Categoria: Garante Privacy

MODULO UNIFICATO DI ISTANZA DI AUTORIZZAZIONE ALLE DTL

su da Matteo Colomboin Garante Privacy, Job Act2 commenti

Nei giorni scorsi è stato pubblicato sul sito del Ministero del Lavoro il MODULO UNIFICATO ISTANZA DI AUTORIZZAZIONE ALL’INSTALLAZIONE DI IMPIANTI DI VIDEOSORVEGLIANZA E ALL’INSTALLAZIONE E UTILIZZO DI IMPIANTI E APPARECCHIATURE DI LOCALIZZAZIONE SATELLITARE GPS A BORDO DI MEZZI AZIENDALI ai sensi dell’art. 4 della legge 20 maggio 1970 n. 300 (Statuto dei lavoratori).

Cliccare qui per visualizzare il modulo disponibile sul sito del Ministero del Lavoro

Il modulo, prendendo spunto dalla riforma dell’Art. 4 della L. 300/70 inserita nel Job Act e recepito dall’art. 114 del Testo unico Privacy e dai Provvedimenti dell’Autorità Garante Privacy, innova la prassi ormai consolidata, che vedeva la presenza su tutto il territorio nazionale di modulistica diversa per ogni singola Direzione Territoriale del Lavoro, e propone un unico modulo.

Gli aspetti da segnalare per la Videosorveglianza sono:

  1. Inserimento delle motivazioni previste dal novellato art. 4 c. 1 L. 300/70;
  2. Divieto, salvo casi eccezionali, di controllo a distanza dei lavoratori e ripresa delle sole aree esposte a rischio;
  3. Tenuta immagini per 24 ore, fatto salvo speciali esigenze in relazione a festività o chiusure uffici;
  4. Divieto di diffusione delle immagini all’esterno;
  5. Informativa ai dipendenti e cartelli di avviso “area videosorvegliata”;
  6. Rilascio di idonea certificazione da parte dell’installatore;
  7. Rispetto delle prescrizioni del Garante Privacy e del Provvedimento sulla Videosorveglianza (peraltro in aggiornamento a breve);
  8. Predisposizione planimetria in A3 con dettagliate caratteristiche tecniche da inserire (campo visivo, angolo, ecc.) ed indicazione delle postazioni di lavoro e loro esclusione da angolo di ripresa ed inoltre posizione di tutti i monitor;
  9. Dettagliata relazione tecnico-descrittiva sulla gestione e l’utilizzo dell’impianto di videosorveglianza;
  10. Le registrazioni dovranno essere custodite in un armadio con doppia chiave alle quali potranno accedervi, con una doppia password, un legale rappresentante ed un rappresentante dei lavoratori.

A parere di chi scrive, soprattutto la limitatissima durata di conservazione prevista dall’istanza (peraltro indotta dal Provvedimento del Garante sulla Videosorveglianza) e la “bizantina e old retrò” previsione di accesso alle immagini registrate, che non tiene minimamente conto dell’evoluzione tecnologica dei sistemi ormai integrati nelle reti aziendali o in cloud, rende il modulo poco accessibile alle esigenze dei datori di lavoro.

Autore: Matteo Colombo | A.D. di Labor Project e Presidente di ASSO DPO

Fonte: www.lavoro.gov.it

Pubblicità

Dossier Sanitario: STOP agli accessi indiscriminati ai dati dei pazienti

su da Matteo Colomboin Dossier Sanitario, Garante PrivacyLascia un commento

IL CASO

Il Garante Privacy, all’esito di accertamenti ispettivi nei confronti dell’Azienda Usl 11 di Empoli, ha dettato una serie di misure per sanare gravi violazioni riscontrate nella gestione degli oltre 350 mila dossier sanitari, relativi a persone che si sono rivolte alla struttura.  Le irregolarità emerse nel corso di accertamenti ispettivi riguardavano, in particolare:

  • l’informativa: carente e priva degli elementi essenziali per consentire una scelta consapevole sulla costituzione o meno del dossier;
  • il consenso: costituzione del dossier senza il consenso del paziente, acquisito solo a partire dal 2015, cinque anni dopo l’introduzione del documento elettronico nell’Azienda;
  • gli accessi indiscriminati al sistema informatico: ogni medico della struttura poteva consultare i referti sia dei propri pazienti sia di qualsiasi altra persona che avesse effettuato un esame clinico presso l’Azienda.

