La Commissione europea lancia lo scudo UE-USA per la privacy: più tutele per i flussi transatlantici di dati

eu-us-privacy-shieldBruxelles, 12 luglio 2016

Oggi la Commissione europea ha adottato lo scudo UE-USA per la privacy.

Il nuovo regime tutela i diritti fondamentali di qualsiasi persona nell’UE i cui dati personali siano trasferiti verso gli Stati Uniti e apporta chiarezza giuridica alle imprese che operano con trasferimenti transatlantici di dati.

Lo scudo UE-USA per la privacy si fonda sui principi esposti qui di seguito.

  • Obblighi rigorosi per le imprese che operano sui dati: nel nuovo regime il Dipartimento del Commercio degli Stati Uniti sottoporrà le imprese aderenti allo scudo a verifiche e aggiornamenti periodici per accertare che rispettino nella pratica le regole che hanno volontariamente accettato. In caso contrario, l’impresa si espone a sanzioni e al depennamento dall’elenco degli aderenti. L’inasprimento delle condizioni applicabili all’ulteriore trasferimento garantirà lo stesso livello di protezione anche quando l’impresa aderente allo scudo trasferisce i dati a terzi.
  • Garanzie chiare e obblighi di trasparenza applicabili all’accesso da parte del governo degli Stati Uniti: gli Stati Uniti hanno assicurato ufficialmente all’UE che l’accesso delle autorità pubbliche ai dati per scopi di applicazione della legge e di sicurezza nazionale è soggetto a limitazioni, garanzie e meccanismi di vigilanza precisi. La novità è che qualsiasi persona nell’UE disporrà di meccanismi di ricorso in questo settore. Gli Stati Uniti hanno escluso attività indiscriminate di sorveglianza di massa sui dati personali trasferiti negli Stati Uniti nell’ambito dello scudo. Secondo le precisazioni fornite dall’Ufficio del Direttore dell’intelligence nazionale, la raccolta di dati in blocco sarà eventualmente ammissibile solo in presenza di determinati presupposti, e comunque si tratterà obbligatoriamente di una raccolta quanto più mirata e concentrata possibile. L’Ufficio ha illustrato nei particolari le garanzie vigenti riguardo all’uso dei dati in tali circostanze eccezionali. Il Segretario di Stato degli USA ha istituito all’interno del Dipartimento di Stato una via di ricorso aperta agli europei per gli aspetti legati all’intelligence nazionale: il meccanismo di mediazione.
  • Tutela effettiva dei diritti individuali: chiunque ritenga che, nell’ambito dello scudo, sia stato compiuto un abuso sui dati che lo riguardano ha a disposizione vari meccanismi di composizione delle controversie di agevole accesso e dal costo contenuto. Idealmente sarà l’impresa stessa a risolvere il caso di reclamo oppure saranno offerte gratuitamente soluzioni basate su un organo alternativo di composizione delle controversie (ADR). Le persone si potranno anche rivolgere alle rispettive autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale del Commercio per assicurare che i casi di reclamo sottoposti da cittadini dell’UE siano esaminati e risolti. Esperiti tutti gli altri mezzi a disposizione, come extrema ratio il caso irrisolto potrà essere sottoposto a arbitrato. Per i casi che implicano la sicurezza nazionale, i cittadini dell’UE dispongono di una possibilità di ricorso nella figura del mediatore, che è indipendente dai servizi d’intelligence degli Stati Uniti.
  • Analisi annuale comune: il meccanismo consentirà di monitorare il funzionamento dello scudo, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e finalità di sicurezza nazionale. La Commissione europea e il Dipartimento del Commercio degli Stati Uniti effettueranno l’analisi, alla quale assoceranno esperti dell’intelligence nazionale statunitense e le autorità europee di protezione dei dati. La Commissione attingerà a tutte le altre fonti di informazioni disponibili e presenterà una relazione pubblica al Parlamento europeo e al Consiglio.

