Lavoro: no al controllo indiscriminato di e-mail e navigazione Internet

downloadVerifiche indiscriminate sulla posta elettronica e sulla navigazione web del personale sono in contrasto con il Codice della privacy e con lo Statuto dei lavoratori.

Questa la decisione adottata dal Garante [doc. web n. 5408460], che ha vietato a un’università il monitoraggio massivo delle attività in Internet dei propri dipendenti. Il caso era sorto proprio per la denuncia del personale tecnico-amministrativo e docente, che lamentava la violazione della propria privacy e il controllo a distanza posto in essere dall’Ateneo.

Nel corso dell’istruttoria, l’amministrazione ha respinto le accuse, sostenendo che l’attività di monitoraggio delle comunicazioni elettroniche era attivata saltuariamente, e solo in caso di rilevamento di software maligno e di violazioni del diritto d’autore o di indagini della magistratura. L’Università aveva inoltre aggiunto che non venivano trattati dati personali  dei dipendenti che si connettevano alla rete.

L’istruttoria del Garante ha invece evidenziato che i dati raccolti erano chiaramente riconducibili ai singoli utenti, anche grazie al tracciamento puntuale degli indirizzi Ip (indirizzo Internet) e dei Mac Address (identificativo hardware) dei pc assegnati ai dipendenti.

L’infrastruttura adottata dall’Ateneo, diversamente da quanto affermato, consentiva poi la verifica costante e indiscriminata degli accessi degli utenti alla rete e all’e-mail, utilizzando sistemi e software che non possono essere considerati, in base alla normativa, “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”.

Tali software, infatti, non erano necessari per lo svolgimento della predetta attività ed operavano, peraltro, in background, con modalità non percepibili dall’utente. E’ stato così violato lo Statuto dei lavoratori – anche nella nuova versione modificata dal cosiddetto “Jobs Act” – che in caso di controllo a distanza prevede l’adozione di specifiche garanzie per il lavoratore.

Nel provvedimento il Garante ha rimarcato che l’Università avrebbe dovuto privilegiare misure graduali che rendessero assolutamente residuali i controlli più invasivi, legittimati solo in caso di individuazione di specifiche anomalie, come la rilevata presenza di virus.

In ogni caso, si sarebbero dovute prima adottare misure meno limitative per i diritti dei lavoratori.

L’Autorità ha infine riscontrato che l’Università non aveva fornito agli utilizzatori della rete un’idonea informativa privacy, tale non potendosi ritenere la mera comunicazione al personale del Regolamento relativo al corretto utilizzo degli strumenti elettronici, violando così il principio di liceità alla base del trattamento dei dati personali.

L’Autorità ha quindi dichiarato illecito il trattamento dei dati personali così raccolti e ne ha vietato l’ulteriore uso, imponendo comunque la loro conservazione per consentirne l’eventuale acquisizione da parte della magistratura.

Annunci

Niente spam per gli iscritti alla newsletter

Anti-spamIllecito il comportamento di una società che inviava email promozionali senza consenso 

Un cittadino che compila un form on line per ricevere una newsletter deve poter decidere, liberamente e consapevolmente, se dire sì o no alle comunicazioni promozionali, alla profilazione, all’invio dei suoi dati ad altre società e, in generale, a tutti i tipi di trattamenti che vanno al di là del servizio richiesto.

La registrazione alla newsletter, inoltre, non può essere condizionata al rilascio del consenso anche per altre finalità.

Il principio è stato ribadito dal Garante privacy che ha vietato l’uso dei dati a fini commerciali ad una società che inviava e-mail promozionali senza consenso agli utenti registrati a un servizio di newsletter.

Ora la società, destinataria del  provvedimento inibitorio dell’Autorità, potrà utilizzare i dati fin qui raccolti solo per inviare la newsletter. Se vorrà inviare email promozionali dovrà mettersi in regola con  il Codice della privacy, modificando il form di registrazione in modo da consentire agli utenti la possibilità di esprimere, un preventivo consenso “ad hoc” per la ricezione di email promozionali.

Dagli accertamenti svolti dall’Ufficio del Garante su segnalazione di un cittadino che lamentava la ricezione di pubblicità indesiderata, è emerso infatti che per iscriversi la newsletter l’utente, al momento di inserire nel form on line l’indirizzo email, poteva esprimere solo un generico, onnicomprensivo consenso al “trattamento dei dati personali”.

