Lavoro: geolocalizzazione flotte aziendali, sì con accordo sindacale

Illustration of a map mark icon with a  delivery truckPer i sistemi di geolocalizzazione rimane necessario l’accordo sindacale – come previsto dallo Statuto dei lavoratori – e va garantita la riservatezza dei dipendenti.

Questa la decisione del Garante della privacy [doc. web n. 6275314] in merito alla richiesta di verifica preliminare presentata da una compagnia che offre servizi idrici e assistenza in caso di problemi alla rete.

In base alla documentazione presentata, la localizzazione geografica dei veicoli utilizzati per gli interventi sarà attivata per molteplici scopi come:

  • l’ottimizzazione delle richieste di intervento o delle emergenze,
  • l’innalzamento delle condizioni di sicurezza sul lavoro dei dipendenti,
  • la corretta manutenzione dei veicoli,
  • la tutela del patrimonio aziendale,
  • il calcolo del tempo di lavoro effettivo,
  • la gestione di eventuali incidenti stradali o di sanzioni subite per violazioni del codice della strada.

Nel corso dell’istruttoria l’Autorità ha riconosciuto il legittimo interesse della società a rilevare la posizione dei propri mezzi per le molteplici finalità indicate, ma solo nel pieno rispetto della privacy dai lavoratori.

Visto che tale sistema potrebbe consentire il controllo a distanza dei lavoratori, anche dopo le modifiche introdotte dal cosiddetto Jobs Act, per poterlo attivare dovrà prima essere raggiunto un apposito accordo con le rappresentanze sindacali o, in sua assenza, si dovrà richiedere l’autorizzazione all’Ispettorato nazionale del lavoro.

Dovranno inoltre essere attentamente definite le modalità di raccolta, di elaborazione e di conservazione dei dati di geolocalizzazione e degli altri dati personali, differenziando le tutele in base alla singola finalità perseguita.

Ad esempio, se la società intende avvalersi del sistema di localizzazione per la regolare tenuta del libro unico del lavoro, potrà conservare i dati necessari per cinque anni.

I dati da utilizzare in caso di contestazione di violazione amministrativa con modalità non immediata, invece, potranno essere conservati al massimo per 90 giorni, ovvero il tempo previsto dalla normativa per notificare un eventuale verbale di contestazione.

Al termine del periodo individuato, i dati personali raccolti dovranno essere automaticamente cancellati o anonimizzati.

Deve essere inoltre escluso il monitoraggio dei tracciati percorsi, salvo il possibile trattamento dei relativi dati in forma aggregata o anonima per finalità statistiche e di programmazione del lavoro.

Dovranno essere adottate anche precise misure di sicurezza e l’accesso ai dati trattati dovrà essere consentito al solo personale incaricato, definendo per i dati di geolocalizzazione appositi profili autorizzativi individuali per ogni singolo utente.

La società potrà comunque avviare il trattamento delle informazioni sulla posizione geografica dei veicoli di lavoro solo dopo:

  • aver effettuato la notificazione al Garante e
  • aver fornito un’informativa completa ai dipendenti
Annunci

Il diritto alla portabilità dei dati (art. 20 RGPD): infografica del Garante e linee guida

0001

Linee-guida sul diritto alla “portabilità dei dati” – WP242
adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016

english version

Le risposte alle domande più frequenti – FAQ
Allegato alle Linee-guida sul diritto alla “portabilità dei dati” – WP242

english version

Privacy Officer: la nuova scheda informativa del Garante

Il Garante per la protezione dei dati personali ha predisposto una versione aggiornata della scheda informativa sulla figura del Responsabile della protezione dei dati personali (Data Protection Officer) sulla base della proposta di Regolamento COM(2012)11 concernente la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati” , come modificata a seguito dell’accordo politico fra i co-legislatori europei (Parlamento europeo e Consiglio Ue).

 

0001.jpg

Schiaffo a Facebook: la Corte Ue blocca l’accordo con gli Usa sullo scambio di dati.

I singoli Stati dell’Unione Europea potrebbero fermare il trasferimento dei dati degli iscritti europei a Facebook verso server situati negli Stati Uniti.

È quanto ha stabilito la Corte di giustizia europea accogliendo le conclusioni dell’avvocato generale della Corte. È stata quindi dichiarata invalida la decisione della Commissione Ue del 2000 secondo cui gli Stati Uniti garantiscono un adeguato livello di protezione dei dati personali.

La causa era stata presentata contro Facebook nel 2011 da Max Schrems, cittadino austriaco attivista per i diritti della privacy, dopo il Datagate, lo scandalo delle intercettazioni illegali da parte dei servizi segreti americani che aveva rivelato lo spionaggio di diversi leader europei.

