Illecito il reindirizzamento automatico dei messaggi di posta elettronica del dipendente dopo la cessazione / sospensione del rapporto di lavoro

su 26 novembre 201527 novembre 2015 da Matteo Colomboin Garante PrivacyLascia un commento

ILLECITO IL REINDIRIZZAMENTO AUTOMATICO DEI MESSAGGI DI POSTA ELETTRONICA DEL DIPENDENTE DOPO LA CESSAZIONE / SOSPENSIONE DEL RAPPORTO DI LAVORO SU INDIRIZZI DI POSTA ELETTRONICA AZIENDALE DI ALTRI DIPENDENTI.

NECESSARIA L’ADOZIONE DI UN REGOLAMENTO SULL’USO DEGLI STRUMENTI INFORMATICI AZIENDALI

Garante Privacy – Provvedimento n. 456 del 30 luglio 2015

IL CASO

Degli ex dipendenti hanno presentato ricorso al Garante Privacy lamentando che, dopo la cessazione del rapporto di lavoro con la società, gli account di posta elettronica loro assegnati venivano automaticamente reindirizzati a dei dipendenti dell’azienda utente dell’azienda. Inoltre, i ricorrenti hanno lamentato di aver appreso solo in occasione della produzione in un giudizio civile di un significativo numero di e-mail da parte della società, che quest’ultima aveva avuto accesso ai messaggi di posta elettronica dei lavoratori.

LA DECISIONE

Il Garante ha affermato il principio per cui dopo la cessazione del rapporto di lavoro, gli account di posta elettronica riconducibili a persone identificate o identificabili devono essere rimossi tramite disattivazione e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento (e non eventuali account privati riferiti agli ex dipendenti).

Non è conforme alla normativa privacy il reindirizzamento automatico dei messaggi in transito sugli account riferiti a dipendenti il cui rapporto di lavoro sia cessato (o in ipotesi di non meglio precisata “sospensione” del rapporto stesso) su indirizzi di posta elettronica aziendale attribuiti ad altri dipendenti.

In merito all’accesso alle caselle di posta elettronica dei dipendenti da parte del datore di lavoro, il Garante ha, inoltre, ribadito che il datore di lavoro, pur avendo la facoltà di verificare l’esatto adempimento della prestazione lavorativa ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve in ogni caso salvaguardarne la libertà e la dignità e, in applicazione dei principi di liceità e correttezza dei trattamenti di dati personali, informare in modo chiaro e dettagliato circa le consentite modalità di utilizzo degli strumenti aziendali e l’eventuale effettuazione di controlli anche su base individuale.

L’assenza di un Regolamento / Policy scritta al riguardo può determinare una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione.

L’informativa ai dipendenti deve riguardare anche le modalità (compresi i tempi) di conservazione dei contenuti e dei file di log relativi alla posta elettronica in transito sugli account aziendali nonché le operazioni di trattamento che possono essere effettuate dall’amministratore di sistema per finalità connesse alla fornitura del servizio.

Fonte: http://garanteprivacy.it

Autore: Matteo Colombo

Regolamento Privacy UE | A che punto siamo sul Data Protection Officer?

su 13 novembre 201513 novembre 2015 da Matteo Colomboin DPO, Regolamento UE, Senza categoria, Unione EuropeaLascia un commento

In questi giorni ho avuto modo di leggere un interessante articolo pubblicato da IAPP (International Association of Privacy Professionals) e di confrontarmi con alcuni colleghi DPO che lavorano a Bruxelles.

La domanda che tutti ci poniamo è:

Alla fine del Trilogo la figura del DPO sarà obbligatoria o solo suggerita ?

Come sapete negli ultimi 3 anni sono state redatte 3 diverse versioni di bozze di Regolamento Privacy UE ed in particolare quelle di: Commissione Europea, Parlamento Europeo e Consiglio d’Europa.

Se inizialmente le bozze di Regolamento della Commissione e del Parlamento parlavano di DPO obbligatorio per una serie di aziende, l’ultima versione del Consiglio d’Europa (CDE) ha rivisto sostanzialmente l’articolo 35 prevedendo la figura del DPO facoltativa ad eccezione di disposizioni specifiche dei singoli Stati membri.

In questi mesi, in sede di Trilogo, la divisione delle parti è rimasta, ma entro fine dicembre 2015 dovranno terminare i lavori e gli Stati arriveranno ad una posizione comune che, sia pure di compromesso, dovrà essere trovata.