LA DECISIONE

Con Provvedimento doc. web n. 4449114 il Garante Privacy ha prescritto all’Azienda entro il 31 marzo 2016 di:

  • adottare opportuni accorgimenti, anche tecnici, affinché i documenti sanitari di un individuo, contenuti nel dossier sanitario, siano disponibili solo al professionista che lo ha in cura in quel momento e non siano più condivisi con gli operatori degli altri reparti. Il medico potrà consultare anche altri dossier, motivando la richiesta sulla base di una casistica predeterminata dall’Azienda (ad. es. trapianti, richiesta di consulenza, guardia medica). Il personale amministrativo potrà accedere solo ai dossier e ai dati indispensabili all’assolvimento delle sue funzioni;
  • modificare l’informativa, integrandola con tutti gli elementi previsti dalla normativa.

L’Autorità si è riservata di valutare, con separato provvedimento, gli estremi  per contestare all’Azienda  l’applicazione delle  sanzioni amministrative previste dal Codice privacy.

Fonte: http://www.garanteprivacy.it/

Autore: Matteo Colombo

Illecito il reindirizzamento automatico dei messaggi di posta elettronica del dipendente dopo la cessazione / sospensione del rapporto di lavoro

su da Matteo Colomboin Garante PrivacyLascia un commento

ILLECITO IL REINDIRIZZAMENTO AUTOMATICO DEI MESSAGGI DI POSTA ELETTRONICA DEL DIPENDENTE DOPO LA CESSAZIONE / SOSPENSIONE DEL RAPPORTO DI LAVORO SU INDIRIZZI DI POSTA ELETTRONICA AZIENDALE DI ALTRI DIPENDENTI.

NECESSARIA L’ADOZIONE DI UN REGOLAMENTO SULL’USO DEGLI STRUMENTI INFORMATICI AZIENDALI

Garante Privacy – Provvedimento n. 456 del 30 luglio 2015

IL CASO

Degli ex dipendenti hanno presentato ricorso al Garante Privacy lamentando che, dopo la cessazione del rapporto di lavoro con la società, gli account di posta elettronica loro assegnati venivano automaticamente reindirizzati a dei dipendenti dell’azienda utente dell’azienda. Inoltre, i ricorrenti hanno lamentato di aver appreso solo in occasione della produzione in un giudizio civile di un significativo numero di e-mail da parte della società, che quest’ultima aveva avuto accesso ai messaggi di posta elettronica dei lavoratori.

LA DECISIONE

Il Garante ha affermato il principio per cui dopo la cessazione del rapporto di lavoro, gli account di posta elettronica riconducibili a persone identificate o identificabili devono essere rimossi tramite disattivazione e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento (e non eventuali account privati riferiti agli ex dipendenti).

Non è conforme alla normativa privacy il reindirizzamento automatico dei messaggi in transito sugli account riferiti a dipendenti il cui rapporto di lavoro sia cessato (o in ipotesi di non meglio precisata “sospensione” del rapporto stesso) su indirizzi di posta elettronica aziendale attribuiti ad altri dipendenti.

In merito all’accesso alle caselle di posta elettronica dei dipendenti da parte del datore di lavoro, il Garante ha, inoltre, ribadito che il datore di lavoro, pur avendo la facoltà di verificare l’esatto adempimento della prestazione lavorativa ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve in ogni caso salvaguardarne la libertà e la dignità e, in applicazione dei principi di liceità e correttezza dei trattamenti di dati personali, informare in modo chiaro e dettagliato circa le consentite modalità di utilizzo degli strumenti aziendali e l’eventuale effettuazione di controlli anche su base individuale.

L’assenza di un Regolamento / Policy scritta al riguardo può determinare una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione.

