Il diritto alla portabilità dei dati (art. 20 RGPD): infografica del Garante e linee guida

0001

Linee-guida sul diritto alla “portabilità dei dati” – WP242
adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016

english version

Le risposte alle domande più frequenti – FAQ
Allegato alle Linee-guida sul diritto alla “portabilità dei dati” – WP242

english version

Nuove disposizioni in materia di call center: le FAQ del Mise e i Modelli da utilizzare

sfondo_call_center6Nuove disposizioni normative sulle attività di call center: sono riportate di seguito una serie di risposte alle richieste di chiarimenti che sono state poste o che potrebbero essere poste più frequentemente (FAQ), basate sulle interpretazioni attualmente condivise con gli altri soggetti istituzionali richiamati dalla norma.

In chiusura del post sono riportati i Modelli da utilizzare per la comunicazione al Mise.

Nuove disposizioni normative sulle attività di call center
Articolo 1, comma 243, della legge n. 232 del 2016 (c.d. legge di bilancio)
che sostituisce l’art. 24-bis, D.L. 22/06/2012, n. 83 convertito con modificazioni dalla legge 07/08/2012, n. 134/2012

Chi sono i soggetti tenuti agli obblighi di comunicazione nei confronti del Ministero dello sviluppo economico sulla base dalle nuove disposizioni normative?

Qualunque operatore economico che decida di localizzare o abbia localizzato, anche mediante affidamento a terzi, l’attività di call center fuori dal territorio nazionale in un Paese non membro dell’Unione europea.

Quali elementi informativi deve contenere la comunicazione al Ministero dello sviluppo economico?

La specifica comunicazione da effettuare al Ministero dello sviluppo economico da parte dell’operatore economico che localizza o abbia localizzato, anche mediante affidamento a terzi, l’attività di call center fuori dal territorio nazionale in un Paese extra UE deve contenere le numerazioni telefoniche messe a disposizione del pubblico ed i corrispettivi Paesi in cui sono localizzate.

Le numerazioni oggetto di obbligo di comunicazione al Ministero dello sviluppo economico includono anche il tradotto geografico internazionale?

Si, per ciascuna numerazione telefonica messa a disposizione del pubblico e utilizzata per i servizi delocalizzati occorre inserire anche il tradotto geografico internazionale.

Cosa si intende per “operatore economico”?

La nozione di operatore economico richiamata dalla normativa è coerentemente riferibile alla definizione riportata all’art.3, comma 1, lett. p) del Decreto Legislativo n.50/2016 (Codice dei contratti pubblici), ovvero sono operatori economici coloro che offrono beni e servizi sul mercato a prescindere dalla forma giuridica di riferimento. Pertanto sono esclusi dalla definizione le pubbliche amministrazioni nell’assolvimento dei loro compiti istituzionali nonché tutti i soggetti di qualsiasi natura nello svolgimento di un’attività che non sia correlata, direttamente o indirettamente, ad uno scopo di lucro.

L’ambito di applicazione della norma può ritenersi ancora limitato alle sole aziende che svolgono in via assolutamente prevalente attività di call center?

No, l’ambito di applicazione soggettivo dell’art. 24 bis, è riferibile all’operatore economico, indipendentemente dal numero di dipendenti occupati, che svolge attività di call center utilizzando numerazioni telefoniche messe a disposizione del pubblico, a prescindere dalla prevalenza o meno dell’attività di call center rispetto al resto della propria attività.

L’operatore economico che affida parzialmente o totalmente a terzi l’attività di call center è soggetto all’obbligo di comunicazione nei confronti del Ministero dello sviluppo economico?

Si, è soggetto alle prescrizioni di legge l’operatore economico che svolge servizi di call center tanto tramite una struttura interna all’azienda quanto in outsourcing. Nel caso di affidamento a terzi dei servizi di call center, la norma ha esplicitamente previsto una responsabilità solidale tra committente e gestore del call center.

L’operatore economico che svolge attività di call center attraverso società controllata facente parte del Gruppo societario è soggetto agli obblighi di legge?