I “rumors” dicono che un accordo potrebbe essere trovato rendendo la figura del DPO obbligatoria in due casi:

Numero di persone interessate. Dalle iniziali 5.000 si dovrebbe passare ad una cifra compresa fra 50.000 e 500.000 (quindi grandi DB – si pensi al marketing o alla P.A.);
Tipologia dei dati trattati. Ossia nel caso in cui l’attività principale del Data Controller riguardasse il trattamento di dati speciali (ex dati sensibili e giudiziari) ed in particolare dati sanitari. A ciò si aggiungano i Data Controller che trattano dati finanziari o dati di minori.

13 novembre 2015

Autore: Matteo Colombo

Corte di Giustizia Europea e Safe Harbor | che fare ?

su 8 ottobre 20159 ottobre 2015 da Matteo Colomboin DPO, Garante Privacy, Regolamento UE, Safe Harbor, Unione EuropeaLascia un commento

La Corte di Giustizia dell’Unione Europea il 06 ottobre 2015 ha dichiarato invalidi i principi privacy del c.d. “Safe Harbor” relativi al trasferimento dei dati negli Stati Uniti d’America.

Per la Corte l’invalidità è basata sul fatto che i dati trasferiti negli Stati Uniti ai sensi dei principi previsti dalla Direttiva Privacy UE non godrebbero di un livello di protezione dei dati personali equivalente a quello assicurato nel territorio dell’Unione Europea (cfr. caso Snowden).

Infatti, il problema principale rilevato è che gli accordi di Safe Harbor non hanno impedito alle Autorità Pubbliche Americane di monitorare e di accedere ai dati europei trasferiti negli Stati Uniti, anche in circostanze che non si possono considerare necessarie.

L’Autorità Garante Italiana ha evidenziato come sia necessario fornire una risposta coordinata a livello europeo anche da parte delle varie DPA, le quali stanno valutando le modalità più efficaci per individuare linee-guida comuni applicabili ai trasferimenti dei dati verso gli Stati Uniti d’America.

Cosa dovremo fare?
Dovremo bloccare il trasferimento e il trattamento dei dati negli Stati Uniti per quelle società che basano il principio di adeguatezza solo sull’essere certificate "Safe Harbor"?

La decisione non blocca o sospende automaticamente il trasferimento dei dati verso gli Stati Uniti. Tale potere spetta alle competenti autorità nazionali, ovvero per quanto concerne l’Italia al Garante per la protezione dei dati personali.

Tuttavia, alla luce della decisione della Corte di Giustizia dell’Unione Europea, è verosimile che i trasferimenti di dati verso gli Stati Uniti basati esclusivamente sul regime “Safe Harbor” potranno essere oggetto di contestazione.

Le aziende, a parere di chi scrive e di altri autorevoli DPO, in attesa di una presa di posizione politica a livello UE e dei Garanti Privacy, anche attraverso una decisione del WP29, dovrebbero:

rivedere ed analizzare i dati trasferiti negli Stati Uniti ai sensi del “Safe Harbor”, ivi compresi gli accordi con i fornitori americani che fanno affidamento su tali principi;
limitare questi trasferimenti di dati a ciò che è essenziale per il business della società;
adottare le c.d. “standard contractual clauses” | contratti tipo espressamente approvati dalla Commissione Europea e già utilizzati dalle società.
prevedere la possibilità di presentare richiesta per Binding Corporate Rules (BCR), strumento volto a consentire il trasferimento dei dati solo tra società facenti parti dello stesso gruppo di imprese.

Tutto ciò sperando che questa decisione non faccia venir meno anche la legittimità in futuro di tali strumenti.

Le aziende ed i propri Data Protection Officer che si trovano in questa condizione dovrebbero quindi compiere una dettagliata verifica di conformità interna | audit sulle modalità in cui i dati vengono trasferiti negli Stati Uniti e dovranno cercare di minimizzare i rischi di future contestazioni.

07 ottobre 2015

Job Act e Privacy

su 17 settembre 201517 settembre 2015 da Matteo Colomboin DPO, Garante Privacy, Job ActLascia un commento

Oggi, 17 settembre 2015, è stato finalmente pubblicato sul sito del Governo Italiano: http://www.governo.it/backoffice/allegati/79287-10412.pdf il testo definitivo della riforma dell’art. 4 dello Statuto dei Lavoratori.

Titolo II
Disposizioni in materia di rapporto di lavoro e pari opportunità

Capo I Disposizioni in materia di rapporto di lavoro

ART. 23
Modifiche all’articolo 4 della legge 20 maggio 1970, n. 300 e all’articolo 171 del decreto legislativo 30 giugno 2003, n. 196)

L’articolo 4 della legge 20 maggio 1970, n. 300 è sostituito dal seguente:

ART. 4. Impianti audiovisivi e altri strumenti di controllo

1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali.

