Lavoro: le indicazioni dei Garanti privacy europei

INTERNTE_SICUREZZA1_FOTOLIA-kArE--835x437@IlSole24Ore-WebProteggere l’uso privato dei social network e le comunicazioni dei lavoratori, spazi riservati sul cloud.

  • Possibili i controlli contro la fuga di dati o la compromissione dei sistemi ma senza spiare le comunicazioni dei dipendenti,
  • eventuale consultazione dei social network  limitata ai soli profili professionali,
  • offerta di spazi privati su computer aziendali e servizi cloud,
  • necessità di ulteriori basi legali
    rispetto al consenso
    per trattare i dati personali dei lavoratori.

Sono queste alcune delle indicazioni date alle imprese dai Garanti europei della privacy riuniti nel Gruppo “Articolo 29” (WP29), al fine di sfruttare le potenzialità delle reti sociali e delle nuove tecnologie senza violare la privacy del lavoratori.

Il documento, che tiene conto sia della normativa vigente sia delle novità introdotte dal Regolamento UE 2016/679 che si applicherà a partire dal maggio 2018, definisce un quadro dei principi fondamentali ed esempi concreti per il corretto trattamento dei dati in ambito professionale.

I Garanti hanno ricordato che ogni lavoratore, indipendentemente dal tipo di contratto a lui applicato, ha diritto al rispetto della vita privata, della sua libertà e dignità.

Deve innanzi tutto essere adeguatamente informato sulle modalità di trattamento dei dati personali in maniera chiara, semplice ed esaustiva, soprattutto quando siano previste forme di controllo del lavoratore, che comunque dovranno essere rispettose anche delle norme nazionali.

Le Autorità per la privacy hanno poi rimarcato che aziende ed enti pubblici difficilmente potranno avvalersi del consenso dei dipendenti come base legale per poter procedere all’utilizzo dei loro dati.

Il consenso, infatti, per essere considerato valido, deve essere libero, diversamente da quanto accade nella realtà lavorativa dove c’è una forte disparità di potere tra datore di lavoro e dipendente.

Il datore di lavoro potrà quindi valutare, in alternativa, il ricorso a disposizioni normative o contrattuali, oppure far valere il proprio “legittimo interesse”: ad esempio, alla sicurezza e alla corretta allocazione delle risorse.

A questo proposito, i Garanti hanno ribadito che occorre bilanciare il legittimo interesse del datore di lavoro con i diritti e le libertà dei lavoratori alla luce dei principi di necessità e proporzionalità.

In particolare, ogni trattamento deve essere proporzionato alla finalità perseguita, e deve essere limitato quanto più possibile l’uso dei dati personali.

Gli strumenti di geolocalizzazione, ad esempio, possono essere utilizzati per finalità strettamente aziendali e al lavoratore deve essere lasciata la possibilità di disattivare, se necessario, il localizzatore (come i gps).

Si possono inoltre introdurre strumenti e tecnologie, come quelle per l’analisi del traffico, per ridurre i rischi di attacchi informatici e la diffusione di informazioni riservate, ma non si può spiare la posta dei dipendenti o la loro navigazione internet. Anche in questo caso devono essere privilegiate misure preventive, assolutamente trasparenti, che segnalino ad esempio ai dipendenti la violazione che potrebbero stare per commettere.

Anche l’eventuale consultazione o il monitoraggio dei social network devono essere limitati ai soli profili professionali, escludendo la vita privata di dipendenti o candidati all’assunzione. Vale sempre, infatti, il diritto fondamentale a non essere oggetto di discriminazione come quelle basate sulle idee politiche, l’impegno sociale o altri aspetti della sfera personale o familiare.

Proprio per favorire il corretto utilizzo degli strumenti e delle policy aziendali nel rispetto della privacy dei lavoratori, i Garanti invitano i datori di lavoro a offrire, ad esempio, connessioni WiFi ad hoc e a definire spazi riservati – su computer e smartphone, su cloud e posta elettronica – dove possono essere conservati documenti o inviate comunicazioni personali, non accessibili al datore di lavoro se non in casi assolutamente eccezionali.

Profilazione on line: regole chiare e più tutele per la privacy degli utenti

inconvénient-micro-stationConsenso obbligatorio, revocabile in ogni momento. Garanzie anche per gli utenti senza account di accesso ai servizi.