Si, dalla normativa emerge la responsabilità dell’operatore economico sia che svolga esso stesso l’attività sia che si avvalga di servizi di call center esterno

L’operatore economico straniero che svolge un servizio di call center ubicato in un Paese extra UE, pur avendo un diverso core business, è soggetto agli obblighi di legge?

Si, sono soggetti agli adempimenti di legge anche gli operatori economici stranieri che svolgono essi stessi o si avvalgono di servizi di call center su numerazioni nazionali geografiche (qualsiasi numero del piano nazionale di numerazione per cui alcune cifre fungono da indicativo geografico e sono utilizzate per instradare le chiamate e le terminazioni di rete) e non geografiche (qualsiasi numero del piano nazionale di numerazione che non sia geografico ad esempio i numeri per servizi di comunicazione mobili e personali, i numeri di chiamata gratuita e i numeri a tariffazione specifica).

Cosa si intende per “attività di call center”?

Per l’individuazione di tale attività si dovrà fare riferimento alla definizione di call center contenuta nell’art. 1, lett. d) della Delibera n. 79/09/CSP dell’Autorità per le garanzie nelle comunicazioni, per il quale esso è un insieme di risorse umane e di infrastrutture specializzate che consente contatti e comunicazioni multicanale con gli utenti (attraverso più mezzi, per esempio telefonia, internet, posta). Tale attività ricade nell’ambito applicativo dell’art. 24 bis sia ove realizzata tramite strutture interne sia quando viene affidata in outsourcing, purché si utilizzino numerazioni telefoniche messe a disposizione del pubblico.

Le prescrizioni di legge si applicano sia alle attività di call center inbound che outbound?

Si, gli obblighi di legge si applicano in riferimento ai servizi di call center e relative numerazioni a prescindere dalla tipologia di svolgimento dell’attività (sia in entrata che in uscita, inbound/outbound).

L’informazione preliminare in merito al Paese in cui è fisicamente collocato l’operatore che risponde è dovuta anche nel caso in cui l’operatore è ubicato in Italia o in un Paese UE?

Si, l’obbligo informativo relativo al Paese in cui l’operatore con cui si parla è fisicamente collocato prescinde dalla localizzazione ed è applicabile anche agli operatori ubicati in Italia o in un Paese UE.

L’obbligo di informazione preliminare deve riguardare necessariamente la località in cui l’operatore è fisicamente collocato?

No, è sufficiente fornire l’informazione del Paese in cui è ubicato l’operatore del call center.

L’obbligo di informazione preliminare sulla localizzazione del call center si intende assolto anche attraverso ricorso al sistema di Interactive Voice Response (IVR)?

Si, è possibile adempiere all’obbligo di legge tramite il sistema IVR e tramite operatore.

L’obbligo di informazione preliminare, qualora l’operatore è ubicato in un Paese extra UE, circa la possibilità di richiedere che il servizio sia reso da un operatore collocato nel territorio nazionale o in un Paese UE e l’immediato trasferimento della chiamata a seguito di specifica richiesta si intendono assolti anche attraverso ricorso al sistema di Interactive Voice Response (IVR)?

Si, è possibile adempiere agli obblighi di legge tramite il sistema IVR e tramite operatore.

logo_mise_400

 

I Modelli per adempiere agli obblighi di comunicazione nei confronti del Ministero dello sviluppo economico.

Di seguito i due modelli (il cui contenuto è aggiornato rispetto a quello già reso disponibile in passato in uno al menzionato provvedimento del 10 ottobre 2013, n. 444) volti ad agevolare l’assolvimento degli obblighi comunicativi diretti all’Autorità, utilizzabili dagli operatori economici cui facciano capo le localizzazioni in Paesi terzi dell’attività di call center (inbound e outbound):

  1. un primo modello potrà essere utilizzato, ai sensi dell’art. 24-bis, comma 2, lett. c), da parte degli operatori economici che intendono localizzare l’attività di call center in Paesi terzi in tempi successivi all’entrata in vigore della nuova disciplina.

