29 Mar 2019

Bocciato il “braccialetto” elettronico al polso degli operatori ecologici. Il Garante per la privacy ha chiesto ad una società che si occupa della raccolta dei rifiuti per conto della municipalizzata di un comune di utilizzare dispositivi elettronici alternativi che non ledano la dignità della persona.

La pronuncia è arrivata a conclusione di un procedimento aperto d’ufficio sull’onda dell’interesse mediatico suscitato dalla vicenda.

Nell’aprile dello scorso anno la società aveva consegnato a più di 70 dipendenti addetti alla pulizia delle strade dei dispositivi indossabili dotati anche di un gps, con i quali effettuare la lettura delle etichette elettroniche collocate sui cestini getta rifiuti e segnalare l’eventuale spostamento di quelli non ancorati al suolo. Obiettivo dichiarato della società era quello di rendicontare il lavoro svolto all’Azienza municipalizzata comunale.

Solo dopo l’avvio dell’istruttoria dell’Autorità la società aveva stipulato un accordo sindacale nel  quale si stabiliva, tra l’altro, la lettura quotidiana dei tag per ogni turno di lavoro e si limitava l’attivazione del gps al massimo ad un turno di lavoro a settimana, previa comunicazione al lavoratore.

E’ emerso che nel modello di informativa ai dipendenti, quanto alle finalità dei sistemi si fa riferimento ad “esigenze di sicurezza [e] tutela del patrimonio aziendale” che, con riguardo all’uso dei “dispositivi mobili”, non sono menzionate né nelle note di riscontro inviate all’Autorità nel presente provvedimento né nel menzionato accordo dell’11 giugno 2018.

Pertanto, la società  dovrà provvedere ad aggiornare l’ informativa da fornire ai dipendenti ai sensi dell’art. 13 del Regolamento, escludendo il riferimento alla menzionata finalità relativamente al trattamento dei dati da effettuarsi mediante dispositivi mobili.

Il Garante Privacy, pur giudicando tale configurazione non in contrasto con i principi di necessità e proporzionalità del Regolamento Ue rispetto alle finalità perseguite dalla società, ha tuttavia ritenuto necessario individuare ulteriori misure maggiormente rispettose della dignità dei lavoratori, prescrivendo alla società:

  • di individuare i tempi di conservazione dei registri necessari a gestire le eventuali contestazioni da parte della società municipalizzata
  • di indicare preventivamente e tassativamente i casi specifici (descritti nel dettaglio) nei quali si renderà necessario interconnettere le informazioni allo scopo di poter ricostruire fatti oggetto di contestazione
  • di adottare misure tecnologiche e organizzative idonee a mantenere separate le basi di dati, in particolare quelli trattati attraverso i registri, quando la conservazione è necessaria a fini amministrativi
  • di effettuare una valutazione di impatto sulla protezione dei dati (DPIA), come previsto dal GDPR, viste le concrete caratteristiche del sistema tecnologico
  • di adottare un dispositivo che per le sue caratteristiche esteriori (morfologia) non sia lesivo della dignità e comunque non sia percepito come tale dal dipendente.

Il sistema consente infatti  il trattamento di dati personali di lavoratori identificabili. Sebbene i “braccialetti” siano collegati alle zone di spazzamento e non ai singoli dipendenti, attraverso i registri dei turni di lavoro è possibile individuare il dipendente che ha effettuato le rilevazioni dei tag e, quando previsto, la relativa geolocalizzazione mediante il gps.

Il Garante ha peraltro raccomandato, come indicato anche nell’accordo sindacale, l’adozione di un dispositivo che per le sue caratteristiche esteriori non sia lesivo della dignità e comunque non sia percepito come tale dal dipendente, considerato che dovrà essere utilizzato, anche se con diverse funzionalità, dai lavoratori per ogni turno di servizio.

Fonte: Garante Privacy

Potrebbe interessarti:

Dispositivi indossabili per tutelare i pazienti non auto sufficienti
29 Mar 2019
This is image included in the post content

Lo Studio Patrizia Meo è lieto di invitarvi all’incontro “Istruzioni GDPR. Cosa fare in pratica” di mercoledì 17 aprile, al fine di presentarvi le ultime novità in termini di adempimenti privacy.

 

DATA: mercoledì 17 aprile 2019

ORARIO: dalle ore 16.00 alle ore 18.00

SEDE: Biblioteca di Padenghe s/G, Via Roma, 4, Padenghe Sul Garda (Brescia)

DESTINATARI: imprenditori e professionisti, dipendenti che devono ancora adeguarsi al nuovo Regolamento Ue 2016/679 sulla privacy.

