La trasparenza retributiva diventa uno snodo operativo per imprese, HR e privacy officer: il D.Lgs. 96/2026 introduce nuovi obblighi informativi e di reporting, ma lascia ai titolari del trattamento una parte rilevante delle garanzie da costruire.
Indice degli argomenti
L’iter del provvedimento
Il D.Lgs. 7 maggio 2026, n. 96 pubblicato in Gazzetta Ufficiale n. 125 del 1° giugno 2026 ed entrato in vigore il 7 giugno 2026 recepisce la Direttiva (UE) 2023/970, in attuazione della delega contenuta nella legge di delegazione europea 2022-2023 (L. 15/2024). Il provvedimento ha avuto un iter articolato: approvazione preliminare in Consiglio dei Ministri il 5 febbraio 2026, parere delle Commissioni parlamentari competenti, parere del Garante per la protezione dei dati personali (26 marzo 2026), approvazione definitiva il 30 aprile 2026 e pubblicazione il 1° giugno 2026.
Questo percorso non è un dettaglio cronachistico: il confronto tra lo schema sottoposto al Garante e il testo definitivo consente di individuare con precisione quali presidi di protezione dati siano stati effettivamente recepiti dal legislatore e quali restino, invece, a carico dell’autonoma valutazione del titolare del trattamento. È proprio su questo confronto che si concentra la parte centrale del presente contributo.
Il decreto si applica ai datori di lavoro pubblici e privati, con riferimento ai rapporti di lavoro subordinato a tempo determinato e indeterminato, anche part-time, comprese le posizioni dirigenziali; restano esclusi i rapporti di lavoro domestico e quelli intermittenti. Gli obblighi relativi alla selezione e ai diritti informativi individuali si applicano indipendentemente dalla dimensione aziendale; il reporting periodico sul divario retributivo riguarda invece i datori con almeno 100 dipendenti, con un regime di prima applicazione scaglionato in base al numero di occupati.
In estrema sintesi, il decreto struttura gli obblighi su quattro livelli:
(i) trasparenza pre-assunzione, con divieto di indagare sulla retribuzione pregressa del candidato e obbligo di indicare la fascia salariale nell’annuncio (art. 5);
(ii) accessibilità interna dei criteri di determinazione della retribuzione e di progressione economica, con esonero per i datori sotto i 50 dipendenti riguardo a quest’ultimo profilo (artt. 6 e 8);
(iii) diritto di informazione individuale del lavoratore sui livelli retributivi medi per genere nelle categorie comparabili, con riscontro scritto entro due mesi (art. 7);
(iv) reporting periodico del divario retributivo per i datori con almeno 100 dipendenti e, in caso di divario ingiustificato pari o superiore al 5%, valutazione congiunta obbligatoria con i rappresentanti dei lavoratori (artt. 9 e 10).
È proprio l’attuazione di questi quattro pilastri a generare i trattamenti di dati personali su cui si concentra l’art. 11 del decreto, dedicato specificamente alla protezione dei dati.
Trasparenza retributiva e GDPR nel D.Lgs. 96/2026
Il punto di partenza, ormai consolidato nella prassi dell’Autorità di controllo italiana, è che la retribuzione e le voci economiche a essa collegate costituiscono dato personale ogni volta che siano riferibili, anche solo potenzialmente, a un lavoratore identificato o identificabile. Ne discende che le informazioni prodotte in attuazione degli artt. 7, 9 e 10 del decreto livelli retributivi medi per genere, indicatori di divario, dati di reporting, documentazione della valutazione congiunta rientrano integralmente nel perimetro applicativo del Regolamento (UE) 2016/679, e non in un regime “speciale” sottratto alle regole generali.
Questo non è un dato scontato sul piano operativo: significa che ogni adempimento di trasparenza retributiva deve essere progettato come un trattamento di dati personali a tutti gli effetti, con tanto di base giuridica, finalità definita, valutazione dei rischi e misure di sicurezza proporzionate, e non come una semplice incombenza di natura giuslavoristica da gestire con la sola lente del diritto del lavoro.
Garante privacy e trasparenza retributiva: i rilievi sul decreto
Il Garante per la protezione dei dati personali si è espresso sullo schema di decreto con il parere del 26 marzo 2026 (Registro dei provvedimenti n. 195, doc. web n. 10242702), rilasciato ai sensi dell’art. 36, par. 4, GDPR su richiesta della Presidenza del Consiglio dei Ministri. Il parere è stato favorevole, ma condizionato a cinque correttivi specifici, segno che l’Autorità ha ritenuto l’impianto originario non ancora sufficientemente determinato sul piano della tutela dei dati.