A tal proposito va rammentato che in caso di omessa o tardiva comunicazione dei dati richiesti dalla legge si applica la sanzione amministrativa pecuniaria pari a 150.000 euro per ciascuna comunicazione omessa o tardiva (art. 24-bis, comma 7, d.l. n. 83/2012).

  1. un secondo modello potrà invece essere utilizzato, ai sensi dell’art. 24-bis, comma 3, per gli operatori che abbiano localizzato  l’attività di call center in Paesi terzi anteriormente all’entrata in vigore della nuova disciplina.

A tal proposito va rammentato che in caso di omessa o tardiva comunicazione dei dati richiesti dalla legge si applica la sanzione amministrativa pecuniaria pari a 10.000 euro per ciascun giorno di ritardo (art. 24-bis, comma 3, d.l. n. 83/2012).

Lavoro: vietati i controlli indiscriminati su e-mail e smartphone aziendali

cellulareinmanoIl datore di lavoro non può accedere in maniera indiscriminata alla posta elettronica o ai dati personali contenuti negli smartphone in dotazione al personale.È un comportamento illecito.

Lo ha ribadito il Garante della privacy vietando a una multinazionale l’ulteriore utilizzo dei dati personali trattati in violazione di legge [doc. web n. 5958296]. La società potrà solo conservarli per la tutela dei diritti in sede giudiziaria.

Nel disporre il divieto l’Autorità ha affermato che il datore di lavoro

  • pur avendo la facoltà di verificare l’esatto adempimento della prestazione professionale ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti,
  • deve in ogni caso salvaguardarne la libertà e la dignità, attenendosi ai limiti previsti dalla normativa.

La disciplina di settore in materia di controlli a distanza, inoltre, non consente di effettuare  attività idonee a realizzare, anche indirettamente, il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore.

I lavoratori, poi, devono essere sempre informati in modo chiaro e dettagliato sulle modalità di utilizzo degli strumenti aziendali ed eventuali verifiche.

La vicenda nasce dal reclamo di un dipendente che si era rivolto al Garante lamentando un illegittimo  trattamento effettuato da una multinazionale, che avrebbe acquisito informazioni anche private contenute nella e-mail e nel telefono aziendale, sia durante il rapporto professionale sia dopo il suo licenziamento.

Dai riscontri effettuati dall’Autorità sono effettivamente emerse numerose irregolarità. La società, ad esempio, non aveva adeguatamente informato i lavoratori sulle modalità e finalità di utilizzo degli strumenti elettronici in dotazione, né su quelle relative al trattamento dei dati.

Aveva poi configurato il sistema di posta elettronica in modo da conservare copia di tutta la corrispondenza per ben dieci anni, un tempo non proporzionato allo scopo della raccolta.

Esisteva anche una procedura che consentiva alla società di accedere al contenuto dei messaggi che, in linea con la policy aziendale, potevano avere anche carattere privato.

E’ inoltre emerso che la società continuava a mantenere attive le caselle e-mail fino a sei mesi dopo la cessazione del contratto

  • senza però dare agli ex dipendenti la possibilità di consultarle o, comunque,
  • senza informare i mittenti che le lettere non sarebbero state visionate dai legittimi destinatari ma da altri soggetti.

Nel corso dell’istruttoria è stato accertato inoltre, che  il titolare poteva accedere da remoto – non solo per attività di manutenzione – alle informazioni contenute negli smartphone in dotazione ai dipendenti (anche privatissime e non attinenti allo svolgimento dell’attività lavorativa), di copiarle o cancellarle, di comunicarle a terzi violando i principi di liceità, necessità, pertinenza e non eccedenza del trattamento.

Il Garante ha disposto l’apertura di un autonomo procedimento per verificare l’applicazione di eventuali sanzioni amministrative.

Sorvegliare a distanza colf e badanti: è possibile? Inail fa chiarezza

 

chi-licenzia-colf-o-badanti-non-paga-la-tassa-sull-aspi-472x270E’ possibile autorizzare l’installazione di un impianto di videosorveglianza collocato in un’abitazione privata all’interno della quale è presente un lavoratore domestico?

