Informativa lavoro del 08/08/2025

SCARICA PDF

The post Tassazione veicoli aziendali ad uso promiscuo first appeared on Birtolo & Partners.

Nello specifico, si riconoscono due princìpi di fondo che possano determinare l’attività di monitoraggio delle SIMin concessione ai dipendenti, da parte del datore di lavoro:

–      l’esigenze di gestire l’organizzazione aziendale e la tutela del patrimonio aziendale;

–      la presenza di un accordo sottoscritto con le rappresentanze sindacali, in ragione del potenziale controllo a distanza indiretto sull’attività dei dipendenti che da tale controllo può derivare.

In presenza dei suddetti presupposti, le aziende sono autorizzate ad effettuare controlli sui consumi telefonici aziendali se, però, sono previste precise misure a tutela della riservatezza dei lavoratori e solo se le informazioni risultano necessarie, pertinenti e non eccedenti.

Potranno, dunque, essere monitorati solo quei dati (anche con riferimento alle chiamate in entrata in roaming) che costituiscano delle specifiche voci di spesa all’interno della fattura, comportando un impatto sui costi effettivamente sostenuti dalla società, alla luce della tipologia di tariffazione prescelta (tale circostanza ad esempio non ricorre in caso di tariffe c.d. flat).

Nel merito, il Garante ha indicato le seguenti misure volte a tutelare i diritti degli interessati e limitare il controllo a distanza del datore di lavoro:

1. predisposizione di un disciplinare interno per regolamentare le condizioni di utilizzo delle SIM,nonché qualsiasi altra misura che disciplini l’uso del telefono da pubblicizzare adeguatamente e da sottoporre ad aggiornamento periodico. Ove la società intenda addebitare specifici costi ai dipendenti in relazione al traffico telefonico fruito per esigenze personali, in ogni caso i numeri di telefono riguardanti tali chiamate non dovranno essere raccolti e dovrà essere assicurato agli interessati un separato sistema di addebito e tariffazione;
2. il file sul quale, a cura dell’incaricato della società, sono memorizzati i dati estratti dal portale del fornitore del servizio di comunicazione elettronica deve essere protetto mediante opportune tecniche di cifratura, che si andranno ad aggiungere alle misure di protezione già implementate per i tutti i trattamenti della società stessa;
3. i dati di fatturazione utilizzati al fine di effettuare “…l’analisi dell’andamento complessivo dei consumi in modo da valutare sistematicamente l’adeguatezza nel tempo del contratto con il provider, e quindi eventualmente modificarlo, con l’obiettivo di ridurre i costi aziendali e ottimizzare la qualità del servizio…” devono essere anonimizzati, mediante l’utilizzo di tecniche di anonimizzazione che non consentano la re-identificazione dell’interessato.

In conformità al principio di correttezza le aziende dovranno comunque fornire, ai dipendenti coinvolti dai controlli in questione, un’informativa comprensiva di tutti gli elementi previsti dal Codice per la privacy, ossia tipologia di dati, finalità e modalità del trattamento, compresi i tempi di conservazione che, nel caso specifico, il Garante ha fissato in un periodo non superiore ai sei mesi.

Come espressamente previsto dalla legge, dovranno essere adottate le misure di sicurezza previste al fine di preservare l’integrità dei dati trattati e prevenire l’accesso agli stessi da parte di soggetti non autorizzati.

Resta inteso, inoltre, che debbano essere predisposte misure al fine di garantire agli interessati l’esercizio dei diritti previsti dal Codice, come ad esempio il diritto alla cancellazione o alla rettifica dei dati, o il diritto alla portabilità come previsto dal nuovo regolamento europeo sulla protezione dei dati, regolamento a cui le aziende dovranno adeguarsi entro il 25 maggio 2018.

Cordiali saluti.

Luigi Birtolo

The post IL CONTROLLO DELLE SIM AZIENDALI first appeared on Birtolo & Partners.

Si riportano di seguito le principali novità introdotte dal Regolamento rispetto alle quali le aziende dovranno conformarsi per non incorrere nelle sanzioni previste dalla normativa, con sanzioni previste sino al 4% del fatturato aziendale.

Soggetti coinvolti

Innanzitutto occorre distinguere i soggetti coinvolti nel trattamento dei dati anche in considerazione della terminologia utilizzata dal Regolamento.