 

ARGOMENTI:

  • Conosciamo insieme il Regolamento UE 2016/679
  • Come predisporre un sistema di gestione privacy
  • Valutare e prevenire i rischi del trattamento dei dati
  • Videosorveglianza: come adeguarsi

 

RELATORI:

Patrizia Meo, Consulente privacy e DPO

Luisa Nizzola, Avvocato Foro di Brescia

Nino Papani, Consulente privacy e DPO

 

PERCHE` NON MANCARE: per avere un quadro semplice ma preciso in merito alle ultime novità sui principali adempimenti Privacy da attuare nell’ambito dell’attività d’impresa.

 

ISCRIZIONE OBBLIGATORIA: entro venerdì 12 aprile 2019.

La partecipazione è libera e gratuita, ma l’iscrizione obbligatoria a causa di un numero di posti limitati, è opportuno segnalare la presenza compilando lo specifico modulo.

modulo adesione

Per maggiori informazioni: 0309900647

26 Mar 2019

L’Autorità Garante Privacy ha pubblicato il piano ispettivo per il periodo gennaio-giugno 2019, con Deliberazione del 14 febbraio 2019.

L’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, è indirizzata ai seguenti settori:

  • trattamenti di dati effettuati dalle banche, con particolare riferimento ai flussi legati all’anagrafe dei conti;
  • i trattamenti di dati effettuati dalle Asl e poi trasferiti a terzi per il loro utilizzo a fini di ricerca;
  • la gestione delle carte di fidelizzazione da parte delle aziende;
  • il rilascio dell´identità digitale ai cittadini italiani (Spid);
  • il Sistema Integrato di Microdati (Sim) dell´Istat.

I controlli si concentreranno sull´adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano dati sensibili, il rispetto delle norme sull´informativa e il consenso, la durata della conservazione dei dati da parte di soggetti pubblici e privati.

Con oltre 8 milioni di entrate di sanzioni riscosse il bilancio 2018 segna un incremento del +116%

Nel corso del 2018, l’Autorità ha adottato 175 ordinanze-ingiunzione, a fronte delle 109 del 2017 ed è stato rilevato un notevole aumento delle somme riscosse pari a 8.161.806 euro, a fronte dei 3.776.694   euro registrati nel 2017 (con una variazione positiva del +116% ).

Si segnala che nel settore privato, nel 2018, le ispezioni si sono rivolte principalmente ai trattamenti effettuati: dagli istituti di credito, da società per attività di rating sul rischio e sulla solvibilità delle imprese, dalle aziende sanitarie locali e poi trasferiti a terzi per il loro utilizzo a fini di ricerca, da società che svolgono attività di telemarketing, da società che offrono servizi di “money transfer”. Oggetto di particolare accertamento anche i trattamenti di dati svolti da società assicuratrici attraverso l’installazione di “scatole nere” a bordo degli autoveicoli e da società che offrono servizi medico-sanitari tramite app.

(Fonte Garante Privacy)

24 Mar 2019

Tik Tok è la nuova app che sta conquistando i giovani.  Nel 2018, TikTok è stata una delle app più scaricate nel mondo. 800 milioni di iscritti, sparsi in 150 nazioni, il 41% dei quali con un’età compresa tra 16 e 24 anni. In Italia – secondo DataMediaHub – è stata scaricata oltre 7 milioni di volte. Gli utenti attivi nel nostro Paese sono 2 milioni e 400 mila. Di questi il 65% sono donne mentre il 35% uomini. In totale, gli utenti aprono l’app in media 6 volte al giorno e per un totale di 34 minuti. Ogni mese, la media di visualizzazioni dei contenuti video presenti su TikTok è di circa 3 miliardi.

Non più muser ma tiktoker

TikTok è conosciuta anche con il nome cinese Douyin in Cina, è un social network cinese lanciato nel settembre 2016 da Zhang Yiming. Il successo della piattaforma per video cinese è dovuto anche all’inglobazione che TikTok ha fatto di Musical.ly.