Quattro aree problematiche per i dati retributivi
I rilievi dell’Autorità possono essere ricondotti a quattro aree problematiche:
- Indeterminatezza della disciplina attuativa. Gli articoli che governano raccolta, pubblicazione ed elaborazione dei dati retributivi (artt. 9, 10 e 11) rinviano in larga parte a successivi decreti ministeriali; il Garante ha richiesto che tale disciplina di secondo livello sia sufficientemente tassativa e sottoposta al proprio parere prima dell’adozione.
- Rischio di re-identificazione nei gruppi di confronto ristretti. Il diritto del lavoratore a conoscere i livelli retributivi medi per genere all’interno di una “categoria di lavoratori” (art. 7) può, in organizzazioni con popolazioni di confronto numericamente ridotte, tradursi nella possibilità di risalire, anche indirettamente, alla retribuzione di un singolo collega.
- Esposizione indiretta di categorie particolari di dati. Le informazioni sulle componenti retributive legate a congedi di maternità, paternità o di assistenza (rilevanti ai fini della valutazione congiunta ex art. 10) possono rivelare, se trattate insieme ai dati retributivi, elementi della sfera personale e familiare del lavoratore meritevoli di garanzie rafforzate.
- Assenza di limiti temporali di conservazione e di una valutazione d’impatto per i flussi su larga scala. Il meccanismo di reporting previsto dall’art. 9 contempla l’acquisizione di dati già in possesso di INPS, INAIL, INL e di altri soggetti istituzionali, senza un termine massimo di conservazione né l’obbligo di una DPIA per un’interconnessione di tale portata.
Su queste basi il Garante ha condizionato il parere favorevole a cinque prescrizioni puntuali, riportate – nella loro funzione e non nella loro formulazione letterale nella tabella n. 2.
D.Lgs. 96/2026 e GDPR: cosa resta a carico del titolare
Il confronto tra lo schema e il testo pubblicato in Gazzetta Ufficiale mostra un recepimento solo parziale delle prescrizioni dell’Autorità. Due correttivi hanno trovato spazio nella versione finale: l’obbligo per il Ministero di acquisire preventivamente il parere del Garante sui regolamenti attuativi previsti dall’art. 9, e la fissazione – oggi collocata nell’art. 14, comma 5 – dei requisiti di garanzia che devono accompagnare l’attività dell’Organismo di monitoraggio.
Tre richieste, invece, non hanno avuto un riscontro normativo puntuale: non è stato introdotto un obbligo specifico di valutazione d’impatto per i trattamenti generati dal collegamento tra le banche dati pubbliche coinvolte nel reporting; non sono stati fissati limiti temporali alla conservazione dei dati, né in capo alle imprese né in capo alle amministrazioni che li raccolgono; e non è stato codificato il criterio per cui, nei rapporti con le rappresentanze sindacali, dovrebbe prevalere l’uso di indicatori aggregati, riservando l’accesso al dato individuale alle sole ipotesi realmente indispensabili.
Questo scollamento ha una conseguenza operativa diretta: per i profili non disciplinati a livello di norma primaria, l’onere di costruire le garanzie corrispondenti si sposta integralmente sul titolare del trattamento, in applicazione dei principi generali di accountability, e non potrà attendere i decreti ministeriali attuativi, la cui adozione richiederà comunque tempo.
Re-identificazione e trasparenza retributiva nei gruppi ristretti
Il nodo più delicato, sul piano tecnico, riguarda la nozione di anonimizzazione effettiva. Non è sufficiente eliminare il nominativo del lavoratore o presentare un dato in forma di media aggregata per escludere il rischio di identificazione: secondo l’impostazione consolidata a livello europeo in materia di tecniche di anonimizzazione (cfr. il Parere 05/2014 del Gruppo di lavoro Articolo 29, oggi confluito nelle linee guida dell’European Data Protection Board), un dato può considerarsi davvero anonimo solo quando l’interessato non sia più riconoscibile in alcun modo, valutando ogni strumento che si possa ragionevolmente impiegare per arrivare a identificarlo, compreso l’eventuale incrocio con altre informazioni già presenti in azienda.
