Jobs act, controlli più facili su pc e telefoni

smartphone-tablet-pc-persona-corbis-kV2H--258x258@IlSole24Ore-WebSi apre ai controlli a distanza attraverso gli strumenti di lavoro, cioè pc, tablet, telefoni aziendali (senza più passare per accordi sindacali o ispettorato del lavoro). Ma si chiede all’azienda un preciso documento di policy da consegnare ai dipendenti.

Resterebbe, a livello di principio generale, il divieto di controllo tramite impianti direttamente «finalizzati» alla vigilanza sulla prestazione di lavoro (le cosiddette telecamere che riprendono l’impiegato).

Qui, però, si ammetterebbe una deroga:

  • nei casi in cui c’è un’autorizzazione sindacale o amministrativa all’impianto delle apparecchiature 
  • purché legate a esigenze di sicurezza e prevenzione.

E si prova a chiarire, per via legislativa, il contrasto giurisprudenziale sull’utilizzo dei controlli: si specificherebbe che gli esiti di tali controlli, sia se ottenuti attraverso impianti o strumenti di lavoro, autorizzati o meno, si potranno utilizzare a tutti i fini, quindi anche per ricavarne informazioni potenzialmente rilevanti sul piano disciplinare.

I tecnici di palazzo Chigi e ministero del Lavoro stanno mettendo a punto il Dlgs di semplificazione degli adempimenti in materia di lavoro, atteso sul tavolo del Consiglio dei ministri i primi di giugno, assieme agli ultimi tre Dlgs attuativi del Jobs act (riordino della cassa integrazione, politiche attive e agenzia unica ispettiva).

Il piatto forte del provvedimento sulle semplificazioni è l’aggiornamento dell’articolo 4 dello Statuto dei lavoratori sui controlli a distanza. Una norma datata 1970, emanata quindi in tempi e con riferimento a un contesto tecnologico e produttivo completamente diverso da quello presente.

L’attuale articolo 4 dello Statuto, infatti, vieta, o limita tantissimo, l’uso di impianti audiovisivi o di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori (possono essere installati solo per ragioni di sicurezza o in rare altre eccezioni, sempre comunque previo accordo con le rappresentanze sindacali aziendali o, in assenza, con l’ok dell’ispettorato del lavoro). Un freno considerato come le nuove tecnologie siano ormai parte integrante dell’organizzazione del lavoro. E anche il Garante della privacy ha dettato specifiche disposizioni a tutela della riservatezza dei lavoratori.

L’ipotesi su cui sta lavorando il governo è aggiornare l’articolo 4 distinguendo i controlli sugli impianti da quelli sugli strumenti di lavoro:

  1. i controlli sui primi, finalizzati alla vigilanza sulla prestazioni di lavoro, sarebbero vietati. Tranne il caso in cui, con un’autorizzazione sindacale o amministrativa, le telecamere servano per garantire la sicurezza;
  2. si “sdoganerebbero” del tutto invece i controlli sugli strumenti di lavoro, per i quali non sarebbero più richieste autorizzazioni di sorta.

«Qui però sarebbe opportuno liberalizzare anche i controlli sulle apparecchiature, come badge e rilevatori di presenza, che non rientrano nell’articolo 4 dello Statuto – sottolinea Arturo Maresca (ordinario di diritto del Lavoro, Sapienza, Roma) -. Inoltre, è positivo aver chiarito l’utilizzabilità degli esiti dei controlli anche ai fini disciplinari. Ma la disposizione deve essere inderogabile, e quindi non modificabile dai contratti collettivi».

Anche per Sandro Mainardi (ordinario di diritto del Lavoro, università di Bologna) l’apertura sui controlli attraverso pc, telefonini e tablet «sarebbe una vera novità:

  • da un lato, perché la strumentazione deve essere destinata allo svolgimento della prestazione e non ad altri fini illeciti;
  • dall’altro perché essendo la proprietà di tali beni/strumenti di matrice aziendale deve pur essere concesso un controllo sull’utilizzo della stessa».

Certo, resta il tema della privacy e della informazione preventiva: «Qui il legislatore – aggiunge Mainardi – se la potrebbe cavare traducendo in precetto le buone pratiche da tempo suggerite in termini di policy aziendali dal Garante».

