Videosorveglianza: vietato “spiare” i lavoratori

“Spente” dal Garante presso un call center 4 telecamere, 3 con apparecchi di ripresa audio

Il Garante per la privacy ha vietato l’uso di un sistema di videosorveglianza in grado di captare anche le conversazioni dei dipendenti.

Le telecamere installate presso un call center  all’ingresso della sede e nei locali dove sono collocate le  postazioni di lavoro sono state “spente” dall’Autorità che ha dichiarato illecito il  trattamento dei dati personali dei dipendenti. L’impianto composto da quattro telecamere orientabili e dotate di zoom, di cui tre in grado di captare anche l’audio all’interno del call center, era segnalato da cartelli,  privi  però di alcune informazioni obbligatorie, affissi in prossimità dei luoghi ripresi.

A seguito del divieto del Garante la società non potrà utilizzare i dati personali  trattati in violazione di legge.

L’eventuale riattivazione delle telecamere  dovrà avvenire nel rispetto dello Statuto dei lavoratori, che ammette l’installazione di sistemi audiovisivi, dai  quali  derivi  anche la possibilità di controllo a distanza  dell’attività  dei  lavoratori, solo in presenza di particolari esigenze aziendali

  • organizzative
  • produttive
  • di sicurezza del lavoro

previo accordo  con le rappresentanze sindacali. In assenza di un tale accordo  è necessaria  l’autorizzazione del competente ufficio periferico del Ministero del lavoro.

Dagli accertamenti ispettivi è emerso invece che la società non è stata in grado di dimostrare l’esistenza delle menzionate esigenze aziendali che giustificassero l’installazione dell’impianto, né aveva rispettato la procedura prevista dalla legge. Il trattamento dei dati svolto presso il call center è risultato quindi illecito.

Il sistema effettuava, di fatto, un controllo a distanza dei lavoratori vietato dalla legge, aggravato, peraltro,  dalla presenza di un impianto in grado di captare l’audio di quanto accadeva negli ambienti di lavoro. 

Gli atti riguardanti la società, già sanzionata per non aver informato correttamente i dipendenti della presenza delle telecamere, saranno trasmessi alla magistratura per la valutazione di eventuali profili penali connessi all’installazione del sistema audiovisivo.

 

Per un approfondimento: “Videosorveglianza e Rapporti di Lavoro”

 

 

Annunci

Nuove semplificazioni privacy: forti preoccupazioni del Garante

L’Autorità garante per la protezione dei dati personali esprime forti preoccupazioni sul Ddl semplificazioni, approvato dal Governo, nella parte relativa alle norme sulla privacy.

“Escludere dall’applicazione del Codice in materia di dati personali coloro che agiscono nell’esercizio dell’attività imprenditoriale, anche individuale, anziché semplificare la vita degli imprenditori li priva, in quanto persone fisiche, di ogni garanzia rispetto al trattamento dei loro dati, anche delicatissimi, e si pone in contrasto con la Direttiva europea.”

Ove il testo venisse confermato, l’Autorità garante si vedrebbe costretta a sollevare la questione in sede comunitaria.

Il Provvedimento

Il provvedimento sulle semplificazioni interviene sulla disciplina della riservatezza ed esclude dall’ambito di applicazione del Codice della privacy (DLgs 196/2003) anche gli imprenditori non costituiti in forma societaria.

Questo significa che per trattare i dati delle imprese anche individuali non sarà più necessario rendere una preventiva informativa e/o chiedere il consenso al trattamento, con una eccezione non di poco conto che riguarda il  trattamento dei dati personali di contraenti ed utenti di servizi di comunicazioni elettroniche.

Pertanto: niente email e fax commerciali, senza preventivo consenso del destinatario, anche se imprenditore persona fisica!

Ricapitolando

Se un soggetto economico:

  • tratta dati di persone fisiche  deve applicare in toto la normativa privacy
  • tratta dati di chi agisce nell’esercizio dell’attività di impresa, anche individuale, non deve applicare il Codice Privacy;
  • tratta dati riguardanti contraenti ed utenti di servizi di comunicazioni elettroniche è soggetto all’applicazione del Codice della privacy.

L’Autorità condivide la necessità di ridurre gli oneri a carico delle imprese, ma ritiene che le semplificazioni possano e debbano essere realizzate in forme che non sottraggano tutele, ma agevolino effettivamente l’attività imprenditoriale.

Le continue modifiche alla disciplina della protezione dei dati personali, operate in maniera non organica, rischiano peraltro di determinare difficoltà applicative e dubbi interpretativi tali da vanificare le stesse finalità di semplificazione che si intendono perseguire, come dimostrano gli effetti di alcune recenti modifiche apportate al Codice privacy.

L’Autorità auspica, quindi, che il Parlamento possa correggere il testo conformandolo alle norme europee.

Voli aerei: sì del Garante al “fast boarding” con impronte digitali, ma servono più garanzie per i passeggeri

Il sistema riservato ai clienti “Millemiglia” prevede che il codice criptato dei dati biometrici resti solo nella smart card del cliente.

I passeggeri aerei Alitalia aderenti al programma “Millemiglia” potranno tra non molto usufruire di un sistema di identificazione ai gate di imbarco più veloce, ma per l’avvio del nuovo sistema sono necessari più elevati standard di sicurezza.

Il Garante privacy ha ritenuto conforme alle norme in materia di protezione dei dati personali il nuovo servizio di “fast boarding” realizzato dalla compagnia italiana che prevede l’uso, su base esclusivamente volontaria e sotto forma di codice criptato, delle impronte digitali. L’Autorità ha però prescritto ad Alitalia l’adozione di ulteriori garanzie per una maggiore tutela dei dati dei passeggeri.

Il sistema che Alitalia intende installare ha come obiettivo lo snellimento delle procedure di imbarco e di verifica dell’identità dei passeggeri, sulla scia di quanto si sta già sperimentando da parte di altre compagnie europee.

Gli iscritti al programma “Millemiglia”, interessati all’accesso agevolato, riceveranno una smart card a radiofrequenza (Rfid) nel cui microchip verranno inseriti, oltre ai dati identificativi del cliente già in possesso di Alitalia, anche i template delle impronte digitali.

Al momento dell’accesso al gate di imbarco, i passeggeri verranno identificati attraverso un sistema che confronta le loro impronte digitali con i template memorizzati sulle carte elettroniche. Non sarà creata alcuna banca dati perché il codice criptato dei dati biometrici rimarrà solo sulla smart card e quindi nell’esclusiva disponibilità dei clienti.

I dati nella carta verranno protetti con specifiche misure di sicurezza per minimizzare i rischi di accesso abusivo a queste informazioni particolarmente delicate. Il sistema sarà alternativo e non sostitutivo rispetto a quello di identificazione tradizionale e i passeggeri potranno usufruirne solo dopo aver dato il proprio consenso scritto.

Le misure di sicurezza ulteriori

Il Garante ha comunque prescritto, come condizione per l’avvio del sistema, una serie di misure ulteriori a protezione dei dati dei passeggeri:

  • sulla smart card non dovrà essere riportata alcuna indicazione che renda immediatamente identificabile il passeggero
  • l’informativa resa ai clienti dovrà esser integrata indicando chiaramente le finalità che si intendono perseguire con il nuovo sistema
  • Alitalia dovrà utilizzare i dati biometrici solo nella fase del loro “caricamento” nella carta
  • la compagnia dovrà, infine, adottare idonee misure per inibire immediatamente tutte le funzioni della carta elettronica in caso di furto o smarrimento e dovrà fornire adeguate istruzioni ai passeggeri sulla corretta custodia della carta e sugli adempimenti in caso di perdita.

Privacy: Google non rispetta le regole!

I Garanti europei a Google: le nuove regole privacy non rispettano la Direttiva europea: Informative agli utenti insufficienti e incrocio dei dati fuori controllo

Le nuove regole sulla privacy decise da Google non sono adeguate a tutelare gli utenti europei. Lo affermano i Garanti Ue che hanno chiesto alla società di Mountain View:

  • di farsi parte attiva nella tutela della privacy e
  • di rendere conforme alla Direttiva sulla protezione dei dati personali le nuove regole, operative dallo scorso marzo.

La nuova “privacy policy, adottata unilateralmente da Google, consente alla società di incrociare in via generalizzata i dati degli utenti che utilizzano qualsiasi servizio (da Gmail a YouTube a Google Maps solo per citarne alcuni).

La lettera inviata a Google, sottoscritta dai Presidenti di tutte le Autorità per la protezione dei dati personali dell’Ue, Italia inclusa, conferma le forti preoccupazioni espresse nei mesi scorsi sui possibili rischi per la privacy degli utenti europei derivanti dall’attività di combinazione dei dati.

Le criticità

Sono numerosi infatti i profili di criticità emersi dagli accertamenti, condotti anche con la collaborazione di Google, e “permangono – come scrivono i Garanti Ue – alcune aree grigie”.

Google usa i dati degli utenti:

  • raccogliendoli in maniera massiva e su larghissima scala
  • in alcuni casi senza il loro consenso
  • conservandoli a tempo indeterminato
  • non informando adeguatamente gli utenti su quali dati personali vengono usati e per quali scopi
  • non consentendo quindi di capire quali informazioni siano trattate specificamente per il servizio di cui si sta usufruendo.

Le Autorità raccomandano a Google di adottare rapidamente una serie di garanzie a tutela della privacy degli utenti.

 

Le richieste dei Garanti europei

Mountain View dovrebbe, in particolare:

  • inserire informative privacy all’interno dei singoli prodotti, anche mediante dispositivi informatici;
  • fornire informazioni accurate riguardo ai dati più a rischio, come quelli sulla localizzazione e quelli sui pagamenti on line;
  • adattare le informative alle tecnologie mobili.

L’incrocio dei dati degli Utenti

Google dovrebbe chiarire agli utenti, inoltre, le finalità e le modalità di combinazione dei dati tratti dai vari servizi forniti e mettere quindi a punto strumenti per consentire agli utenti un più stretto controllo sui propri dati personali.

A tale scopo, i Garanti raccomandano alla società di adottare meccanismi semplificati di “opt out” (opposizione al trattamento dei loro dati), sia che l’utente sia iscritto o meno ad un servizio, e di ottenere il consenso espresso degli utenti all’incrocio dei dati.

L’Autorità Garante italiana, che ha incontrato nei giorni scorsi i rappresentanti di Google, sta seguendo con grande attenzione gli sviluppi della questione.

“Google tratta i dati di milioni di utenti sparsi nel mondo i quali non sempre sono consapevoli dell’uso che viene fatto delle loro informazioni personali. Per questo è indispensabile che operi in modo corretto e nel rispetto dei diritti fondamentali, così come riconosciuti dall’Unione europea” – afferma il Presidente dell’Autorità italiana, Antonello Soro. “L’azione coordinata delle Autorità europee svolta nei confronti di Google rappresenta in questo senso un messaggio importante ai grandi colossi della rete affinché accettino la sfida di una nuova policy più responsabile e attenta alla dignità delle persone”.

 

Rilevazione impronte digitali e videosorveglianza in un liceo di Roma. Il Garante apre un’istruttoria

Il Garante per la protezione dei dati personali ha aperto un’istruttoria a seguito di una segnalazione nella quale si lamenta che presso un liceo di Roma sarebbe stata effettuata una raccolta di dati biometrici di alcuni docenti finalizzata all’installazione di un sistema di rilevazione delle presenze del personale.

Nella segnalazione si lamenta inoltre la presenza di telecamere di sorveglianza posizionate senza alcuna comunicazione al personale.

L’Autorità ha quindi chiesto al Dirigente dell’istituto scolastico di comunicare notizie utili alla valutazione del caso, al fine di verificare

  • il rispetto delle procedure previste per legge riguardo all’installazione dei dispositivi biometrici e
  • la liceità del trattamento dei dati dei dipendenti alla luce dei principi di necessità, proporzionalità e pertinenza.

L’Istruttoria del Garante

Per quanto riguarda la rilevazione delle impronte digitali l’Autorità intende verificare, in particolare, se il trattamento dei dati biometrici sia stato effettivamente svolto, l’eventuale data di inizio e i soggetti nei confronti dei quali sarebbe stato effettuato, le caratteristiche tecniche e le ragioni che ne hanno determinato l’adozione.

Con riferimento invece al sistema di videosorveglianza l’Autorità vuole accertare il rispetto del provvedimento generale del 2010 e della normativa posta a tutela dei lavoratori.

Per approfondimenti:

 

“Centrali rischi”: i database devono essere aggiornati

I ritardi di due rate, poi sanati, vanno cancellati dopo un anno

I dati registrati nei Sistemi di informazioni creditizie (Sic), le vecchie “centrali rischi” private, devono essere esatti e puntualmente aggiornati. Le informazioni su ritardi nella restituzione di un prestito quando riguardano non più di due rate poi pagate, non possono essere conservate oltre un anno.

Il principio è stato affermato dal Garante per la privacy intervenuto a seguito del ricorso di un cittadino che si era rivolto all’Autorità ritenendo illegittima la presenza del suo nominativo in un Sic oltre il temine previsto dal codice deontologico.

Nonostante, infatti, una prima richiesta di cancellazione indirizzata, come prevede la normativa, dal ricorrente direttamente alla “centrale rischi”privata,  la segnalazione continuava ad essere presente nel data base della società, l’archivio elettronico nel quale confluiscono informazioni sui cittadini che chiedono un prestito personale o un mutuo e al quale accedono banche e finanziarie per verificarne l’affidabilità e la solvibilità prima di concedere finanziamenti.

E’ stato quindi necessario l’avvio di un’istruttoria e l’invito del Garante a soddisfare le richieste del ricorrente per far attivare la centrale rischi, che dopo aver effettuato una verifica con la società finanziaria che aveva segnalato i ritardi nei pagamenti, ha  aggiornato il rapporto di credito, censendolo senza alcuna segnalazione di insolvenza.

Poiché la centrale rischi ha cancellato le informazioni negative, l’Autorità ha  dichiarato non luogo a provvedere sul ricorso, ma ha comunque addebitato al Sic le spese del procedimento, determinate in 500 euro, da rifondere direttamente al ricorrente.

 

 

 

 

 

Banche: cassette di sicurezza “self service” con le impronte digitali

Sì del Garante, ma il dato biometrico criptato deve essere solo nella smart card del cliente

Il Garante privacy ha autorizzato una banca ad installare un sistema automatizzato per la gestione delle cassette di sicurezza che consente ai clienti, attraverso l’uso delle impronte digitali, l’accesso tutti i giorni dell’anno, 24 ore su 24,  senza l’intervento del personale dell’istituto di credito.

Il sistema, sottoposto a verifica preliminare dell’Autorità,  non comporta la creazione di un archivio centralizzato di dati biometrici, poiché l’impronta digitale, o meglio il codice numerico (template) da essa ricavato alla prima rilevazione, è conservato esclusivamente nella smart card in possesso del cliente.

Per accedere alle cassette di sicurezza  il cliente deve procedere alla propria “autenticazione”mediante un codice PIN e al confronto tra la propria impronta digitale e il template  memorizzato sulla smart card. A quanti, invece, non vogliono o non possono avvalersi del sistema di riconoscimento biometrico sarà comunque garantita una modalità di accesso alternativo alle cassette di sicurezza, in tal caso però fruibile solo durante l’orario di sportello e previa identificazione personale.

Liceità del trattamento

Nel dare il via libera al progetto, l’Autorità ha ritenuto lecito e proporzionato il trattamento di dati biometrici dei clienti, ai quali va richiesto un consenso scritto.

In particolare è lecita – secondo il Garante – la finalità perseguita dalla banca di voler innalzare il livello di sicurezza e poter così coniugare la tutela dei beni  conservati nelle cassette con l’utilità di garantire alla clientela un servizio continuativo.

Proporzionalità del trattamento

Il trattamento inoltre – sempre a parere del Garante –  è risultato proporzionato, poiché non è prevista la conservazione dei dati biometrici in archivi centralizzati ma il dato criptato dell’impronta è memorizzato esclusivamente nella smart card. 

Previsione di una procedura alternativa

All’istituto di credito è stato inoltre prescritto di informare chiaramente i clienti  della possibilità di un accesso alternativo alle cassette di sicurezza  senza rilevazione delle impronte e  di notificare all’Autorità il trattamento dei dati biometrici prima dell’inizio delle operazioni.

La banca dovrà infine designare per iscritto il personale incaricato del trattamento dei dati e fornire loro adeguate istruzioni alle quali attenersi.