Data Controller: è il titolare del trattamento, ossia la persona fisica o giuridica che è responsabile “per” il trattamento medesimo, da non confondere con il “responsabile del trattamento” che, invece è il Data Processor. Il titolare del trattamento decide il motivo e le modalità di gestione dei dati ed  è il responsabile giuridico dell’ottemperanza agli obblighi previsti dalla normativa in materia di protezione dei dati personali.

Il responsabile del trattamento – Data Processor – è la persona fisica, giuridica o ente, che elabora i dati personali per conto del titolare del trattamento. Quest’ultimo, quindi, nomina uno o più responsabili, insieme ai quali pone in atto le misure tecniche ed organizzative congrue per garantire un livello di sicurezza adeguato al rischio.

Al riguardo il Regolamento apporta le seguenti novità.

1. Viene introdotta la contitolarità del trattamento; è possibile, infatti, che coesistano più titolari del trattamento (contitolari o jointes controllers) che decidono congiuntamente di trattare i dati per una finalità comune. In tale caso la normativa impone ai contitolari di definire specificamente (con un atto giuridicamente valido) il rispettivo ambito di responsabilità e i compiti, con particolare riguardo all’esercizio dei diritti degli interessati, i quali possono rivolgersi indifferentemente ad uno qualsiasi dei contitolari.
2. Rispetto al Codice della Privacy, fissa più dettagliatamente le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente le materie indicate dal Regolamento, al fine di dimostrare che il responsabile fornisce garanzie sufficienti; in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel Regolamento.
3. Prevista la possibilità per il responsabile del trattamento di nominare un sub-responsabile per specifiche attività di trattamento nel rispetto degli stessi obblighi contrattuali che legano il titolare e il responsabile originario, il quale risponde comunque al titolare per gli inadempimenti del sub-responsabile, anche ai fini del risarcimento di eventuali danni causati, sempreché il responsabile dimostri che i danni procurati non siano in alcun modo a lui imputabili. Se il responsabile non risiede nella UE dovrà designare un rappresentante in Italia.
4. Previsti obblighi specifici in capo ai responsabili del trattamento quali, ad esempio, la tenuta del registro dei trattamenti svolti, non obbligatorio per le imprese con meno di 250 dipendenti, l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei dati e la designazione di un Responsabile della Protezione dei Dati (RPD) nei casi previsti dal Regolamento.

Anche se non espressamente prevista, il Regolamento non esclude la figura dell’“incaricato del trattamento”, contemplata invece dal Codice della Privacy.

Qualsiasi trattamento dei dati deve essere svolto in maniera lecita e secondo correttezza, i dati devono essere raccolti e trattati per scopi determinati, espliciti e legittimi, non devono essere trattati, dunque, dati non necessari rispetto alla finalità per la quale vengono raccolti e trattati.

Il regolamento conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica; i fondamenti di liceità del trattamento coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy contenuto nel D. Lgs. 196/2003 e sono i seguenti.

1. Consenso dell’interessato: deveessere, in tutti i casi, libero, specifico, informato e inequivocabile e non tacito o presunto[1]. Il nuovo regolamento stabilisce che il consenso:

• deveessere “esplicito” per i dati “sensibili” (lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati);
• non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” per i dati sensibili; inoltre, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento;
• il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

Al riguardo una raccomandazione fa presente che il consenso raccolto precedentemente al 25 maggio 2018 resta valido se rispecchia le caratteristiche sopra indicate, altrimenti, sarà necessario adeguarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescritto se si vuole continuare a fare ricorso a tale base giuridica. In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato, per esempio all’interno di modulistica.