L’applicazione consente agli utenti di guardare clip musicali, creare brevi clip, della durata che va da un minimo di 15 secondi fino a un massimo di 60 secondi, ai quali si possono aggiungere effetti particolari e diverse animazioni.  Gli utenti per creare i propri video musicali, scelgono la loro canzone preferita da un elenco, e possono registrare un video mentre si è intenti a ballare, cantare o recitare. “Un’esperienza personalizzata appositamente per te basata sui contenuti che guardi, ti piacciono e condi

 

vidi!” La lista musicale di Tik Tok contiene, una vasta gamma di generi musicali (hip-hop, elettronica, rock, dance) e questo garantisce una scelta maggiore. L’app trova e suggerisce all’utente le clip più rilevanti ed interessanti in base alle abitudini dell’utente, di ricerca e alle interazioni con video e creator simili, con video scelti appositamente.

Alcune di queste funzioni erano presenti già in Musical.ly, le novità di Tik Tok sono: i filtri di movimento, l’effetto “specchio deformante” della fotocamera, i filtri Vr-Type che possono essere

sbloccati con il semplice battito delle palpebre e gli effetti Chroma Key e Greenscreen che possono essere usati per creare dei bellissimi sfondi.  Le clip, oltre alla registrazione live, possono essere salvate e poi caricate da quelle salvate nella gallery del profilo. Al momento l’app è disponibile per iOS e Android.

Nelle linee guida possiamo leggere che la missione di Tik Tok è diffondere nel mondo creatività, conoscenza e momenti importanti nella vita quotidiana.

Da notare che, oltre al nome TikTok viene riportata la dicitura “include Musical.ly”, per sottolineare che le due piattaforme sono collegate.

Questione di privacy

Come quasi tutti i social, anche per TikTok bisogna avere almeno 13 anni, “DO NOT use the app if you are under 13”. Sappiamo però che questo limite può essere superato dai ragazzi inserendo una data di nascita falsa. Molti bambini, ad esempio, inseriscono l’età dei genitori.

L’app permette di avere un account pubblico, in questo modo tutti possono vedere ciò che condividono gli utenti e ottenere “Mi Piace”. Il rischio? Che i ragazzi possano essere contattati direttamente sull’app.

Se nella sezione privacy, l’utente sceglie la possibilità di creare un profilo privato, tutti i video possano essere visti solo da chi li ha creati e dai follower accettati. Con un account privato, infatti, si possono approvare o rifiutare le richieste degli utenti e limitare i messaggi in arrivo dei follower.

Il consenso privacy e la sanzione dalla FTC

La Federal Trade Commission ha multato l’applicazione TikTok con una sanzione record da 5,7 milioni di dollari per avere raccolto i dati dei minori di 13 anni senza il consenso dei genitori. E’ la più alta sanzione civile mai comminata dall’ente statunitense che regolamenta il mercato per un caso che riguarda la privacy dei bambini.

Il Children’s Online Privacy Protection Act (COPPA), parla chiaro: per gli utenti che abbiano un’età inferiore ai 13 anni è necessaria la richiesta di consenso ai genitori per il trattamento dei dati.

TikTok era a conoscenza del fatto che molti ragazzini stessero usando l’app per i video di breve durata – d’altronde, il target di riferimento, è proprio il mondo teen – ma non hanno cercato l’autorizzazione parentale prima di raccogliere nomi, indirizzi e-mail e altre informazioni personali. “Questa pena da record dovrebbe essere un promemoria per tutti i servizi online e i siti Web destinati ai bambini – ha detto il presidente della Ftc, Joe Simons – prendiamo molto sul serio l’applicazione del COPPA e non ci sarà tolleranza per le società che ignorano in modo la legge”. Sempre dalla comunicazione dell’agenzia che tutela i consumatori statunitensi si legge che, per la registrazione, venivano richiesti il numero di telefono, nome e cognome, l’immagine di profilo e una breve descrizione.

Gli account degli iscritti erano pubblici di default, il che significava che il profilo di un bambino poteva essere visto da sconosciuti. Se è vero che il sito consentiva agli utenti di modificare le impostazioni predefinite in modo che solo gli autorizzati potessero vederle, rimanevano pubbliche le immagini di profilo e le biografie. Infatti, ci furono segnalazioni in merito ad adulti che cercavano di contattare i bambini tramite l’app Musical.ly che, fino a ottobre del 2016, dava la possibilità di visualizzare vicini alla propria posizione.

Negli Stati Uniti, la legge impone che il minore di 13 anni deve ottenere il consenso dei genitori e presentarlo alla piattaforma se vuole iscriversi ai social.

In Europa, il Regolamento Europeo 2016/679 per la protezione dei dati, stabilisce all’art. 8 che, il “trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni”. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni.