Le conseguenze della sentenza sono importanti e coinvolgono giganti di Internet come Facebook e Google, che ora potrebbero essere costretti a sottoporsi allo scrutinio delle autorità di regolamentazione della privacy di ogni Stato membro della Ue e obbligati a immagazzinare i dati in Europa. Questo potrebbe tradursi in un vero e proprio labirinto burocratico perché le società americane dovranno seguire oltre 20 diverse regole nazionali di tutela della privacy.

La Corte ha fatto presente che negli Usa le esigenze della sicurezza nazionale prevalgono «sul regime dell’approdo sicuro» per i dati privati dei cittadini europei. Per questo i colossi del web sono obbligati a derogare «senza limiti, alle norme di tutela previste» con il rischio di «ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone».

Per la Corte di Lussemburgo, «una normativa che consenta alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche deve essere considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata».

Facebook raccoglie i dati dei suoi utenti europei in un server che ha base in Irlanda e poi li trasferisce negli Stati Uniti. Con questa sentenza, la Corte Ue ha rimesso alle autorità di controllo di Dublino di «esaminare la denuncia» del cittadino austriaco e di valutare se sia necessario «sospendere il trasferimento dei dati degli iscritti europei verso gli Stati Uniti, poiché gli Usa non offrono un livello di protezione adeguato dei dati personali».

«Questo è una cattiva notizia per il commercio tra Usa e Stati Uniti», ha dichiarato Richard Cumbley, Global Head di tecnologia, media e telecomunicazioni presso studio legale Linklaters. «Senza Safe Harbor, le imprese saranno chiamate a trovare accordi».

Questa decisione potrebbe segnare la fine del Safe Harbor, l’intesa sottoscritta nel 2000 dai due blocchi per regolamentare il trasferimento di dati sui due lati dell’Atlantico. E quindi per aiutare le aziende a condurre affari.

La causa muove dalla denuncia di uno studente di legge austriaco Max Schrems per cercare di fermare i trasferimenti di dati verso gli Stati Uniti. Secondo la denuncia di Schrems, alla luce delle rivelazioni di Snowden sullo spionaggio effettuato dall’Nsa, le leggi americane non offrirebbero alcuna reale protezione contro il controllo da parte del Governo Usa.

Donazione di organi: sì a dichiarazione volontà sulla carta di identità

  • Fonte: Garente Privacy
heart_transplantParere positivo [doc web. n. 4070710] del Garante Privacy allo schema di Linee guida che disciplina la facoltà di inserire sulla carta di identità il consenso o il diniego alla donazione di organi o di tessuti in caso di morte. Chi vuole potrà dire sì o no alla donazione di organi e far inserire la propria scelta sulla carta di identità al momento della richiesta o del rinnovo del documento presso il Comune.
 
Le Linee guida predisposte dal Ministero della salute e dal Ministero dell’interno indicano le modalità operative e organizzative per dare attuazione alla normativa che introduce questa nuova possibilità di manifestazione della volontà. Lo schema ha accolto tutte le indicazioni suggerite dall’Ufficio del Garante volte a perfezionare il testo e a renderlo pienamente conforme alla disciplina sulla protezione dei dati.
 
Il Garante attribuisce grande rilevanza alle Linee guida sottoposte al suo parere perché riguardano trattamenti di dati particolarmente delicati che attengono alle scelte più intime della persona. L’Autorità, pertanto, ha richiamato l’attenzione di tutti i soggetti coinvolti affinché operino nel pieno rispetto delle garanzie in modo tale che la volontà espressa dal cittadino sulla donazione sia correttamente raccolta e registrata. 
Pertanto:
  • Dire “sì” o “no” alla donazione di organi rappresenta una facoltà e non un obbligo e solo su richiesta del cittadino la dichiarazione potrà essere riportata anche sul documento d’identità.
  • La dichiarazione sarà registrata dall’ufficiale dell’anagrafe insieme ai dati raccolti al momento della richiesta o del rinnovo del documento e inviata al Sistema informativo trapianti (Sit) per l’inserimento in un’unica banca dati, consultata 24 ore su 24 dai centri per i trapianti.
  • Per modificare la propria volontà il cittadino potrà recarsi, in ogni momento, presso le aziende ospedaliere, le Asl, gli ambulatori dei medici di base, i Centri regionali per i trapianti o, in occasione del rinnovo della carta d’identità, presso i Comuni.
Proprio su questo punto si sono concentrate le osservazioni del Garante, il quale ha sottolineato l’esigenza di informare il cittadino della possibilità di modificare in qualsiasi momento la dichiarazione annotata sulla carta di identità, evidenziandogli anche i diritti riconosciuti dal Codice privacy.
 
L’Autorità ha chiesto inoltre:
  • di migliorare e rendere più sicure le modalità tecniche di trasmissione dei dati tra Comune e Sistema informativo trapianti, nonché
  • di ridurre il numero di informazioni trasmesse (tra le quali i dati personali dell’operatore che raccoglie la dichiarazione), sostituendole con l’indicazione della sede e dello sportello comunale.

