Indica un intervallo di date:
  • Dal Al

La privacy dopo il Jobs Act, il Regolamento Ue il Data protection officer online su Job24, il testo nel post

SchermataVALERIAPRIVACY 2016-11-11 alle 16.21.51
Il testo dell’intervista video con l’avv. Valeria De Lucia dello Studio Trifirò & Partners   @TrifiroPartners online sul canale lavoro Job24

Tutela dei dati – La privacy dopo il Jobs Act e l’adeguamento al nuovo regolamento europeo – avv. Valeria De Lucia – Studio Trifirò & Partners

La tutela della privacy è un tema oggetto di crescente attenzione da parte di qualunque cittadino, che cresce di pari passo con l’evolversi di taluni strumenti tecnologici e dell’uso che ne facciamo quotidianamente. Quali sono i riflessi sulla disciplina dei rapporti di lavoro? In un mondo digitale e globalizzato, è diventato usuale per tutti noi “condividere” mediante strumenti telematici dati che vanno dalle nostre fotografie, ai nostri estremi bancari, alle nostre idee politiche espresse su forum o social network.

E’ evidente anche che in qualunque attività della nostra vita, compreso lo svolgimento di attività lavorativa o imprenditoriale, utilizziamo strumenti tecnologici sempre più avanzati ed interconnessi, che permettono di raccogliere, conservare ed elaborare dati e di trasmetterli agevolmente a terzi. Dati che, spesso, possono qualificarsi quali “dati personali” o “sensibili”. Pensiamo ai dati di geolocalizzazione raccolti dai nostri tablet o smartphone, o ad un certificato medico salvato su un server aziendale, o ancora alla possibilità di raccogliere l’impronta digitale o altri dati biometrici anche ai fini del controllo degli accessi ad aree limitate.

La attenzione crescente al tema della privacy, anche da parte del legislatore italiano ed europeo ed anche nelle sue implicazioni correlate al rapporto di lavoro, nasce quindi dalla presa d’atto che non si possa impedire ai cittadini, ai lavoratori ed agli imprenditori di sfruttare le potenzialità della moderna tecnologia, e che in pari tempo debba tutelarsi un diritto fondamentale (e riconosciuto come tale anche dalla Carta dei diritti dell’Unione Europea), quale quello alla protezione dei propri dati personali.

Da qui nasce, ad esempio, la riscrittura dell’art. 4 Stat. Lav. da parte del Jobs Act, in materia di “controlli a distanza”

La riforma ha espressamente escluso la necessità di accordo sindacale o autorizzazione ministeriale per gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa nonché per gli strumenti di rilevazione delle presenze e degli accessi e legittima il datore di lavoro ad utilizzare i dati raccolti tramite tali strumenti  per “tutti i fini connessi al rapporto di lavoro” a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal Codice della Privacy.

Quindi, presupposto per l’utilizzo dei dati derivanti da tali strumenti (quali PC, tablet, smartphone) e, correlativamente, argine per evitare l’abuso, è costituito dal rispetto della normativa italiana in materia di privacy.

A seguito dell’entrata in vigore del Jobs Act e della nuova disciplina sui controlli a distanza, il Garante ha avuto modo di esprimersi più volte negli ultimi mesi su quali siano i limiti per l’utilizzo di taluni strumenti lavorativi, talvolta anche “insoliti”. Pensiamo ad esempio all’autorizzazione all’utilizzo di una “app” per rilevare la timbratura, di cui si è parlato sui media… Il Garante della Privacy si è espresso l’8 settembre scorso a fronte di una richiesta di verifica preliminare, formulata da una agenzia di somministrazione, riguardante la possibilità di avvalersi di una specifica applicazione ˗ contenente una funzionalità di localizzazione geografica ˗ da installare sui dispositivi smartphone dei dipendenti, preordinata all’effettuazione della “timbratura del cartellino e la rilevazione delle presenze”, inserendo le proprie credenziali di accesso e cliccando sui bottoni “ingresso” e “uscita”.

Il Garante ha premesso che “Il trattamento dei dati personali dei dipendenti sottoposto a verifica preliminare consente di rilevare la localizzazione geografica di dispositivi smartphone di proprietà dei lavoratori (e, indirettamente, la posizione geografica dei lavoratori medesimi) attraverso l’attivazione di una applicazione finalizzata alla rilevazione della presenza in servizio.

Considerato che i dati personali relativi alla geolocalizzazione ˗ riferiti alla “posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico”, in base all’art. 4, comma 2, lett. i), del Codice ˗ devono essere trattati adottando particolari cautele e che i dispositivi smartphone sono, in considerazione delle normali potenzialità d’uso e dell’utilizzo comune degli stessi, destinati a “seguire” la persona che li detiene indipendentemente dalla distinzione tra tempo di lavoro e tempo di non lavoro, tale trattamento presenta rischi specifici per la libertà, i diritti e la dignità del dipendente ai sensi dell’articolo 17 del Codice”.

E tuttavia il Garante ha anche preso atto di come per il datore di lavoro fosse necessario rilevare che la timbratura in entrata ed in uscita fosse effettivamente effettuata presso la sede di lavoro e non altrove, per evitare abusi.

