No all’uso delle impronte digitali per controllare le presenze dei lavoratori

Le imprese che intendono adottare sistemi di lettura delle impronte digitali per verificare la presenza in servizio dei dipendenti devono prima dimostrare che le finalità di controllo non possano essere realizzate con sistemi meno invasivi.

Questa la decisione Garante (Verifica Preliminare ex Art. 17 DLgs 196/2003, 17 novembre 2010) che ha respinto le richieste di verifica preliminare con le quali due società (un’impresa di autotrasporti e la sua capogruppo) chiedevano di poter usare un meccanismo di autenticazione biometrico.

La sopra citata decisione conferma il principio generale delineato nel Comunicato Stampa del Garante 25 luglio 2005 secondo il quale è vietato l’uso generalizzato delle impronte digitali dei dipendenti per controllare le presenze sul luogo di lavoro. Tale sistema è troppo invasivo della sfera personale e della libertà individuale.

Per raggiungere lo stesso scopo si possono adottare altre tecniche più proporzionate ed ugualmente efficaci.

Con questa motivazione il Garante privacy con un proprio Provvedimento (relatore Mauro Paissan) ha vietato il trattamento dei dati biometrici ad una industria del settore costruzioni con circa trecento dipendenti, che intendeva utilizzare le impronte per controllare gli orari di ingresso e uscita dei propri dipendenti dai luoghi di lavoro. L’impresa intendeva con questo metodo prevenire alcune condotte abusive (scambio dei badge) e ovviare allo smarrimento delle tessere magnetiche in uso.

“Il provvedimento del Garante (commenta il relatore Mauro Paissan) chiarisce ancora una volta che non è lecito l’uso generalizzato e incontrollato dei dati biometrici. Nel caso specifico, esistono molti altri sistemi altrettanto rigorosi per controllare gli ingressi nei luoghi di lavoro, senza mettere a rischio la dignità stessa dei lavoratori interessati“.

L’azienda, secondo quanto previsto dal Codice sulla privacy per questo delicato tipo di trattamento di dati, aveva presentato all’Autorità una richiesta di verifica preliminare di conformità alle norme della tecnologia proposta. Il sistema prevedeva la raccolta dell’impronta di ciascun dipendente e la sua trasformazione in un codice numerico poi memorizzato, senza cifratura, nella banca dati aziendale. A ciascun ingresso in azienda i lettori elettronici avrebbero rilevato l’impronta e “letto” il codice da questa ricavato.

Nel corso dell’istruttoria svolta dal Garante non sono emersi elementi che potessero giustificare la richiesta di introdurre la rilevazione di dati biometrici, come ad esempio accessi ad aree dell’azienda che richiedono standard di sicurezza particolarmente elevati in ragione di specifiche circostanze o attività svolte.

Il trattamento è risultato, in altri termini, sproporzionato e non necessario rispetto agli scopi perseguiti.

Forti perplessità sono state sollevate dal Garante anche per quanto riguarda lo stesso funzionamento del sistema che non assicurava:

  • una rigorosa garanzia di affidabilità ed integrità dei dati,
  • adeguate misure di sicurezza a protezione della rete di comunicazione elettronica sulla quale i dati sono trasmessi, non criptati, dai singoli lettori al sistema centrale.

Trattamento sproporzionato anche per quanto riguarda le modalità tecniche prefigurate.

Alla centralizzazione nella banca dati dei codici identificativi generati dall’esame dell’impronta, si sarebbe potuto ovviare, infatti, con la memorizzazione su un supporto digitale da assegnare al lavoratore e tale da rimanere nella sua esclusiva disponibilità. Ciò per evitare gravi ripercussioni per i diritti individuali in caso di violazione delle misure di sicurezza, di accessi di persone non autorizzate o comunque di abuso delle informazioni memorizzate.

Inoltre, contrariamente a quanto dichiarato dalla società i lavoratori non sarebbero stati liberi di aderire o meno a tale sistema di rilevazione delle presenze.

Annunci

Il Garante privacy: più tutele per i Lavoratori

Troppe violazioni, servono più tutele per i dipendenti.

Redatto il Disciplinare sull’Uso di Internet e Posta Elettronica? Adottate le Nuove misure necessarie per gli Amministratori di Sistema?

Ecco un caso emblematico nel quale troppi Titolari di trattamento potranno riconoscersi.

Il Garante privacy che con un recente Provvedimento ha vietato all’Istituto Poligrafico alcuni trattamenti illeciti effettuati sui dati personali dei dipendenti.

La decisione è stata adottata dall’Autorità a seguito di accertamenti effettuati per verificare la corretta applicazione da parte dell’Istituto della normativa in materia di protezione dei dati personali riguardo:

  • all’utilizzo di Internet e posta elettronica aziendale,
  • ai sistemi di telefonia su Internet (Voip),
  • alla correttezza dell’operato degli amministratori di sistema.

Il Provvedimento del Garante è stato trasmesso alla magistratura per le valutazioni di competenza.