L’accesso al servizio era, peraltro, condizionato alla manifestazione di tale generico consenso. Il comportamento della società è stato dichiarato illecito dal Garante perché i trattamenti di dati per fini commerciali esulano da quelli necessari per adempiere al contratto di fornitura di un servizio.

L’Autorità sta valutando, con separato provvedimento, l’applicazione della sanzione amministrava per l’illecito commesso

No allo spam, sì a offerte commerciali “amiche” dei consumatori

spam (1)Le Linee guida del Garante privacy contro le offerte commerciali indesiderate

Offerte commerciali a utenti di social network o di servizi di messaggistica come Skype e WhatsApp solo con il loro consenso; no a e-mail e sms indesiderati; maggiori controlli da parte di chi commissiona le campagne promozionali; misure semplificate per le promozioni delle imprese che rispettano le regole.

Il Garante vara le nuove “Linee guida in materia di attività promozionale e contrasto allo spam” [doc. web n. 2542348] per combattere il marketing selvaggio e favorire pratiche commerciali “amiche” di utenti e consumatori.

Il provvedimento generale (in via di pubblicazione sulla Gazzetta ufficiale) definisce un primo quadro unitario di misure e accorgimenti utili sia alle imprese che vogliono avviare campagne per pubblicizzare prodotti e servizi, sia a quanti desiderano difendersi dall’invadenza di chi utilizza senza il loro consenso recapiti e informazioni personali per tempestarli di pubblicità. Una particolare attenzione è stata posta dall’Autorità sulle nuove frontiere dello spamming – come quello diffuso sui social network (il cosiddetto social spam) o tramite alcune pratiche di “marketing virale” o “marketing mirato” – che possono comportare modalità sempre più insidiose e invasive della sfera personale degli interessati.

Queste in sintesi le principali regole contenute nelle Linee guida.

opt-in1Offerte commerciali e spam

  • Invio di offerte commerciali solo con il consenso preventivo. Per poter inviare comunicazioni promozionali e materiale pubblicitario tramite sistemi automatizzati (telefonate preregistrate, e-mail, fax, sms, mms) è necessario aver prima acquisito il consenso dei destinatari (cosiddetto opt-in). Tale consenso deve essere specifico, libero, informato e documentato per iscritto.
  • Maggiori controlli su chi realizza campagne di marketing. Chi commissiona campagne promozionali deve esercitare adeguati controlli per evitare che agenti, subagenti o altri soggetti a cui ha demandato i contatti con i potenziali clienti effettuino spam.
  • Consenso per l’uso dei dati presenti su Internet e social network. E’ necessario lo specifico consenso del destinatario per inviare messaggi promozionali agli utenti di Facebook, Twitter e altri social network (ad esempio pubblicandoli sulla loro bacheca virtuale) o di altri servizi di messaggistica e Voip sempre più diffusi come Skype, WhatsApp, Viber, Messenger, etc. Il fatto che i dati siano accessibili in Rete non significa che possano essere liberamente usati per inviare comunicazioni promozionali automatizzate o per altre attività di marketing “virale” o “mirato”.
  • “Passaparola” senza consenso. Non è necessario il consenso per inviare e-mail o sms con offerte promozionali ad amici a titolo personale (il cosiddetto “passaparola”).

omuletiSemplificazioni per le aziende in regola

  • E-mail promozionali ai propri clienti. Ok all’invio di messaggi promozionali, tramite e-mail, ai propri clienti su beni o servizi analoghi a quelli già acquistati (cosiddetto soft spam).
  • Promozioni per “fan” di marchi o aziende. Una impresa o società può inviare offerte commerciali ai propri “follower” sui social network quando dalla loro iscrizione alla pagina aziendale si evinca chiaramente l’interesse o il consenso a ricevere messaggi pubblicitari concernenti il marchio, il prodotto o il servizio offerto.
  • Consenso unico valido per diverse attività.
    • Basta un unico consenso per tutte le attività di marketing (come l’invio di materiale pubblicitario o lo svolgimento di ricerche di mercato);
    • il consenso prestato per l’invio di comunicazioni commerciali tramite modalità automatizzate (come e-mail o sms) copre anche quelle effettuate tramite posta cartacea o con telefonate tramite operatore.
    • Le aziende che intendono raccogliere i dati personali degli utenti per comunicarli o cederli ad altri soggetti a fini promozionali, possono acquisire un unico consenso valido per tutti i soggetti terzi indicati nell’apposita informativa fornita all’interessato.