Commento: E’ quindi possibile utilizzare da parte delle aziende impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, previa concertazione con le parti sindacali nelle modalità descritte, limitatamente alle 3 ipotesi elencate e più precisamente:
a) Esigenze organizzative e produttive;
b) Sicurezza del lavoro;
c) Tutela del patrimonio aziendale.
Permane il divieto di utilizzo di impianti audiovisivi e di altri strumenti che abbiano quale finalità unica e esclusiva il controllo a distanza del lavoratore.

2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.

Commento: l’esclusione dell’accordo sindacale si amplia, oltre che a strumenti di registrazione accessi e delle presenze (vedi badge) a quegli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (computer | smartphone | posta elettronica ecc.).

3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”.

Commento: E’ questa una delle parti più contestate perché stabilisce che se viene data idonea informativa al lavoratore ai sensi dell’art. 13 e se si seguono i dettami del TU Privacy (compresi Provvedimenti e Linee guida specifici) le informazioni raccolte dall’azienda potranno essere utilizzabili per tutti i fini connessi al rapporto di lavoro compresi i fini disciplinari.

Questo cambia approccio rispetto all’indirizzo giurisprudenziale che sino ad oggi ha escluso l’utilizzabilità dei dati ottenuti con controlli difensivi, per provare l’inadempimento contrattuale del lavoratore e rispetto alla Raccomandazione del 1°aprile 2015 del Consiglio d’Europa, che fra l’altro auspica la minimizzazione dei controlli difensivi svolti attraverso strumenti elettronici.

Ultimo baluardo per un divieto di controllo massivo degli strumenti di lavoro rimane quindi l’applicazione dei fondamentali principi Privacy (pertinenza, correttezza, non eccedenza del trattamento, divieto di profilazione) ai quali probabilmente il Garante Privacy dedicherà uno o più nuovi Provvedimenti specifici alla luce della riforma del Job Act.

4. L’articolo 171 del decreto legislativo 30 giugno 2003, n. 196, è sostituito dal seguente:

“ART. 171. Altre fattispecie.

1. La violazione delle disposizioni di cui all’articolo 113 e all’articolo 4, primo e secondo comma, della legge 20 maggio 1970, n. 300, è punita con le sanzioni di cui all’articolo 38 della legge n. 300 del 1970”.

Commento: La riforma introduce una sanzione specifica per i casi di inosservanza dell’art. 4 dello Statuto dei Lavoratori ossia quella prevista dall’art. 38 della stessa legge. Pertanto, salvo che il fatto non costituisca più grave reato, la sanzione sarà l’ammenda da 154 a 1.549 euro o l’arresto da 15 giorni a un anno, con applicazione di entrambe le pene (sia l’ammenda e sia l’arresto) nei casi più gravi e ferma restando la possibilità, per il giudice, di quintuplicare l’ammenda (facendola quindi arrivare a 7.745 euro) qualora dovesse ritenerla inefficace negli importi ordinari, sulla base delle condizioni economiche del datore di lavoro.

Matteo Colombo

Privacy: nuova Legge dello Stato Russo: che fare ?

su 11 settembre 201511 settembre 2015 da Matteo Colomboin DPOLascia un commento

Legge Federale russa n. 242 del 21 luglio 2014

Il 1 settembre 2015 è entrata in vigore la Legge Federale russa n. 242 del 21 luglio 2014.
La nuova legge sulla localizzazione dei dati personali prescrive che tutti i dati personali dei cittadini russi trattati da società estere, siano conservati e trattati in Russia senza esenzioni per i dati commerciali. L’operatore estero dovrà garantire che la registrazione, la sistematizzazione, il salvataggio, l’archiviazione, l’aggiornamento e il recupero dei dati personali dei cittadini russi debbano essere effettuati solo in database situati nello Stato Russo.

Chi è soggetto a tale Legge?

Le società estere con presenza legale in Russia;
Le società estere non presenti legalmente in Russia ma che forniscono servizi on-line ai cittadini russi (es. e-commerce).

A titolo esemplificativo rientrano nell’applicazione normativa:

a) utilizzo di siti web registrati e/o ubicati in Russia;
oppure
b) utilizzo di un sito internet in lingua russa;

e almeno una delle seguenti opzioni:

siti che offrono la possibilità di effettuare pagamenti in rubli;
annunci pubblicitari per la promozione di un sito internet in Russia;
strategie di marketing che coinvolgono cittadini russi.