In Italia, il D.lgs 101/2018 con il quale l’ordinamento italiano si è allineato al GDPR (settembre 2018) ha stabilito che “il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione”. Al di sotto dei 14 anni, il consenso viene autorizzato dal titolare della responsabilità genitoriale.

Rispetto al passato è stato fatto qualcosa, certamente bisognerà verificare come questo obbligo verrà controllato.

18 Mar 2019

Il Garante con Provvedimento del n. 55 del 7 marzo 2019, chiarisce le modalità di applicazione del Regolamento UE 2016/679 nella sanità.

I chiarimenti si sono resi necessari a seguito dei numerosi quesiti ricevuti dall’autorità sul trattamento dei dati, relativi alla salute in ambito sanitario.

Una delle domande ricorrenti riguarda il consenso.Quando deve essere richiesto

L’art. 9 par. 2 lett. h) del Regolamento prevede:

il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità

e ancora al par. 3

I dati personali ….. possono essere trattati … “se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti”.

Sulla base di quanto previsto dall’art. 9, il medico non dovrà, come in passato richiedere il consenso al paziente. Vediamo nello specifico.

Il professionista sanitario soggetto al segreto professionale, non deve più richiedere il consenso del paziente per trattamenti necessari alla prestazione sanitaria richiesta dall’interessato. Ciò, sia che operi in qualità di libero professionista (presso uno studio medico) sia presso una struttura pubblica o privata. Tale eccezione si applica per i trattamenti necessari per le finalità di cura, cioè essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute (considerando 53 del Regolamento).

I trattamenti, non strettamente necessari alla cura, richiedono, invece, il consenso dell’interessato o un altro presupposto di liceità (artt. 6 e 9, par. 2 Regolamento). Tra questi trattamenti rientrano le app mediche, i dati delle farmacie per le tessere fedeltà; campagne promozionali o commerciali (es. promozioni su programmi di screening; contratto di servizi amministrativi, come quelli alberghieri di degenza); trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali.

Richiede il consenso, anche, la refertazione on line, in quanto previsto dalle disposizioni di settore in relazione alle modalità di consegna del referto (Decreto del Presidente del Consiglio dei Ministri 8 agosto 2013).

L’autorità chiarisce, anche i trattamenti effettuati attraverso il Fascicolo Sanitario Elettronico, che possono essere effettuati con l’acquisizione del consenso. Il Garante ricorda che il consenso è richiesto da norme specifiche anteriori al Regolamento UE, fatte salve dall’art. 75 del Codice Privacy. L’eliminazione del consenso potrebbe essere ammissibile alla luce del nuovo quadro normativo, vedremo quindi cosa succederà.

Rimane confermato il consenso per i trattamenti effettuati tramite il Dossier Sanitario, sempre in applicazione delle Linee Guida del 04 giugno 2015. Sulla base dell’art. 2 septies del Codice, sarà il Garante, eventualmente, ad individuare i trattamenti che non necessitano di consenso. Anche qui, speriamo in ulteriori interventi.

Informativa sul trattamento.

Le informative, dovranno essere aggiornate ed integrate, con riferimento alle novità degli artt. 13 e 14 del Regolamento. Secondo il principio di trasparenza, previsto dall’art. 5 par. 1 lett. a) del Regolamento, il Titolare deve informare l’interessato sui principali elementi del trattamento. Che sono appunto elencati nell’art. 13 e nell’art. 14. Informativa che deve essere soprattutto comprensibile per l’interessato, attraverso l’uso di un linguaggio chiaro e semplice.

L’autorità suggerisce di predisporre delle informative in maniera progressiva. Le informazioni relative a particolari attività di trattamento (es. fornitura di presidi sanitari, finalità di ricerca) potrebbero essere resi, in un secondo momento, solo ai pazienti interessati da tali servizi.

Per quanto attiene invece alla conservazione dei dati (“limitazione della conservazione” art. 5 par. 1 lett. e) del Regolamento), il titolare può indicare in assenza di una disposizione normativa che stabilisce i termini, i criteri utilizzati per determinarlo. Ricordiamo ad esempio, il certificato di idoneità sportiva agonistica, deve essere conservato per cinque anni. Le cartelle cliniche, unitamente ai referti, vanno conservati illimitatamente.

Responsabile della Protezione dei Dati (RPD/DPO)

Il Garante chiarisce ulteriormente, chi deve nominare il Responsabile della Protezione dei dati, dopo le numerose richieste di chiarimenti da parte degli operatori del settore sanitario.