2. Adempimento obblighi contrattuali: nulla cambia al riguardo, pertanto, il trattamento è lecito se è necessario all’esecuzione di un contratto di cui l’interessato è parte. È indispensabile ovviamente l’informativa e deve essere garantita la portabilità dei dati, ossia il diritto di trasmettere i dati personali da un titolare ad un altro”senza ostacoli” nei casi in cui il trattamento è basato su elaborazione elettronica.
3. Interessi vitali della persona interessata o di terzi: la necessità di salvaguardare tali interessi ammette il trattamento dei dati. Il regolamento stabilisce che si può invocare tale base giuridica solose nessuna delle altre condizioni di liceità può trovare applicazione.
4. Obblighi di legge cui è soggetto il titolare: nulla varia in caso di trattamento dei dati necessario per l’adempimento di obblighi derivanti da legge, regolamento o normativa comunitaria.
5. Interesse pubblico o esercizio di pubblici poteri: anche per tale base giuridica nulla cambia rispetto a quanto previsto fino ad ora.
6. Interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati: tale interesse deve prevalere sui diritti e le libertà fondamentali dell’interessato per costituire un valido fondamento di liceità. In tale caso, però, il regolamento afferma che il bilanciamentofra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato è compito dello stesso titolare e non dell’Autorità, in ossequio al principio di “responsabilizzazione” introdotto dal regolamento stesso.

Informativa

I contenuti dell’informativa sono tassativamente previsti dal regolamento e in parte sono più ampi rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del Responsabile della protezione dei dati (Data Protection Officer), indicando se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti.

Il regolamento prevede anche ulteriori informazioni da inserire al fine di garantire un trattamento corretto e trasparente; in particolare, il titolare deve specificare:

• il periodo di conservazione dei datio i criteri seguiti per stabilire tale periodo di conservazione;
• il diritto di presentare un reclamo all’autorità di controllo;
• se il trattamento comporta processi decisionali automatizzati (anche la profilazione), la logica di tali processi decisionali e le conseguenze previste per l’interessato.

Relativamente alla tempistica nel caso di dati personali non raccolti direttamente presso l’interessato, l’informativa deve essere fornita:

• entro un termine ragionevole che non può superare 1 mese dalla raccolta,
• oppure al momento della comunicazione, e non della registrazione, dei dati a terzi o all’interessato, diversamente da quanto prevede attualmente il Codice.

Riguardo la struttura dell’informativa, viene specificato che questa, debba avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee. Inoltre, è data, in linea di principio, per iscritto e preferibilmente in formato elettronico, soprattutto nel contesto di servizi online. È anche possibile utilizzare icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa. Tali icone dovranno essere identiche in tutta l’Ue, saranno infatti presto definite con un provvedimento della Commissione europea.

Inoltre, il regolamento impone di informare l’interessato prima di procedere al trattamento ulteriore ogni volta che le finalità cambiano. La possibilità di trattare dati per finalità differenti rispetto a quella della raccolta iniziale è dunque prevista dal nuovo regolamento ma limitata a specifici casi tassativamente indicati. Sono, infine, parzialmente diversi i requisiti che il regolamento fissa per l’esonero dall’informativa.

La Commissione europea raccomanda che i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate a tutti i criteri sopra delineati, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni eventualmente necessarie prima del 25 maggio 2018.

Diritti degli interessati

L’interessato (data subject) del trattamento è la persona “fisica” a cui si riferiscono i dati personali. All’interessato sono riconosciuti specifici diritti per l’esercizio dei quali può rivolgersi direttamente al titolare del trattamento che, in collaborazione con il responsabile, deve agevolare tale esercizio adottando idonee misure tecniche ed organizzative. I diritti esercitabili sono:

• l’opposizione al trattamento in tutto o in parte;
• ottenere la cancellazione dei dati in possesso del titolare (diritto all’oblio);
• ottenere l’aggiornamento o la rettifica dei dati conferiti;
• chiedere ed ottenere in forma intellegibile i dati in possesso del titolare (diritto di accesso);
• chiedere ed ottenere trasformazione in forma anonima dei dati;
• chiedere ed ottenere il blocco o la limitazione dei dati trattati in violazione di legge e quelli dei quali non è più necessaria la conservazione in relazione agli scopi del trattamento.

Il regolamento stabilisce che, per tutti i diritti, il termine per la risposta all’interessato è 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; entro 1 mese dalla richiesta il titolare deve comunque dare riscontro all’interessato, anche in caso di diniego, di regola in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato anche oralmente ma solo se tale modalità è richiesta dall’interessato stesso.