Principali azioni da intraprendere:

Risk Assessment per stabilire se la società tratta dati come previsto dalla Localisation Law russa
policy interne e definire dove far risiedere i dati in Russia
informative e consensi specifici
notifica alla Local DPA (Roskomnadzor)
Data Transfer Agreement

Fonte: http://eng.rkn.gov.ru/

Dossier Sanitario Elettronico

su 4 agosto 20154 agosto 2015 da Matteo Colomboin DPO, Garante PrivacyLascia un commento

DataGuidance, editor inglese leader mondiale in materia Privacy che si avvale della collaborazione di importanti Privacy Officer internazionali, ha pubblicato un articolo scritto dall’A.D. di Labor Project srl e Presidente di ASSO DPO, Dott. Matteo Colombo, sul tema del Dossier Sanitario Elettronico.

Cliccare qui per registrarsi al sito di DataGuidance e leggere l’intero articolo

Cliccare qui per leggere un estratto dell’articolo

Italia: l’arrivo del Data Protection Officer

su 18 giugno 201516 luglio 2015 da Matteo Colomboin DPO, Garante Privacy, Regolamento UELascia un commento

Con l’arrivo dell’estate 2015 ha avuto inizio il Trilogo fra Commissione Europea, Parlamento UE e Consiglio UE per arrivare al più presto (si spera entro dicembre 2015) all’approvazione del nuovo Regolamento Privacy UE, all’interno del quale è prevista l’introduzione della nuova figura Privacy del Data Protection Officer (DPO).

Infatti anche in due documenti ufficiali dell’Autorità Garante Italiana viene già citata la figura del DPO, smentendo quindi chi negli ultimi mesi era scettico su questa figura già presente in 15 Stati UE.

Il primo documento in questione è la Relazione Annuale 2014 dell’Autorità Garante Privacy, presentata il 23 giugno 2015 alla Camera dei deputati, che a pagina 130 riporta testualmente:

[…] nella proposta di regolamentazione europea in corso di approvazione si supererà la logica della notificazione a vantaggio di nuovi strumenti più effettivi, primo fra tutti l’introduzione della nuova figura del Data Protection Officer (definito nella traduzione italiana, in maniera un po’ infelice, “Responsabile della protezione dei dati”) – i cui compiti sono ancora in definizione -, “presidio avanzato” presso il titolare del trattamento del rispetto dei principi e degli adempimenti in materia nonché interlocutore ed elemento di connessione tra il titolare del trattamento e l’Autorità.

Il secondo documento è rappresentato dall’allegato A delle linee guida sul dossier sanitario elettronico (doc. web 4084632) che al punto 7.2 prevede che chi tratta dati sanitari e costituisce dossier sanitari elettronici come di seguito riportato:

[…] In sintonia con quanto espresso nel parere sul citato schema di decreto del Presidente del Consiglio dei ministri in materia di Fascicolo sanitario elettronico, in ragione della particolare delicatezza delle informazioni trattate mediante il dossier sanitario, il Garante auspica che i titolari del trattamento individuino al loro interno una figura di responsabile della protezione dei dati che svolga il ruolo di referente con il Garante (c.d. DPO – Data Protection Officer), anche in relazione ai casi di data breach precedentemente illustrati.

Quindi non un obbligo, ma la consapevolezza che senza una figura di riferimento Privacy, ovvero una sorta di “RSPP sulla Privacy”, il titolare del trattamento non potrebbe governare efficacemente la Data Protection per i trattamenti di dati speciali che prevedono misure di sicurezza ed adempimenti specifici.

Sono questi i primi passi che, anche in qualità di Presidente di ASSO DPO, mi auguro portino ad una formalizzazione di una figura indispensabile per la corretta gestione della Privacy e della Data Protection all’interno delle nostre organizzazioni o, come auspicato dalla Presidente del CNIL (Garante Francese) Isabelle Falque Pierrotin durante la Conferenza internazionale dal titolo: “Privacy in a Connected World” tenutasi a Cambridge dal 6 all’8 luglio 2015 e a cui ho avuto il piacere di partecipare, il DPO dovrà essere una figura portante della riforma: una sorta di “direttore d’orchestra” punto di riferimento indispensabile per il Data Controller (titolare del trattamento per la normativa italiana).

Condividi:

Mi piace:

Condividi:

Mi piace:

Condividi:

Mi piace:

Condividi:

Mi piace:

Condividi:

Mi piace:

Condividi:

Mi piace:

Condividi:

Mi piace: