Lavoro, “timbrare” con la app: ok, ma solo con adeguate garanzie

cartellino_timbro_fotogramma-krab-835x437ilsole24ore-webDue società appartenenti a un gruppo che si occupa di ricerca, selezione e somministrazione di lavoro a tempo determinato potranno chiedere ai propri dipendenti – impiegati presso altre ditte o che svolgono sistematicamente attività “fuori sede” – di installare una app sugli smartphone di loro proprietà,  ai fini della rilevazione di inizio e fine dell’attività lavorativa.

Chi non intende scaricare la app potrà continuare a entrare e uscire dal posto di lavoro impiegando i sistemi tradizionali in uso.

Lo ha stabilito il Garante privacy che ha accolto, in applicazione della disciplina sul cosiddetto “bilanciamento di interessi”, un’istanza di verifica preliminare presentata dalle due società e ha dettato una serie di misure a tutela dei lavoratori.

Con l’adozione della app, che prevede l’uso dei dati di geolocalizzazione, le società intendono snellire le procedure relative alla gestione amministrativa del personale, di volta in volta collocato presso altre ditte o semplificare e rendere più efficiente la rilevazione della presenza dei dipendenti che lavorano per lo più all’esterno della sede aziendale.

Il Garante ha tuttavia prescritto alle società di perfezionare il sistema nella prospettiva della “privacy by design”, applicando il principio di necessità e anche alla luce dei possibili errori nell’accuratezza dei sistemi di localizzazione.

In particolare, verificata la associazione tra le coordinate geografiche della sede di lavoro e la posizione del lavoratore, il sistema

  • potrà conservare ˗ se del caso ˗ il solo dato relativo alla sede di lavoro (oltre a data e orario della “timbratura” virtuale),
  • cancellando il dato relativo alla posizione del lavoratore.

Inoltre, sullo schermo del  telefonino dovrà essere sempre ben visibile un’icona che indichi che la funzione di localizzazione è attiva.

L’applicazione dovrà poi essere configurata in modo tale da impedire il trattamento, anche accidentale, di altri dati contenuti nel dispositivo di proprietà del lavoratore (ad esempio, dati relativi al traffico telefonico, agli sms, alla posta elettronica, alla navigazione in Internet o altre informazioni presenti sul dispositivo).

Prima dell’avvio del nuovo sistema di accertamento delle presenze, le società dovranno effettuare la notificazione al Garante, indicando i tipi di trattamenti e le operazioni che intendono compiere, e fornire ai dipendenti  un’informativa comprensiva di tutti gli elementi (tipologia dei dati, finalità e modalità del trattamento, tempi di conservazione, natura facoltativa del conferimento, soggetti che possono venire a conoscenza dei dati in qualità di responsabili o incaricati del trattamento).

Le società dovranno, infine, adottare tutte le misure di sicurezza previste dalla normativa per preservare l’integrità dei dati e l’accesso a persone non autorizzate.

Annunci

Rc auto: app su stile di guida, solo se garantisce la privacy

image_gallery

Il software proposto da una assicurazione per ottenere sconti sulle polizze

Una compagnia assicurativa, la Zuritel s.p.a,  potrà attivare una app per monitorare lo stile di guida degli utenti che decideranno di installarla sul proprio smartphone e proporre a ai più prudenti e attenti al Codice della strada dei buoni sconto per l’acquisto di polizze auto. La società dovrà però informare correttamente i guidatori, limitare i tempi di conservazione dei dati e garantire la privacy degli automobilisti.

Il progetto, sottoposto alla verifica preliminare del  Garante per la privacy [doc. web n. 5175960], prevede lo sviluppo di un’applicazione gratuita da installare sul cellulare, che attribuisce un diverso punteggio basato sullo stile di guida rilevato, e consente agli utenti la visualizzazione dei luoghi in cui si sono verificati eventi potenzialmente rischiosi (quali inversioni ad U, brusche frenate e accelerate).

Obiettivo dichiarato della società quello di:

  • promuovere modalità di guida più sicure, 
  • contribuire a un minor consumo di carburante e
  • offrire al contempo ai guidatori che hanno raggiunto un certo punteggio eventuali promozioni per l’acquisto di una polizza auto.

La società potrà attivare l’applicativo solo dopo averlo modificato per garantire maggiormente la riservatezza degli automobilisti come richiesto dal Garante.

Il partner tecnologico coinvolto nella fornitura del servizio, ad esempio:

  • non potrà conservare i dati sulla geo-localizzazione dei guidatori per più di 90 giorni e
  • potrà trasmettere alla compagnia assicuratrice informazioni statistiche sulle strade percorse esclusivamente dopo aver anonimizzato i dati, eliminando così ogni riferimento agli automobilisti.

