Il nuovo vademecum del Garante della privacy

Pieter_Bruegel_the_Elder_-_The_Tower_of_Babel_(Vienna)_small

Chissà se tutti sanno che è illegale puntare la telecamera di controllo sul badge e sul marcatempo di qualunque ufficio o lavoro si tratti. Che sia funzionante o meno, è illegale.
E’ quanto è stabilito nel Vademecum del Garante della protezione dei dati personali stilato e reso pubblico il 24 aprile scorso.

Si legge sul vademecum:
E’ vietato ai datori di lavoro privati e pubblici di effettuare trattamenti di dati personali mediante sistemi hardware e software che mirano al controllo a distanza dei lavoratori. Tale divieto vale anche per l’uso di strumenti di controllo quali la videosorveglianza e la geolocalizzazione.
Espressamente non devono essere effettuati controlli a distanza al fine di verificare l’osservanza dei doveri di diligenza stabiliti per il rispetto dell’orario di lavoro e la correttezza nell’esecuzione della prestazione lavorativa (ad es. orientando la telecamera sul badge).

E non c’è accordo sindacale consenziente o dissenziente che tenga.

LA GEOLOCALIZZAZIONE

Divieto assoluto del Garante della Privacy anche alla geolocalizzazione dei dipendenti da parte delle aziende, neanche se si adottano “adeguate cautele a protezione della loro vita privata”. Diverso se lo scopo dichiarato non è quello di controllarli, quanto di “ottimizzare l’impiego delle risorse presenti sul territorio e migliorare la gestione, il coordinamento e la tempestività degli interventi tecnici. In questo caso, se veramente necessario, vanno adottate adeguate cautele e garanzie, ai sensi dell’art. 4 della l. n. 300/1970, gli impianti e le apparecchiature, “dai quali può derivare anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro [oggi DTL Direzioni territoriali del lavoro], dettando, ove occorra, le modalità per l’uso di tali impianti”.

Nel caso trattato dal Garante le società, che si sono impegnate a raggiungere un accordo con le organizzazioni sindacali, dovranno adottare misure che garantiscano che le informazioni visibili o utilizzabili dalla app siano solo quelle di geolocalizzazione, impedendo l’accesso ad altri dati, quali ad esempio, sms, posta elettronica, traffico telefonico. Inoltre, sullo schermo dello smartphone dovrà comparire sempre, ben visibile, un’icona che indichi ai dipendenti che la funzione di localizzazione è attiva. I dipendenti dovranno altresì essere ben informati sulle caratteristiche dell’applicazione e sui trattamenti di dati effettuati dalle società. Secondo il Garante il Codice privacy è qui rispettato, in quanto il sistema consente di ottimizzare la gestione degli interventi tecnici, incrementando la velocità di risposta alle richieste dei clienti, soprattutto in caso di emergenze o calamità naturali.

USO DI INTERNET

L’uso di internet, ormai non è più vietato, come un tempo. Anzi secondo recenti ricerche le Amministrazioni pubbliche viaggiano ancora troppo poco sul web. Tuttavia il Garante distingue tra la navigazione per motivi di lavoro e la navigazione per diletto.