Applicato al contesto della trasparenza retributiva, questo significa che un livello medio retributivo riferito a una categoria professionale composta da pochi lavoratori – tipicamente figure dirigenziali, ruoli specialistici o categorie fortemente sbilanciate per genere – può consentire, per differenza o per esclusione, di ricostruire la posizione economica di uno specifico dipendente, anche senza che il suo nome compaia in alcun documento. Il decreto non fissa una soglia numerica di sicurezza valida in modo uniforme: spetta quindi al titolare valutare, volta per volta, quanto sia ampia la platea di lavoratori comparabili, come sia distribuita tra i generi, quanto sia peculiare il ruolo considerato e se in azienda circolino altre informazioni che, combinate con il dato retributivo, potrebbero comunque condurre a un singolo individuo.
Criteri di aggregazione e canali di riscontro
Le contromisure più efficaci, in attesa dei criteri di aggregazione che saranno definiti dal decreto ministeriale previsto dall’art. 9, consistono nell’unire più categorie professionali quando una singola categoria è troppo esigua, nel comunicare un intervallo retributivo anziché un importo puntuale, e nel far passare i riscontri più delicati per il tramite dei soli soggetti che l’art. 11 abilita a riceverli – le rappresentanze sindacali, l’Ispettorato del Lavoro, gli organismi di parità – evitando una divulgazione diretta e indistinta a tutto il personale.
Dati retributivi e categorie particolari nel perimetro GDPR
Un secondo profilo critico riguarda l’interazione tra i dati retributivi e altre informazioni del rapporto di lavoro. La retribuzione, considerata isolatamente, non rientra tra le categorie particolari di dati personali disciplinate dall’art. 9 GDPR. Tuttavia, nelle attività di reporting e di valutazione congiunta, il dato retributivo viene tipicamente incrociato con variabili come genere, inquadramento, anzianità, regime orario, componenti variabili, assenze e congedi.
È proprio da questo incrocio che possono emergere informazioni sensibili “per derivazione”: un divario retributivo significativo in una categoria composta in larga parte da lavoratrici che hanno fruito di congedi di maternità o di permessi per assistenza familiare, ad esempio, rischia di rendere conoscibili anche solo per inferenza elementi della vita privata e familiare del lavoratore che nulla hanno a che fare con la finalità di verifica della parità salariale. Per questi incroci di variabili occorrono garanzie superiori a quelle ordinarie: conservare i dataset combinati in archivi distinti e protetti, ricorrere alla cifratura quando il file unisce retribuzione e dati di congedo, abilitare all’accesso solo il personale che gestisce concretamente l’adempimento, registrare ogni consultazione e impedire esportazioni o condivisioni non controllate verso altre funzioni aziendali.
Basi giuridiche GDPR e limiti d’uso dei dati retributivi
I trattamenti necessari per adempiere agli obblighi del decreto trovano fondamento nell’adempimento di un obbligo legale (art. 6, par. 1, lett. c, GDPR): il consenso del lavoratore non è quindi necessario né, a rigore, appropriato come base giuridica, trattandosi di un adempimento imposto dalla legge e non di una scelta rimessa alla volontà dell’interessato. Questa base giuridica, tuttavia, è “a perimetro chiuso”: legittima esclusivamente i trattamenti necessari alle finalità individuate dal decreto, e non si estende automaticamente a ogni altro possibile utilizzo dei medesimi dati.
Ne discende un vincolo di scopo che il decreto stesso esplicita: le informazioni raccolte non possono essere utilizzate per finalità estranee alla parità retributiva, quali valutazioni disciplinari, controlli sulle performance individuali o iniziative manageriali diverse. Sul piano organizzativo, questo vincolo va tradotto in istruzioni operative vincolanti per il personale HR e per i fornitori esterni coinvolti, in una netta separazione dei dataset dedicati alla trasparenza retributiva rispetto a quelli utilizzati per altre finalità di gestione del personale, e in un sistema di autorizzazioni che impedisca un riutilizzo, anche solo accidentale, dei dati per scopi diversi.
Conservazione dei dati nella trasparenza retributiva
Il testo definitivo non fissa per quanto tempo i dati retributivi raccolti per gli adempimenti di trasparenza possano essere trattenuti, e questo vale tanto per il datore di lavoro quanto per le amministrazioni che li ricevono Ministero del Lavoro e Organismo di monitoraggio compresi: un profilo che il Garante aveva espressamente chiesto di colmare, richiamando il principio di limitazione della conservazione (art. 5, par. 1, lett. e, GDPR), e che il legislatore non ha recepito nella norma primaria.