Le aziende sanitarie, devono nominare il RPD, in quanto “organismo pubblico”, come da art. 37, par. 1 lett c), attività che consistono sul trattamento, su larga scala, di dati sulla salute.

Lo stesso vale per un ospedale privato, per una casa di cura o una residenza socio assistenziale (RSA).

Il singolo professionista sanitario, che opera in regime di libera professione, non è tenuto a nominare un RPD. Come non sono tenute le farmacie, le parafarmacie, le aziende ortopediche e sanitarie (in questo caso l’obbligo scatta in caso di effettuazione di trattamenti su larga scala).

Registro delle attività di trattamento

Il registro delle attività di trattamento costituisce uno strumento di accountability e di valutazione e gestione del rischio. Il registro contiene le principali informazioni (come individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte dal titolare. Pertanto, i singoli professionisti non sono esentati e dovranno compilare il registro. Tra questi: i medici di medicina generale, i medici pediatri, gli ospedali privati, le case di cura e le RSA, le aziende sanitarie appartenenti al SSN, le farmacie e le parafarmacie, le aziende ortopediche. Il registro andrà conservato per eventuali controlli e non va trasmesso al Garante.

(Fonte Garante Privacy)

5 Mar 2019

L’Ispettorato Nazionale del Lavoro a seguito di richieste circa la corretta applicazione dell’art. 4 della L. n. 300/1970 in cui si chiede se sia necessario, in caso di cambio di titolarità dell’impresa, avviare una nuova procedura per accordo in sede sindacale o autorizzative oppure se si possa operare in una sorta di continuità comunicando alle sedi competenti la modifica societaria, risponde con la con la Circolare n. 1881 del 25 febbraio 2019.

L’art. 4 della L. n. 300/1970 (Statuto dei lavoratori), dispone che gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali.

L’Ispettorato Nazionale chiarisce che, qualora gli strumenti/impianti siano stati installati seguendo le procedure indicate dall’art. 4 dello Statuto dei Lavoratori e non siano intervenuti cambiamenti in merito ai presupposti legittimanti e modalità di funzionamento, non sarà necessario un rinnovo dell’autorizzazione.

“…il mero “subentro” di un’impresa in locali già dotati degli impianti/strumenti … non integra di per sé profili di illegittimità qualora gli impianti/strumenti stessi siano stati installati osservando le procedure (accordo collettivo o autorizzazione) previste dall’art. 4 della L. n. 300/1970 e non siano intervenuti mutamenti:

  • dei presupposti legittimanti (esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale);
  • delle modalità di funzionamento.

A tali fine, il titolare subentrante dovrà:

  • comunicare all’Ufficio [ITL] che ha rilasciato l’autorizzazione, gli estremi del provvedimento di autorizzazione alla installazione degli impianti;
  • rendere una dichiarazione con la quale attesti che, con il cambio di titolarità, non sono mutati né i presupposti legittimanti il suo rilascio, né le modalità di uso dell’impianto audiovisivo o dello strumento autorizzato.

Laddove peraltro non ricorra l’evidenziata condizione di invarianza dei richiamati presupposti, sarà necessario avviare nuovamente le procedure ex art. 4 L. n. 300/1970, fermo restando che sono in ogni caso assolutamente vietate eventuali modalità di uso diverse da quelle già autorizzate.

 

Fonte: Ispettorato Nazionale del Lavoro

 

Potrebbero interressarti:

Le novità dell’Ispettorato Nazionale del Lavoro in tema di videosorveglianza
20 Feb 2019

Installare le telecamere in un condominio pone non pochi problemi. In primis chi decide se si possono installare e poi quale sono le zone che si possono riprendere.

La legge di riforma del condominio, L. n. 220/2012, ha introdotto un nuovo articolo nel Codice civile riguardante proprio le telecamere in condominio.

L’ art. 1122-ter c.c. (Impianti di videosorveglianza sulle parti comuni) stabilisce che “le deliberazioni concernenti l’installazione sulle parti comuni dell’edificio di impianti volti a consentire la videosorveglianza su di esse sono approvate dall’assemblea” con un numero di voti che rappresenti la maggioranza degli intervenuti e almeno la metà del valore dell’edificio (art. 1136, comma 2, c.c.).