Maggiori tutele per gli utenti, ma anche regole più chiare per chi fa profilazione on line, a partire dai principali siti web. Chi opera su Internet dovrà:

  • fornire agli utenti informazioni chiare e complete,
  • richiedere ed ottenere il consenso degli interessati, revocabile in ogni momento, e
  • offrire concrete tutele anche a chi non dispone di uno specifico account per accedere ai servizi offerti.

Queste le principali misure indicate dal Garante per la privacy nelle Linee guida in materia di trattamento di dati personali per profilazione on line”, pubblicate oggi sulla Gazzetta Ufficiale.

Le regole varate armonizzano e rendono più chiara la gestione delle attività di profilazione, ovvero la definizione di “profili” di utenti (sulla base di caratteristiche, comportamenti, scelte, abitudini) allo scopo di fornire servizi o promozioni personalizzate.

Dovranno essere adottate da tutti i soggetti stabiliti su territorio nazionale che forniscono servizi on line, quali:

  • motori di ricerca,
  • posta elettronica,
  • mappe on line,
  • social network,
  • pagamenti elettronici,
  • cloud computing.

Ecco in sintesi le regole previste nelle Linee guida

Tutele per ogni utente

Le società dovranno tutelare la privacy sia degli utenti autenticati, cioè quelli che accedono ai servizi tramite un account (ad esempio per l’utilizzo della posta elettronica), sia di quelli che fanno uso dei servizi in assenza di previa autenticazione (utenti non autenticati), come in caso di semplice navigazione on line.

Informativa

L’informativa sul trattamento dei dati dovrà essere chiara, completa, esaustiva e resa ben visibile, già dalla prima pagina del sito. Essa costituisce il presupposto per consentire agli interessati medesimi di esprimere o meno il consenso all’uso dei propri dati per fini di profilazione ed è preferibile che sia strutturata su più livelli, per renderne più facile la lettura:

  • un primo livello immediatamente accessibile con un solo click dalla pagina visitata, con tutte le informazioni di maggiore importanza (ad esempio l’indicazione dei trattamenti e dei dati oggetto di trattamento);
  • un secondo livello, accessibile dal primo, con ulteriori dettagli sui servizi offerti.

Consenso

Qualunque attività di trattamento dei dati personali dell’utente per finalità di profilazione e diversa da quelle necessarie per la fornitura del servizio (ad esempio, i filtri antispam o antivirus, gli strumenti per consentire ricerche testuali, etc.) potrà essere effettuata esclusivamente con il consenso informato dell’utente.

Questo obbligo si applica dunque alla profilazione per finalità promozionali comunque effettuata:

  • sia quella sui dati relativi all’uso della posta elettronica
  • sia quella basata sull’incrocio dei dati personali raccolti in relazione all’utilizzo di più funzionalità da parte degli utenti (ad esempio: posta elettronica e navigazione sul web, partecipazione a social network e utilizzo di mappe o visualizzazione di contenuti audiovisivi etc.),
  • sia infine quella fondata sull’impiego di strumenti di identificazione diversi dai cookie (come il fingerprinting, che costruisce profili dell’utente sulla base di specifici parametri di impostazione del terminale o sulle modalità del suo utilizzo).

Attraverso modalità semplificate, gli utenti potranno scegliere in modo attivo e consapevole se acconsentire alla profilazioneAll’utente dovrà comunque essere sempre pienamente garantito il diritto di revoca delle scelte espresse in precedenza. A tale scopo dovrà essere predisposto un link, sempre ben visibile.

Conservazione

Dovranno essere definiti tempi certi di conservazione dei dati, sulla base delle norme del Codice privacy, proporzionati alle specifiche finalità perseguite.

CyberBullismo: Il Garante Privacy scrive al Ministro dell’Istruzione

ImmagineDopo il suicidio della quattordicenne Carolina, il Garante Privacy Antonello Soro scrive una lettera al Ministro dell’Istruzione Francesco Profumo sulla necessità di sensibilizzare il mondo della scuola sull’uso corretto dei social nel rispetto della dignità delle persone.

Al fine di aiutare i ragazzi a servirsi di questi strumenti in maniera consapevole e sicura, dal 28 gennaio sarà disponibile sul sito del Garante un video di “istruzioni per l’uso” dei social network. 

