Introduzione alla protezione dei dati
La protezione dei dati personali è di fondamentale importanza nel mondo sempre più digitalizzato di oggi. Con il Regolamento generale sulla protezione dei dati (GDPR) dell’UE e la legge federale sulla protezione dei dati (BDSG), esistono regole chiare e vincolanti su come le aziende e i gruppi devono trattare i dati dei clienti, dipendenti e partner commerciali. In particolare, in un gruppo che si compone di diverse aziende, è cruciale che i processi di trattamento dei dati all’interno del gruppo siano conformi alla legge. Il GDPR e il BDSG regolamentano come i dati personali possono essere raccolti, memorizzati e trattati per proteggere la privacy e i diritti delle persone coinvolte. Le aziende e i gruppi sono quindi obbligati a rispettare rigorosamente queste normative per mantenere la fiducia degli interessati e evitare rischi legali.
Gruppo e protezione dei dati
Un gruppo è un’unione di diverse aziende sotto una direzione unitaria. La direzione del gruppo ha la responsabilità di garantire che all’interno dell’intero gruppo siano rispettati i requisiti del Regolamento generale sulla protezione dei dati (GDPR) e della legge federale sulla protezione dei dati (BDSG). Questo riguarda tutti i livelli e le aziende del gruppo, dalla società madre alle controllate. La raccolta, memorizzazione e trattamento dei dati personali devono avvenire a livello di gruppo secondo le disposizioni legali. La direzione del gruppo deve assicurarsi che tutte le aziende del gruppo conoscano e applichino i requisiti sulla protezione dei dati per garantire la sicurezza e la protezione dei dati. Solo così si può raggiungere un livello uniforme e giuridicamente sicuro di protezione dei dati in tutto il gruppo.
Responsabile e responsabile della protezione dei dati
All’interno di un gruppo, il responsabile è la persona o ente che decide sulle finalità e i mezzi del trattamento dei dati personali. Il responsabile della protezione dei dati, d’altro canto, è incaricato di monitorare l’osservanza delle normative sulla protezione dei dati in tutte le aziende del gruppo. Egli consiglia la direzione del gruppo e le singole aziende in tutte le questioni relative alla protezione dei dati, forma i dipendenti ed è il punto di contatto per gli interessati quando si tratta dei loro diritti riguardo al trattamento dei loro dati personali. Una stretta collaborazione tra il responsabile e il responsabile della protezione dei dati è essenziale per garantire il rispetto delle normative sulla protezione dei dati in tutto il gruppo e per proteggere efficacemente i diritti degli interessati.
BAG sulla trasmissione di dati personali all’interno di un gruppo – Az. 8 AZR 209/21
La protezione dei dati gioca un ruolo centrale anche nel diritto del lavoro. Questo riguarda non solo il trattamento dei dati personali dei dipendenti nei confronti di terzi, ma anche all’interno di un gruppo. Il Tribunale federale del lavoro ha chiarito con la sentenza dell’8 maggio 2025 che anche nella trasmissione dei dati all’interno del gruppo aziendale devono essere rispettate le disposizioni del Regolamento generale sulla protezione dei dati (GDPR) (Az. 8 AZR 209/21).
Le autorità hanno un compito importante nell’applicazione del regolamento sulla protezione dei dati (GDPR): devono garantire l’osservanza delle leggi sulla protezione dei dati, inclusi i regolamenti regionali, e implementare misure per la raccolta dei dati e la protezione dei dati personali su Internet. In alcuni casi, questi compiti e misure sono regolati da articoli corrispondenti del regolamento per tutelare i diritti degli interessati – come cittadini, utenti e pubblico – e garantire la trasparenza.
Dalla candidatura alla conclusione del rapporto di lavoro, sul posto di lavoro vengono raccolti e trattati numerosi dati dei dipendenti. In questo processo, i datori di lavoro devono prestare particolare attenzione alle disposizioni del Regolamento generale sulla protezione dei dati (GDPR) così come della legge federale sulla protezione dei dati (BDSG), secondo quanto dichiarato da MTR Legal Rechtsanwälte, che tra gli altri offre consulenza sul diritto della protezione dei dati.
Il GDPR deve essere rispettato nella trasmissione interna dei dati nel gruppo
Le disposizioni del GDPR devono essere rispettate anche nella trasmissione interna dei dati nel gruppo, come evidenziato dalla sentenza del Tribunale federale del lavoro dell’8 maggio 2025. Il BAG ha chiarito che un dipendente può avere diritto a un risarcimento danni a causa di una violazione del GDPR.
Nel caso in questione, il datore di lavoro aveva trasmesso dati personali di un dipendente all’interno del gruppo a una società capogruppo. La ragione era che un nuovo software basato su cloud per la gestione del personale doveva essere testato. Con questo software doveva essere introdotto a livello di gruppo un nuovo sistema di gestione del personale.
