Call center extra Ue più trasparenti

9779804-dipendenti-che-lavorano-in-un-call-centerIl Garante avvia una ricognizione delle attività di customer care e telemarketing fuori Ue

Cresce il fenomeno dei call center delocalizzati in Paesi al di fuori dell’Unione europea e il Garante privacy interviene a tutela dei cittadini italiani.

Con un provvedimento a carattere generale [doc. web n. 2724806],  adottato al termine di una articolata istruttoria,  il Garante ha ribadito le regole alle quali devono attenersi società e enti pubblici, che si avvalgono per le loro attività di customer care o di telemarketing di call center situati in Paesi dove non sono assicurate le garanzie previste dalla normativa comunitaria.

Il nuovo provvedimento ricorda le regole generali da rispettare per i trasferimenti di dati:

  • autorizzazione del Garante,
  • adozione di regole di condotta infragruppo (le cosiddette “binding corporate rules“, Bcr),
  • sottoscrizione tra le parti delle clausole contrattuali tipo stabilite dalla Commissione europea o quelle già indicate in specifici ambiti di attività (ad.es. per il telemarketing).

Ma soprattutto introduce importanti novità.

  • i titolari del trattamento (società e enti pubblici) che utilizzano tali call center dovranno infatti integrare l’informativa resa al momento del contatto con l’utente specificando anche la nazione dalla quale chiamano o rispondono;
  • per le chiamate in entrata,  in analogia a quanto previsto dalla normativa in vigore, i call center dovranno adottare apposite procedure per dare all’utente la possibilità di scegliere un operatore collocato sul territorio nazionale (ad es. deviando la telefonata o disponendo un successivo contatto da parte di un operatore italiano);
  • d’ora in poi, inoltre, i titolari dal trattamento che intendono trasferire (o affidare) il trattamento di dati personali a un call center situato in Paesi extra Ue dovranno prima darne comunicazione al Garante, utilizzando un modello che sarà messo a disposizione sul sito dell’Autorità (www.garanteprivacy.it). 

I call center che già operano in Pesi extra Ue dovranno invece informare il Garante entro 30 giorni dalla pubblicazione del provvedimento nella Gazzetta ufficiale.

Ciò consentirà di acquisire elementi utili a comprendere l’ampiezza di un fenomeno in continua espansione e permetterà all’Autorità di valutare la portata del trasferimento dei dati personali al di fuori dall’Unione europea per i trattamenti operati dai call center, anche al fine di intervenire con tempestività ed efficacia in caso di violazioni del Codice privacy.

 

Annunci

Scuole: no alle impronte digitali per professori e personale amministrativo

fingerprint1No all’uso delle impronte digitali dei professori e del personale amministrativo tecnico e ausiliario (Ata) per rilevare la loro presenza a scuola.

Lo ha stabilito il Garante privacy [doc. web nn. 25785472502951 e 2503101] nel vietare a un istituto tecnico industriale e a due licei scientifici l’ulteriore trattamento dei dati biometrici dei lavoratori effettuato in violazione delle norme in materia di protezione dei dati personali.

Il Garante, intervenuto a seguito di segnalazioni e notizie di stampa, ha detto no all’uso generalizzato delle impronte digitali perché eccedente e sproporzionato rispetto allo scopo perseguito dalle scuole di controllare le presenze sul posto di lavoro e contrario quindi ai principi di liceità, necessità e non eccedenza stabiliti dal Codice.

Come più volte precisato dal Garante, infatti, l’impiego di dati così delicati può essere ritenuto lecito solo in  specifici casi: ad esempio, per accedere ad aree aziendali riservate in cui si svolgono particolari attività o a imprese collocate in zone a rischio.

Per controllare il rispetto dell’orario di lavoro  – ha affermato il Garante – la scuola può disporre di sistemi meno invasivi della sfera personale, della libertà  individuale e della dignità del lavoratore.

L’Autorità, infine, ha dichiarato illecito e ha vietato anche l’uso delle immagini raccolte tramite un impianto di videosorveglianza installato all’interno di uno dei due licei,  all’insaputa di docenti, personale Ata e studenti. Il divieto riguarda il trattamento effettuato nel periodo antecedente alla sua  disattivazione da parte della Direzione territoriale del lavoro per violazione delle norme sul controllo a distanza dei lavoratori.

 

Scuole: sì alla trasparenza, ma senza violare la privacy

Paolo Mazzolari 11 settembre 2013

privacy-studenti

Graduatorie on line e moduli di iscrizione solo con dati pertinenti.
No alla pubblicazione sul web dei nomi degli studenti le cui famiglie sono in ritardo nel pagamento della retta per la mensa.
Vietato diffondere telefono e indirizzo di personale scolastico e studenti.

