GDPR. Quattro lettere che attualmente dominano i pensieri di ogni impresa in Europa. Il Regolamento Generale sulla Protezione dei Dati è entrato in vigore ieri, venerdì 25 maggio 2018.I suoi principi fondamentali sono la liceità, l’equità, la trasparenza, la limitazione, la minimizzazione, l’accuratezza, l’integrità e la riservatezza. La maggior tutela per i soggetti interessati ha presentato grattacapi per i datori di lavoro.

Una di queste preoccupazioni deriva dalla Legge sull’immigrazione. L’assunzione di lavoratori immigrati comporta necessariamente l’elaborazione di un’enorme quantità di dati personali (e spesso dati personali sensibili) da parte dei datori di lavoro e di altre parti (come ad esempio gli avvocati). Parecchie situazioni che si verificano comunemente posso vedere i requisiti dell’immigrazione in conflitto con (o per lo meno presentare un ostacolo per) i requisiti di protezione dei dati. Ecco alcuni esempi:

Resident Labour Market Test (“RLMT”)

  • I datori di lavoro che desiderano assumere un lavoratore sulla base di un Tier 2 General Visa solitamente devono in primo luogo soddisfare il RLMT, al fine di verificare se un lavoratore in regola può svolgere il lavoro. Se un candidato in regola adeguatamente qualificato ne fa richiesta, il lavoro deve essere offerto a loro. L’orientamento degli Affari Interni stabilisce l’obbligo per i datori di lavoro di conservare alcuni documenti relativi al processo di assunzione:
  • Le domande selezionate per il colloquio finale (ad esempio e-mail, CV, moduli di domanda), che dovrebbero includere i dati del richiedente come nome, indirizzo e data di nascita;
  • I nomi ed il numero dei candidati selezionali per il colloquio finale; e
  • Gli appunti presi durante i colloqui che mostrano il motivo per cui i lavoratori in regola siano stati respinti.
  • I campanelli d’allarme per la protezione dei vostri dati suoneranno quando leggerete che i documenti devono essere conservati per un anno dalla fine del finanziamento a favore dell’immigrato. Un Tier 2 Visa può potenzialmente essere esteso fino ad un massimo di sei anni. Ciò significa potenzialmente conservare questi documenti in archivio per sette anni. Non molti candidati senza successo si aspetterebbero che i loro dati personali vengano conservati per sette anni e potenzialmente condivisi con gli Affari Interni. Ma l’orientamento degli Affari Interni lo richiede. Poiché ciò deriva dall’orientamento, e non dalle Regole sull’Immigrazione, non è strettamente un obbligo legale, quindi questo trattamento dei dati dovrebbe essere classificato come un interesse aziendale legittimo piuttosto che come un requisito legale.

Diritto al controllo del lavoro

  • I datori di lavoro dovrebbero avere l’abitudine di effettuare dei controlli per assicurarsi che i nuovi assunti abbiano il diritto di lavorare nel Regno Unito. In caso contrario, ciò potrebbe esporre il datore di lavoro a sanzioni civili e penali. È interessante notare che, come confermato da qualche recente giurisprudenza, questo non rappresenta in realtà un obbligo legale. È fatto in modo tale che il datore di lavoro abbia una scusa contro l’imposizione di un’ammenda nell’eventualità in cui il dipendente non avesse effettivamente il diritto di lavorare nel Regno Unito. Pertanto, il trattamento e la conservazione dei dati relativi alla condizione di immigrato possono essere giustificati come legittimi interessi commerciali.

Indagini sull’immigrazione

  • I datori di lavoro dovranno naturalmente inviare i dati personali dei dipendenti ai consulenti dell’immigrazione, come un avvocato specializzato nell’immigrazione che sta preparando una domanda. Questi consulenti devono anche disporre di procedure conformi al GDPR, poiché i dipendenti invieranno i loro dati personali al consulente. I datori di lavoro dovrebbero anche essere pronti ad affrontare i problemi derivanti dall’invio di dati al di fuori del SEE, ad esempio quando un dipendente si trova all’estero, poiché i dati dei dipendenti devono essere protetti nel Paese destinatario.

Negli esempi sopra riportati, i datori di lavoro (e i consulenti) dovrebbero ridurre al minimo e limitare la quantità di dati elaborati, conservati e condivisi. Ciò potrebbe includere la redazione di informazioni irrilevanti, rendendo anonimo ove possibile, utilizzando password per proteggere i file ed evitando di archiviare i dati più a lungo di quanto sia strettamente necessario. Ricorda che i datori di lavoro dovrebbero anche affrontare il trattamento dei dati con un avviso sulla privacy. Tale avviso dovrebbe indicare il fatto che i dati personali potranno essere elaborati, conservati e condivisi per soddisfare i requisiti di immigrazione. Questo dovrebbe anche specificare per quanto tempo i dati possono essere conservati. Una politica di archiviazione e cancellazione può anche combaciare perfettamente con l’informativa sulla privacy.