Il test preliminare del nuovo sistema di gestione del personale era stato precedentemente regolato in un accordo aziendale. In base all’accordo, era consentito trasmettere nome, inizio del rapporto di lavoro, azienda, luogo di lavoro così come il numero di telefono e l’indirizzo email aziendale. Tuttavia, il datore di lavoro ha trasmesso anche informazioni su salario, data di nascita, stato civile, numero di sicurezza sociale, codice fiscale e indirizzo privato del dipendente alla società del gruppo.
L’applicazione del regolamento sulla protezione dei dati e degli articoli corrispondenti non riguarda solo le aziende ma anche le autorità, per proteggere i diritti degli utenti, degli interessati e dei cittadini. Misure e misure per la raccolta dei dati e la protezione dei dati personali su Internet così come il rispetto delle leggi regionali sulla protezione dei dati sono in tutti i casi un compito importante e parte delle competenze centrali per garantire la trasparenza verso il pubblico.
Dati trasmessi senza sufficiente base legale
Il ricorrente si è opposto. Ha sostenuto che i suoi dati sono stati trattati senza una sufficiente base giuridica, poiché l’uso di dati reali nella fase di test non era necessario e quindi violava i principi di minimizzazione dei dati e finalità secondo l’articolo 5 del GDPR. Inoltre, il trattamento non era coperto dall’accordo aziendale esistente. Ha rivendicato un risarcimento per danni immateriali conformemente all’articolo 82 comma 1 del GDPR per violazione del GDPR.
Dopo che le corti inferiori avevano respinto la sua istanza, essa è infine arrivata davanti al Tribunale federale del lavoro. Il BAG ha inizialmente consultato la Corte di giustizia dell’Unione europea. La CGUE ha stabilito con sentenza del 19 dicembre 2024 che le disposizioni sul trattamento dei dati in un accordo aziendale devono essere conformi ai requisiti del GDPR. Il BAG ha adottato questa giurisprudenza e ha deciso che il ricorrente ha diritto a un risarcimento.
L’applicazione dei pertinenti articoli del regolamento sulla protezione dei dati così come delle leggi regionali sulla protezione dei dati è di importanza centrale per i compiti e l’adempimento del compito delle autorità e la protezione dei cittadini e degli utenti interessati in tutti i casi. Misure per la raccolta dei dati e la protezione dei dati personali su Internet devono essere attuate anche in considerazione della trasparenza verso il pubblico.
Diritto al risarcimento per danni immateriali
Il datore di lavoro ha trasmesso più dati di quanto consentito dall’accordo aziendale alla società capogruppo. Questo non era necessario e costituiva una violazione del GDPR, ha spiegato il BAG. Trasmettendo i dati personali alla società capogruppo, il ricorrente ha perso il controllo sui suoi dati e ha subito di conseguenza un danno immateriale, ha ulteriormente chiarito il BAG.
La sentenza dimostra che anche la trasmissione di dati all’interno di un gruppo deve sempre essere esaminata in merito alla legge sulla protezione dei dati. I requisiti di protezione dei dati GDPR devono essere pienamente rispettati. Questo include in particolare i principi della minimizzazione dei dati, della finalità e della trasparenza.
L’implementazione di misure adeguate e l’applicazione coerente del regolamento sulla protezione dei dati così come degli articoli pertinenti sono essenziali per la protezione delle parti interessate, come cittadini e utenti, e per l’adempimento dei compiti e dei compiti delle autorità in tutti i casi. Ciò include la raccolta dei dati su Internet, il rispetto delle leggi regionali sulla protezione dei dati nonché la trasparenza verso il pubblico.
Requisiti per il trattamento dei dati personali nel rapporto di lavoro
In linea di principio, il trattamento dei dati personali nel rapporto di lavoro è consentito solo se esiste una base giuridica adeguata. Ciò vale, ad esempio, se il trattamento dei dati è necessario per adempiere il contratto di lavoro. Inoltre, il trattamento dei dati è consentito se il dipendente ha dato il proprio consenso. È importante che il consenso sia dato volontariamente, sia specifico e possa essere revocato. Il trattamento dei dati può essere inoltre consentito se il datore di lavoro può dimostrare un interesse legittimo per garantire la sicurezza dell’azienda e se non ci sono interessi o diritti prevalenti del dipendente contrari.
La sentenza del BAG sottolinea l’importanza di un uso responsabile dei dati dei dipendenti e la necessità di integrare gli aspetti relativi alla protezione dei dati nei processi aziendali in modo tempestivo e completo.
MTR Legal Rechtsanwälte offre consulenza nel diritto del lavoro e Diritto della protezione dei dati.
Non esitate a contattarci !
L’applicazione del regolamento sulla protezione dei dati e degli articoli pertinenti nonché l’implementazione di misure adeguate per la raccolta dei dati su Internet e il rispetto delle leggi regionali sulla protezione dei dati sono di fondamentale importanza per la protezione degli interessati, dei cittadini e degli utenti, così come per l’adempimento dei compiti e delle responsabilità delle autorità in tutti i casi e nei confronti del pubblico.