Dopo aver presentato il progetto di scudo a febbraio, la Commissione vi ha inserito varie precisazioni e ulteriori miglioramenti basandosi sui pareri espressi delle autorità europee di protezione dei dati (Gruppo dell’articolo 29) e dal garante europeo della protezione dei dati e sulla risoluzione del Parlamento europeo. In particolare, la Commissione europea e gli Stati Uniti hanno concordato ulteriori precisazioni sulla raccolta di dati in blocco, il rafforzamento del meccanismo di mediazione e una maggiore esplicitazione degli obblighi delle imprese quanto ai limiti applicabili alla conservazione e all’ulteriore trasferimento.

Prossime tappe:

  • la “decisione di adeguatezza” sarà notificata oggi agli Stati membri, entrando così in vigore immediatamente.
  • Gli Stati Uniti pubblicheranno lo scudo per la privacy nel Registro federale, che è l’equivalente della nostra Gazzetta ufficiale. Il Dipartimento del Commercio degli Stati Uniti darà avvio allo scudo.
  • Una volta studiato il regime e aggiornate pratiche e politiche per conformarvisi, le imprese potranno certificarsi come aderenti presso il Dipartimento del Commercio a partire dal 1o agosto.
  • La Commissione pubblicherà nel frattempo una breve guida per informare i cittadini dei mezzi di ricorso di cui dispone la persona che ritiene che i suoi dati personali siano stati usati senza tener conto delle norme sulla protezione dei dati.

 

Per ulteriori informazioni

 

 

Annunci

No allo spam elettorale nelle mail dei dipendenti comunali

Concept of sending e-mails from your computerUn candidato non può usare a fini di propaganda elettorale  i dati personali in suo possesso per ragioni istituzionali. È quanto ha ribadito il Garante privacy in un provvedimento con cui ha vietato ad un ex assessore di utilizzare gli indirizzi mail dei dipendenti comunali  nella sua disponibilità ai tempi del suo mandato.

La vicenda risale alle amministrative dello scorso anno, quando una dipendente comunale, aprendo la mail di lavoro,  scopre che l’ex assessore al personale si candida alle elezioni regionali e chiede il suo voto.

La scena si ripete più volte –  probabilmente la stessa mail è stata spedita a tutto il personale comunale – e alcuni dipendenti, che si ritengono lesi nei loro diritti, si rivolgono al Garante per la protezione dei dati personali. I dipendenti segnalano all’Autorità che gli indirizzi mail sono stati acquisiti da un indirizzario di posta elettronica che non è pubblico, essendo ad esclusivo uso interno dell’amministrazione e nella disponibilità dell’ex assessore al personale  in virtù dell’incarico precedentemente ricoperto.

Per questo motivo ritengono che i loro dati personali siano stati trattati in modo non corretto e  in violazione delle regole dettate dal Garante privacy in materia di propaganda elettorale.

Tesi condivisa dall’Autorità che, nell’emettere il provvedimento di divieto, ha ritenuto l’operato dell’ex assessore illecito sotto diversi profili.

  • In primo luogo, perché il trattamento dei dati è avvenuto in violazione del principio di finalità: gli indirizzi mail comunali, infatti, il cui scopo è quello di consentire il contatto per l’assolvimento delle funzioni istituzionali, non possono essere utilizzati per il perseguimento di altre finalità (non compatibili con quelle che ne hanno giustificato la raccolta originaria),  come appunto la propaganda elettorale. Così come non possono essere utilizzati liberamente da chi ricopre incarichi pubblici e detiene  questi dati solo per lo svolgimento dei propri compiti istituzionali.
  • In secondo luogo perché, come affermato dal Garante in più occasioni, i partiti, le liste o i singoli candidati non possono utilizzare indirizzi di posta elettronica senza il consenso specifico e informato dei destinatari. Consenso che, nel caso in esame,  non risulta acquisito, come non risulta che i destinatari siano stati informati sull’uso che veniva fatto dei loro dati.

Con un autonomo procedimento l’Autorità provvederà a verificare i presupposti per l’applicazione della sanzione amministrativa prevista per l’omessa informativa e la  mancata acquisizione del consenso.

25 maggio 2018: save the date

image_galleryPubblicato sulla Gazzetta Ufficiale Ue il nuovo Pacchetto protezione dati

Sono stati pubblicati oggi, mercoledì 4 maggio 2016, sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini.

Si tratta del passaggio finale per l’entrata in vigore del nuovo “Pacchetto protezione dati”, l’insieme normativo che definisce un quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell’UE.