Tutele e sanzioni contro lo spam

  • Tutele per i singoli utenti. Le persone che ricevono spam possono presentare segnalazioni, reclami o ricorsi al Garante e comunque esercitare tutti i diritti previsti dal Codice privacy, inclusa la richiesta di sanzioni contro chi invia messaggi indesiderati (nei casi più gravi possono arrivare fino a circa 500.000 euro).
  • Tutele per le società. Le “persone giuridiche”, pur non potendo più chiedere l’intervento formale del Garante per la privacy, possono comunque comunicare eventuali violazioni. Hanno invece la possibilità di rivolgersi all’Autorità giudiziaria per azioni civili o penali contro gli spammer.

Contestualmente alle Linee guida, allo scopo di semplificare ulteriormente gli adempimenti in materia di marketing diretto, il Garante ha adottato anche un apposito provvedimento generale [doc. web n. 2543820] sul consenso al trattamento dei dati personali, sempre in via di pubblicazione sulla Gazzetta ufficiale.

 

Cancellato il DPS, cosa rimane?

27 gennaio 2012 – Il Decreto Semplificazioni del Governo Monti ha eliminato l’obbligo di redazione (e, quindi, aggiornamento) del DPS (Documento Programmatico sulla Sicurezza).

L’art. 47 del Decreto Semplificazioni mette mano (per l’ennesima volta in pochi mesi) al DLgs 196/2003 (Codice Privacy) e al suo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza), cancellando le norme relative all’obbligo di redazione e aggiornamento del DPS (sia in forma ordinaria che abbreviata).

Per meglio comprendere che cosa rimane dopo questa brutale rimozione (in controtendenza, fra l’altro, con le prospettive privacy dell’Unione Europea. Al riguardo v. Unione Europea: la privacy che verrà) mettiamo a fuoco quello che era il DPS.

Il DPS come fotografia degli obblighi privacy aziendali

Il DPS altro non era che la fotografia ufficiale di ciò che l’azienda aveva fatto in termini di privacy. In altre parole riassumeva tutte le procedure e misure di sicurezza messe a regime dal Titolare del trattamento.

Procedure e misure la cui cogenza non è stata certo messa in discussione dal Decreto Semplificazioni.

Quando incontro i miei Clienti che, fino all’altro ieri, avevano come unica preoccupazione la redazione/aggiornamento del DPS, passavo i primi quindici minuti a spiegar loro che, per metter mano al DPS, bisognava prima occuparsi della compliance aziendale al DLgs 196/2003, e, quindi, come ultimo e meno impegnativo step, creare o integrare tabelline, schemi ed elenchi vari nel DPS.

Cosa rimane, dunque?

Eliminato il DPS,  rimane la parte più seria e impegnativa degli obblighi privacy, quella sempre presidiata da sanzioni sia di carattere amministrativo che penale, ovvero:

  • Redazione idonee Informative (Art. 13 DLgs 196/2003): Informative Dipendenti e Collaboratori; Informative Clienti, Fornitori, Potenziali Clienti, Terzi; Informative utenti sito web; Informativa Candidati all’assunzione; Privacy Policy sito web.
  • Nomina Incaricati al trattamento dati personali (Art. 30 DLgs 196/2003): redazione documento che individua l’ambito di trattamento dati personali consentito a ciascuna unità organizzativa; redazione lettere d’incarico per ciascun incaricato al trattamento dati personali.
  • Nomina Responsabili al trattamento dati personali e analisi trattamenti affidati in outsourcing (Art. 29  DLgs 196/2003): redazione lettera di nomina per ciascun Responsabile al trattamento dati personali; analisi dei casi specifici di affidamento dati personali all’esterno dell’Azienda; analisi dei flussi di dati intra ed extra Unione Europea; individuazione dell’idoneo rapporto da formalizzare con i soggetti esterni ai quali viene affidato il trattamento dati personali.
  • Disciplinare interno uso Internet e Posta elettronica (Art 154 comma 1 lett. c) DLgs 196/2003, Provvedimento Garante 1° Marzo 2007): redazione Disciplinare interno obbligatorio relativo all’uso di Internet e della posta elettronica.
  • Nuove prescrizioni in tema di Amministratori di sistema (Art 154 comma 1 lett. c) e h) DLgs 196/2003, Provvedimento Garante 27 Novembre 2008): adempimenti procedurali e redazione documentazione richiesta dal Provvedimento Generale 27 novembre 2008 – Garante privacy.
  • Nuove prescrizioni in materia di videosorveglianza (Art. 154 comma 1, lett. c) DLgs 196/2003, provvedimento garante 8 Aprile 2010).
  • Gestione Privacy Policy sito web, Newsletter e Servizi interattivi: procedure di gestione dati personali utenti sito web; procedure di attivazione e gestione servizio Newsletter; procedure di attivazione e accesso aree riservate.
  • Formazione del Personale.