L’informativa ai dipendenti deve riguardare anche le modalità (compresi i tempi) di conservazione dei contenuti e dei file di log relativi alla posta elettronica in transito sugli account aziendali nonché le operazioni di trattamento che possono essere effettuate dall’amministratore di sistema per finalità connesse alla fornitura del servizio.

Fonte: http://garanteprivacy.it

Autore: Matteo Colombo

Corte di Giustizia Europea e Safe Harbor | che fare ?

su da Matteo Colomboin DPO, Garante Privacy, Regolamento UE, Safe Harbor, Unione EuropeaLascia un commento

La Corte di Giustizia dell’Unione Europea il 06 ottobre 2015 ha dichiarato invalidi i principi privacy del c.d. “Safe Harbor” relativi al trasferimento dei dati negli Stati Uniti d’America.

Per la Corte l’invalidità è basata sul fatto che i dati trasferiti negli Stati Uniti ai sensi dei principi previsti dalla Direttiva Privacy UE non godrebbero di un livello di protezione dei dati personali equivalente a quello assicurato nel territorio dell’Unione Europea (cfr. caso Snowden).

Infatti, il problema principale rilevato è che gli accordi di Safe Harbor non hanno impedito alle Autorità Pubbliche Americane di monitorare e di accedere ai dati europei trasferiti negli Stati Uniti, anche in circostanze che non si possono considerare necessarie.

L’Autorità Garante Italiana ha evidenziato come sia necessario fornire una risposta coordinata a livello europeo anche da parte delle varie DPA, le quali stanno valutando le modalità più efficaci per individuare linee-guida comuni applicabili ai trasferimenti dei dati verso gli Stati Uniti d’America.

Cosa dovremo fare?
Dovremo bloccare il trasferimento e il trattamento dei dati negli Stati Uniti per quelle società che basano il principio di adeguatezza solo sull’essere certificate "Safe Harbor"?

La decisione non blocca o sospende automaticamente il trasferimento dei dati verso gli Stati Uniti. Tale potere spetta alle competenti autorità nazionali, ovvero per quanto concerne l’Italia al Garante per la protezione dei dati personali.

Tuttavia, alla luce della decisione della Corte di Giustizia dell’Unione Europea, è verosimile che i trasferimenti di dati verso gli Stati Uniti basati esclusivamente sul regime “Safe Harbor” potranno essere  oggetto di contestazione.

Le aziende, a parere di chi scrive e di altri autorevoli DPO,  in attesa di una presa di posizione politica a livello UE e dei Garanti Privacy, anche attraverso una decisione del WP29, dovrebbero:

  • rivedere ed analizzare i dati trasferiti negli Stati Uniti ai sensi del “Safe Harbor”, ivi compresi gli accordi con i fornitori americani che fanno affidamento su tali principi;
  • limitare questi trasferimenti di dati a ciò che è essenziale per il business della società;
  • adottare le c.d. “standard contractual clauses” | contratti tipo espressamente approvati dalla Commissione Europea e già utilizzati dalle società.
  • prevedere la possibilità di presentare richiesta per Binding Corporate Rules (BCR), strumento volto a consentire il trasferimento dei dati solo tra società facenti parti dello stesso gruppo di imprese.

Tutto ciò sperando che questa decisione non faccia venir meno anche la legittimità in futuro di tali strumenti.

Le aziende ed i propri Data Protection Officer che si trovano in questa condizione dovrebbero quindi compiere una dettagliata verifica di conformità interna | audit sulle modalità in cui i dati vengono trasferiti negli Stati Uniti e dovranno cercare di minimizzare i rischi di future contestazioni.

07 ottobre 2015

Job Act e Privacy

su da Matteo Colomboin DPO, Garante Privacy, Job ActLascia un commento

Oggi, 17 settembre 2015, è stato finalmente pubblicato sul sito del Governo Italiano: http://www.governo.it/backoffice/allegati/79287-10412.pdf il testo definitivo della riforma dell’art. 4 dello Statuto dei Lavoratori.