Per gli esperti è positivo anche il chiarimento sull’utilizzo degli esiti delle verifiche: «Si potrebbe superare il dibattito giurisprudenziale sui “controlli difensivi”, e soprattutto circa la liceità della prova “elettronica” offerta in giudizio da parte del datore, laddove essa sia davvero significativa di inadempimento certo da parte del lavoratore».

Annunci

No allo spam, sì a offerte commerciali “amiche” dei consumatori

spam (1)Le Linee guida del Garante privacy contro le offerte commerciali indesiderate

Offerte commerciali a utenti di social network o di servizi di messaggistica come Skype e WhatsApp solo con il loro consenso; no a e-mail e sms indesiderati; maggiori controlli da parte di chi commissiona le campagne promozionali; misure semplificate per le promozioni delle imprese che rispettano le regole.

Il Garante vara le nuove “Linee guida in materia di attività promozionale e contrasto allo spam” [doc. web n. 2542348] per combattere il marketing selvaggio e favorire pratiche commerciali “amiche” di utenti e consumatori.

Il provvedimento generale (in via di pubblicazione sulla Gazzetta ufficiale) definisce un primo quadro unitario di misure e accorgimenti utili sia alle imprese che vogliono avviare campagne per pubblicizzare prodotti e servizi, sia a quanti desiderano difendersi dall’invadenza di chi utilizza senza il loro consenso recapiti e informazioni personali per tempestarli di pubblicità. Una particolare attenzione è stata posta dall’Autorità sulle nuove frontiere dello spamming – come quello diffuso sui social network (il cosiddetto social spam) o tramite alcune pratiche di “marketing virale” o “marketing mirato” – che possono comportare modalità sempre più insidiose e invasive della sfera personale degli interessati.

Queste in sintesi le principali regole contenute nelle Linee guida.

opt-in1Offerte commerciali e spam

  • Invio di offerte commerciali solo con il consenso preventivo. Per poter inviare comunicazioni promozionali e materiale pubblicitario tramite sistemi automatizzati (telefonate preregistrate, e-mail, fax, sms, mms) è necessario aver prima acquisito il consenso dei destinatari (cosiddetto opt-in). Tale consenso deve essere specifico, libero, informato e documentato per iscritto.
  • Maggiori controlli su chi realizza campagne di marketing. Chi commissiona campagne promozionali deve esercitare adeguati controlli per evitare che agenti, subagenti o altri soggetti a cui ha demandato i contatti con i potenziali clienti effettuino spam.
  • Consenso per l’uso dei dati presenti su Internet e social network. E’ necessario lo specifico consenso del destinatario per inviare messaggi promozionali agli utenti di Facebook, Twitter e altri social network (ad esempio pubblicandoli sulla loro bacheca virtuale) o di altri servizi di messaggistica e Voip sempre più diffusi come Skype, WhatsApp, Viber, Messenger, etc. Il fatto che i dati siano accessibili in Rete non significa che possano essere liberamente usati per inviare comunicazioni promozionali automatizzate o per altre attività di marketing “virale” o “mirato”.
  • “Passaparola” senza consenso. Non è necessario il consenso per inviare e-mail o sms con offerte promozionali ad amici a titolo personale (il cosiddetto “passaparola”).

omuletiSemplificazioni per le aziende in regola

  • E-mail promozionali ai propri clienti. Ok all’invio di messaggi promozionali, tramite e-mail, ai propri clienti su beni o servizi analoghi a quelli già acquistati (cosiddetto soft spam).
  • Promozioni per “fan” di marchi o aziende. Una impresa o società può inviare offerte commerciali ai propri “follower” sui social network quando dalla loro iscrizione alla pagina aziendale si evinca chiaramente l’interesse o il consenso a ricevere messaggi pubblicitari concernenti il marchio, il prodotto o il servizio offerto.
  • Consenso unico valido per diverse attività.
    • Basta un unico consenso per tutte le attività di marketing (come l’invio di materiale pubblicitario o lo svolgimento di ricerche di mercato);
    • il consenso prestato per l’invio di comunicazioni commerciali tramite modalità automatizzate (come e-mail o sms) copre anche quelle effettuate tramite posta cartacea o con telefonate tramite operatore.
    • Le aziende che intendono raccogliere i dati personali degli utenti per comunicarli o cederli ad altri soggetti a fini promozionali, possono acquisire un unico consenso valido per tutti i soggetti terzi indicati nell’apposita informativa fornita all’interessato.