In assenza di un termine legale, il titolare del trattamento è tenuto a definire autonomamente, in sede di accountability, una politica di conservazione coerente con le finalità perseguite: un arco temporale sufficiente a documentare l’adempimento, gestire eventuali contestazioni e consentire il confronto tra annualità successive, ma non tale da determinare un accumulo indefinito di informazioni retributive individuali. È opportuno formalizzare questa scelta in un’apposita sezione del registro dei trattamenti e nella politica di data retention aziendale, distinguendo tra i dati grezzi utilizzati per il calcolo degli indicatori, i report aggregati trasmessi all’esterno e la documentazione delle eventuali valutazioni congiunte.
Reporting, banche dati pubbliche e DPIA nel D.Lgs. 96/2026
Un ulteriore elemento di complessità riguarda la possibilità, contemplata dal decreto, di costruire il reporting anche attingendo a informazioni che INPS, INAIL, INL e altri enti pubblici possiedono già, così da ridurre il carico amministrativo sulle imprese. Il Garante aveva chiesto che tale meccanismo fosse accompagnato da un’individuazione puntuale dei dati coinvolti, degli enti interessati e delle misure di sicurezza da adottare, oltre a un esame preventivo dei rischi per i trattamenti di ampia portata che ne sarebbero derivati; quest’ultima richiesta non ha trovato spazio nella versione finale del provvedimento.
Ciò non significa che la valutazione d’impatto sia superflua: l’art. 35 GDPR la impone comunque ogni volta che un trattamento comporti un rischio elevato per i diritti degli interessati, e il collegamento tra più archivi pubblici relativi all’intera popolazione lavorativa di un’azienda, unito al livello di dettaglio delle informazioni coinvolte, rappresenta esattamente uno di questi casi. Le amministrazioni coinvolte nella progettazione del reporting dovrebbero quindi condurre tale verifica anche senza un obbligo esplicito, e i datori di lavoro dovrebbero a loro volta chiedersi se il collegamento dei propri sistemi ai canali previsti dal futuro decreto attuativo renda necessario aggiornare la propria valutazione d’impatto sui trattamenti HR.
Monitoraggio senza restrizioni e minimizzazione GDPR
L’aspetto più controverso dell’art. 11 riguarda la sua struttura interna: nella prima parte del comma 2 l’accesso ai dati potenzialmente identificativi è correttamente circoscritto alle rappresentanze sindacali, all’Ispettorato del Lavoro e agli organismi di parità competenti; la seconda parte dello stesso comma prevede invece che, per le finalità di monitoraggio ex art. 14, tali informazioni vengano fornite “senza restrizioni”.
Questa formulazione ha attirato l’attenzione del Garante, che ha segnalato una possibile frizione con i principi di minimizzazione e di limitazione della finalità (art. 5, par. 1, lett. b ed e, GDPR): un accesso privo di vincoli da parte del soggetto istituzionale, se non accompagnato da tecniche di anonimizzazione efficaci, rischia di vanificare proprio le cautele che lo stesso articolo impone poche righe prima. Il legislatore non ha modificato la disposizione in sede di approvazione definitiva: il punto di equilibrio, in attesa di chiarimenti, dovrà quindi essere ricercato a livello di decreto ministeriale attuativo o di prassi applicativa, privilegiando per i flussi destinati all’Organismo di monitoraggio la trasmissione di dati anonimizzati o aggregati ogni volta che la finalità statistica e di vigilanza non richieda necessariamente l’accesso al dato individuale.
