Lavoro: vietati i controlli indiscriminati su e-mail e smartphone aziendali

cellulareinmanoIl datore di lavoro non può accedere in maniera indiscriminata alla posta elettronica o ai dati personali contenuti negli smartphone in dotazione al personale.È un comportamento illecito.

Lo ha ribadito il Garante della privacy vietando a una multinazionale l’ulteriore utilizzo dei dati personali trattati in violazione di legge [doc. web n. 5958296]. La società potrà solo conservarli per la tutela dei diritti in sede giudiziaria.

Nel disporre il divieto l’Autorità ha affermato che il datore di lavoro

  • pur avendo la facoltà di verificare l’esatto adempimento della prestazione professionale ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti,
  • deve in ogni caso salvaguardarne la libertà e la dignità, attenendosi ai limiti previsti dalla normativa.

La disciplina di settore in materia di controlli a distanza, inoltre, non consente di effettuare  attività idonee a realizzare, anche indirettamente, il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore.

I lavoratori, poi, devono essere sempre informati in modo chiaro e dettagliato sulle modalità di utilizzo degli strumenti aziendali ed eventuali verifiche.

La vicenda nasce dal reclamo di un dipendente che si era rivolto al Garante lamentando un illegittimo  trattamento effettuato da una multinazionale, che avrebbe acquisito informazioni anche private contenute nella e-mail e nel telefono aziendale, sia durante il rapporto professionale sia dopo il suo licenziamento.

Dai riscontri effettuati dall’Autorità sono effettivamente emerse numerose irregolarità. La società, ad esempio, non aveva adeguatamente informato i lavoratori sulle modalità e finalità di utilizzo degli strumenti elettronici in dotazione, né su quelle relative al trattamento dei dati.

Aveva poi configurato il sistema di posta elettronica in modo da conservare copia di tutta la corrispondenza per ben dieci anni, un tempo non proporzionato allo scopo della raccolta.

Esisteva anche una procedura che consentiva alla società di accedere al contenuto dei messaggi che, in linea con la policy aziendale, potevano avere anche carattere privato.

E’ inoltre emerso che la società continuava a mantenere attive le caselle e-mail fino a sei mesi dopo la cessazione del contratto

  • senza però dare agli ex dipendenti la possibilità di consultarle o, comunque,
  • senza informare i mittenti che le lettere non sarebbero state visionate dai legittimi destinatari ma da altri soggetti.

Nel corso dell’istruttoria è stato accertato inoltre, che  il titolare poteva accedere da remoto – non solo per attività di manutenzione – alle informazioni contenute negli smartphone in dotazione ai dipendenti (anche privatissime e non attinenti allo svolgimento dell’attività lavorativa), di copiarle o cancellarle, di comunicarle a terzi violando i principi di liceità, necessità, pertinenza e non eccedenza del trattamento.

Il Garante ha disposto l’apertura di un autonomo procedimento per verificare l’applicazione di eventuali sanzioni amministrative.

Privacy: operazione “Data Retention”

byod-mobile-vetrina_t6 marzo 2013: ispezioni della Guardia di Finanza in tutta Italia sul rispetto delle norme per la conservazione dei dati di traffico telefonico e telematico

Si chiama “Data Retention” l’operazione eseguita dai Finanzieri del Nucleo Speciale Privacy di Roma, nell’ambito delle attività di collaborazione con il Garante per la protezione dei dati personali, nei confronti di 11 società di telefonia e provider.

Gli accertamenti ispettivi, che si inquadrano nell’ambito dei controlli effettuati su delega dell’Autorità per la privacy, traggono origine da un’attività di analisi effettuata dal Nucleo, d’intesa con il Comando Unità Speciali della Guardia di Finanza, al fine di verificare che gli operatori telefonici ed i provider della rete internet rispettino le norme “privacy”.

 

data-retentionLa conservazione dei dati di traffico

Uno degli aspetti più delicati è senz’altro quello del trattamento dei dati di traffico telefonico e telematico, che consente agli operatori di disporre di una serie di importanti informazioni quali tra l’altro:

  • il numero chiamato
  • ora e data e durata del contatto
  • la localizzazione degli apparati degli utenti in caso dell’utilizzo di un telefono mobile.

Tali informazioni, in continuo aumento anche per il diffondersi di smartphone e tablet, devono essere conservate dai fornitori di servizi di comunicazione elettronica per fini investigativi e di giustizia, ad esclusiva disposizione degli organi inquirenti:

  • per ventiquattro mesi  (dati di traffico telefonico)
  • dodici mesi (dati di traffico telematico)

Il Garante ha stabilito con il Provvedimento del 17 gennaio 2008 stringenti misure e accorgimenti che devono essere rispettati dai fornitori per garantire la sicurezza dei dati, e la loro automatica cancellazione al termine del periodo di conservazione previsto dalla legge.

