Mese: settembre 2015

Job Act e Privacy

su da Matteo Colomboin DPO, Garante Privacy, Job ActLascia un commento

Oggi, 17 settembre 2015, è stato finalmente pubblicato sul sito del Governo Italiano: http://www.governo.it/backoffice/allegati/79287-10412.pdf il testo definitivo della riforma dell’art. 4 dello Statuto dei Lavoratori.

Titolo II
Disposizioni in materia di rapporto di lavoro e pari opportunità

Capo I Disposizioni in materia di rapporto di lavoro

ART. 23
Modifiche all’articolo 4 della legge 20 maggio 1970, n. 300 e all’articolo 171 del decreto legislativo 30 giugno 2003, n. 196)

L’articolo 4 della legge 20 maggio 1970, n. 300 è sostituito dal seguente:

ART. 4. Impianti audiovisivi e altri strumenti di controllo

1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali.

Commento: E’ quindi possibile utilizzare da parte delle aziende impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, previa concertazione con le parti sindacali nelle modalità descritte, limitatamente alle 3 ipotesi elencate e più precisamente:
a) Esigenze organizzative e produttive;
b) Sicurezza del lavoro;
c) Tutela del patrimonio aziendale.
Permane il divieto di utilizzo di impianti audiovisivi e di altri strumenti che abbiano quale finalità unica e esclusiva il controllo a distanza del lavoratore.

2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.

Commento: l’esclusione dell’accordo sindacale si amplia, oltre che a strumenti di registrazione accessi e delle presenze (vedi badge) a quegli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (computer | smartphone | posta elettronica ecc.).

3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”.

Commento: E’ questa una delle parti più contestate perché stabilisce che se viene data idonea informativa al lavoratore ai sensi dell’art. 13 e se si seguono i dettami del TU Privacy (compresi Provvedimenti e Linee guida specifici) le informazioni raccolte dall’azienda potranno essere utilizzabili per tutti i fini connessi al rapporto di lavoro compresi i fini disciplinari.

Questo cambia approccio rispetto all’indirizzo giurisprudenziale che sino ad oggi ha escluso l’utilizzabilità dei dati ottenuti con controlli difensivi, per provare l’inadempimento contrattuale del lavoratore e rispetto alla Raccomandazione del 1°aprile 2015 del Consiglio d’Europa, che fra l’altro auspica la minimizzazione dei controlli difensivi svolti attraverso strumenti elettronici.

Ultimo baluardo per un divieto di controllo massivo degli strumenti di lavoro rimane quindi l’applicazione dei fondamentali principi Privacy (pertinenza, correttezza, non eccedenza del trattamento, divieto di profilazione) ai quali probabilmente il Garante Privacy dedicherà uno o più nuovi Provvedimenti specifici alla luce della riforma del Job Act.

4. L’articolo 171 del decreto legislativo 30 giugno 2003, n. 196, è sostituito dal seguente:

“ART. 171. Altre fattispecie.

1. La violazione delle disposizioni di cui all’articolo 113 e all’articolo 4, primo e secondo comma, della legge 20 maggio 1970, n. 300, è punita con le sanzioni di cui all’articolo 38 della legge n. 300 del 1970”.

Commento: La riforma introduce una sanzione specifica per i casi di inosservanza dell’art. 4 dello Statuto dei Lavoratori ossia quella prevista dall’art. 38 della stessa legge. Pertanto, salvo che il fatto non costituisca più grave reato, la sanzione sarà l’ammenda da 154 a 1.549 euro o l’arresto da 15 giorni a un anno, con applicazione di entrambe le pene (sia l’ammenda e sia l’arresto) nei casi più gravi e ferma restando la possibilità, per il giudice, di quintuplicare l’ammenda (facendola quindi arrivare a 7.745 euro) qualora dovesse ritenerla inefficace negli importi ordinari, sulla base delle condizioni economiche del datore di lavoro.

Matteo Colombo

Privacy: nuova Legge dello Stato Russo: che fare ?

su da Matteo Colomboin DPOLascia un commento

Legge Federale russa n. 242 del 21 luglio 2014

shopware2

Il 1 settembre 2015 è entrata in vigore la Legge Federale russa n. 242 del 21 luglio 2014.
La nuova legge sulla localizzazione dei dati personali prescrive che tutti i dati personali dei cittadini russi trattati da società estere, siano conservati e trattati in Russia senza esenzioni per i dati commerciali. L’operatore estero dovrà garantire che la registrazione, la sistematizzazione, il salvataggio, l’archiviazione, l’aggiornamento e il recupero dei dati personali dei cittadini russi debbano essere effettuati solo in database situati nello Stato Russo.

Chi è soggetto a tale Legge?

  1. Le società estere con presenza legale in Russia;
  2. Le società estere non presenti legalmente in Russia ma che forniscono servizi on-line ai cittadini russi (es. e-commerce).

A titolo esemplificativo rientrano nell’applicazione normativa:

a) utilizzo di siti web registrati e/o ubicati in Russia;
oppure
b) utilizzo di un sito internet in lingua russa;

e almeno una delle seguenti opzioni:

  1. siti che offrono la possibilità di effettuare pagamenti in rubli;
  2. annunci pubblicitari per la promozione di un sito internet in Russia;
  3. strategie di marketing che coinvolgono cittadini russi.

Principali azioni da intraprendere:

  • Risk Assessment per stabilire se la società tratta dati come previsto dalla Localisation Law russa
  • policy interne e definire dove far risiedere i dati in Russia
  • informative e consensi specifici
  • notifica alla Local DPA (Roskomnadzor)
  • Data Transfer Agreement

Fonte: http://eng.rkn.gov.ru/