Adempimenti di trasparenza retributiva e presidi GDPR
| Articolo | Adempimento per il datore di lavoro | Dati personali coinvolti | Riferimento GDPR principale | Presidio operativo consigliato |
|---|---|---|---|---|
| Art. 5 | Indicazione della fascia retributiva negli annunci; divieto di richiedere la retribuzione pregressa | Dati del candidato (retribuzione pregressa, se acquisita indebitamente) | Minimizzazione (art. 5.1.c); liceità (art. 6.1.c) | Revisione dei brief di selezione e delle procedure con agenzie/fornitori di recruiting |
| Artt. 6 e 8 | Accessibilità dei criteri di determinazione della retribuzione e di progressione economica | Criteri retributivi aziendali (generalmente non riferiti a singoli lavoratori) | Trasparenza (art. 5.1.a; artt. 12-14) | Aggiornamento dell’informativa e dei documenti di policy retributiva resi accessibili ai lavoratori |
| Art. 7 | Riscontro scritto, entro due mesi, su livello retributivo individuale e livelli medi per genere nelle categorie comparabili | Retribuzione individuale del richiedente; dati aggregati per genere e categoria | Minimizzazione e limitazione della finalità (art. 5.1.b-c); rischio di re-identificazione | Procedura interna di risposta con verifica preventiva della numerosità del gruppo di confronto |
| Art. 9 | Raccolta e comunicazione periodica del divario retributivo (datori ≥100 dipendenti); possibile acquisizione di dati da INPS/INAIL/INL | Dati retributivi aggregati per genere, quartile e categoria; flussi da banche dati istituzionali | Limitazione della conservazione (art. 5.1.e); sicurezza (art. 32); DPIA (art. 35) | Mappatura dei flussi istituzionali; DPIA sui flussi interconnessi; politica di conservazione |
| Art. 10 | Valutazione congiunta con i rappresentanti dei lavoratori in caso di divario ≥5% non giustificato | Dati retributivi di categoria; eventuali dati su congedi/assistenza usati per spiegare gli scostamenti | Categorie particolari di dati per derivazione (art. 9 GDPR); sicurezza rafforzata | Separazione dei dataset “sensibili per derivazione”; cifratura e accesso riservato |
| Art. 11 | Limitazione dell’accesso ai dati identificativi ai soli soggetti legittimati; uso dei dati solo per finalità di parità retributiva | Dati retributivi individuali potenzialmente identificabili | Liceità (art. 6.1.c); limitazione della finalità e minimizzazione (art. 5.1.b-c) | Accesso differenziato per ruolo; anonimizzazione/aggregazione dei flussi verso l’Organismo di monitoraggio |
| Art. 14 | Trasmissione dei dati all’Organismo di monitoraggio presso il Ministero del Lavoro | Dati aggregati e, potenzialmente, dati individuali nei flussi “senza restrizioni” | Minimizzazione; accountability (art. 5.2) | Richiesta di chiarimenti sulle modalità tecniche; preferenza per formati aggregati |
Prescrizioni del Garante privacy nel testo definitivo
| Prescrizione del Garante | Contenuto in sintesi | Esito nel testo definitivo | Azione consigliata al titolare |
|---|---|---|---|
| a) Parere del Garante sul decreto ministeriale ex art. 9 | I futuri decreti attuativi su raccolta, trattamento ed esposizione dei dati devono essere sottoposti al Garante | Recepita | Monitorare la pubblicazione dei decreti attuativi e dei relativi pareri per adeguare le procedure interne |
| b) DPIA per l’interconnessione con le banche dati istituzionali | Necessità di un esame preventivo dei rischi per i trattamenti ampi generati dal collegamento con gli archivi di INPS/INAIL/INL | Non recepita espressamente | Effettuare comunque una DPIA ex art. 35 GDPR sui propri flussi di reporting, in via prudenziale |
| c) Comunicazioni ai rappresentanti dei lavoratori in forma aggregata | Le comunicazioni ex artt. 9-10 dovrebbero riguardare di regola dati numerici/aggregati, salvo casi necessari | Non recepita espressamente | Adottare una prassi interna che privilegi dati aggregati, documentando le eccezioni |
| d) Termini massimi di conservazione | Indicazione dei tempi massimi di conservazione presso datore di lavoro, Ministero e Organismo di monitoraggio | Non recepita | Definire autonomamente una politica di conservazione e formalizzarla nel registro dei trattamenti |
| e) Garanzie del trattamento dell’Organismo di monitoraggio | Caratteristiche e garanzie del trattamento per la pubblicazione dei dati sul divario retributivo | Recepita (art. 14, c. 5) | Verificare, alla pubblicazione dei decreti attuativi, la coerenza delle proprie modalità di trasmissione |
Checklist GDPR per la trasparenza retributiva
- Mappare tutti i flussi di dati retributivi generati dal decreto (selezione, riscontri individuali, reporting, valutazione congiunta, eventuali flussi da INPS/INAIL/INL) e i relativi titolari/responsabili.