I dati necessari a contattare gli utenti che manifesteranno uno specifico consenso alla profilazione del loro stile di guida per finalità di marketing potranno invece essere conservati dalla compagnia assicuratrice al massimo per un anno.

Il Garante ha infine prescritto alla società assicuratrice di modificare l’informativa fornita agli utenti che decideranno di installare l’applicativo, chiarendo con precisione quali dati personali saranno trattati e per quale finalità.

Tali indicazioni, ad esempio, non dovranno limitarsi a riportare generici riferimenti al monitoraggio dello “stile di guida”,  ma dovranno specificare i parametri su cui sarà basata la profilazione del guidatore, come:

  • il tipo di strada percorsa,
  • le accelerazioni e le frenate brusche,
  • l’eventuale superamento della velocità consentita.

 

Privacy e app: le Authority europee intervengono

impatto-ambientale-di-smartphone-e-tabletIl consenso libero ed informato degli utenti finali è essenziale per garantire il rispetto della legislazione europea sulla protezione dei dati.

Le Autorità europee per la protezione dei dati, riunite nel Gruppo Articolo 29, hanno adottato un parere che esamina i rischi fondamentali per la protezione dei dati derivanti dalle applicazioni per terminali mobili. Nel parere sono indicati gli obblighi specifici che, in base alla legislazione Ue sulla privacy, sviluppatori, ma anche distributori e produttori di sistemi operativi e apparecchi di telefonia mobile, sono tenuti a rispettare. Particolare attenzione viene posta nel parere alle applicazioni rivolte ai minori.

Chi possiede uno smartphone ha normalmente attive in media circa 40 applicazioni. Queste applicazioni sono in grado di raccogliere grandi quantità di dati personali: ad esempio, accedendo alle raccolte di foto oppure utilizzando dati di localizzazione

MobileApplicationsApps carousel-304I rischi per la privacy delle applicazioni per smartphone

Gli smartphone e i tablet contengono grandi quantità di dati molto personali che riguardano direttamente o indirettamente gli utenti: indirizzi, dati sulla localizzazione geografica, informazioni bancarie, foto, video. Smartphone e tablet sono, inoltre, in grado di registrare o catturare in tempo reale varie tipologie di informazioni attraverso molteplici sensori quali microfoni, bussole o altri dispositivi utilizzati per tracciare gli spostamenti dell’utente. Anche se l’obiettivo degli sviluppatori è rendere disponibili servizi nuovi e innovativi, le app possono comportare rischi significativi per la privacy e la reputazione degli utenti.

La legislazione sulla privacy Ue prevede che ogni persona ha il diritto di decidere sui propri dati personali. Le applicazioni, dunque,  per trattare i dati degli utenti devono:

  • prima fornire informative adeguate, in modo da
  • ottenere un consenso che sia veramente libero e informato.

Un altro rischio per la protezione dei dati deriva da misure di sicurezza insufficienti. Insufficienza che  può comportare trattamenti non autorizzati di dati personali a causa della tendenza a raccogliere quantità sempre più consistenti di informazioni e della elasticità e genericità degli scopi per i quali queste vengono raccolte, ad esempio a fini di  “ricerche di mercato”. Tutto ciò aumenta la possibilità di violazioni dei dati.

2-22-2011appstoresObblighi e raccomandazioni

Il parere individua precise raccomandazioni e obblighi per ciascuno degli attori coinvolti, evidenziando che la protezione di dati personali degli utenti e la relativa sicurezza sono il risultato di azioni coordinate di sviluppatori, produttori dei sistemi operativi e distributori (“app stores”)  che devono durare nel tempo, e non la semplice applicazione di regole una tantum. In particolare, sono richiamati gli obblighi sull’informativa e sul consenso riguardo:

  • all’archiviazione di informazioni sui terminali degli utenti,
  • per l’utilizzo da parte delle app di dati di localizzazione o delle rubriche dei contatti.

best practiseBest practices

Si raccomandano inoltre alcune “buone pratiche” che devono intervenire sin dalle fasi iniziali di sviluppo delle app, quali:

  • l’impiego di identificativi non persistenti, in modo da ridurre al minimo il rischio di tracciamenti degli utenti per tempi indefiniti,
  • la definizione di precisi tempi di conservazione dei dati raccolti,
  • l’impiego di icone “user friendly” per segnalare che specifici trattamenti di dati sono in corso (ad es. dati di geolocalizzazione).

In caso di app rivolte specificamente ai minori, si ribadisce la necessità del consenso dei genitori.

Si sottolinea, infine, la necessità di una più efficace assistenza all’utente mediante la designazione di “punti di contatto” presso gli “stores” che consentano agli utenti di risolvere in modo rapido problemi legati al trattamento di dati personali da parte delle app installate.