Fatto

Nel corso degli accertamenti è emerso che, attraverso un sistema di filtraggio che consentiva la memorizzazione degli indirizzi delle pagine web effettivamente visitate o anche semplicemente richieste, il Poligrafico:

  • monitorava in modo sistematico e a insaputa dei dipendenti le attività su Internet, conservando le informazioni per un ampio periodo di tempo;
  • conservava per un tempo indeterminato i numeri di telefono chiamati da ogni dipendente tramite Voip e la durata delle singole conversazioni.

Trattamenti questi, non consentiti dallo Statuto dei lavoratori, che vieta il controllo a distanza dei lavoratori, ammettendolo solo in casi particolari e con l’adozione di necessarie garanzie.

I dati trattati dall’Istituto in violazione di legge non potranno quindi essere più utilizzati. Il Poligrafico potrà conservare le informazioni finora  raccolte solamente in vista di una eventuale acquisizione da parte dell’autorità giudiziaria.

Contestualmente al divieto, l’Autorità ha ordinato al Poligrafico:

Con riferimento ai fatti accertati è stato infine avviato un procedimento sanzionatorio per violazione degli obblighi di informativa e inosservanza dei provvedimenti dell’Autorità.

 

DLgs 231/2001: Obbligo o Opportunità?

Gli Obblighi di conformità al DLgs 231/2001

E’ opportuno chiarire subito che, al momento, la normativa non prevede alcun obbligo per le persone giuridiche “private”. I casi di obbligo di conformità però esistono ed, attualmente, derivano da  requisiti emessi dalla Borsa Italiana e da alcune Regioni, tra cui la prima è stata la Regione Lombardia. 

L’importanza del Dlgs 231/01 continua a crescere in relazione all’aumento:

  • dell’obbligatorietà per alcune casistiche
  • della giurisprudenza in materia ed dell’applicazione di sanzioni amministrative e penali
  • delle tipologie di rischi di reato considerati dalla normativa in continuo aggiornamento
  • delle relazioni con altre normative, quali quelle relativi alla Sicurezza e Tutela della Salute nei luoghi di lavoro, alla Privacy, alla Traccabilità dei flussi finanziari, degli Appalti Pubblici, etc, o norme tecniche (ISO 9001, ISO 14001; OHSAS 18001:2007; SA 8000, ISO 26000, etc)
  • Da linee guida emanate dalla Pubblica Amministrazione o Associazioni di Categoria
  • della sensibilizzazione dovuta alla crisi finanziaria ed ai fatti di cronaca relativi a illeciti aziendali

Hanno l’obbligo di conformità ai requisiti del D.lgs 231/01 le Società Quotate nella Borsa Italiana nel segmento STAR e gli Enti accreditati dalla Regione Lombardia per la filiera formazione – lavoro.

A livello Istituzionale Nazionale, lo Stato Italiano ha emesso il Codice di comportamento dei dipendenti delle pubbliche amministrazioni, con Decreto 28 novembre 2000 Presidenza del Consiglio dei Ministri. A tale Codice di Comportamento è opportuno fare riferimento nel caso l’Azienda abbia relazioni importanti con la Pubblica Amministrazione in caso di gare di appalto, subappalti, concessioni, autorizzazioni, finanziamenti o contributi

La Regione Lombardia si segnala come particolarmente attenta al tema; ha infatti emesso due Linee Guida per lo Sviluppo di Modelli Organizzativi e Gestionali secondo il DLgs 231/01:

  • Linee Guida Regionali per lo Sviluppo del  Codice Etico e dei Modelli di Organizzazione e Controllo nelle ASL e nelle Aziende Ospedaliere.
  • Linee Guida Regione Lombardia per la realizzazione di modelli organizzativi, di gestione e controllo D.lgs 231/01 per enti accreditati nella filiera formazione-lavoro

Non è difficile prevedere che altre tipologie di enti accreditati dalla Regione, per servizi diversi da formazione, lavoro e sanitari (quali gli asili nido, le scuole secondarie superiori o universitarie) possano in futuro dover rispondere a requisiti di  conformità anche nei confronti del DLgs 231/01

Altre Regioni hanno introdotto l’obbligo dell’adeguamento al DLgs 231/01 per alcuni enti ed aziende (Regione Abruzzo, Sicilia e Piemonte)

Per quanto riguarda invece il settore privato sono sempre più numerosi i casi di aziende quotate , anche non necessariamente nel segmento STAR, che si  adeguano spontaneamente al DLgs 231/01 per tutelare l’Azienda dai rischi e che richiedono ai propri fornitori l’adeguamento al DLgs 231/01 come requisito di qualificazione nel loro albo fornitori (Enel, ENI). Analogo comportamento è stato seguito anche da alcuni Ospedali e Cliniche Private convenzionate.

Vantaggi dell’adozione dei Modelli Organizzativi ex DLgs 231/2001

Dotarsi e far rispettare un Modello Organizzativo non è solo una via per essere esonerati dalle responsabilità previste dal DLgs 231/2001. Un approccio all’introduzione del Modello non limitato all’obiettivo di difesa dalle sanzioni determina il conseguimento di molti ulteriori vantaggi che possono contribuire in modo significativo al miglioramento dei risultati aziendali.