Quali aggiornamenti annuali rimangono obbligatori?

DPS a parte, ogni Titolare del trattamento deve, almeno annualmente:

  • Aggiornare il Sistema Privacy alla luce delle modifiche alla normativa di riferimento
  • Verificare l’attività degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, ad un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti
  • Verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione
  • Aggiornare il mansionario Privacy e le attività svolte in outsourcing (Incaricati e Responsabili del trattamento).

In conclusione

  • Bene Monti: ha eliminato l’adempimento privacy più formale e sostanzialmente inutile nella sua ridondanza;
  • Ma la Privacy non è il DPS: tutti noi Consulenti dobbiamo rivedere le nostre strategie di comunicazione per far arrivare nella maniera più chiara e onesta possibile a tutti i Titolari di trattamento che:

 la Privacy NON è il DPS

Municipalizzate e curricula on line dei candidati a rappresentare il Comune

Riportiamo la risposta del Garante Privacy al Comune di Milano circa la pubblicazione online dei  curricula dei candidati a rappresentare il Comune

 I Comuni possono pubblicare on line i curricula dei partecipanti al bando pubblico indetto per la nomina a rappresentanti comunali nei consigli di amministrazione delle società municipalizzate. Occorre però che la  divulgazione sia prevista da una norma di legge o di regolamento o sia stato acquisito il  consenso degli interessati.

È quanto ha ribadito l’Ufficio del Garante rispondendo ad una specifica richiesta del Comune di Milano relativa all’intenzione di pubblicare sul suo sito web tutti i curricula dei candidati ammessi alla procedura di valutazione per ricoprire incarichi di rappresentante comunale negli enti, nelle fondazioni e nelle società partecipate.

La disciplina sulla protezione dei dati personali – ha sottolineato l’Autorità – “non rappresenta un ostacolo alla trasparenza dell’attività amministrativa, specie nel caso in cui questa riguardi il corretto utilizzo di beni e risorse da parte dei soggetti pubblici”. E’ necessario però rispettate alcune garanzie poste a tutela dei cittadini.

La pubblicazione di dati personali da parte delle amministrazioni pubbliche sui propri siti istituzionali è consentita, infatti,quando questa operazione:

  • trovi fondamento in una norma di legge o di regolamento,
  • oppure sia prevista nel “Programma triennale per la trasparenza e l’integrità” che ciascuna amministrazione è tenuta a predisporre.

La divulgazione da parte del Comune di Milano potrà avvenire dunque attraverso una modifica del regolamento che disciplina il conferimento degli incarichi, così come prospettato dalla stessa amministrazione comunale, o adottando il ricordato Programma triennale.

In mancanza di questi presupposti è sempre possibile per il Comune chiedere agli interessati il consenso alla divulgazione on line dei propri dati personali contenuti nei curricula, dati che dovranno comunque essere pertinenti e non eccedenti rispetto alle finalità che si vogliono perseguire. In quest’ultimo caso, l’informativa da sottoporre ai candidati dovrà specificare che:

  • il consenso è facoltativo e
  • l’eventuale scelta di non far pubblicare i propri dati personali on line non avrà conseguenze ai fini della procedura.