In occasione dell’avvio dell’anno scolastico, il Garante per la privacy ricorda alle scuole di ogni ordine e grado la necessità di tenere presente alcuni principi stabiliti nei provvedimenti adottati in questi anni in materia di trasparenza in ambito scolastico, a tutela dei dati degli studenti e dei lavoratori che operano nel mondo dell’istruzione.

Numerosi sono, infatti, i casi in cui istituti e pubbliche amministrazioni, per un’errata interpretazione della normativa sulla trasparenza o per semplice disattenzione, rendono accessibili informazioni che dovrebbero restare riservate, mettendo in questo modo a rischio la riservatezza e la dignità delle persone.

graduatorieLe graduatorie

Il Garante è intervenuto più volte contro illeciti compiuti nella pubblicazione on line di graduatorie di vario tipo, le quali spesso contengono dati personali non pertinenti o eccedenti le finalità istituzionali perseguite.

Alcuni Comuni, ad esempio, hanno pubblicato on line le graduatorie di chi ha diritto ad usufruire del servizio di scuolabus includendo tra le varie informazioni liberamente accessibili, non solo i dati identificativi dei bambini, ma anche l’indirizzo di residenza e il luogo preciso dove lo scuolabus li avrebbe fatti salire e scendere. La diffusione di questi dati, oltre a comportare una violazione della normativa, può rendere i minori facile preda di malintenzionati.

Un altro caso frequente riguarda la pubblicazione sui siti Internet degli istituti delle graduatorie di docenti e personale amministrativo tecnico e ausiliario (Ata) per consentire a chi ambisce a incarichi e supplenze di conoscere la propria posizione e punteggio. Tali liste, giustamente accessibili a tutti, non devono però contenere, come in diversi casi segnalati al Garante, i numeri di telefono e gli indirizzi privati dei candidati. Questa illecita diffusione dei contatti personali incrementa, tra l’altro, il rischio di esporre i lavoratori a forme di stalking o a possibili furti di identità.

mensa_scolasticaIl servizio mensa

Il Garante ricorda che è illecito pubblicare sul sito della scuola il nome e cognome degli studenti i cui genitori sono in ritardo nel pagamento della retta o del servizio mensa. Lo stesso vale per gli studenti che usufruiscono gratuitamente del servizio in quanto appartenenti a famiglie con reddito minimo o a fasce deboli. Gli avvisi messi on line devono avere carattere generale, mentre alle singole persone ci si può rivolgere con comunicazioni di carattere individuale.

A salvaguardia della trasparenza sulla gestione delle risorse scolastiche, restano ferme le regole sull’accesso ai documenti amministrativi da parte delle persone interessate.

scuola-1024x768L’iscrizione a scuole e asili

Gli istituti scolastici e gli asili nido, così come i Comuni, devono predisporre con cura i moduli di iscrizione di bambini e studenti, così da non chiedere alle famiglie informazioni personali eccedenti e non rilevanti.

Particolare attenzione deve essere posta sull’eventuale raccolta di dati sensibili, come quelli sulle condizioni di salute e sull’appartenenza etnica o religiosa. Il trattamento di questi dati, oltre a dover essere espressamente previsto dalla normativa, richiede infatti speciali cautele e può essere effettuato solo se i dati sensibili sono indispensabili per l’attività istituzionale svolta: non è questo il caso della semplice iscrizione a scuola.

L’Autorità segnala, infine che, allo scopo di fornire un quadro organico in materia di protezione dei dati personali nel mondo della scuola, e affrontare nel contempo le problematiche legate all’uso di Internet e delle nuove tecnologie, verranno adottate presto specifiche Linee guida in materia.

Pa: gestione del rapporto di lavoro e dati sulla salute

universita-tagliViola le norme sulla protezione dei dati personali la Pubblica amministrazione che comunica indebitamente informazioni sullo stato di salute di un proprio dipendente a terzi.

Lo ha affermato il Garante privacy [doc. web n. 2576686] il quale, intervenuto a seguito della segnalazione di una professoressa universitaria, ha ritenuto illecita la comunicazione ad altri docenti di un decreto rettorale contenente informazioni sensibili che la riguardavano e ha prescritto all’amministrazione di conformare la gestione del trattamento dei dati personali alla disciplina del Codice privacy.