Sicché ha ritenuto di autorizzare l’utilizzo dell’App, con alcune precauzioni, vale a dire prescrivendo che la agenzia di somministrazione si limitasse a conservare il solo dato relativo alla geolocalizzazione registrato nella sede di lavoro ed al momento della timbratura, con relativa data e ora, e dovesse, in applicazione dei principi di trasparenza e correttezza, configurare il sistema in modo tale da rendere sempre visibile sullo schermo del dispositivo un’icona idonea ad indicare che la funzionalità di localizzazione è attiva, così come ad impedire il trattamento anche accidentale di dati “ultronei” rispetto alle finalità del trattamento autorizzato.

Sempre recentemente, il Garante, con provvedimento del 13 luglio 2016, ha tracciato una linea di demarcazione tra software “leciti” e software che travalicano la nozione di “strumento di lavoro”.

Il trattamento sottoposto a valutazione preventiva risultava essere effettuato tramite sistemi software, non percepibili dall’utente (c.d. in background), ed idonei a porre in essere  operazioni di “monitoraggio”, “filtraggio”, “controllo” e “tracciatura” costanti ed indiscriminati di tutti gli accessi a internet o al servizio di posta elettronica da parte degli utenti.

Il Garante ha ritenuto che “Tali software non possono essere considerati “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (ai sensi e per gli effetti dell’art. 4, comma 2, l. n. 300/1970…)” e che tale trattamento si ponesse in violazione dei principi di necessità, pertinenza e non eccedenza previsti dal Codice Privacy che non consentono controlli massivi, prolungati, costanti e indiscriminati, quali, come nel caso di specie, la registrazione sistematica dei dati relativi al MAC Address e i dati relativi alla connessione ai servizi di rete.

Sono invece strumenti di lavoro i software o applicativi strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza. Da questo punto di vista e a titolo esemplificativo, possono essere considerati “strumenti di lavoro” il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale) e gli altri servizi della rete aziendale, fra cui anche il collegamento a siti internet. Il Garante precisa che “Costituiscono parte integrante di questi strumenti anche i sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta “envelope” del messaggio, per una breve durata non superiore comunque ai sette giorni; sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso)”.

 Abbiamo visto come le regole stiano cambiando in Italia. Ciò sta accadendo anche a livello Europeo, con la adozione del nuovo Regolamento in materia di privacy…Il 25 maggio scorso è entrato in vigore il nuovo Regolamento Europeo 2016/679. Quale atto giuridico “self executing” lo stesso è direttamente vincolante per gli Stati membri e per i soggetti giuridici che vi operino. Imprese e enti pubblici hanno tempo fino al  maggio 2018 per adeguarsi alle nuove prescrizioni. L’adeguamento tempestivo è fondamentale, se solo si tiene presente il forte inasprimento delle sanzioni amministrative a carico delle imprese private e pubbliche; nel caso di violazioni dei principi e disposizioni del Regolamento, le sanzioni, in casi particolari, possono arrivare fino ad un massimo di 20 milioni di euro o al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

Tra le altre obbligazioni in capo alle imprese, vi sarà quella della tenuta di un sistema documentale volto a registrare le attività di trattamento effettuate, al fine di dimostrare la conformità alle disposizioni del Regolamento.

Il registro, anche in formato elettronico, dovrà contenere una descrizione delle misure di sicurezza tecniche e organizzative e, su richiesta, dovrà essere messo a disposizione dell’autorità di controllo.

Obbligatoria sarà anche la nomina di un Data Protection Officer: potrà trattarsi di un professionista competente in tema di protezione dati o anche di un dipendente della società titolare del trattamento, purché questi sia in possesso di specifici requisiti quali  competenza, esperienza, indipendenza e autonomia di risorse.

Al Data Protection Officer spetterà il compito di verificare l’attuazione e l’applicazione della normativa; informare e consigliare il Titolare o il Responsabile del trattamento ed i dipendenti in merito agli obblighi derivanti dal Regolamento; fornire pareri in merito alla protezione dei dati;  sorvegliare sugli adempimenti previsti dalla legge.

In determinati casi, le imprese pubbliche e private, prima di procedere al trattamento, dovranno effettuare una valutazione dell’impatto (privacy impact assessment): sarà il Garante a dover individuare le tipologie di trattamenti soggetti a tale adempimento preventivo.

C’è quindi molto lavoro da fare, da parte di imprese e P.A., per adeguarsi non solo alle regole – già in vigore – della nuova disciplina italiana sui controlli a distanza (ed alle linee guida tracciate dai provvedimenti dell’Autorità Garante) ma anche per farsi trovare preparati all’avvento del nuovo Regolamento Europeo.

Tutela dei dati – La privacy dopo il Jobs Act e l’adeguamento al nuovo regolamento europeo – avv. Valeria De Lucia – Studio Trifirò & Partners

Jobs Act – Il decreto correttivo: le novità su apprendistato, voucher, dimissioni telematiche : il video online su Job24, qui il testo