente devono in primo luogo soddisfare il RLMT, al fine di verificare se un lavoratore in regola può svolgere il lavoro. Se un candidato in regola adeguatamente qualificato ne fa richiesta, il lavoro deve essere offerto a questo. L’orientamento degli Affari Interni stabilisce l’obbligo per i datori di lavoro di conservare alcuni documenti relativi al processo di assunzione.
  • Le domande selezionate per il colloquio finale (ad esempio e-mail, CV, moduli di domanda), che dovrebbero includere i dati del richiedente come nome, indirizzo e data di nascita.
  • I nomi ed il numero dei candidati selezionati per il colloquio finale; e
  • Gli appunti presi durante i colloqui che mostrano il motivo per cui i lavoratori in regola siano stati respinti.
  • I documenti devono essere conservati per un anno dalla fine della sponsorizzazione a favore dell’immigrato. Un Tier 2 Visa può potenzialmente essere esteso fino ad un massimo di sei anni. Ciò significa potenzialmente conservare questi documenti in archivio per sette anni. I candidati che non ottengono il posto di lavoro, tuttavia, non si aspettano che i loro dati personali vengano conservati per sette anni e potenzialmente condivisi con gli Affari Interni. Ma l’orientamento degli Affari Interni lo richiede. Tale requisito deriva dalle linee guida e non dalle Regole sull’Immigrazione: pertanto, non si tratta di un obbligo legale ma piuttosto un interesse legittimo.
  • I datori di lavoro dovrebbero avere l’abitudine di effettuare dei controlli per assicurarsi che i nuovi assunti abbiano il diritto di lavorare nel Regno Unito. In caso contrario, ciò potrebbe esporre il datore di lavoro a sanzioni civili e penali. È interessante notare che, come confermato da qualche recente giurisprudenza, questo non rappresenta in realtà un obbligo legale. È fatto in modo tale che il datore di lavoro abbia una scusa contro l’imposizione di un’ammenda nell’eventualità in cui il dipendente non avesse effettivamente il diritto di lavorare nel Regno Unito. Pertanto, il trattamento e la conservazione dei dati relativi alla condizione di immigrato possono essere giustificati come legittimi interessi commerciali.

Indagini sull’immigrazione

  • I datori di lavoro dovranno naturalmente inviare i dati personali dei dipendenti ai consulenti dell’immigrazione, cosi’ come gli avvocati specializzati nell’immigrazione che stanno preparando una domanda. Questi consulenti devono anche disporre di procedure conformi al GDPR, poiché i dipendenti invieranno i loro dati personali al consulente. I datori di lavoro dovrebbero anche essere pronti ad affrontare i problemi derivanti dall’invio di dati al di fuori del SEE, ad esempio quando un dipendente si trova all’estero, poiché i dati dei dipendenti devono essere protetti nel Paese destinatario.

Negli esempi sopra riportati, i datori di lavoro (e i consulenti) dovrebbero ridurre al minimo e limitare la quantità di dati elaborati, conservati e condivisi. Tali obiettivi possono essere ottenuti mediante la rimozione delle informazioni irrilevanti, l’anonimato ove possibile, l’utilizzo di password per proteggere i file ed evitare di archiviare i dati più a lungo di quanto sia strettamente necessario. I datori di lavoro dovrebbero inoltre occuparsi del trattamento dei dati in un apposito avviso sulla privacy. Tale avviso dovrebbe indicare il fatto che i dati personali potranno essere elaborati, conservati e condivisi per soddisfare i requisiti di immigrazione. Questo dovrebbe anche specificare per quanto tempo i dati possono essere conservati.