Approccio basato sul rischio e misure di accountability (responsabilizzazione) di titolari e responsabili

Il regolamento rafforza il principio di “responsabilizzazione” di titolari e responsabili che deve concretizzarsi in comportamenti proattivi tali da dimostrare la effettiva adozione di misure finalizzate ad assicurare l’applicazione del regolamento per la protezione dei dati. Ciò in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento tra i quali:

• principio “data protection by default and by design”, in base al quale il trattamento deve essere previsto e configurato fin dall’inizio prevedendo le garanzie per tutelare la privacy degli utenti;
• rischio del trattamento, inteso come valutazione dell’impatto negativo sulle libertà e i diritti degli interessati.

A partire dal 25 maggio 2018, tutti i titolari, indistintamente, dovranno notificare all’autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”. Tale notifica non è obbligatoria in quanto, anche in tal caso, è rimessa alla valutazione del titolare circa il possibile rischio che da tale violazione possa derivare per i diritti e le libertà degli interessati. I contenuti della notifica all’autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, dal regolamento.

Cordiali saluti.

Luigi Birtolo

[1] Non sono ammesse, ad esempio, caselle pre-spuntate su un modulo.

The post GDPR, IL NUOVO REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI first appeared on Birtolo & Partners.

L’unica disciplina in materia era contenuta nello Statuto dei Lavoratori^[1] che, fino alla recente modifica introdotta in materia di controlli a distanza da parte del decreto legislativo n. 151/2015, sanciva il divieto dell’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori. La staticità della norma, unitamente allo sviluppo delle nuove tecnologie ed al loro massivo utilizzo all’interno dei rapporti di lavoro^[2], ha portato nel tempo la giurisprudenza, anche comunitaria, ed il Garante per la Privacy a dettare delle regole e dei principi in tale ambito, e da ultimo, il legislatore a recepire tali indirizzi modificando la struttura e l’impostazione dell’art. 4 dello Statuto dei Lavoratori.

Linee guida del Garante per la Privacy per posta elettronica ed internet

Il Garante, nell’impartire ai datori di lavoro alcune prescrizioni con le “Linee guida per posta elettronica ed internet” del 2007, nel rispetto del diritto alla protezione dei dati personali e del principio di correttezza nel trattamento degli stessi ex artt. 11 del D. Lgs n. 196/2003 (Codice della Privacy), poneva l’accento sull’onere di informazione a carico del datore di lavoro al fine di indirizzare i propri dipendenti verso un corretto utilizzo degli strumenti di lavoro. Dunque, pur avendo la facoltà di verificare l’esatto adempimento della prestazione lavorativa e il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, il datore di lavoro ha l’onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo ritenute corrette degli strumenti messi a disposizione e se, in che misura e con quali modalità vengano effettuati controlli, anche su base individuale. Ciò, tenendo conto della pertinente disciplina applicabile in tema di informazione, concertazione e consultazione delle organizzazioni sindacali.

Politcy interna

In questo quadro, per il Garante risulta opportuno adottare una policy interna, redatta in modo chiaro e senza formule generiche, da pubblicizzare adeguatamente (verso i singoli lavoratori, nella rete interna, mediante affissioni sui luoghi di lavoro) e da sottoporre ad aggiornamento periodico. L’assenza di una esplicita policy al riguardo può determinare una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione.

Secondo le linee guida, a seconda dei casi, potrebbe ad esempio essere specificato nella policy interna:

• quali comportamenti non sono tollerati rispetto alla “navigazione” in Internet (ad es., il download di software o di file musicali), oppure alla tenuta di file nella rete interna;
• in quale misura è consentito utilizzare, anche per ragioni personali, servizi di posta elettronica o di rete, anche solo da determinate postazioni di lavoro o caselle, oppure ricorrendo a sistemi di webmail, indicandone le modalità e l’arco temporale di utilizzo (ad es., fuori dall’orario di lavoro o durante le pause, o consentendone un uso moderato anche nell’orario di lavoro);
• quali informazioni sono memorizzate temporaneamente (ad es., le componenti di file di log eventualmente registrati) e chi (anche all’esterno) vi può accedere legittimamente;
• se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di back up);
• se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime – specifiche e non generiche – per cui verrebbero effettuati (anche per verifiche sulla funzionalità e sicurezza del sistema) e le relative modalità (precisando se, in caso di abusi singoli o reiterati, vengono inoltrati preventivi avvisi collettivi o individuali ed effettuati controlli nominativi o su singoli dispositivi e postazioni);
• quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica e la rete Internet sono utilizzate indebitamente;
• le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la continuità dell’attività lavorativa in caso di assenza del lavoratore stesso (specie se programmata), con particolare riferimento all’attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti;
• le prescrizioni interne sulla sicurezza dei dati e dei sistemi.