L’articolo chiarisce i tanti dubbi sull’installazione degli impianti di videosorveglianza (sulle parti comuni) e stabilisce che le deliberazioni che interessano l’installazione di impianti di videosorveglianza sulle parti comuni dell’edificio devono essere approvate dall’assemblea. Pertanto, l’assemblea decide se installare l’impianto di videosorveglianza, e dovrà avere come obiettivo quello di tutelare la sicurezza di cose e persone, ovvero beni comuni e i condomini o i loro familiari. Non si potrà, ad esempio, puntare una telecamera in condominio che riprende il terrazzo o la finestra del vicino.

La videosorveglianza nel condominio dovrà rispettare le regole previste dal provvedimento generale del Garante in materia di videosorveglianza dell’8 aprile 2010, in vigore con il Regolamento UE 2016/679. Disposizioni richiamate nel vademecum “Il condominio e la privacy” redatto dal Garante della privacy.

L’installazione delle videocamere è ammissibile solo per ragioni di sicurezza e vi è l’obbligo a carico dell’amministratore di Condominio di posizionare appositi cartelli informativi in luoghi visibili e aperti al pubblico che indichino la presenza delle telecamere, eventualmente avvalendosi del modello predisposto dal Garante. Le telecamere devono riprendere solo le aree comuni da controllare (accessi, garage…), possibilmente evitando la ripresa di luoghi circostanti e di particolari che non risultino rilevanti (strade, edifici, esercizi commerciali ecc.).

L’amministratore avrà anche l’obbligo di stabilire i tempi minimi di conservazione delle immagini. Le registrazioni possono essere conservate per un periodo limitato tendenzialmente non superiore alle 24-48 ore, poi devono essere cancellate. Si dovrà individuare il personale abilitato a visionare le registrazioni (soggetti autorizzati) e indicare il responsabile del trattamento dei dati. Infine, I dati raccolti (riprese, immagini) devono essere protetti con idonee e preventive misure di sicurezza.

Telecamere del singolo condomino

Quando l’installazione di sistemi di videosorveglianza viene effettuata da persone fisiche per fini esclusivamente personali e le immagini non vengono né comunicate sistematicamente a terzi, né diffuse (ad esempio attraverso apparati tipo web cam) non si applicano le norme previste dal Codice della privacy. L’area videosorvegliata è proprietà privata e non zona comune. In questo specifico caso, ad esempio, non è necessario segnalare l’eventuale presenza del sistema di videosorveglianza con un apposito cartello. Rimangono comunque valide le disposizioni in tema di responsabilità civile e di sicurezza dei dati. È tra l’altro necessario – anche per non rischiare di incorrere nel reato di interferenze illecite nella vita privata – che il sistema di videosorveglianza sia installato in maniera tale che l’obiettivo della telecamera posta di fronte alla porta di casa riprenda esclusivamente lo spazio privato e non tutto il pianerottolo o la strada, ovvero il proprio posto auto e non tutto il garage. Le riprese possono considerarsi di utilizzo esclusivamente personale, sarà opportuno che il singolo condomino assicuri il diritto alla riservatezza delle persone. Per la Cassazione si commette reato di interferenze illecite nella vita privata quando il singolo condomino è in grado di controllare chi va e chi viene, non a casa sua ma a quella degli altri.

Se però la zona ripresa è di accesso libero a tutti il discorso cambia: ecco perché è lecita l’installazione di un sistema di videosorveglianza che riprende il vialetto di ingresso.

Non compie violazione della privacy il condomino che installi, per motivi di sicurezza, allo scopo di tutelarsi dall’intrusione di soggetti estranei, alcune telecamere per visionare gli spazi rientranti tra le parti comuni dell’edificio (come un vialetto e l’ingresso comune dell’edificio), Sentenza Cassazione Penale, Sezione V, 26 novembre 2008, n° 44156, anche se tali riprese sono effettuate contro la volontà dei condomini. Nel caso specifico, la ripresa di quanto avveniva nelle zone di uso comune non protette, per quanto effettuata contro la volontà dei condomini, non era d’altro canto effettuata né clandestinamente né fraudolentemente.

Si configura reato quando concorrono due elementi: 1) l’indebita interferenza in uno dei luoghi indicati nell’articolo 614 c.p. (violazione di domicilio) realizzata con telecamere e 2) l’attinenza delle notizie o immagini alla vita privata che si svolge in quei luoghi. In assenza di uno di questi requisiti, non c’è reato.

Nel caso sopra, l’imputato aveva fornito ai vicini la possibilità di controllare quanto visualizzato dalle telecamere mediante i televisori all’interno delle loro case, ed era stato provato in giudizio che l’angolazione delle telecamere consentiva la visuale solo incidentale di piccole porzioni di uno sporto e di un poggiolo. La ripresa delle aree comuni non poteva, di conseguenza, ritenersi in alcun modo invasiva della sfera privata dei condomini.