Il Regolamento sarà vigente 20 giorni dopo la pubblicazione in GUUE, per diventare definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale e le disposizioni del Regolamento.

La Direttiva, invece, sarà vigente da domani, 5 maggio, e da qual momento impegnerà gli Stati membri a recepire le sue disposizioni nel diritto nazionale entro 2 anni.

Recupero crediti, OIC: tutelare privacy dei consumatori e diritti delle imprese

image_galleryFonte: Help Consumatori

Il 18 aprile scorso, il Garante per la Protezione dei dati personali ha pubblicato una guida che illustra in maniera sintetica il modo più corretto in cui le società di recupero crediti possono trattare le informazioni personali che riguardano i debitori.

A poco più di una settimana di distanza, le associazioni dei consumatori che fanno parte dell’OIC (Osservatorio Imprese e Consumatori) hanno incontrato, in un convegno dal titolo “Recuperare credito”, autorità e imprese per trovare insieme una strada che conduca ad un equilibrio tra due opposti interessi: quello di coloro che cercano di recuperare quanto dovuto (le imprese) e quello dei consumatori che vogliono vedere tutelata la propria privacy.

Quando parliamo di recupero crediti in Italia, ci rifacciamo, sotto l’aspetto normativo, ad una norma che risale ad un Regio Decreto del 1931 e che per quasi 90 anni non è mai stata modificata”, ha tenuto a precisare il Antonio Persici, Presidente di OIC che continua, “Per anni l’attività di recupero crediti è stata poco e male considerata dal legislatore. Eppure sappiamo bene quanto il ritardo dei pagamenti sia letale tanto per le imprese che per la Pubblica Amministrazione, con effetti negativi sull’intero Sistema Paese”.

Il vademecum pubblicato dal Garante per la Privacy ha fatto un lavoro di sintesi, come precisa il Daniele De Paoli, del Dipartimento Realtà Economiche e Produttive del Garante, e dell’Autorità, “tra le principali novità avvenute nel comparto dal 2005 al 2015, alla luce dei cambiamenti avvenuti sul mercato”. De Paoli ha tenuto a sottolineare come “le istanze che arrivano al Garante e che riguardano il recupero crediti rappresentano, di fatto, una percentuale consistente– parliamo di alcune centinaia l’anno- e la maggior parte hanno a che fare con la violazione della riservatezza e della dignità della persona oppure con pratiche di contatto invasive: basti pensare che, nel 90% dei casi, ci si rivolge all’Autorità perché la comunicazione della morosità viene data a terze persone diverse dal diretto interessato”.

Quali soluzioni trovare allora per limitare queste pratiche? “Tanto per cominciare”, ha detto Persici, “la registrazione della telefonata tra l’operatore e il debitore può essere un modo per documentare in maniera certa il contatto. Inoltre, occorre senza dubbio provvedere ad una adeguata formazione del personale delle società di recupero crediti in modo che la comunicazione si svolga nel pieno rispetto dei diritti dell’interessato”. Dello stesso avviso si è detto anche De Paoli che, nel suo intervento, ha accolto positivamente le proposte di OIC.

Secondo Enrico Maria Cotugno, Vice Direttore di AGCOM, “dovremmo partire dal fatto che le imprese non devono cedere crediti “sporchi”, ossia esigere crediti da clienti con i quali hanno in sospeso dei reclami: questo sarebbe un buon modo per distinguere sul nascere i veri debitori dai clienti che invece hanno diritto a non pagare”.

L’OIC, da canto suo, sottolinea invece “l’importanza di un confronto con gli operatori del settore del recupero credito, attraverso il quale si possa colmare la lacuna dell’attuale sistema normativo. Inoltre, la strada del dialogo consentirebbe di trovare soluzioni rapide e aumentare la fiducia del consumatore”.

Privacy Officer: la nuova scheda informativa del Garante

Il Garante per la protezione dei dati personali ha predisposto una versione aggiornata della scheda informativa sulla figura del Responsabile della protezione dei dati personali (Data Protection Officer) sulla base della proposta di Regolamento COM(2012)11 concernente la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati” , come modificata a seguito dell’accordo politico fra i co-legislatori europei (Parlamento europeo e Consiglio Ue).