Manager della privacy, verso una norma UNI per la professione

privacy-officerChi sono i manager responsabili della sicurezza e della privacy nelle aziende?

Di fatto, le persone che supervisionano le procedure e verificano i sistemi di gesione dei dati? Una domanda più che lecita fino a ora. Visto che non esiste, almeno in Italia o in Europa, una normativa condivisa e regole comuni che disciplinino queste figure professionali. Ma ancora per poco. Forse.

Sembra, infatti, che finalmente la situazione di stallo si stia sbloccando: sono giunti segnali forti dal Consiglio d’Europa, che ha dato il via libera all’apertura dei negoziati finali per arrivare all’approvazione del nuovo regolamento entro l’anno; inoltre, in ambito di normazione tecnica, è appena partita ufficialmente l’inchiesta pubblica preliminare per arrivare alla pubblicazione di una Norma UNI in grado di definire i profili delle figure professionali che si occupano di privacy.

Negli Stati Uniti e in altre nazioni, il privacy officer è una figura molto ricercata specialmente dalle aziende che si occupano di ecommerce, o il cui core business è incentrato sui dati personali, come quelle dei settori marketing e sanità. L’Europa, invece, attende da Bruxelles l’approvazione di un nuovo regolamento sulla protezione dei dati che introdurrà tale figura nei 28 Stati membri. Intanto diversi Paesi si muovono in ordine sparso: 15 nazioni hanno previsto in varie forme il privacy officer nei loro ordinamenti, altre impongono alle imprese l’obbligo di nominarlo, altre ancora prevedono agevolazioni per chi decide di avvalersene. Tra queste Germania, Francia, Ungheria, Polonia e Slovacchia, ma non l’Italia.

Federprivacy, associazione di categoria professionale, fa notare come le nazioni dove il privacy officer è previsto dagli ordinamenti locali, «siano anche quelle dove il commercio online produce fatturati maggiori, come in Francia e in Germania, dove vale rispettivamente 56,8 e 70 miliardi di euro annui, anche se la regina europea degli acquisti online è il Regno Unito con 122 miliardi».

«In Italia solo il 4% delle imprese vende online prodotti e servizi, per un valore di 13 miliardi di euro annui, mentre i privacy officer sono ancora pochi, circa 1.000 quelli associati a Federprivacy, e poco più di 200 quelli certificati dal TÜV Examination Institute» sottolinea Nicola Bernardi, presidente di Federprivacy.

Tornando all’iter avviato per la definizione di una normativa Uni, grandi imprese e associazioni di categoria potranno inviare fino al prossimo 2 Luglio i loro commenti, in qualità di stakeholders, tramite il sito di UNI con la possibilità di partecipare al tavolo dei lavori (Codice Progetto E14D00036).

La prossima riunione per il progetto di norma relativo alle figure professionali esperte di privacy all’Ente Italiano di Normazione si terrà il 16 luglio.

Facebook finisce in tribunale in Belgio per violazione della privacy

530f66886941b1a5aa07b9e4b73fdf74Nuova grana europea per Facebook. È di pochi minuti fa la notizia che il Garante per la privacy del Belgio ha deciso di portare il social network davanti ai giudici.

E addirittura la prima udienza è più che imminente: oggi, 18 giugno, secondo una fonte vicina alla commissione belga citata dal Wall Street Journal. Una battaglia legale che potrebbe avere risvolti importantissimi e scatenare un effetto domino dato che altri paesi come Germania, Olanda, Francia e Spagna stanno seguendo da vicino l’evoluzione di questa faccenda.

Nel mirino dell’ente di Bruxelles c’è il trattamento dei dati personali che, almeno secondo l’accusa, avverrebbe in netta violazione delle normative vigenti. Facebook non solo spiegherebbe in modo poco adeguato le finalità per le quali raccoglie i dati, ma in molte circostanze lo farebbe in gran segreto.

Al centro della vertenza c’è la modalità con la cui Facebook traccia gli utenti Internet su siti web esterni, attraverso l’utilizzo di tasti di like e condivisione. E il garante belga vuole capire se questa operazione porta a un rastrellamento di dati che potrebbero essere utilizzati per una pubblicità molto profilata.

La commissione vuole inoltre far chiarezza sull’utilizzo di questi dati da parte di Facebook per servizi come Instagram e WhatsApp.

L’indagine era partita qualche mese fa, con uno scambio di vedute fra l’autorità di Bruxelles e i vertici di Palo Alto:

  • Facebook aveva rispedito le accuse al mittente, parlando di utilizzo dei cookie come ogni altro sito web;
  • inoltre, l’ufficio legale del social di Zuckerberg, aveva fatto intendere di voler seguire le istruzioni delle autorità irlandesi, dove Facebook ha sede legale.

Nulla da fare. E ora parola ai giudici.