Tutele e sanzioni contro lo spam

  • Tutele per i singoli utenti. Le persone che ricevono spam possono presentare segnalazioni, reclami o ricorsi al Garante e comunque esercitare tutti i diritti previsti dal Codice privacy, inclusa la richiesta di sanzioni contro chi invia messaggi indesiderati (nei casi più gravi possono arrivare fino a circa 500.000 euro).
  • Tutele per le società. Le “persone giuridiche”, pur non potendo più chiedere l’intervento formale del Garante per la privacy, possono comunque comunicare eventuali violazioni. Hanno invece la possibilità di rivolgersi all’Autorità giudiziaria per azioni civili o penali contro gli spammer.

Contestualmente alle Linee guida, allo scopo di semplificare ulteriormente gli adempimenti in materia di marketing diretto, il Garante ha adottato anche un apposito provvedimento generale [doc. web n. 2543820] sul consenso al trattamento dei dati personali, sempre in via di pubblicazione sulla Gazzetta ufficiale.

 

Smart o Professional? I nuovi Servizi di Studio Mazzolari

Studio MazzolariSemplificazione nell’elevata Tutela

Sviluppare soluzioni personalizzate e flessibili per soddisfare ogni tipo di esigenza, fornire assistenza professionale di assoluta qualità ed affidabilità: questa la nostra Mission.

Dopo il nuovo recente inasprimento delle sanzioni privacy, Studio Mazzolari propone i nuovi Servizi SmartConsulting® e ProfessionalConsulting® per l’adeguamento di Aziende, Studi Professionali ed Enti Pubblici alle misure di sicurezza minime e necessarie previste dal DLgs 196/2003 (Codice privacy), dai più recenti Provvedimenti del Garante oltre che dalle Normative di settore.

Smart o Professional? Le nostre Soluzioni personalizzate

LightWeight Icon

SmartConsulting®

Consigliata per Piccole Imprese, la soluzione SmartConsulting® consente l’adeguamento alla normativa privacy in tempi brevi e a costi contenuti. Vai all’Offerta

product_performance_report_icon_1

ProfessionalConsulting®

Principalmente rivolta a PMI ed Enti Pubblici, la soluzione ProfessionalConsulting® garantisce la presenza di un nostro Professionista sia nella fase iniziale di checkup e raccolta informazioni, sia nella messa a regime del Modello Privacy da noi predisposto. Vai all’Offerta

 

Inoltre: desideri finanziare il Nostro Intervento?

iStock_000002266764Small

Le attività realizzate da Studio Mazzolari sono finanziabili attraverso l’accesso a Fondi legati alla Legge n 236/93 o ai Fondi Paritetici interprofessionali (Fpi), in relazione al fabbisogno formativo proprio del Cliente.

Per saperne di più: la nostra Formazione finanziata

 

 

L’attività ispettiva del Garante privacy: telemarketing e profilazione a rischio

GaranteVarato anche il piano ispettivo per il primo semestre 2013

395 ispezioni, circa 3 milioni e 800 mila euro le somme riscosse a seguito di sanzioni. Un bilancio significativo quello riguardante l’attività ispettiva svolta dal Garante privacy nel 2012.

Gli accertamenti, effettuati anche mediante il contributo delle Unità Speciali della Guardia di finanza – Nucleo speciale privacy, hanno riguardato:

  • il telemarketing,
  • l’uso dei sistemi di localizzazione (gps)  nell’ambito del rapporto di lavoro,
  • i nuovi strumenti di pagamento gestiti dalle compagnie telefoniche (mobile payment), 
  • il credito al consumo e le “centrali rischi”,
  • le banche dati del fisco,
  • l’attività di profilazione dei clienti da parte delle aziende.

 

cloud-privacy_tLe sanzioni

Per quanto riguarda le sanzioni amministrative, sono stati avviati 578 procedimenti (con un incremento del 61% rispetto al 2011) che hanno riguardato, in larga parte:

  • la omessa informativa,
  • il trattamento illecito dei dati,
  • il mancato rispetto delle norme in materia di telemarketing,
  • la conservazione eccessiva dei dati di traffico telefonico e telematico,
  • la mancata adozione di misure di sicurezza,
  • l’omessa o mancata notificazione al Garante,
  • l’inosservanza dei provvedimenti dell’Autorità.