 

11 Feb 2019

Il Garante per la privacy risponde, con lettera del 22 gennaio 2019, al quesito presentato dal Consiglio Nazionale dei consulenti del lavoro e alle richieste di numerosi professionisti in riferimento alle qualificazioni di “titolare” e di “responsabile” del trattamento, dei relativi compiti e responsabilità, dei consulenti del lavoro.

Il Regolamento (UE) 679/2016, definisce il ruolo di titolare (“controller”; ex art. 4, n. 7 e 24) e responsabile (“processor”; ex art. 4, n. 8 e 28) ed alla distribuzione della relativa responsabilità, come già prefigurato dalla Direttiva 95/46/CE.

Secondo quanto previsto dall’art. 4, n. 7 “«Titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

Quanto al responsabile, l’art. 4, n. 8 del Regolamento definisce “«responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento

Pertanto, l’Autorità ha precisato il ruolo e le responsabilità dei consulenti del lavoro nel trattamento dei dati personali della clientela alla luce del nuovo Regolamento europeo, identificandoli come “responsabili del trattamentoquando trattano i dati dei dipendenti dei clienti in base all’incarico da questi ricevuto.

E dunque i consulenti del lavoro sono “titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure dei propri clienti quando siano persone fisiche, come ad esempio i liberi professionisti determinando puntualmente le finalità e i mezzi del trattamento.

Sono, viceversa, “responsabili” quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto, che contiene anche le istruzioni sui trattamenti da effettuare (attività esternalizzata). E’ il caso, ad esempio, dei consulenti che curano per conto di datori di lavoro la predisposizione delle buste paga, le pratiche relative all’assunzione e al fine rapporto, o quelle previdenziali e assistenziali, trattando una pluralità di dati personali, anche sensibili, dei lavoratori.

Si tratta di informazioni raccolte e utilizzate dai datori di lavoro in base al contratto e a norme di legge e di regolamento (come quelle in materia di lavoro, previdenza e assistenza sociale), e che vengono gestite dai consulenti cui sono esternalizzati i servizi sulla base delle discipline di settore e delle regole deontologiche pertinenti. Ed è sul contratto di affidamento dell’incarico e di designazione a responsabile del trattamento da parte del cliente che si basa la legittimità dei trattamenti realizzati dal consulente.

Qualora il consulente si avvalga normalmente di collaboratori di propria fiducia questi, in base alle concrete operazioni di trattamento affidate, potranno operare sotto la sua diretta autorità e in base alle istruzioni impartite, configurando il rapporto preso in considerazione dall’art. 29 del Regolamento. Più specificamente, in base all’art. 2-quaterdecies del Codice il responsabile può prevedere che “specifici compiti e funzioni connessi al trattamento siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”. Oppure, diversamente, i collaboratori potranno assumere in concreto il ruolo di subresponsabili, qualora sia demandata “l’esecuzione di specifiche attività di trattamento per conto del titolare” (v. art. 28, par. 4 del Regolamento).

Nell’ipotesi in cui il trattamento dei dati relativi ai propri clienti da parte del consulente del lavoro (i.e. i dati del datore di lavoro che gli trasmette i dati dei suoi dipendenti), la base giuridica che facoltizza il trattamento in capo al soggetto in questione – che in tale caso rivestirà il ruolo di titolare del trattamento – è rinvenibile nell’esecuzione del contratto (art. 6, par. 1, lett. b, del Regolamento).

Qualora, invece, il consulente del lavoro agisca in veste di responsabile del trattamento, la base normativa che legittima il trattamento dei dati personali, anche “sensibili” riguardanti i clienti del datore di lavoro va individuata in capo al suo cliente (ovverosia il datore di lavoro/titolare) ai sensi dell’art. 9, par. 2, lett. b), del Regolamento: infatti, la legittimità del trattamento si “trasferisce” alle operazioni svolte dal consulente del lavoro in ragione del contratto di sua designazione a responsabile del trattamento.

Il consulente del lavoro dovrà predisporre delle misure di sicurezza adeguate al rischio, anche in qualità di responsabile. Quindi adotterà le misure tecniche ed organizzative adeguate tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (v. art. 32, par. 1 del Regolamento). Il Garante riconosce in questo caso, un apprezzabile margine di autonomia e correlativa responsabilità anche con riguardo alla individuazione e predisposizione di idonee misure di sicurezza, sia tecniche che organizzative, a tutela dei dati personali trattati.