 

Caro Ministro,

gli ultimi terribili casi di giovanissimi che hanno deciso di porre fine alla loro vita per essersi sentiti violati nella loro dignità da insulti e offese diffusi on line così laceranti per loro da indurli a questo gesto estremo, pongono con forza la necessità inderogabile di affrontare il tema dell’uso responsabile dei social network.

Questo rappresenta oggi per genitori, istituzioni scolastiche, organismi di garanzia e media, uno dei primi obiettivi da perseguire a salvaguardia innanzitutto dei nostri ragazzi.

Le nuove forme di comunicazione e condivisione, l’esito forse più rivoluzionario di cambiamento nei rapporti sociali, che giovani e meno giovani usano per dialogare, scambiarsi opinioni, cercare informazioni, esprimere idee ed emozioni, lavorare, essere in contatto con il mondo mettono sempre più in luce, brutalmente, anche un loro “lato oscuro” che è bene conoscere e prevenire. Lo sviluppo tecnologico è sempre connotato dall’endiadi “opportunità-rischi”, ma mai come con l’avvento della Rete questa doppia faccia si mostra in tutta la sua evidenza. Non si vuole certo demonizzare i social network, ma evidenziare il bisogno di usarli senza nuocere a se stessi e agli altri.

Non si tratta solo dei pericoli legati all’autoesposizione, al divulgare senza remore anche gli aspetti più intimi, al “postare” foto e video di cui soprattutto i giovani potrebbero pentirsi in futuro. I rischi che stiamo sperimentando riguardano l’enorme potenziale di danno che, come nel caso del cyberbullismo, i nuovi strumenti di comunicazione, proprio per la loro stessa primaria qualità di raggiungere con un click un numero elevatissimo di persone, portano con sé.

È con questa preoccupazione, che so pienamente condivisa, che mi rivolgo a Lei, Signor Ministro, e a tutta la realtà della scuola, affinché il tema della tutela della riservatezza e della dignità delle persone nel mondo on line venga assunto come momento imprescindibile di formazione dei nostri giovani.

È aiutandoli a conoscere realmente gli strumenti che abitualmente usano, ma di cui spesso ignorano i pericoli, che potremmo garantire loro un’autentica capacità di costruire se stessi, di sviluppare in libertà e armonia la loro identità.

Il Garante per la privacy avverte forte l’esigenza di unire gli sforzi in una battaglia che deve vederci prevalere: quella per garantire il rispetto a ognuno di noi, a partire dai più giovani che sono i più esposti ai pericoli di una “terra incognita” qual è spesso Internet, e la cui fragilità è ora accentuata dalle sfide tecnologiche che stanno cambiando il nostro modo di essere.

La Sua adesione all’iniziativa dedicata proprio ai social network e al corretto uso delle nuove tecnologie, con la quale la nostra Autorità intende quest’anno celebrare il prossimo 28 gennaio la Giornata europea della protezione dei dati personali, è lì del resto a testimoniare, oltre che la Sua personale sensibilità sul tema e il concreto impegno fin qui prodigato, anche questo comune obiettivo.

Quella del 28 gennaio sarà anche l’occasione per il Garante, da sempre impegnato a sensibilizzare i giovani sul valore della protezione dei dati e sulla cultura del rispetto, di mettere a loro disposizione sul sito istituzionale dell’Autorità un video di “istruzioni per l’uso” dei social network. L’intento è quello di aiutare i nostri ragazzi a servirsi di questi strumenti di libertà in maniera consapevole e sicura.

Roma, 9 gennaio 2013

 Antonello Soro

Un Decalogo della condivisione online

“Non pubblicare o condividere mai nulla che riguardi anche altri senza avere l’esplicito consenso di tutte persone coinvolte. Ci sono persone che non gradiscono affatto che in rete circolino le loro foto o si parli di loro ed è giusto rispettare la loro sensibilità: non sono loro a dover manifestare la loro preferenza a pubblicazione avvenuta, sei tu che devi verificarla preventivamente. L’attenzione deve essere ancora maggiore quando i contenuti riguardano minorenni, a maggior ragione se non si tratta dei propri figli.”

C’è sempre una prima volta.

E Studio Mazzolari è lieto di giocarsela segnalando un vero e proprio Decalogo della condivisione online, che essa si chiami Facebook, Twitter, Youtube, Buzz o altro.

L’autore è Sergio Maistrello, giornalista professionista, e l’articolo del suo Blog è il seguente: A te, che sei di nuovo qui.