L’incremento è dovuto, in particolare, all’attività di contrasto delle violazioni nel settore del telemarketing.

56 sono state le segnalazioni all’autorità giudiziaria (con un incremento del 51% rispetto al 2011), in particolare per violazioni connesse:

  • al controllo a distanza dei lavoratori,
  • all’accesso abusivo a banche dati,
  • alle misure di sicurezza,
  • alla falsità nelle dichiarazioni al Garante.

Per quanto riguarda le misure di sicurezza sono state impartite 18 prescrizioni nei confronti di diversi soggetti, pubblici e privati.

Le somme riscosse dall’erario a seguito di sanzioni sono state 3.769.217 di euro, con un aumento rispetto all’anno precedente del 22%.

 

2815884-16x9-340x191Il piano ispettivo del primo semestre 2013

Il piano ispettivo varato per il primo semestre 2013 punta su settori di particolare rilevanza:

  • le banche dati pubbliche in particolare di enti previdenziali e dell’amministrazione finanziaria,
  • l’attività di telemarketing da parte dei call center operanti all’estero,
  • il trattamento dei dati per il fascicolo sanitario elettronico,
  • i nuovi strumenti di pagamento gestiti dalle compagnie telefoniche (mobile payment),
  • le “centrali rischi”.

 

privacy_alertGli accertamenti delle GdF e i principali Adempimenti privacy

200 gli accertamenti ispettivi programmati che verranno effettuati anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza.

A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati e le altre verifiche per accertare il rispetto dei principali adempimenti previsti dalla normativa quali:

  • le informative da fornire ai cittadini sull’uso dei loro dati personali,
  • la corretta acquisizione del consenso da richiedere nei casi previsti dalla legge,
  • l’adozione delle misure di sicurezza,
  • il rispetto dell’obbligo di notificazione al Garante.

 

DPS addio, benvenuto APA

Eliminato l’obbligo di redazione del DPS, si pone il problema di come adempiere agli obblighi di aggiornamento annuale del Sistema privacy aziendale previsti dal DLgs 196/2003 e dal suo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza) e presidiati da sanzioni che vanno da un minimo di 10.000 € ad un massimo di 120.000 €.

Vediamo anzitutto quali sono questi obblighi.

Almeno annualmente, ogni Titolare deve:

  • Verificare le attività
 degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei Titolari del trattamento o dei Responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti;
  • Verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione;
  • Aggiornare l’elenco di “chi fa cosa” (Incaricati e Responsabili trattamento);
  • Programmare gli interventi formativi;
  • Aggiornare l’Informativa completa: le notizie da indicare per legge devono essere aggiornate, specificando la data dell’ultimo aggiornamento.

L’APA (Aggiornamento Privacy Annuale)

Pur non essendo indicata alcuna scadenza specifica nell’arco dell’anno, il nostro Studio mantiene il 31 marzo come termine ultimo entro il quale adempiere al dettato normativo attraverso un documento denominato APA, acronimo di Aggiornamento Privacy Annuale.

 L’APA, da conservare nel Fascicolo privacy aziendale, è così suddiviso:

  1. Elenco dai trattamenti effettuati
  2. Mansionario Privacy
  3. Incaricati e trattamenti effettuati
  4. Archivi e Database di riferimento
  5. Incaricati alla custodia degli Archivi ad accesso controllato
  6. Incaricati e archivi/database di accesso
  7. Responsabili del trattamento
  8. Verifica dell’attività degli Amministratori di Sistema
  9. Verifica dell’aggiornamento della Privacy policy online
  10. Programmazione degli Interventi formativi.

Ancora una volta ricordiamo che il DPS era una semplice fotografia ufficiale del Sistema privacy aziendale che va, comunque,  adeguato alla normativa di riferimento, ovvero:

  • Decreto Legislativo 196/2003 (Codice in materia di Protezione dei Dati Personali);
  • Allegato B al DLgs 196/2003: Disciplinare Tecnico in materia di Misure Minime di Sicurezza;
  • Provvedimenti del Garante ex artt. 143 e 154, comma 1,  lett. c) DLgs 196/2003.