I controlli da parte del datore di lavoro per motivi organizzativi o di sicurezza sono leciti solo se sono rispettati i principi di pertinenza e non eccedenza. I sistemi software devono essere programmati e configurati in modo da cancellare periodicamente ed automaticamente i dati personali relativi agli accessi ad internet e al traffico telematico, la cui conservazione non sia necessaria.
I datori di lavoro privati e gli enti pubblici economici, possono trattare i dati personali del lavoratore, diversi da quelli sensibili, per il legittimo esercizio di un diritto in sede giudiziaria, a fronte della manifestazione di un libero consenso o per un legittimo interesse, ossia qualora il lavoratore sia stato espressamente informato.
Il consenso è dato da accordi precedenti tra il datore di lavoro i rappresentanti sindacali ed il lavoratore.
Quindi il datore di lavoro ha l’onere di informare, chiaramente e in modo particolareggiato, i dipendenti su quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengono effettuati controlli, utilizzando ad esempio un disciplinare interno, chiaro e aggiornato affiancato da un’idonea informativa.
Spetta, quindi, al datore di lavoro adottare idonee misure di sicurezza per assicurare la disponibilità e l’integrità dei sistemi informativi e dei dati, anche per prevenire utilizzi indebiti.
Per quanto riguarda i datori di lavoro pubblici il trattamento dei dati del lavoratore è consentito soltanto per lo svolgimento delle funzioni istituzionali, in base al Codice privacy, alle leggi e ai regolamenti.
Per limitare l’uso di internet il datore di lavoro deve specificare e far conoscere tutte le modalità delle limitazioni e a chi viene affidata la gestione delle stesse.
In pratica va specificato con chiarezza se la navigazione in Internet o la gestione di file nella rete interna autorizzi o meno specifici comportamenti come il download di software o di file musicali o l’uso dei servizi di rete con finalità ludiche o estranee all’attività lavorativa.
Occorre anche specificare quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la rete internet è utilizzata indebitamente.
Il datore di lavoro per non incorrere egli stesso nelle sanzioni del Garante della privacy deve tendere a ridurre preventivamente il rischio di usi impropri di Internet adottando opportune misure che possano prevenire controlli successivi sul lavoratore e che possono risultare illeciti a seconda dei casi poichè possono comportare il trattamento di dati sensibili, come le convinzioni religiose, filosofiche, politiche, lo stato di salute o la vita sessuale.
Ad esempio si possono individuare i siti correlati o meno alla prestazione lavorativa o configurare sistemi o filtri che prevengano determinate operazioni.

APPARECCHIATURE PREORDINATE AL CONTROLLO A DISTANZA

E veniamo al punto ‘orologio marcatempo, con riguardo al principio secondo cui occorre perseguire finalità determinate, esplicite e legittime (art. 11, comma 1, lett. b), del Codice), il datore di lavoro può riservarsi di controllare (direttamente o attraverso la propria struttura) l’effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ. ).
Nell’esercizio di tale prerogativa occorre rispettare, però, la libertà e la dignità dei lavoratori, in particolare per ciò che attiene al divieto di installare “apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori” (art. 4, primo comma, l. n. 300/1970), tra cui sono certamente comprese strumentazioni hardware e software mirate al controllo dell’utente di un sistema di comunicazione elettronica.
Il trattamento dei dati che ne consegue è illecito, a prescindere dall’illiceità dell’installazione stessa. Ciò, anche quando i singoli lavoratori ne siano consapevoli.
In particolare non può ritenersi consentito il trattamento effettuato mediante sistemi hardware e software preordinati al controllo a distanza, grazie ai quali sia possibile ricostruire –a volte anche minuziosamente– l’attività di lavoratori. É il caso, ad esempio:
• della lettura e della registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail;
• della riproduzione ed eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;
• della lettura e della registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;
• dell’analisi occulta di computer portatili affidati in uso.
Il controllo a distanza vietato dalla legge riguarda l’attività lavorativa in senso stretto e altre condotte personali poste in essere nel luogo di lavoro. A parte eventuali responsabilità civili e penali, i dati trattati illecitamente non sono utilizzabili (art. 11, comma 2, del Codice).

FACEBOOK

L’uso di facebook, come di Likedln e altri, è consentito poiché è facoltà del datore di lavoro reperire, per fini di giurisprudenza o lavoro, i dati dei dipendenti reperiti sui social network anche grazie agli “amici in comune”, senza quindi inviare la richiesta di contatto diretta.
LE CHAT
Diverso il discorso riguardante le chat private: a differenza dei profili social, infatti, sono equiparate in tutto e per tutto alla corrispondenza, e quindi coperte dall’obbligo di segretezza. (art.15 Costituz.)

