Lavoro: le indicazioni dei Garanti privacy europei

INTERNTE_SICUREZZA1_FOTOLIA-kArE--835x437@IlSole24Ore-WebProteggere l’uso privato dei social network e le comunicazioni dei lavoratori, spazi riservati sul cloud.

  • Possibili i controlli contro la fuga di dati o la compromissione dei sistemi ma senza spiare le comunicazioni dei dipendenti,
  • eventuale consultazione dei social network  limitata ai soli profili professionali,
  • offerta di spazi privati su computer aziendali e servizi cloud,
  • necessità di ulteriori basi legali
    rispetto al consenso
    per trattare i dati personali dei lavoratori.

Sono queste alcune delle indicazioni date alle imprese dai Garanti europei della privacy riuniti nel Gruppo “Articolo 29” (WP29), al fine di sfruttare le potenzialità delle reti sociali e delle nuove tecnologie senza violare la privacy del lavoratori.

Il documento, che tiene conto sia della normativa vigente sia delle novità introdotte dal Regolamento UE 2016/679 che si applicherà a partire dal maggio 2018, definisce un quadro dei principi fondamentali ed esempi concreti per il corretto trattamento dei dati in ambito professionale.

I Garanti hanno ricordato che ogni lavoratore, indipendentemente dal tipo di contratto a lui applicato, ha diritto al rispetto della vita privata, della sua libertà e dignità.

Deve innanzi tutto essere adeguatamente informato sulle modalità di trattamento dei dati personali in maniera chiara, semplice ed esaustiva, soprattutto quando siano previste forme di controllo del lavoratore, che comunque dovranno essere rispettose anche delle norme nazionali.

Le Autorità per la privacy hanno poi rimarcato che aziende ed enti pubblici difficilmente potranno avvalersi del consenso dei dipendenti come base legale per poter procedere all’utilizzo dei loro dati.

Il consenso, infatti, per essere considerato valido, deve essere libero, diversamente da quanto accade nella realtà lavorativa dove c’è una forte disparità di potere tra datore di lavoro e dipendente.

Il datore di lavoro potrà quindi valutare, in alternativa, il ricorso a disposizioni normative o contrattuali, oppure far valere il proprio “legittimo interesse”: ad esempio, alla sicurezza e alla corretta allocazione delle risorse.

A questo proposito, i Garanti hanno ribadito che occorre bilanciare il legittimo interesse del datore di lavoro con i diritti e le libertà dei lavoratori alla luce dei principi di necessità e proporzionalità.

In particolare, ogni trattamento deve essere proporzionato alla finalità perseguita, e deve essere limitato quanto più possibile l’uso dei dati personali.

Gli strumenti di geolocalizzazione, ad esempio, possono essere utilizzati per finalità strettamente aziendali e al lavoratore deve essere lasciata la possibilità di disattivare, se necessario, il localizzatore (come i gps).

Si possono inoltre introdurre strumenti e tecnologie, come quelle per l’analisi del traffico, per ridurre i rischi di attacchi informatici e la diffusione di informazioni riservate, ma non si può spiare la posta dei dipendenti o la loro navigazione internet. Anche in questo caso devono essere privilegiate misure preventive, assolutamente trasparenti, che segnalino ad esempio ai dipendenti la violazione che potrebbero stare per commettere.

Anche l’eventuale consultazione o il monitoraggio dei social network devono essere limitati ai soli profili professionali, escludendo la vita privata di dipendenti o candidati all’assunzione. Vale sempre, infatti, il diritto fondamentale a non essere oggetto di discriminazione come quelle basate sulle idee politiche, l’impegno sociale o altri aspetti della sfera personale o familiare.

Proprio per favorire il corretto utilizzo degli strumenti e delle policy aziendali nel rispetto della privacy dei lavoratori, i Garanti invitano i datori di lavoro a offrire, ad esempio, connessioni WiFi ad hoc e a definire spazi riservati – su computer e smartphone, su cloud e posta elettronica – dove possono essere conservati documenti o inviate comunicazioni personali, non accessibili al datore di lavoro se non in casi assolutamente eccezionali.

Annunci

Privacy Shield: a settembre la prima revisione dell’accordo Usa-Ue

USA & EU shield signLe raccomandazioni dei Garanti della Privacy Ue alla Commissione

Il Gruppo che riunisce le Autorità Garanti europee (WP 29) ha reso note le raccomandazioni indirizzate alla Commissione Ue in vista della prima revisione congiunta dell’Accordo “Privacy Shield” relativo al trasferimento dei dati dall’Unione agli Stati Uniti.

L’Accordo sullo “scudo privacy”, adottato il 12 luglio 2016, si fonda su un sistema di autocertificazione in base al quale le organizzazioni statunitensi che intendono ricevere dati personali dall’Unione europea s’impegnano a rispettare un insieme di principi in materia di privacy fissati dal sistema medesimo.