In particolare, la segnalante lamentava il fatto che

  • copia integrale del decreto rettorale che la collocava in “interdizione dal lavoro” e quindi in “congedo per maternità” fosse stata inviata a un docente in servizio presso un’altra Facoltà, diffondendo informazioni molto delicate sulla sua salute.
  • tale documento, inoltre, eveniva allegato dalla segreteria amministrativa al modulo di richiesta di affidamento dell’insegnamento che si sarebbe reso vacante, rendendo note le condizioni di salute della professoressa anche a tutti i docenti membri del Consiglio di Facoltà tenuti a deliberare sull’assegnazione della cattedra.

alert-icon-redIlliceità del trattamento

Nel dichiarare illecito il trattamento, il Garante ha rilevato la presenza di dati sensibili nel decreto rettorale, poiché le informazioni relative alla “interdizione dal lavoro” ai sensi della legge 151/2001, espressamente richiamata nel decreto, fanno riferimento a “gravi complicanze della gravidanza o a persistenti forme morbose che si presume possano essere aggravate dalla gravidanza”, in base alle quali la Direzione provinciale del Lavoro e la Asl dispongono l’interdizione.

Il Garante ha ribadito inoltre che, nel caso di specie, gli stessi dati sensibili potevano essere trattati soltanto dagli organismi espressamente indicati nel regolamento di Ateneo per le finalità di gestione del rapporto di lavoro, mentre non dovevano essere comunicati a terzi.

L’inclusione di dati sensibili nel decreto, infine, è avvenuta anche in violazione del principio di necessità, poiché non era indispensabile, ai fini dell’assegnazione dell’incarico resosi vacante, mettere a conoscenza i docenti dei motivi dell’assenza della professoressa.

 

Si a telecamere “intelligenti” per impianti in zone isolate

video_surveillance_and_physical_security_212463Il Garante per la privacy ha accolto le richieste avanzate da un gruppo industriale di installare un sistema di videosorveglianza “intelligente”, dotato di riconoscimento dei movimenti, per proteggere cinque complessi fotovoltaici posizionati in zona isolate.

Le domande di verifica preliminare presentate traggono origine dalle peculiari esigenze organizzative e di sicurezza dei siti produttivi che si trovano in ampie aree lontano da centri abitati e solitamente non richiedono la presenza di personale sul posto.

Le società che gestiscono gli impianti hanno quindi chiesto di poter abbinare al normale sistema di videosorveglianza, dotato di telecamere fisse e “speed-dome” (brandeggiabili e dotate di zoom), una funzione di “motion control” in grado di rilevare automaticamente eventuali movimenti all’interno dell’area ripresa e di allertare immediatamente il personale di controllo. Le nuove funzionalità consentirebbero alle imprese di:

  • garantire la sicurezza delle infrastrutture da intrusioni e danneggiamenti,
  • monitorare costantemente il corretto funzionamento degli impianti in modo da richiedere l’intervento di addetti sul posto solo in caso di eventi anomali.

 

original_S3I_Integrated_Video_surveillance_Security_System_Solution_3_HLe misure privacy da adottare

L’Autorità ha riconosciuto le specifiche necessità del gruppo e ha autorizzato l’attivazione delle nuove tecnologie con l’obbligo, però, di adottare adeguate tutele per la privacy:

  • le telecamere dovranno essere opportunamente segnalate e potranno inquadrare solo le aree interne dell’impianto e l’area immediatamente attigua la recinzione;
  • L’accesso via internet alle immagini conservate nei computer degli impianti potrà avvenire solo tramite connessioni protette (con rete VPN) e trasmissioni criptate;
  • i dati potranno essere consultati solo da personale appositamente incaricato e dotato di utenze di accesso individuale.

 

eyeGaranzie per il Lavoratori

Il Garante ha infine sottolineato che, siccome le telecamere potrebbero riprendere l’attività del personale inviato a operare sul posto, le aziende coinvolte dovranno comunque operare nel rispetto dello Statuto dei lavoratori. Prima di avviare l’attività di videosorveglianza, le società dovranno quindi attendere l’apposito nulla osta già richiesto alle competenti Direzioni provinciali del lavoro. In ogni caso, le riprese potranno essere utilizzate solo per finalità connesse alla tutela del patrimonio aziendale e non per il controllo a distanza dei lavoratori o per altri scopi non previsti.

 

La nuova guida del Garante privacy per aiutare le imprese

downloadProposte 10 pratiche aziendali per migliorare il business e valorizzare il corretto utilizzo dei dati

La corretta adozione di semplici misure a protezione dei dati personali può contribuire a rendere più efficiente l’organizzazione dell’impresa e a ridurre sensibilmente i potenziali rischi a cui la stessa si espone sul mercato, ma può rappresentare anche un vantaggio competitivo.

Per questi motivi, l’Autorità ha predisposto una breve guida – “La privacy dalla parte dell’impresa – Dieci pratiche aziendali per migliorare il proprio business”.

L’obiettivo è quello di aiutare le imprese a valorizzare il proprio patrimonio dati, trasformando la privacy da costo a risorsa, senza per questo ridurre le tutele dei diritti fondamentali della persona.