Misure di tipo organizzativo e tecnologico

In applicazione del principio di necessità (art. 3 Codice della Privacy) il datore di lavoro è chiamato a promuovere ogni opportuna misura, organizzativa e tecnologica, volta a prevenire il rischio di utilizzi impropri (da preferire rispetto all’adozione di misure “repressive”) e, comunque, a “minimizzare” l’uso di dati riferibili ai lavoratori.

Precisamente, il Garante indica quali misure di tipo organizzativo:

• un’attenta valutazione dell’impatto sui diritti dei lavoratori;
• preventiva individuazione (anche per tipologie) dei lavoratori ai quali è accordato l’utilizzo della posta elettronica e dell’accesso a Internet;
• individuazione della ubicazione riservata alle postazioni di lavoro per ridurre il rischio di impieghi abusivi

Relativamente alle misure di tipo tecnologico indica:

1. rispetto alla “navigazione” in Internet:

• l’individuazione di categorie di siti considerati correlati o non correlati con la prestazione lavorativa;
• la configurazione di sistemi o l’utilizzo di filtri che prevengano determinate operazioni;
• il trattamento di dati in forma anonima o tale da precludere l’immediata identificazione degli utenti mediante opportune aggregazioni;
• l’eventuale conservazione di dati per il tempo strettamente limitato al perseguimento di finalità organizzative, produttive e di sicurezza;
• la graduazione dei controlli, ossia deve essere per quanto possibile preferito un controllo preliminare su dati aggregati, riferiti all’intera struttura lavorativa o a sue aree, dunque, un controllo anonimo che può essere effettuato su base individuale soltanto se persiste l’utilizzo anomalo degli strumenti rilevato;

1. rispetto all’utilizzo della posta elettronica:

• la messa a disposizione di indirizzi di posta elettronica condivisi tra più lavoratori, eventualmente affiancandoli a quelli individuali;
• l’eventuale attribuzione al lavoratore di un diverso indirizzo destinato ad uso privato;
• la messa a disposizione di ciascun lavoratore, con modalità di agevole esecuzione, di apposite funzionalità di sistema che consentano di inviare automaticamente, in caso di assenze programmate, messaggi di risposta che contengano le “coordinate” di altro soggetto o altre utili modalità di contatto dell’istituzione presso la quale opera il lavoratore assente;
• consentire che, qualora si debba conoscere il contenuto dei messaggi di posta elettronica in caso di assenza improvvisa o prolungata e per improrogabili necessità legate all’attività lavorativa, l’interessato sia messo in grado di delegare un altro lavoratore (fiduciario) a verificare il contenuto di messaggi e a inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell’attività lavorativa. Di tale attività dovrebbe essere redatto apposito verbale e informato il lavoratore interessato alla prima occasione utile;
• l’inserzione nei messaggi di un avvertimento ai destinatari nel quale sia dichiarata l’eventuale natura non personale del messaggio e sia specificato se le risposte potranno essere conosciute nell’organizzazione di appartenenza del mittente;
• la graduazione dei controlli, come indicato per le misure di tipo organizzativo.

E-mail aziendale dopo la cessazione del rapporto di lavoro

Proprio con riferimento al trattamento di dati effettuato sulla posta elettronica in assenza di una specifica e chiara policy interna, il Garante ha affermato che, dopo la cessazione del rapporto di lavoro, gli account riferiti a persone identificate o identificabili devono essere rimossi previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento. Non risulta, pertanto, conforme ai principi di riservatezza, il “reindirizzare” automaticamente i messaggi in transito sugli account riferiti a dipendenti il cui rapporto di lavoro sia cessato su indirizzi di posta elettronica aziendale attribuiti ad altri dipendenti.

Si avrà, dunque, il contemperamento dell’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori, nonché dei terzi, soltanto se vi sia la effettiva disattivazione degli account di posta elettronica.

Cordiali saluti.

Luigi Birtolo

[1]                                Legge n. 300/1970 , art. 4 “Impianti audiovisivi”.

[2]                                Oltre ai PC, si pensi ai tablet o smartphone concessi come beni aziendali, su cui possono essere installate applicazioni, o agli strumenti di rilevazioni GPS su veicoli aziendali.