Tra i principali vantaggi che si possono ottenere:

  • limitazione dei rischi aziendali e sanzionatori (permette una razionalizzazione dei processi ai fini della riduzione dei rischi)
  • semplificazione organizzativa (favorisce la realizzazione di un’impostazione organizzativa unitaria, superando la contemporanea presenza di procedure spesso contrastanti tra loro, quali ad esempio, procedure sicurezza, procedure privacy, procedure qualità)
  • aumento dell’efficienza aziendale (favorisce la condivisione delle informazioni e la definizione di attività di controllo interno);
  • creazione di vantaggi competitivi (migliora l’immagine dell’azienda nei rapporti con i clienti e con tutti i portatori d’interesse, con conseguente generazione di nuove opportunità di affari). Può essere richiesto come requisito di qualificazione nell’albo fornitori dei committenti
  • facilitazione dell’accesso al credito bancario (la presenza di un efficace Modello Organizzativo è un parametro importante di valutazione per la concessione del credito)

 

DLgs 231/01: La Responsabilità in Sede penale di Società e Persone Giuridiche

Cos’è il DLgs 231/01

Il DLgs 231:2001 ha rivoluzionato la normativa Italiana, estendendo  la responsabilità amministrativa in sede penale anche alle Aziende, per alcuni reati commessi nell’ interesse o a vantaggio delle stesse, da persone in posizione apicale o subordinata. In caso di reato sarà quindi responsabile in sede penale sia la persona fisica sia la persona giuridica.

Il decreto prevede una sistema sanzionatorio molto pesante di carattere sia pecuniario sia interdittivo per le Imprese, con sanzioni:

  • oltre 1.000.000 di euro,
  • interdizione sino ad un anno dell’attività e/o
  • il divieto a lavorare con la Pubblica Amministrazione.

Le fattispecie di reato considerate sono oltre un centinaio e comprendono, oltre ai reati colposi in materia di Igiene e Sicurezza sul Lavoro, anche, fra gli altri:

  • reati contro la Pubblica Amministrazione,
  • reati informatici e trattamento illecito dei dati,
  • reati societari,
  • Reati contro l’industria ed il Commercio,
  • Reati Ambientali (da agosto 2011)

In caso il reato sia commesso da persona in posizione apicale, un eventuale processo parte dalla “presunzione di colpevolezza”, l’onere della prova di innocenza è a carico dell’Azienda!

L’Azienda non risponde penalmente se dimostra che

  • ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi;
  • il compito di vigilare sul funzionamento e l’osservanza dei modelli di curare il loro aggiornamento e’ stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo (Organismo di Vigilanza),
  • ha introdotto un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello

A chi è rivolto il DLgs 231/01

Chi sono i soggetti interessati? Il Dlgs 231/01 si applica a tutti gli  Enti forniti di personalità giuridica, alle Società ed alle Associazioni anche prive di personalità giuridica. La normativa vale anche per sedi Italiane di Società Estere. Il bacino dei destinatari potenziali è quindi davvero molto ampio

In sostanza:

  • Società di capitali e di persone
  • Associazioni anche prive di personalità giuridica
  • ATI e ATS
  • Enti pubblici economici (enti a soggettività pubblica ma privi di poteri pubblici)
  • Agenzie pubbliche (ASL)
  • Aziende pubbliche per la gestione di servizi pubblici (aziende speciali)
  • Enti pubblici autarchici (INPS, INAIL, ISTAT, etc)

Pericoli alla viabilità stradale: sì all’uso di sms per avvisare la popolazione

Il Centro di coordinamento nazionale per la viabilità (“Viabilità Italia”), costituito presso il Ministero dell’Interno, potrà inviare sms utili alla gestione di situazioni di crisi della viabilità a tutte le persone presenti sul  territorio interessato dall’emergenza.

“Viabilità Italia”, in seguito a una ordinanza contingibile e urgente emanata da una autorità di pubblica sicurezza, possa chiedere alle società telefoniche di individuare i cellulari dei clienti presenti nell’area di crisi per allertarli via sms sulla situazione di emergenza o di imminente pericolo.Il Garante della privacy ha espresso parere favorevole sullo schema di convenzione stipulato tra “Viabilità Italia” e le società telefoniche. Lo schema – che tiene conto delle osservazioni formulate dall’Autorità al Ministero – stabilisce che

Il Garante ha ritenuto che, trattandosi di messaggi inviati in presenza di casi eccezionali e sulla base di una provvedimento d’urgenza della autorità pubblica competente, gli operatori telefonici e quelli che forniscono  servizi di comunicazione elettronica non hanno l’obbligo di acquisire il consenso al trattamento dei dati personali prima di poter contattare la popolazione che si trova nell’area di crisi.

Al fine di evitare eventuali abusi, nella convenzione viene comunque specificato che la comunicazione inviata dagli operatori telefonici dovrà attenersi rigorosamente al contenuto dell’ordinanza e all’area geografica indicata. Il trattamento dei dati delle persone interessate dovrà inoltre avvenire nel pieno rispetto della normativa sulla privacy e dello specifico Provvedimento, adottato dal Garante nel 2003, in materia di sms di pubblica utilità.