Così, con Nota 8 febbraio 2017 prot. n. 1004, l’ Ispettorato Nazionale del Lavoro di seguito risponde.

Al riguardo occorre premettere che si definisce “lavoro domestico” l’attività lavorativa prestata esclusivamente per le necessità della vita familiare del datore di lavoro (art. 1, legge 339/1958), che ha per oggetto la prestazione di servizi di carattere domestico diretti al funzionamento della vita familiare.

Il collaboratore domestico svolge l’attività lavorativa nella casa abitata esclusivamente dal datore di lavoro e dalla sua famiglia, in quanto il rapporto di lavoro domestico non si svolge all’interno di un’impresa organizzata e strutturata, ma nell’ambito di un nucleo ristretto ed omogeneo, di natura per lo più familiare e risponde alle esigenze tipiche e comuni di ogni famiglia.

Nella sentenza 11-23 dicembre 1987 n. 585, la Corte Costituzionale ha affermato che “non v’è dubbio che il rapporto di lavoro domestico per la sua particolare natura si differenzia, sia in relazione all’oggetto, sia in relazione ai soggetti coinvolti, da ogni altro rapporto di lavoro: esso, infatti, non è prestato a favore di un’impresa avente, nella prevalenza dei casi, un sistema di lavoro organizzato in forma plurima e differenziata, con possibilità di ricambio o di sostituzione di soggetti, sibbene di un nucleo familiare ristretto ed omogeneo, destinato, quindi, a svolgersi nell’ambito della vita privata quotidiana di una limitata convivenza.

In ragione di tali caratteristiche, proprie al rapporto, la Corte ha già evidenziato, in via di principio, la legittimità di una disciplina speciale anche derogatoria ad alcuni aspetti di quella generale (sentenza n. 27 del 1974)”.

Il rapporto di lavoro domestico, in considerazione della peculiarità dello stesso, sin dall’origine ha goduto di una regolamentazione specifica, che, per l’appunto, tiene conto delle speciali caratteristiche che contraddistinguono la prestazione lavorativa resa dal lavoratore, l’ambiente lavorativo e, fattore non irrilevante, la particolare natura del soggetto datoriale.

Alla luce di siffatte considerazioni, è del tutto evidente che anche le fasi di estinzione del contratto di lavoro domestico sono disciplinate da un corollario normativo che, si può dire quasi fisiologicamente, si allontana dalle regole generali che assistono, ordinariamente, il momento di interruzione del legame negoziale fra le parti interessate.

All’interno quindi del perimetro normativo delineato, il rapporto di lavoro domestico è sottratto alla tutela dello Statuto dei lavoratori (legge n. 300/1970) poiché in questo caso, il datore di lavoro è un soggetto privato non organizzato in forma di impresa.

Di conseguenza è esclusa l’applicabilità dei limiti e dei divieti di cui all’art. 4 della legge n. 300/1970, che insieme agli artt. 2, 3 e 6 costituisce un corpus normativo tipico di una dimensione “produttivistica” dell’attività di impresa, differenziandosi, invece, a titolo esemplificativo, dalla natura estensiva dell’applicabilità dell’art. 8 dello Statuto, che pone il divieto di indagini su profili del lavoratore non attinenti alle sue attitudini professionali e che trova piena cittadinanza anche nell’ambito del lavoro domestico.

L’esclusione del lavoro domestico dall’applicabilità dell’art. 4 della legge n. 300/1970 non sottrae al rispetto dell’ordinaria disciplina sul trattamento dei dati personali, essendo confermata la tutela del diritto del lavoratore alla riservatezza, garantita dal d.lgs. n.196/2003, che dispone la necessarietà del consenso preventivo e del connesso obbligo informativo degli interessati.