Buona lettura e riflessione.

Google Street View sotto la lente del Garante

19 maggio 2010: il Garante privacy avvia istruttoria su Google Street View

il Garante privacy ha avviato un’istruttoria nei confronti di Google per verificare la liceità e la correttezza del trattamento dei dati personali effettuato nell’ambito del servizio Street View.

Raccolta dati sulla presenza di reti wireless e frammenti di comunicazioni elettroniche. Il procedimento dell’Autorità è stato aperto in merito alla raccolta effettuata dalla società sul territorio italiano e che, secondo quanto ammesso dalla stessa Google Italia, ha riguardato, oltre che immagini, anche dati relativi alla presenza di reti wireless e di apparati di rete radiomobile, nonché frammenti di comunicazioni elettroniche, eventualmente trasmesse dagli utenti su reti wireless non protette (v. Il Post). Riguardo a quest’ultima tipologia di dati, l’Autorità ha invitato la società a sospendere qualsiasi trattamento fino a diversa direttiva dello stesso Garante.

Google cars. Con particolare riferimento a tutti i dati eventualmente “captati” dalle “Google cars”, la società dovrà comunicare al Garante:

  • la data di inizio della raccolta delle informazioni,
  • per quali finalità e con quali modalità essa è stata realizzata,
  • per quanto tempo e in quali banche dati queste informazioni sono conservate.

Reti wifi e telefonia mobile. Google dovrà chiarire, inoltre, l’eventuale impiego di apparecchiature o software “ad hoc” per la raccolta di dati sulle reti WiFi e sugli apparati di telefonia mobile. La società dovrà comunicare, infine:

  • se i dati raccolti siano accessibili a terzi e con quali modalità, o
  • se siano stati ceduti.

Privacy e UE: una ferma e lucida vigilanza

Privacy by Design, Body Scanner, Social Network

questi i punti chiavi del keynote di Viviane Reding, Commissario europeo incaricato della società dell’informazione e dei media, durante il Data Protection Day del 28 gennaio scorso al Parlamento Europeo di Bruxelles, la quale, ribadendo il fermo impegno delle Istituzioni europee nella difesa della privacy dei propri cittadini, riporta alcuni tra i suoi più recenti interventi nella veste di Commissario per la Società dell’Informazione.

  • Facebook, MySpace, Twitter: va garantita una maggiore tutela dei minori under 18 attraverso l’impostazione “privata” di default dei loro profili che, quindi, non compaiono nei motori di ricerca.
  • Behavioural Advertising (il monitoraggio della navigazione web degli utenti per fini pubblicitari): la Commissione ha avviato una procedura di infrazione nel c.d. Phorm case. Viene ribadito il principio secondo il quale senza un preventivo consenso informato degli utenti, i loro dati personali non possono essere usati.
  • Riforma delle Telecomunicazioni: l’emendamento proposto dalla Commissione alla ePrivacy Directive prevede una maggiore trasparenza e un controllo più incisivo da parte dei Cittadini dell’Unione: i Providers devono segnalare ogni violazione dei dati personali sia alle competenti autorità sia alle persone coinvolte senza ulteriore ritardo.

Il Commissario, quindi, ricorda uno dei punti chiave della normative europea sulla protezione dei dati personali, ovvero il c.d. Principio di necessità (V. art.3 Dlgs 196/2003): le imprese devono utilizzare il loro potere innovativo e di sviluppo nel migliorare la protezione della privacy sin dall’inizio del ciclo di sviluppo di ogni progetto.

Arriva, quindi, ad un nuovo importantissimo principio, il Privacy by Design, secondo il quale il rispetto della privacy non può essere garantito solo dalla normativa, piuttosto deve diventare un modo di operare di default di ogni organizzazione. Il Privacy by Design  è pertanto uno strumento che può aumentare la fiducia dei consumatori sia in servizi che prodotti e, quindi, avere un impatto positivo sull’intera economia.