 

0001.jpg

Privacy by Design: l’approccio corretto alla protezione dei dati personali

Il tema della privacy riguarda il diritto degli individui alla protezione dei propri dati personali. L’evoluzione tecnologica ha inciso ovviamente anche sulla privacy poiché è necessario prevenire i rischi e comunque garantire la protezione dei dati personali.

I dati relativi alla rete internet e al numero di utenti ad essa connessi sono sufficientemente eloquenti e attestano come siano mutate in modo radicale nel corso degli anni sia le attività lavorative sia le abitudini di vita delle persone.

Questo complesso scenario ha determinato la necessità di una evoluzione anche per la privacy. Infatti, già a metà degli anni ’90, il contesto internazionale ha evidenziato il cambiamento apportato alla privacy proponendo le c.d. PET (acronimo di Privacy Enhancing Technologies), ossia tutte quelle tecnologie in ambito ICT che sono utili ad accrescere la protezione dei dati personali.

Del resto, un riferimento a questo importante concetto delle PET è contenuto nell’art. 3 del codice della privacy, rubricato “Principio di necessità nel trattamento dei dati”, che recita

“I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità”. Successivamente alle PET si è giunti alla Privacy by Design.

Question-Mark-Man

Ma che cos’è la Privacy by Design (PbD) e cosa rappresenta?

La Privacy by Design è un ulteriore tassello nella evoluzione dei principi relativi alla protezione dei dati personali e rappresenta il futuro della privacy. Si tratta di un innovativo approccio concettuale che va utilizzato in ogni occasione e contesto in cui sia necessario garantire la protezione dei dati personali; è il sistema attuale per affrontare la privacy mediante il quale si devono sdoganare criteri ed approcci meno recenti.

In sostanza la Privacy by Design rappresenta il futuro della privacy.

Nel 2010 la 32ma Conferenza mondiale dei Garanti privacy ha adottato la risoluzione sulla Privacy by Design (PbD) rendendo in tal modo ufficiale questo nuovo concetto che era comunque già noto ed utilizzato negli Stati Uniti e in Canada. Con la PbD si è inteso istituzionalizzare il cambiamento e l’evoluzione della privacy che, pertanto, richiede un nuovo approccio per garantire una migliore protezione dei dati personali.

Successivamente, il concetto di Privacy by Design – sebbene con una qualificazione diversa (privacy by design and by default) – è stato introdotto nella proposta di riforma europea della normativa in materia di dati personali che attualmente attende l’approvazione definitiva. Infatti, il 25 gennaio 2012 la Commissione europea ha proposto il nuovo quadro giuridico europeo in materia di protezione dei dati e la proposta di Regolamento introduce (articolo 23) l’espressione “data protection by design and by default”. Secondo il testo di questo articolo è chiaro che la Commissione europea esamini i termini “by design” e “by default” come concetti diversi, anche se utilizzati congiuntamente come unica espressione.

Nel contesto internazionale, però, è presente unicamente la descrizione ben strutturata della Privacy by Design, frutto della elaborazione della Dott.ssa Ann Cavoukian (che, quale Information and Privacy Commissioner of Ontario, Canada, fu tra i promotori della risoluzione adottata nel 2010).

Secondo questa impostazione, l’utente è considerato il centro del sistema privacy(per definizione, quindi, è “user centric”). Qualsiasi progetto (sia strutturale sia concettuale) va realizzato considerando dalla progettazione (appunto by design) la riservatezza e la protezione dei dati personali.

La PbD comprende una trilogia di applicazioni:

  1. sistemi IT
  2. pratiche commerciali corrette
  3. progettazione strutturale e infrastrutture di rete

e vengono individuati 7 principi definiti fondazionali che esprimono pienamente l’intero senso di questa prospettiva:

  1. Proattivo non reattivo – prevenire non correggere
  2. Privacy come impostazione di default
  3. Privacy incorporata nella progettazione
  4. Massima funzionalità − Valore positivo, non valore zero
  5. Sicurezza fino alla fine − Piena protezione del ciclo vitale
  6. Visibilità e trasparenza − Mantenere la trasparenza
  7. Rispetto per la privacy dell’utente − Centralità dell’utente.