I LIMITI: TRATTAMENTO ILLECITO DATI

Commette invece trattamento illecito dei dati personali il datore di lavoro di un ente pubblico che raccoglie su internet dati sensibili, attinenti per esempio alla vita sessuale di un dipendente, per licenziarlo. Infatti i dati personali possono essere utilizzati solo in giudizio per tutelare un diritto. Oltre a ciò, ovviamente, si aggiunge la nullità del licenziamento per motivo discriminatorio.

INDICIZZAZIONE E TRASPARENZA

L’art. 9 del d. lgs. n. 33/2013 stabilisce che “Le amministrazioni non possono disporre filtri e altre soluzioni tecniche atte ad impedire ai motori di ricerca web di indicizzare ed effettuare ricerche all’interno della sezione “Amministrazione trasparente””.
Si evidenzia che l’obbligo di indicizzazione nei motori generalisti durante il periodo di pubblicazione obbligatoria è limitato ai soli dati tassativamente individuati ai sensi delle disposizioni in materia di trasparenza da collocarsi nella “sezione “Amministrazione trasparente””, con esclusione di altri dati che si ha l’obbligo di pubblicare per altre finalità di pubblicità diverse da quelle di “trasparenza”, come esposto nell'”Introduzione” e nella parte seconda delle presenti Linee guida.
Sono, fra l’altro, espressamente sottratti all’indicizzazione i dati sensibili e i dati giudiziari (art. 4, comma 1, d. lgs. n. 33/2013). Pertanto, i soggetti destinatari degli obblighi di pubblicazione previsti dal d. lgs. n. 33/2013 devono provvedere alla relativa deindicizzazione tramite – ad esempio – l’inserimento di metatag noindex e noarchive nelle intestazioni delle pagine web o alla codifica di regole di esclusione all’interno di uno specifico file di testo (il file robots.txt) posto sul server che ospita il sito web configurato in accordo al Robot Exclusion Protocol (avendo presente, comunque, come tali accorgimenti non sono immediatamente efficaci rispetto a contenuti già indicizzati da parte dei motori di ricerca Internet, la cui rimozione potrà avvenire secondo le modalità da ciascuno di questi previste

IL SOCIAL RECRUITING

Passando dai rischi alle opportunità, il Gruppo Adecco ha pubblicato la quarta edizione della ricerca Il lavoro ai tempi del #SocialRecruiting, condotta per la prima volta a livello mondiale. I risultati emersi dalla ricerca evidenziano che i social media sono, e saranno sempre di più, il nuovo mercato del lavoro, ma gli effetti di questa rivoluzione non sono ancora del tutto chiari sia per chi cerca sia per chi offre lavoro. La ricerca ha coinvolto 1.500 recruiter provenienti da 24 paesi e oltre 17.000 persone in cerca di lavoro. Secondo i risultati, nel 2013 più della metà delle attività di selezione è avvenuta su Internet (53%) e nel 2014 pare che il trend abbia continuato a crescere fino 61%.
In Italia la ricerca è stata condotta nel 2013 su 7.597 candidati e 269 selezionatori. Il 67% dei candidati intervistati ha confermato di usare i social network per cercare lavoro (erano il 53% nel 2013). Linkedin è il canale più utilizzato con il 41%, seguito da Facebook con il 23%. Sempre nell’ultimo anno, il 56% degli intervistati ha diffuso il proprio CV attraverso i social media e il 7% ha trovato lavoro grazie ai social (erano rispettivamente il 30% e il 2% nel 2013). Contrariamente alle aspettative, la selezione sui social media non è più una prerogativa di candidati altamente qualificati; infatti, la maggior parte dei profili ricercati sono quelli non manageriali. Tra i settori più social emergono le vendite (che seleziona sul web il 54,2% dei profili), l’amministrazione e finanza (45,8%) e il marketing (40,8%).

LINEE GUIDA DEL GARANTE PER POSTA ELETTRONICA E INTERNET (link)

Iscriviti alla nostra Newsletter!