The post Linee Guida Garante per la Privacy Posta Elettronica e Internet first appeared on Birtolo & Partners.

I soggetti che procedono al trattamento dei dati personali altrui devono adottare particolari misure per garantire il corretto e sicuro utilizzo dei dati, a tal fine, il Garante per la protezione dei dati personali ha pubblicato il nuovo vademecum in materia di privacy sul posto di lavoro sia in ambiente pubblico che privato, materia che spesso genera contenziosi tra dipendenti e datori di lavoro.

Sono “dati personali” le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.

Particolarmente importanti sono:

• i dati identificativi: quelli che permettono l’identificazione diretta, come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc.;
• i dati sensibili: quelli che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale.

Con l’evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.

Per “trattamento” si intende, invece, ogni operazione compiuta, manualmente o con strumenti elettronici, sui dati personali di un individuo. Ad esempio: la raccolta, la conservazione, l’elaborazione, la modifica, il collegamento e il confronto, la comunicazione e la diffusione a terzi, la cancellazione e la distruzione.

Il trattamento di dati personali è possibile con il consenso dell’interessato documentato per iscritto che è valido se:

• all’interessato è stata resa l’informativa;
• è stato espresso dall’interessato liberamente e specificamente in riferimento ad un trattamento chiaramente individuato (oppure a singole operazioni di trattamento).

Si riportano di seguito i principi e le regole contenuti nel vademecum divisi per tematiche.

1. Principi generali

Sul luogo di lavoro va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità delle persone garantendo la sfera della riservatezza nelle relazioni personali e professionali.

Il datore di lavoro può trattare informazioni personali solo se strettamente indispensabili all’esecuzione del rapporto di lavoro. I dati possono essere trattati solo dal personale incaricato, assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite.

Le informazioni personali trattate possono riguardare, oltre all’attività lavorativa, la sfera personale e la vita privata dei lavoratori (ad esempio i dati sulla residenza e i recapiti telefonici) e dei terzi (ad esempio dati relativi al nucleo familiare per garantire determinate provvidenze).

I trattamenti di dati personali devono rispettare il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzo di informazioni personali e identificative.

I trattamenti devono essere effettuati per finalità determinate, esplicite e legittime in base ai principi di pertinenza e non eccedenza e rispettando il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori.

Il trattamento di dati personali, anche sensibili, riferibili a singoli lavoratori è lecito, se finalizzato ad assolvere obblighi derivanti dalla legge, dal regolamento o dal contratto individuale (ad esempio, per verificare l’esatto adempimento della prestazione o commisurare l’importo della retribuzione).

1. Cartellini identificativi

Nelle aziende il lavoratore può essere dotato di un cartellino di riconoscimento.

Può essere eccessivo riportare per esteso tutti i dati anagrafici o le generalità complete del dipendente: a seconda dei casi può bastare un codice identificativo o il solo nome o solo il ruolo professionale.

• Comunicazioni

Per comunicare informazioni sul lavoratore ad associazioni di datori di lavoro, ex dipendenti o conoscenti, familiari, parenti occorre il consenso dell’interessato.

1. Bacheche aziendali

Nella bacheca aziendale possono essere affissi ordini di servizio, turni lavorativi o feriali.

Non si possono invece affiggere documenti contenenti gli emolumenti percepiti, le sanzioni disciplinari, le motivazioni delle assenze (malattie, permessi ecc.), l’eventuale adesione a sindacati o altre associazioni.

1. Pubblicazioni di dati del lavoratore sui siti web e sulle reti interne

Per pubblicare informazioni personali (foto, curricula) nella intranet aziendale e, a maggior ragione in internet, occorre il consenso dell’interessato.

1. Dati sanitari

I dati sanitari vanno conservati in fascicoli separati.

Il lavoratore assente per malattia è tenuto a consegnare al proprio ufficio un certificato senza diagnosi ma con la sola indicazione dell’inizio e della durata presunta dell’infermità.

Il datore di lavoro non può accedere alle cartelle sanitarie dei dipendenti sottoposti ad accertamenti dal medico del lavoro.

Nel caso di denuncia di infortuni o malattie professionali all’Inail, il datore di lavoro deve limitarsi a comunicare solo le informazioni connesse alla patologia denunciata.