Lo “scudo” prevede un riesame periodico dell’accertamento di adeguatezza al fine di verificare che le constatazioni relative al livello di protezione assicurato dagli Stati Uniti nell’ambito dello Scudo continuino ad essere giustificate in fatto e in diritto.

La prima revisione periodica dell’accordo del Privacy Shield è prevista per il prossimo settembre 2017 quando la Commissione europea incontrerà i rappresentanti delle organizzazioni statunitensi interessate, in primo luogo la Federal Trade Commission e il Dipartimento del Commercio e, per le questioni relative alla sicurezza nazionale, i rappresentanti dell’intelligence e il Mediatore (Ombudsperson) istituito dallo Scudo.

Per garantire che le autorità statunitensi siano in grado di rispondere costruttivamente alle preoccupazioni riguardanti l’applicazione concreta dell’Accordo, il Gruppo dei Garanti Ue comunicherà alla Commissione le informazioni e i chiarimenti su cui, anche alla luce dei commenti e delle criticità già evidenziate nel parere del dell’aprile scorso,  concentrerà la sua attenzione.

Per quanto riguarda la parte commerciale, alcune preoccupazioni erano state sollevate, ad esempio

  • sulle garanzie riguardo a decisioni automatizzate o
  • in relazione all’assenza di indicazioni specifiche per l‘applicazione dei principi del Privacy Shield da parte delle società che operano, quali responsabili del trattamento, per titolari stabiliti in Ue.

Per quanto riguarda gli aspetti di law enforcement e sicurezza nazionale, il WP 29 chiederà garanzie:

  • in merito al rispetto dei principi di necessità e proporzionalità nella eventuale raccolta massiva di dati personali,  nonché
  • sulle nomine dei quattro membri del Privacy and Civil Liberties Oversight Board (agenzia indipendente che si occupa della tutela della privacy e delle libertà fondamentali nell’ambito delle attività governativa statunitense per la lotta al terrorismo), sulla nomina del Mediatore e sulle procedure che ne disciplinano il funzionamento.

Privacy: nuovo Regolamento Ue, prime Linee guida dei Garanti europei


cxnpv1-veaaeadsIl Gruppo dei Garanti Ue (WP 29) ha approvato lo scorso 13 dicembre tre documenti con indicazioni e raccomandazioni su importanti novità del Regolamento 2016/679 sulla protezione dei dati, in vista della sua applicazione da parte degli Stati membri a partire dal maggio 2018.

Le linee guida, alla cui elaborazione il Garante italiano ha attivamente partecipato, riguardano:

  • il “responsabile per la protezione dei dati” (Data Protection Officer  – DPO),
  • il diritto alla portabilità dei dati,
  • l’“autorità capofila” che fungerà da “sportello unico” per i trattamenti transnazionali.

Data Protection Officer  – DPO)

Le Linee guida sul DPO specificano i requisiti soggettivi e oggettivi di questa figura, la cui designazione sarà obbligatoria per tutti i soggetti pubblici e per alcuni soggetti privati sulla base di criteri che il Gruppo ha chiarito nel documento. Nel documento vengono illustrate (anche attraverso esempi concreti) le competenze professionali e le garanzie di indipendenza e inamovibilità di cui il DPO deve godere nello svolgimento delle proprie attività di indirizzo e controllo all’interno dell’organizzazione del titolare.

Diritto alla portabilità

Per quanto riguarda il diritto alla portabilità, il Gruppo evidenzia il suo valore di strumento per l’effettiva  libertà di scelta dell’utente, che potrà decidere di trasferire altrove i dati personali forniti direttamente al titolare del trattamento (piattaforma di social network, fornitore di posta elettronica etc.) oppure generati dall’utente stesso navigando o muovendosi sui siti o le piattaforme messe a sua disposizione. Il documento esamina anche gli aspetti tecnici legati soprattutto ai requisiti di interoperabilità fra i sistemi informatici e alla necessità di sviluppare applicazioni che facilitino l’esercizio del diritto.

Sportello unico

Infine, i Garanti Ue hanno chiarito i criteri per la individuazione della “Autorità capofila” che deve fungere da “sportello unico” per i trattamenti transnazionali (se il titolare o il responsabile tratta dati personali in più stabilimenti nell’Ue o offre prodotti o servizi in più Paesi Ue anche a partire da un solo stabilimento).  Si tratta di un elemento importante del nuovo quadro normativo, e le Linee guida vogliono aiutare i titolari o responsabili del trattamento a individuare correttamente l’Autorità competente in questi casi così da evitare controversie e garantire un’attuazione efficace del Regolamento.

Su ciascuno di questi documenti, disponibili per ora solo in lingua inglese, il Garante predisporrà delle apposite schede di approfondimento volte a far meglio comprendere e utilizzare i nuovi strumenti introdotti dal Regolamento.