Il Garante per la privacy ha individuato dieci “best practice” che possono migliorare:

  • non solo l’immagine dell’impresa, come soggetto attento al principio di “responsabilità sociale”,
  • ma anche la propria capacità di business, aumentando la fiducia di utenti e consumatori nella serietà e affidabilità dell’attore economico.

Il vademecum richiama regole fondamentali e consigli pratici – che vanno dalla selezione del personale all’uso delle nuove tecnologie, dalla trasparenza alle misure di sicurezza – per utilizzare e proteggere al meglio i dati personali trattati. L’imprenditore potrà trovare anche riferimenti alle principali modalità semplificate che l’Autorità ha, nel tempo, indicato alle aziende per ottenere una conformità sostanziale alla protezione dei dati, evitando attività inutili e meramente formali.

La guida
La guida è suddivisa in dieci brevi capitoli:

  1. “Il valore dei dati”
  2. “A ciascuno le sue responsabilità”
  3. “Trasparenza e correttezza nel business”
  4. “Curriculum & Co.”
  5. “Trattamenti “a rischio”
  6. “Tecnologie per l’impresa”
  7. “Difesa del patrimonio dati”
  8. “Controllo del “controllore informatico”
  9. “L’ “export” dei dati”
  10. “Verso una “customer care dei dati”

Ogni capitolo affronta una differente pratica aziendale e alcuni dei benefici diretti e indiretti generati dalle misure adottate per tutelare i dati personali.

La nuova guida sarà distribuita al Forum Pa, in programma dal 28 al 30 maggio 2013 al Palazzo dei Congressi di Roma, presso lo stand del Garante.

Webcam negli asili nido: lasciamo in pace i bambini

asilo-nidoNo all’uso generalizzato di webcam negli asili nido. La tutela della personalità e della riservatezza dei minori deve prevalere rispetto alle esigenze di genitori e strutture scolastiche.

Lo ha stabilito il Garante privacy [doc. web n. 2433401] che ha vietato l’uso delle webcam installate in un asilo nido privato di Ravenna. Nel corso dell’istruttoria avviata a suo tempo dall’Autorità per conoscere le modalità di funzionamento e gli scopi delle webcam, la società che gestisce l’asilo aveva spiegato che il sistema era stato installato come deterrente contro i malintenzionati, ma soprattutto per fornire un servizio che consentisse via web, ai genitori impegnati al lavoro, di monitorare costantemente in presa diretta ciò che i loro figli facevano.

La “tranquillità dei genitori”

Nel suo provvedimento il Garante ha ricordato innanzitutto, anche in riferimento a quanto precisato dalla Commissione europea, che l’impiego di sistemi di videosorveglianza deve risultare effettivamente necessario e proporzionato agli scopi che si intendono perseguire, tanto più quando si tratta di dispositivi particolarmente invasivi come le webcam.

L’installazione di webcam, per stessa ammissione dell’asilo nido, era finalizzata a venire incontro alla tranquillità dei genitori piuttosto che a salvaguardare la sicurezza dei minori.

Ma anche ammesso che l’obiettivo fosse quello di tutelare l’incolumità dei minori, tale finalità andrebbe comunque perseguita bilanciandola con altri interessi fondamentali del bambino, quali la sua riservatezza e il libero sviluppo della sua personalità. Non sono emersi, peraltro, neanche nelle argomentazioni addotte dall’asilo nido elementi che giustificassero il ricorso all’installazione a fini di sicurezza.

videosorveglianza2Rischi connessi al collegamento telematico

Il collegamento telematico, inoltre, non assicurava sufficienti tutele ai minori:

  • in primo luogo, la visione da parte dei genitori non era limitata alle sole attività del proprio figlio, ma si estendeva naturalmente anche a quelle degli altri minori e agli insegnanti;
  • in secondo luogo, il sistema non garantiva che anche altri, oltre ai genitori muniti di credenziali per l’accesso, potessero visionare le immagini: circostanza questa che apriva al possibile rischio che le immagini potessero poi essere registrate e usate anche a fini illeciti.

Il Garante ha dunque dichiarato illecito il trattamento dei dati operato e ha vietato all’asilo nido l’ulteriore trattamento delle immagini.

Garante dixit

“Sistemi di controllo così intrusivi come le webcam – ha commentato Antonello Soro, Presidente dell’Autorità – devono essere usati con estrema cautela perché, oltre a incidere sulla libertà di insegnamento, possono ingenerare nel minore, fin dai primi anni di vita, la percezione che sia “normale” essere continuamente sorvegliati, come pure condizionare la spontaneità del rapporto con gli insegnanti.

La tranquillità dei genitori non può essere raggiunta a scapito del libero sviluppo dei figli. Non possiamo, per placare le nostre ansie di adulti, trasformare la società in cui viviamo in un mondo di ipersorvegliati, a partire dai nostri bambini”.