E’ del tutto vietata la diffusione di “dati idonei a rivelare lo stato di salute” del lavoratore.

• Dati biometrici

Non è lecito l’uso generalizzato e incontrollato dei cosiddetti “dati biometrici” (quelli ricavati ad esempio dalle impronte digitali o dalla topografia della mano). Questi particolari trattamenti sono stati esaminati dal Garante in un apposito provvedimento generale (Provvedimento generale prescrittivo in tema di biometria n. 513 del 12 novembre 2014)  in cui sono state previste anche alcune ipotesi di esonero dall’obbligo della verifica preliminare del Garante perché presentano livelli di rischio ridotti per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato (ad es. quando le caratteristiche biometriche consistono nell’impronta digitale o nell’emissione vocale e, in caso di utilizzo dell’impronta digitale, il dispositivo di acquisizione ha la capacità di rilevare la c.d. vivezza).

Le impronte digitali o della topografia della mano, ad esempio, possono essere usate per presidiare gli accessi ad “aree sensibili” (processi produttivi pericolosi, locali destinati a custodia di beni di particolare valore e/o alla conservazione di documenti riservati) oppure per consentire l’utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati; l’impronta digitale o l’emissione vocale possono essere utilizzate per l’autenticazione informatica (accesso a banche dati o a pc aziendali); la firma grafometrica per la sottoscrizione di documenti informatici. Ciò nel rispetto, in particolare, di rigorose misure di sicurezza specificamente dettagliate nel provvedimento. In alcuni casi individuati dal Garante, nel rigoroso rispetto delle cautele individuate, il datore di lavoro non è tenuto a richiedere il consenso al personale per adottare tecnologie biometriche, ma deve comunque informare i dipendenti sui loro diritti, sugli scopi e le modalità del trattamento dei loro dati biometrici.

Non è generalmente ammessa la costituzione di banche dati centralizzate ma è preferibile l’utilizzo di altre forme di memorizzazione dei dati, ad esempio in smart card ad uso esclusivo del dipendente. Nel caso in cui la tecnologia biometrica che si vorrebbe adottare non rientri tra i casi semplificati dal Garante, permane l’obbligo per il datore di lavoro di richiedere un’apposita verifica preliminare prima di iniziare il trattamento dei dati.

• Uso di internet/intranet e della posta elettronica aziendale

Spetta al datore di lavoro adottare idonee misure di sicurezza per assicurare la disponibilità e l’integrità dei sistemi informativi e dei dati, anche per prevenire utilizzi indebiti.

Il datore di lavoro ha l’onere di informare, chiaramente e in modo particolareggiato, i dipendenti su quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengono effettuati controlli anche in accordo con le organizzazioni sindacali, utilizzando ad esempio un disciplinare interno, chiaro e aggiornato affiancato da un’idonea informativa.

1. I controlli

I controlli da parte del datore di lavoro per motivi organizzativi o di sicurezza sono leciti solo se sono rispettati i principi di pertinenza e non eccedenza. I sistemi software devono essere programmati e configurati in modo da cancellare periodicamente ed automaticamente i dati personali relativi agli accessi ad internet e al traffico telematico, la cui conservazione non sia necessaria.

I datori di lavoro privati e gli enti pubblici economici, possono trattare i dati personali del lavoratore, diversi da quelli sensibili, per il legittimo esercizio di un diritto in sede giudiziaria, a fronte della manifestazione di un libero consenso o per un legittimo interesse.

1. Internet/Rete interna

Va specificato con chiarezza se la navigazione in Internet o la gestione di file nella rete interna autorizzi o meno specifici comportamenti come il download di software o di file musicali o l’uso dei servizi di rete con finalità ludiche o estranee all’attività lavorativa.

Occorre anche specificare quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica o la rete internet sono utilizzate indebitamente.

Il datore di lavoro per ridurre il rischio di usi impropri di Internet può adottare opportune misure che possono prevenire controlli successivi sul lavoratore, che possono risultare leciti o meno a seconda dei casi e possono comportare il trattamento di dati sensibili, come le convinzioni religiose, filosofiche, politiche, lo stato di salute o la vita sessuale.