Email lavorative: si al controllo datoriale, ma in via eccezionale

La Cassazione ribadisce il No al controllo sistematico delle email lavorative, argomentando il Si alle verifiche eccezionali da parte del datore di lavoro.

La Sentenza della Corte di Cassazione 2722/2012 stabilisce il divieto di controlli sistematici dell’attività dei lavoratori, riconoscendo di converso al datore di lavoro la facoltà di controlli eccezionali dettati da esigenze defensionali a tutela del datore di lavoro stesso.

Gli strumenti informatici installati dal Datore di lavoro per tutelarsi da utilizzi impropri dei PC da parte dei lavoratori, rientrano nelle c.d. apparecchiature di controllo a distanza previste dall’Art. 4 dello Statuto dei Lavoratori, secondo il quale:

Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti.“. 

Nel caso di specie, davanti alla Cassazione, il lavoratore licenziato si oppone al licenziamento per giusta causa adducendo che il Disciplinare interno sull’uso di internet e posta elettronica adottato in Azienda:

  • non era stato preventivamente sottoposto alle procedure sindacali previste dall’articolo 4 Statuto Lavoratori
  • non prevedeva specificamente le modalità di monitoraggio della posta elettronica aziendale.

La Corte di Cassazione, comunque allineata col Garante Privacy, rigettando il ricorso, ritiene che, anche se la possibilità di controllo passa in secondo piano rispetto alla riservatezza del lavoratore, eccezione può essere fatta dove la sorveglianza non costituisca una modalità continua ma eccezionale e fondata sostanzialmente sull’esigenza del datore di lavoro di porre in essere i cosiddetti “controlli difensivi”, ossia

controlli diretti ad accertare comportamenti illeciti dei lavoratori quando tali comportamenti riguardino l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro e non la tutela di beni estranei al rapporto stesso ove la sorveglianza venga attuata mediante strumenti che presentano quei requisiti strutturali e quelle potenzialità lesive la cui utilizzazione è subordinata all’accordo con il sindacato o all’intervento dell’Ispettorato del Lavoro“. 

Il Garante privacy: più tutele per i Lavoratori

Troppe violazioni, servono più tutele per i dipendenti.

Redatto il Disciplinare sull’Uso di Internet e Posta Elettronica? Adottate le Nuove misure necessarie per gli Amministratori di Sistema?

Ecco un caso emblematico nel quale troppi Titolari di trattamento potranno riconoscersi.

Il Garante privacy che con un recente Provvedimento ha vietato all’Istituto Poligrafico alcuni trattamenti illeciti effettuati sui dati personali dei dipendenti.

La decisione è stata adottata dall’Autorità a seguito di accertamenti effettuati per verificare la corretta applicazione da parte dell’Istituto della normativa in materia di protezione dei dati personali riguardo:

  • all’utilizzo di Internet e posta elettronica aziendale,
  • ai sistemi di telefonia su Internet (Voip),
  • alla correttezza dell’operato degli amministratori di sistema.

Il Provvedimento del Garante è stato trasmesso alla magistratura per le valutazioni di competenza.

Fatto

Nel corso degli accertamenti è emerso che, attraverso un sistema di filtraggio che consentiva la memorizzazione degli indirizzi delle pagine web effettivamente visitate o anche semplicemente richieste, il Poligrafico:

  • monitorava in modo sistematico e a insaputa dei dipendenti le attività su Internet, conservando le informazioni per un ampio periodo di tempo;
  • conservava per un tempo indeterminato i numeri di telefono chiamati da ogni dipendente tramite Voip e la durata delle singole conversazioni.

Trattamenti questi, non consentiti dallo Statuto dei lavoratori, che vieta il controllo a distanza dei lavoratori, ammettendolo solo in casi particolari e con l’adozione di necessarie garanzie.

I dati trattati dall’Istituto in violazione di legge non potranno quindi essere più utilizzati. Il Poligrafico potrà conservare le informazioni finora  raccolte solamente in vista di una eventuale acquisizione da parte dell’autorità giudiziaria.

Contestualmente al divieto, l’Autorità ha ordinato al Poligrafico:

Con riferimento ai fatti accertati è stato infine avviato un procedimento sanzionatorio per violazione degli obblighi di informativa e inosservanza dei provvedimenti dell’Autorità.