Nell’ambito domestico, il datore di lavoro, anche nel caso di trattamento di dati riservati per finalità esclusivamente personali, incontra i vincoli posti dalla normativa sul trattamento dei dati personali a tutela della riservatezza e in particolare quanto previsto dall’art. 115 del d.lgs. n.196/2003.

No all’algoritmo della reputazione, viola la dignità della persona

quantificare-quadNo del Garante privacy alla banca dati on line della reputazione [doc. web n.5796783]. Il progetto per la misurazione del “rating reputazionale”, elaborato da una organizzazione articolata in un’associazione e da una società preposta alla  gestione dell’iniziativa,  viola le norme del Codice sulla protezione dei dati personali e incide negativamente sulla dignità delle persone.

L’infrastruttura, costituita da una piattaforma web e un archivio informatico, dovrebbe raccogliere ed elaborare una mole rilevante di dati personali contenuti in documenti “caricati” volontariamente sulla piattaforma dagli stessi utenti o “pescati” dal web. Attraverso un algoritmo, il sistema assegnerebbe poi ai soggetti censiti degli indicatori alfanumerici in grado, secondo la società, di misurare in modo oggettivo l’affidabilità delle persone  in campo economico e professionale.

Nel disporre il divieto di qualunque operazione di trattamento presente e futura, il Garante ha ritenuto che il sistema comporti rilevanti problematiche per la privacy a causa:

  • della delicatezza delle informazioni che si vorrebbero utilizzare,
  • del pervasivo impatto sugli interessati e
  • delle modalità di trattamento che la società intende mettere in atto.

Pur essendo infatti legittima, in linea di principio, l’erogazione di servizi che possano contribuire a rendere maggiormente efficienti, trasparenti e sicuri i rapporti socioeconomici, il sistema in esame – realizzato  peraltro in assenza di una idonea base normativa – presuppone una raccolta massiva, anche on line, di informazioni suscettibili di incidere significativamente sulla rappresentazione economica e sociale di un’ampia platea di individui (clienti, candidati, imprenditori, liberi professionisti, cittadini).

Il “rating reputazionale” elaborato potrebbe ripercuotersi sulla vita delle persone censite, influenzando le scelte altrui e  condizionando l’ammissione degli interessati a prestazioni, servizi o benefici.

Per quanto riguarda, poi, l’asserita oggettività delle valutazioni, la società non è stata in grado di dimostrare l’efficacia dell’algoritmo che regolerebbe la determinazione dei “rating”  al quale dovrebbe essere rimessa, senza possibilità di contestazione, la valutazione  dei soggetti censiti. L’Autorità nutre, in generale, molte perplessità sull’opportunità di rimettere ad un sistema automatizzato ogni decisione su aspetti così delicati e complessi come quelli connessi alla reputazione.

Senza contare, infatti, la difficoltà di misurare situazioni e variabili non facilmente classificabili, la valutazione potrebbe basarsi su documenti e certificati incompleti o viziati, con il rischio di creare profili inesatti e non rispondenti alla identità sociale delle persone censite.

Dubbi sono stati espressi dal Garante anche sulle misure di sicurezza del sistema –  basate, prevalentemente, su sistemi di autenticazione “debole” (user id e password) e su meccanismi di cifratura dei soli dati giudiziari secondo l’Autorità davvero inadeguate, specie se rapportate all’elevato numero di soggetti che potrebbero essere coinvolti e all’ingente quantitativo di informazioni, anche molto delicate, che verrebbero registrate all’interno della piattaforma.

Ulteriori criticità, infine, sono state ravvisate nei tempi di conservazione dei dati e nell’informativa da rendere agli interessati.

Energia e gas, servizi on line: no al consenso “obbligato” per il marketing

imagesI clienti che desiderano usufruire dei servizi on line offerti da un’impresa, come quelli di fatturazione, non devono essere obbligati a rilasciare il consenso a ricevere comunicazioni promozionali.

Questa la decisione assunta dal Garante della privacy per tutelare da promozioni indesiderate gli utenti dello sportello on line di un fornitore di servizi energetici [doc. web n. 5687770].