(Fonte Garante Privacy)

 

26 Dic 2018

Il Garante per la protezione dei dati personali ha verificato la conformità dei Codici di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici, statistici, scientifici e investigazioni difensive al Regolamento Ue 2016/679 sulla protezione dei dati personali.

La verifica – demandata all’Autorità dal decreto legislativo 101/2018 di adeguamento della normativa nazionale al Regolamento Ue – oltre ad un aggiornamento formale dei riferimenti al nuovo quadro normativo europeo ha comportato la soppressione o la ridefinizione di talune previsioni alla luce del diverso approccio richiesto ai titolari del trattamento dal Regolamento Ue in omaggio ai principi di accountability, privacy by default e by design.

I testi dei Codici deontologici

(Fonte Garante Privacy)

21 Dic 2018

Il Garante Privacy vieta il trattamento dei dati dei dipendenti perchè lesivi della loro dignità, della loro libertà e della loro riservatezza. L’azienda in questione pubblicava nella bacheca aziendale “faccine” e punteggi associati ai volti dei lavoratori. Sistema adottato da una cooperativa toscana che opera nel settore della logistica (pulizie, facchinaggio, traslochi) per valutare l’attività dei propri dipendenti. Ogni settimana la cooperativa affiggeva nella bacheca aziendale un cartello nel quale i volti dei dipendenti erano associati a emoticon che rappresentavano i giudizi, positivi o negativi, espressi dalla cooperativa. Nella bacheca erano affisse anche le eventuali contestazioni disciplinari.

Dagli accertamenti, scattati su segnalazione di alcuni lavoratori, è emerso che la cooperativa aveva messo in atto una sorta di “concorso a premi” obbligatorio per i lavoratori, con relativo prelievo mensile dalla busta paga della quota di partecipazione, e pubblicava nella bacheca aziendale le valutazioni settimanali sull’attività di ciascun dipendente, cui corrispondevano l’attribuzione di un punteggio valido per il concorso, nonché le eventuali contestazioni disciplinari. Le valutazioni, espresse con sei diverse tipologie di emoticon e con giudizi sintetici quali “assenteismo”, “simulazione malattia”, “perdita di lavoro causa scarso servizio o danni”, oppure l’espressione “licenziato”, comparivano accanto alle foto dei dipendenti individuati con cognome e iniziale del nome. La valutazione negativa comportava una decurtazione dallo stipendio.

La sistematica pubblicazione attraverso affissione in bacheca delle contestazioni disciplinari, nonché la contestuale affissione del cartello “Guardiamoci in faccia…soci!”, che associa i volti dei dipendenti a “faccine” accompagnate da giudizi sintetici quali “assenteismo”, “simulazione di malattia”, “perdita del lavoro causa scarso servizio o danni”, “mancato rispetto disposizioni aziendali e/o regolamento”, “mancato rispetto programma di lavoro” (esempi tratti dal “Faccinario 2018” in atti) oppure l’espressione “licenziata” (v. documentazione in atti) costituiscono inoltre – e in definitiva – modalità di trattamento che, nel sottoporre costantemente all’osservazione dei colleghi le valutazioni sulla qualità del lavoro effettuato o sulla correttezza della prestazione, anche nell’ambito di una pubblica competizione premiale, ledono la dignità personale, la libertà e la riservatezza dei lavoratori.

Pertanto i trattamenti effettuati risultano illeciti in relazione agli artt. 5, par. 1, lett. a) e c), 6 e 7 del Regolamento (UE) 2016/679.

Nel disporre il divieto il Garante ha ricordato che il datore di lavoro può trattare le informazioni necessarie e pertinenti per la gestione del rapporto di lavoro in base a quanto previsto dalle leggi, dai regolamenti, dai contratti collettivi e dal contratto di lavoro individuale. Tra questi rientrano senza dubbio i dati necessari ad effettuare la valutazione sul corretto adempimento della prestazione lavorativa e ad esercitare il potere disciplinare nei modi e nei limiti previsti dalla disciplina di settore. Ma non certo la sistematica messa a disposizione sulla bacheca aziendale delle valutazioni e dei rilievi disciplinari a tutti i dipendenti e ad eventuali visitatori, tutti soggetti non  legittimati a conoscere questo tipo di informazioni, peraltro prima della conclusione del procedimento e in assenza di eventuali repliche degli interessati.

(Fonte Garante Privacy)