Si tratta, indubbiamente, di un approccio metodologico ben strutturato che garantisce una neutra e solida funzionalità operativa indipendente da specifiche soluzioni tecnologiche. Del resto, ciò è del tutto conforme con i valori fondamentali dell’individuo.

L’obiettivo principale è quello di elaborare due concetti: la protezione dei dati e degli utenti.

In realtà, si presta attenzione in primo luogo alla privacy e, dopo si cerca di rispettare il diritto. L’approccio alla protezione dei dati personali e alla privacy, infatti, non può essere basata su una valutazione di conformità normativa perché è necessario che un qualsiasi processo proceda dall’utente, mettendo lui/lei al centro.

L’utente diventa il punto di partenza per sviluppare il progetto in base alla legge sulla privacy e quindi con un approccio user-centric.

Ogni volta che un progetto inizia deve prendere in considerazione, prima di tutto, il ruolo dell’utente, progettando tutto attorno alla persona fisica. Secondo questo metodo è molto semplice evitare i rischi privacy e di sicurezza.

La PbD esclude, pertanto, che si possa effettuare una valutazione di conformità alla normativa successivamente alla redazione del progetto o comunque posteriormente in occasione di un evento, in quanto la privacy va considerata già nella fase di progettazione.

La valutazione di “PbD compliance” costituisce un valore aggiunto di rilievo perché attesta che tutti i processi sono stati seguiti considerando adeguatamente la protezione dei dati personali.

La proposta europea di Regolamento contiene il riferimento alla “data protection by design and by default” ma – sebbene indichi chiaramente il senso di un cambio di prospettiva rispetto al passato – l’approccio utilizzato nel testo normativo sembra più attento alle tecnologie applicate alla privacy piuttosto che alla metodologia da utilizzare e all’essenza del concetto di “by design”.

In realtà, non si può prescindere dal preminente ruolo dell’utente i cui dati personali devono essere trattati in maniera adeguata anche al fine di prevenire o ridurre al minimo i rischi privacy.
Le applicazioni pratiche della Privacy by Design sono molteplici e non soggette a limiti (dalla progettazione strutturale di edifici o di ambienti, alla realizzazione di un progetto tecnologico o organizzativo, ad ogni soluzione progettuale in ambito IT). L’approccio alla PbD non richiede un’applicazione solo su nuovi progetti, poiché anche quelli esistenti possono beneficiare di questo sistema senza pregiudizio per quanto già realizzato.

Ad oggi, nonostante la risoluzione sulla Privacy by Design sia stata adottata nel 2010 anche con la partecipazione del Garante italiano, non risultano provvedimenti dell’Autorità che richiamino i principi contenuti nella citata risoluzione e sarebbe auspicabile che in essi si possano leggere considerazioni e determinazioni in ordine ad applicazioni concrete dei principi della Privacy by Design rispetto ai casi specifici.

Lo scrivente da tempo sostiene la opportunità e la necessità di sviluppare e strutturare norme uniformi per uno standard privacy internazionale che garantisca, nel rispetto delle normative degli Stati, un framework comune di riferimento con cui agevolare i trattamenti di dati personali e garantirne la protezione nel rispetto della privacy.

Lavoro: controlli indiretti senza filtro

  • Fonte: IusLetter
  • di Antonio Ciccia Messina

a_jpbsJobs act. Gli effetti della riscrittura dell’art. 4 dello statuto prevista dal dlgs semplificazioni. Niente autorizzazione per gli strumenti utili alla mansione. 

Mani libere per il datore di lavoro sull’uso di dispositivi di controllo indiretto, se utili per lo svolgimento della mansione: le informazioni raccolte possono servire per licenziamenti e sanzioni disciplinari.
E meno tutela della privacy per il lavoratore.
Questi gli effetti dello schema di decreto legislativo sul lavoro e pari opportunità, attuativo della legge 183/2014, che riscrive la norma sui controlli a distanza, con una deregulation per l’uso di dispositivi necessari per la mansione da cui possa derivare contestualmente un controllo del dipendente.