Titolo II
Disposizioni in materia di rapporto di lavoro e pari opportunità

Capo I Disposizioni in materia di rapporto di lavoro

ART. 23
Modifiche all’articolo 4 della legge 20 maggio 1970, n. 300 e all’articolo 171 del decreto legislativo 30 giugno 2003, n. 196)

L’articolo 4 della legge 20 maggio 1970, n. 300 è sostituito dal seguente:

ART. 4. Impianti audiovisivi e altri strumenti di controllo

1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali.

Commento: E’ quindi possibile utilizzare da parte delle aziende impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, previa concertazione con le parti sindacali nelle modalità descritte, limitatamente alle 3 ipotesi elencate e più precisamente:
a) Esigenze organizzative e produttive;
b) Sicurezza del lavoro;
c) Tutela del patrimonio aziendale.
Permane il divieto di utilizzo di impianti audiovisivi e di altri strumenti che abbiano quale finalità unica e esclusiva il controllo a distanza del lavoratore.

2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.

Commento: l’esclusione dell’accordo sindacale si amplia, oltre che a strumenti di registrazione accessi e delle presenze (vedi badge) a quegli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (computer | smartphone | posta elettronica ecc.).

3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”.

Commento: E’ questa una delle parti più contestate perché stabilisce che se viene data idonea informativa al lavoratore ai sensi dell’art. 13 e se si seguono i dettami del TU Privacy (compresi Provvedimenti e Linee guida specifici) le informazioni raccolte dall’azienda potranno essere utilizzabili per tutti i fini connessi al rapporto di lavoro compresi i fini disciplinari.

Questo cambia approccio rispetto all’indirizzo giurisprudenziale che sino ad oggi ha escluso l’utilizzabilità dei dati ottenuti con controlli difensivi, per provare l’inadempimento contrattuale del lavoratore e rispetto alla Raccomandazione del 1°aprile 2015 del Consiglio d’Europa, che fra l’altro auspica la minimizzazione dei controlli difensivi svolti attraverso strumenti elettronici.

Ultimo baluardo per un divieto di controllo massivo degli strumenti di lavoro rimane quindi l’applicazione dei fondamentali principi Privacy (pertinenza, correttezza, non eccedenza del trattamento, divieto di profilazione) ai quali probabilmente il Garante Privacy dedicherà uno o più nuovi Provvedimenti specifici alla luce della riforma del Job Act.

4. L’articolo 171 del decreto legislativo 30 giugno 2003, n. 196, è sostituito dal seguente:

“ART. 171. Altre fattispecie.

1. La violazione delle disposizioni di cui all’articolo 113 e all’articolo 4, primo e secondo comma, della legge 20 maggio 1970, n. 300, è punita con le sanzioni di cui all’articolo 38 della legge n. 300 del 1970”.

Commento: La riforma introduce una sanzione specifica per i casi di inosservanza dell’art. 4 dello Statuto dei Lavoratori ossia quella prevista dall’art. 38 della stessa legge. Pertanto, salvo che il fatto non costituisca più grave reato, la sanzione sarà l’ammenda da 154 a 1.549 euro o l’arresto da 15 giorni a un anno, con applicazione di entrambe le pene (sia l’ammenda e sia l’arresto) nei casi più gravi e ferma restando la possibilità, per il giudice, di quintuplicare l’ammenda (facendola quindi arrivare a 7.745 euro) qualora dovesse ritenerla inefficace negli importi ordinari, sulla base delle condizioni economiche del datore di lavoro.

Matteo Colombo

Dossier Sanitario Elettronico

su da Matteo Colomboin DPO, Garante PrivacyLascia un commento

DataGuidance, editor inglese leader mondiale in materia Privacy che si avvale della collaborazione di importanti Privacy Officer internazionali, ha pubblicato un articolo scritto dall’A.D. di Labor Project srl e Presidente di ASSO DPO, Dott. Matteo Colombo, sul tema del Dossier Sanitario Elettronico.

Cliccare qui per registrarsi al sito di DataGuidance e leggere l’intero articolo

Cliccare qui per leggere un estratto dell’articolo

 DataGuidance