Dagli accertamenti dell’Autorità, avviati in seguito ad alcune segnalazioni ricevute, è emerso che la società aveva offerto alla propria clientela la possibilità di gestire la scheda anagrafica, i consumi e le fatture direttamente sul sito web. Per usufruire di tali servizi, però, i clienti dovevano completare una procedura di registrazione dove erano costretti a barrare un’unica casella per concedere un consenso onnicomprensivo al trattamento dei loro dati personali sia per le finalità legate alla gestione del contratto, sia per la ricezione di messaggi di posta elettronica contenenti pubblicità o altro materiale promozionale. Una modalità che, in concreto, violava il principio, più volte rimarcato dal Garante, in base al quale il consenso, per essere ritenuto valido, non deve essere condizionato, ma libero, specifico e informato.

Nel corso dell’istruttoria, inoltre, il Garante ha rilevato che il ramo aziendale di fornitura del gas era stato acquisito da un’altra società, che non aveva provveduto, come previsto dalla normativa, a inviare ai nuovi clienti l’informativa relativa al trattamento dei dati personali.

L’Autorità ha quindi:

  • vietato al primo operatore energetico, che aveva predisposto lo sportello per i servizi on line, di utilizzare per finalità di marketing i dati personali di cui era ancora in possesso in assenza di un valido consenso e
  • prescritto alla società acquirente del ramo gas di provvedere quanto prima a informare i clienti sulle modalità di trattamento dei loro dati. 

Il Garante si è riservato di verificare, con autonomi procedimenti, la sussistenza dei presupposti per contestare le sanzioni amministrative per le violazioni commesse.

Privacy: impianti GPS sulle auto aziendali

fisco-i-controlli-in-banca-saranno-su-tutti-i-contribuenti-non-solo-sugli-evasoriFonte: Dottrina per il Lavoro

L’Ispettorato nazionale del Lavoro, ha emanato la circolare n. 2 del 7 novembre 2016, con la quale fornisce indicazioni operative sull’installazione ed utilizzazione di impianti satellitari GPS montati su autovetture aziendali, ai sensi dell’art. 4, commi 1 e 2, Legge n. 300/1970.

In particolare, l’Ispettorato del Lavoro chiarisce se gli impianti siano da considerare strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e come tali esclusi dalle condizioni e dalle procedure previste dal medesimo art. 4.

In linea di massima, l’Ispettorato ritiene che i sistemi di geolocalizzazione rappresentino un elemento “aggiunto” agli strumenti di lavoro, non utilizzati in via primaria ed essenziale per l’esecuzione dell’attività lavorativa ma, per rispondere ad esigenze ulteriori di carattere assicurativo, organizzativo, produttivo o per garantire la sicurezza del lavoro.

Ne consegue che, in tali casi, la fattispecie rientri nel campo di applicazione di cui al comma 1 dell’art.4 Legge n. 300/1970 e pertanto le relative apparecchiature possono essere installate solo previo accordo stipulato con la rappresentanza sindacale ovvero, in assenza di tale accordo, previa autorizzazione da parte dell’Ispettorato nazionale del lavoro (art. 4, comma 1, della Legge n. 300/1970, come modificato dall’art. 5, comma 2, D.Lgs. n. 185/2016).

Solo in casi del tutto particolari:

  • qualora i sistemi di localizzazione siano installati per consentire la concreta ed effettiva attuazione della prestazione lavorativa (e cioè la stessa non possa essere resa senza ricorrere all’uso di tali strumenti), ovvero
  • l’installazione sia richiesta da specifiche normative di carattere legislativo o regolamentare (es. uso dei sistemi GPS per il trasporto di portavalori superiore a euro 1.500.000,00, ecc.)

si può ritenere che gli stessi finiscano per “trasformarsi” in veri e propri strumenti di lavoro e pertanto si possa prescindere, ai sensi di cui al comma 2 dell’art. 4 della Legge n. 300/1970, sia dall’intervento della contrattazione collettiva che dal procedimento amministrativo di carattere autorizzativo previsti dalla legge.