Ma vediamo di illustrare la novità
La regola da cui parte lo schema di decreto legislativo è la necessità per il datore di lavoro di chiedere il controllo preventivo sull’impiego di impianti audiovisivi e altri strumenti di controllo indiretto a distanza dei lavoratori.
Il controllo preventivo può essere sindacale (una trattativa e un accordo con le rappresentanze dei lavoratori) o, in mancanza, un’autorizzazione della direzione territoriale del lavoro o del ministero del lavoro, in caso di imprese con una ampia dislocazione territoriale.
Il nuovo decreto legislativo formula, però, due eccezioni, in cui non c’è necessità di alcuna trattativa o di autorizzazione ministeriale. Come si vedrà, però, queste eccezioni sono destinate ad ampliarsi fino a ribaltare la regola.

  1. La prima eccezione è rappresentata dagli strumenti di registrazione degli accessi e delle presenze.
  2. La seconda è rappresentata dagli strumenti «che servono al lavoratore per rendere la prestazione lavorativa».

Quindi, anche se dall’impiego di strumenti da utilizzare per lo svolgimento della mansione deriva la possibilità di un controllo a distanza del lavoratore, ciò nonostante non bisogna attivare una procedura di trattativa sindacale o di autorizzazione ministeriale preventiva (che rimane per impianti e dispositivi non necessari).

Questo significa che la legge liberalizza l’uso da parte del datore di lavoro di strumenti di controllo indiretto se contestualmente servono per la prestazione.

E se il decreto legislativo consente a priori l’uso di strumenti indiretti di controllo, possono servire a poco anche le garanzie previste dal codice della privacy.
I controlli indiretti, con strumenti utili per il lavoro, sono leciti e non possono diventare illeciti per effetto del codice della privacy.
Non a caso lo stesso decreto legislativo in esame prevede la possibilità di libero utilizzo delle informazioni raccolte «a tutti i fini connessi al rapporto di lavoro».

Quindi, riassumiamo
Il datore di lavoro:

  • può raccogliere informazioni attraverso dispositivi utili per la prestazione, senza dover negoziare con il sindacato o chiedere una autorizzazione al ministero del lavoro; inoltre
  • il datore di lavoro può usare queste informazioni per sanzioni disciplinari, licenziamenti trasferimenti, o anche in positivo per promozioni, insomma per tutto quanto previsto dal rapporto di lavoro.

La norma prevede solo un obbligo formale di preventiva informazione sulle modalità di uso degli strumenti e di effettuazione dei controlli.

Si noti però che non si potrà mai più dubitare della possibilità di controllo e questo per decisione unilaterale del datore di lavoro; inoltre l’informativa è per il lavoratore, ma non è finalizzata a una trattativa.
La norma aggiunge un generico rispetto del codice della privacy.

Certo il datore di lavoro non dovrà divulgare a terzi o diffondere indiscriminatamente i dati raccolti e dovrà utilizzarli solo per scopi lavorativi.

Peraltro il datore di lavoro ha le mani più libere, poiché la norma è chiara nel liberalizzare l’uso per finalità connesse al lavoro di informazioni raccolte con dispositivi di controllo indiretto utilizzabili dal datore di lavoro senza controlli preventivi.
Il problema che si apre è solo interno alla fattispecie.
Riguarda, cioè, la identificazione dei dispositivi utili per lo svolgimento ella mansione.

L’individuazione di che cosa serve per rendere la prestazione lavorativa diventa lo spartiacque tra controlli indiretti che necessitano dell’accordo sindacale e controllo indiretti liberalizzati.

Anche su questo, però, il potere organizzativo da parte del datore di lavoro avrà una priorità: è il datore di lavoro che, in relazione a standard produttivi individua gli strumenti utili per la mansione.
Una stessa mansione potrà essere svolta con dispositivi di diverso contenuto tecnologico ed appartiene alla discrezionalità del datore di lavoro scegliere lo strumento.
Una volta scelto dal datore di lavoro, quello strumento diventa utile.
Certo uno strumento non può diventare utile, solo perché con esso si può realizzare un controllo indiretto, ma la tecnologia delle informazione è tale da consentire la raccolta di informazione attraverso potenzialmente tutti i dispositivi di lavoro e, quindi, è facile prevedere un progressivo allargamento della categoria degli strumenti utili per la mansione nel contempo raccoglitori di dati.
A ciò corrisponderà un arretramento progressivo del controllo preventivo sull’uso di tali dispositivi e, quindi, un arretramento della privacy dei dipendenti.