Ad esempio si possono individuare i siti correlati o meno alla prestazione lavorativa o configurare sistemi o filtri che prevengano determinate operazioni.

1. Posta elettronica aziendale

I contenuti e le informazioni della posta elettronica sono tutelati costituzionalmente da garanzie di segretezza ma riguardano anche l’organizzazione del lavoro.

In questo quadro è opportuno che il datore di lavoro renda disponibili indirizzi di posta elettronica condivisi tra più lavoratori (ad es. ufficioreclami@società.com) affiancandoli a quelli individuali (ad es. rossi@società.com) e valuti la possibilità di attribuire al lavoratore un diverso indirizzo destinato ad un uso privato.

Il datore di lavoro può mettere a disposizione di ciascun lavoratore apposite funzionalità di sistema che consentano di inviare automaticamente, in caso di assenze programmate, messaggi di risposta che contengano le “coordinate” di un altro lavoratore.

Si può altresì consentire al lavoratore di delegare un altro lavoratore (fiduciario) in caso di assenze prolungate, a leggere i messaggi di posta e ad inoltrare al titolare del trattamento quelli ritenuti rilevanti per l’attività lavorativa. Di tale attività dovrebbe essere redatto apposito verbale e informato il lavoratore interessato.

In caso di assenze non programmate (ad es. per malattia), qualora il lavoratore non possa attivare la procedura descritta (anche avvalendosi di servizi webmail), il datore di lavoro può incaricare altro personale (ad esempio l’amministratore di sistema) di gestire la posta del lavoratore, avvertendo l’interessato e i destinatari.

• Controllo a distanza dei lavoratori

E’ vietato ai datori di lavoro privati e pubblici di effettuare trattamenti di dati personali mediante sistemi hardware e software che mirano al controllo a distanza dei lavoratori.

Tale divieto vale anche per l’uso di strumenti di controllo quali la videosorveglianza e la geolocalizzazione.

• Videosorveglianza e geolocalizzazione

Non devono essere effettuati controlli a distanza al fine di verificare l’osservanza dei doveri di diligenza stabiliti per il rispetto dell’orario di lavoro e la correttezza nell’esecuzione della prestazione lavorativa (ad es. orientando la telecamera sul badge).

Vanno poi osservate le garanzie previste in materia di lavoro quando la videosorveglianza o la geolocalizzazione sono rese necessarie da esigenze organizzative o produttive, o sono richieste per la sicurezza del lavoro.

In tali casi, ai sensi dell’art. 4 della l. n. 300/1970, gli impianti e le apparecchiature, “dai quali può derivare anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro (oggi DTL Direzioni territoriali del lavoro), dettando, ove occorra, le modalità per l’uso di tali impianti”.

In taluni casi la localizzazione geografica può essere utile a rafforzare le condizioni di sicurezza dei dipendenti permettendo l’invio mirato di soccorsi in caso di difficoltà. Si possono ad esempio utilizzare i dati di localizzazione geografica, rilevati da una app attiva sugli smartphone in dotazione ai lavoratori, purché vengano adottate adeguate cautele a protezione della loro vita privata. Occorre infatti adottare misure volte a garantire che le informazioni visibili o utilizzabili dalla app siano solo quelle di geolocalizzazione, impedendo l’accesso ad altri dati, quali ad esempio, sms, posta elettronica, traffico telefonico.

Il sistema deve essere configurato in modo tale che sullo schermo dello smartphone compaia sempre, ben visibile, un’icona che indichi ai dipendenti quando la funzione di localizzazione è attiva.

I dipendenti dovranno essere ben informati sulle caratteristiche dell’applicazione (ad es., sui tempi e le modalità di attivazione) e sui trattamenti di dati effettuati dalle società.

Sono inoltre necessarie cautele circa la rilevazione dei dati di geolocalizzazione che non deve essere continuativa e deve avvenire in modo che l’ultima rilevazione cancelli quella precedente.

Prima di attivare il sistema le società devono notificare all’Autorità il trattamento di dati sulla localizzazione.

********

Il vademecum sopra esposto vuole costituire una guida sintetica e di facile e immediata consultazione, restando la normativa in materia il principale riferimento per l’applicazione puntuale delle disposizioni e per la soluzione delle eventuali controversie.

Cordiali saluti.

The post Vademecum per la gestione dei dati personali first appeared on Birtolo & Partners.