- Aggiornare il registro dei trattamenti con le nuove finalità, indicando per ciascuna la base giuridica (art. 6.1.c GDPR) e i dati trattati.
- Predisporre una procedura di verifica preventiva del rischio di re-identificazione da applicare prima di ogni riscontro individuale ex art. 7, con criteri interni per la gestione dei gruppi di confronto ristretti.
- Isolare e proteggere con misure rafforzate (cifratura, accesso riservato, separazione logica) i dataset che incrociano dati retributivi con informazioni su congedi, assistenza o altre variabili da cui possano derivare categorie particolari di dati.
- Effettuare, anche in assenza di un obbligo espresso, una DPIA sui flussi di reporting e sull’eventuale interconnessione con banche dati istituzionali.
- Definire e formalizzare una politica di conservazione dei dati retributivi raccolti per gli adempimenti di trasparenza, in assenza di termini legali.
- Aggiornare gli atti di nomina a responsabile del trattamento (art. 28 GDPR) per consulenti del lavoro, payroll provider e altri fornitori coinvolti.
- Adottare istruzioni vincolanti che limitino l’uso dei dati raccolti alla sola finalità di verifica della parità retributiva, vietandone il riutilizzo per altre finalità di gestione del personale.
- Predisporre o aggiornare l’informativa ai lavoratori, includendo le nuove categorie di dati trattati e i relativi diritti.
- Monitorare la pubblicazione dei decreti ministeriali attuativi (art. 9) e dei relativi pareri del Garante, per recepire tempestivamente i criteri di aggregazione e le eventuali ulteriori garanzie.
Tutele, decreti attuativi e responsabilità GDPR
Nelle controversie relative alla parità retributiva trova applicazione l’inversione dell’onere della prova a carico del datore di lavoro, oltre a una specifica tutela contro le ritorsioni nei confronti dei lavoratori e dei loro rappresentanti che esercitino i diritti introdotti dal decreto. Sul piano sanzionatorio, il rinvio opera verso l’art. 41 del Codice delle pari opportunità (D.Lgs. 198/2006), con possibili riflessi sull’accesso a benefici pubblici e appalti in caso di discriminazioni accertate.
Resta fermo che il trattamento dei dati retributivi necessario a questi procedimenti continua a soggiacere alle garanzie generali in materia di protezione dei dati personali, comprese quelle relative all’esercizio dei diritti degli interessati nel corso del contenzioso.
Alcuni adempimenti sono operativi da subito per tutti i datori di lavoro: fascia retributiva negli annunci, divieto di richiedere la retribuzione pregressa, nullità delle clausole di segretezza salariale. Altri profili in particolare le modalità tecniche di raccolta ed esposizione dei dati di reporting, i criteri di aggregazione idonei a prevenire la re-identificazione e le modalità semplificate per i datori fino a 49 dipendenti sono demandati a decreti ministeriali attuativi, che dovranno essere sottoposti al parere del Garante.
È su questi provvedimenti che si deciderà, in concreto, il livello di tutela effettiva offerto ai lavoratori e l’entità degli oneri di compliance a carico delle imprese: è quindi opportuno predisporre da subito l’impianto organizzativo descritto nella checklist, riservando un aggiornamento mirato non appena tali decreti saranno pubblicati.
Il D.Lgs. 96/2026 non introduce, sotto il profilo della protezione dei dati, un regime derogatorio rispetto al GDPR, ma richiede una sua applicazione puntuale a un nuovo insieme di trattamenti in cui il legislatore, sollecitato dal Garante, ha tracciato solo in parte il perimetro delle garanzie necessarie. Le aree lasciate scoperte dal testo definitivo DPIA per i flussi interconnessi, conservazione dei dati, modalità di comunicazione ai rappresentanti dei lavoratori non sono lacune prive di conseguenze: rappresentano altrettanti spazi in cui la responsabilità di costruire un trattamento conforme, secondo i principi di privacy by design e by default, ricade integralmente sul titolare.
Per i professionisti della protezione dei dati, l’intervento prioritario non consiste quindi nell’attesa dei decreti attuativi, ma in un lavoro immediato di mappatura dei flussi, valutazione del rischio di re-identificazione, segregazione dei dati più delicati e definizione di regole di conservazione, da condurre in stretto coordinamento con le funzioni HR, legali e con i fornitori esterni coinvolti nella gestione delle retribuzioni.
Partecipa alla community