La Reding affronta poi la riforma della Direttiva sui Dati Personali garantendo che le risposte alle oltre 160 consultazioni pubbliche saranno in linea sia col Trattato di Lisbona che con la Carta dei Diritti Fondamentali.Le sfide principali che si presentano sono:

  • chiarire l’applicazione di alcuni regole chiave come consenso e trasparenza
  • assicurare la protezione dei dati personali a prescindere dallo stabilimento del Titolare del trattamento
  • promuovere le PET’s attraverso l’introduzione di nuovi principi come la “Privacy by Design”

Il Commissario ribadisce che la protezione dei dati personali deve essere assicurata anche nelle piccole operazioni quotidiane, tipo il trasferimento di denaro, la prenotazione di un volo o il passaggio attraverso il controllo sicurezza in aeroporto.

Body scanner: perché i Cittadini dovrebbero mostrare proprie informazioni personali per dimostrare di non avere nulla da nascondere? La Reding ritiene che i body scanner siano troppo invasivi e la loro effettiva utilità sia tutta da dimostrare.

Stesso principio per l’enorme mole di nostri dati finanziari trasmessi agli Stati Uniti: sono effettivamente necessari, proporzionati ed utili, tutti gli SWIFT trasmessi oltreoceano per finalità di lotta al terrorismo?

Al Commissario Reding il nostro augurio di buon lavoro.

Social network: legge applicabile e responsabilità degli utenti

I Garanti UE tornano sulla spinosa questione del trattamento dati personali nei Social Network chiarendo, anzitutto che si, la normativa europea è applicabile anche a Facebook, nonostante server e trattamenti localizzati negli Stati Uniti, e che si, gli utenti devono chiedere il consenso ai rispettivi interessati prima di mettere in circolazione loro dati personali.

Tutto questo era già comunque presente nel Codice privacy e, per la precisione, nell’art. 5 del Dlgs 196/2003, Oggetto ed ambito di applicazione (del codice privacy):

Comma 2: Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali.

Comma 3: Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.

Ma andiamo a vedere più da vicino l’intervento dei Garanti europei (http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2009/wp163_en.pdf):

In primo luogo, si chiarisce, per l’appunto, che i gestori di tali piattaforme, anche quelle gestite da Paesi extra-Ue, sono soggetti alle disposizioni della direttiva europea sulla protezione dei dati (e, quindi, delle leggi nazionali in materia), nella misura in cui il funzionamento dei social network richiede l’utilizzo di “strumenti” situati fisicamente sul territorio dell’Ue (Art.5, comma 2 Dlgs196/2003).

In secondo luogo, i Garanti chiedono che i gestori dei social network rispettino una serie di obblighi:

  • avvertire gli utenti sulla necessità di ottenere il consenso informato dell’utente prima di permettere a terzi di accedere ai dati contenuti nel suo profilo;
  • cancellare i dati personali contenuti nei profili-utente che siano disattivati (fatta salva la loro conservazione, in casi specifici, per contrastare comportamenti illeciti);
  • mettere a disposizione strumenti facili e immediati per consentire agli utenti l’esercizio dei diritti previsti dalla normativa (accesso, rettifica, cancellazione), come ad esempio un unico “sportello reclami” raggiungibile da tutti i Paesi;
  • dare la possibilità agli utenti di navigare e utilizzare i servizi anche attraverso pseudonimi;
  • adottare idonee misure di sicurezza (tecniche ed organizzative), anche con riguardo ai rischi di spam;
  • è necessario, inoltre, che i gestori di social network forniscano, per default, una configurazione in grado di escludere la possibilità che motori di ricerca esterni indicizzino le informazioni contenute nel profilo-utente;
  • va fornita, infine, un’informativa completa sulla natura del servizio e sui possibili rischi: quello di una informazione facilmente comprensibile dagli utenti è infatti uno degli aspetti cruciali sui quali sensibilizzare gestori di social network.

I Garanti europei si sono poi preoccupati di mettere in luce anche le specifiche responsabilità che sono in capo agli utenti di social network, prima fra tutte quella di chiedere il consenso delle persone i cui dati siano fatti circolare, soprattutto se il numero di contatti e “amici” è particolarmente elevato (Art.5, comma 3 Dlgs196/2003).

Un capitolo a sé è dedicato ai minori.Il parere ricorda l’obbligo di adottare particolari cautele in questo ambito, soprattutto per i problemi connessi alla verifica del consenso prestato da soggetti minorenni. Occorre una strategia multi-livello che comprenda educazione all’uso, sviluppo di tecnologie di protezione, promozione dell’autoregolamentazione da parte dei gestori di social network, interventi normativi per scoraggiare e sanzionare le violazioni di legge.