L’operazione in questione, pertanto, mirava a verificare il rispetto della normativa in materia di trattamento dei dati personali, nell’ottica di un bilanciamento tra le ragioni di giustizia e di sicurezza e l’interesse alla riservatezza della vita privata dei cittadini che, usufruendo di servizi di telefonia e di accesso ad internet ed alla posta elettronica, anche in mobilità, hanno rilasciato i propri dati alle aziende che forniscono i relativi servizi.

I controlli eseguiti hanno avuto in primo luogo lo scopo  di sensibilizzare gli operatori del settore circa il rispetto delle disposizioni di legge e delle prescrizioni impartite dal Garante.

 

Judge_HammerViolazioni della normativa privacy

In 9 casi sono state accertate e contestate violazioni amministrative al Codice Privacy relativamente a:

  • conservazione dei dati di traffico oltre i termini previsti
  • mancata adozione delle misure minime di sicurezza
  • mancata adozione di alcune delle ulteriori misure di protezione prescritte dal Provvedimento del Garante, quali:
    • l’uso di tecnologie di riconoscimento biometrico per selezionare l’accesso ai dati
    • la cifratura dei dati.

Due sono state le segnalazioni al Ministero dello sviluppo economico per l’eventuale contestazione della violazione relativa alla mancata conservazione dei dati di traffico o alla loro conservazione per un tempo inferiore a quello previsto.

E’ stata, infine, predisposta una segnalazione all’Autorità Giudiziaria per l’ipotesi di reato di violazione delle misure minime di sicurezza.

Al di là dei profili sanzionatori, il Garante dovrà ora valutare, caso per caso, la congruità delle misure adottate nonché la liceità dei trattamenti con riferimento, in particolare, al profilo, emerso in taluni casi, del trasferimento all’estero dei dati.

In ultima analisi, il messaggio che si è inteso veicolare mediante l’attività ispettiva in questione è stato quello che gli operatori del settore devono garantire la massima riservatezza dei dati di traffico generati dagli utenti dei propri servizi.

 

Sì alla televigilanza, ma senza violare i diritti dei lavoratori

disrupters-video-network-optixBloccato impianto video di un’ importante catena commerciale. Il servizio di televigilanza, con scopo di anti-taccheggio e anti-rapina, non deve consentire forme di controllo a distanza dei lavoratori. Gli esercenti devono segnalare adeguatamente la presenza di telecamere e affidare la gestione del servizio a guardie giurate.

Queste le indicazioni del Garante che, in seguito all’attività ispettiva condotta dalla Questura di Genova, ha bloccato il trattamento dei dati effettuato tramite il sistema di videosorveglianza installato in un esercizio di un’importante catena commerciale.

Dalle verifiche effettuate è emerso che la società aveva violato in più punti l’accordo che era stato sottoscritto con i sindacati per l’installazione delle telecamere sul luogo di lavoro.

Una videocamera, ad esempio, invece che essere utilizzata per finalità di sicurezza, inquadrava il sistema di rilevazione degli accessi dei dipendenti, consentendo quindi – in contrasto con quanto sottoscritto dall’azienda e con lo stesso Statuto dei lavoratori – il controllo a distanza dei lavoratori.

Le immagini registrate risultavano poi accessibili con modalità diverse da quelle concordate. Non erano in regola neppure i cartelli con l’informativa semplificata utilizzati per segnalare la presenza dell’impianto di videosorveglianza: non solo non contenevano tutte le informazioni necessarie, ma erano in numero esiguo e, a volte, collocati in posizione non chiaramente visibile (ad es. alle spalle di un espositore).

Dai riscontri della Questura è emerso, inoltre, che l’impianto di videosorveglianza era stato affidato in gestione a un consorzio di ditte esterne che utilizzava per il servizio personale non qualificato. Chi effettuava il controllo delle immagini:

  • era privo della licenza prefettizia di “guardia particolare giurata”, necessaria per poter svolgere funzioni anti-rapina e anti-taccheggio, e
  • non era stato designato incaricato del trattamento dei dati personali.

 

Hand_Do_NotL’intervento del Garante

Il Garante della privacy:

  • ha imposto all’esercente di provvedere a sanare tutte le violazioni riscontrate e
  • ha bloccato il trattamento dei dati effettuato attraverso il sistema di videosorveglianza.

Ha anche trasmesso copia degli atti e del provvedimento all’autorità giudiziaria al fine di valutare gli eventuali illeciti penali commessi.