Localizzazione dei veicoli aziendali a prova di privacy

Sì alla localizzazione satellitare dei veicoli aziendali, ma solo per migliorare il servizio di trasporto e quantificare in modo corretto i costi al cliente.

E’ questa la decisione adottata dal Garante privacy su un sistema di controllo sottoposto da due aziende a verifica preliminare [vedi doc web n. 1828371 e doc web n. 1828354]. Due le  finalità del sistema Gps che le  aziende intendono installare sui veicoli della propria flotta:

  • in primo luogo consentire, in caso di necessità, di localizzare il veicolo e trasmettere la posizione rilevata; 
  • in secondo luogo, fornire dati per l’elaborazione di un rapporto di guida (tempo di percorrenza, velocità media, distanza e consumo di carburante).

Il Garante ha ritenuto leciti gli scopi perseguiti con l’uso della localizzazione satellitare in quanto volti a rendere più efficiente il trasporto dei prodotti. Potranno però essere trattati i soli dati idonei a rilevare la posizione dei veicoli e quelli indispensabili alla compilazione del rapporto di guida.

Non potranno invece essere trattati dati ulteriori, come quelli tecnici relativi ai giri del motore e alla frenata, che il Garante ritiene non necessari perché suscettibili di controllo sulla condotta di guida del conducente. D’altronde, si tratta di una finalità che le società hanno dichiarato di non voler perseguire e comunque non autorizzata dal competente Ufficio provinciale tutela sociale del lavoro.

Entrambe le aziende dovranno comunque, come richiesto dal Garante, adottare soluzioni tecnologiche affinché non vengano trattate informazioni non necessarie.

Le società potranno conservare i dati personali occorrenti alla regolare tenuta del libro unico del lavoro (presenze dei dipendenti, ferie, prestazioni straordinarie, riposi) per i cinque anni previsti dalle disposizioni di settore.

Ulteriori dati tecnici, come la velocità del veicolo, potranno essere trattati per attività di monitoraggio o di pianificazione solo se resi opportunamente anonimi.

Inoltre:

  • Obbligo di Informativa: le due società dovranno informare gli autisti dell’attivazione dei sistema di localizzazione specificando  in particolare  i tempi di conservazione dei dati.
  • Nomina Responsabile: il fornitore del servizio di localizzazione Gps dovrà essere designato responsabile del trattamento.

Contenzioso penale sul lavoro e privacy

L’azienda non può accedere ai file del dipendente, ma può conservarli per far valere i suoi diritti

Nella nuova Newsletter del 1° marzo 2011, il Garante affronta la delicatissima tematica del bilanciamento tra il diritto del lavoratore alla riservatezza e il diritto dell’Azienda a tutelarsi da comportamenti illeciti dello stesso.

“Il diritto alla riservatezza dei lavoratori deve essere bilanciato con la possibilità per le imprese di tutelarsi nell’ambito di eventuali procedimenti penali.” Lo ha chiarito il Garante decidendo sul ricorso di un dipendente che chiedeva al suo ex datore di lavoro di cancellare alcune cartelle personali presenti nel computer portatile restituito dopo il licenziamento, opponendosi ad ogni ulteriore uso dei suoi dati contenuti nel pc. Nelle cartelle personali erano infatti conservate e-mail, fotografie e altra documentazione di esclusiva valenza personale.

Nel corso dell’istruttoria, la società ha però affermato che proprio in quel materiale potevano essere presenti prove della concorrenza sleale posta in essere dal dipendente insieme ad altri colleghi. L’azienda intendeva quindi mettere l’hard disk del computer, senza alterazione alcuna, a disposizione dell’autorità giudiziaria al fine di far valere i propri diritti.

Il Garante (con un provvedimento di cui è stato relatore Giuseppe Chiaravalloti):

  • non ha accolto la richiesta avanzata dall’interessato di far cancellare i dati, ma
  • ha deciso di inibire alla società l’accesso alle cartelle private poiché il trattamento dei dati personali estranei all’attività lavorativa avrebbe violato i principi di pertinenza e non eccedenza previsti dal Codice della privacy.

L’Autorità ha però riconosciuto il diritto dell’impresa di conservare i file del dipendente al fine di poterli eventualmente presentare come prova nell’ambito del contenzioso penale.

L’acquisizione dei dati nel procedimento dovrà comunque avvenire su precisa disposizione del giudice.