• Privacy

    Posta elettronica dipendenti e Privacy: linee guida aggiornate 2024

    / 18 Giugno 2024

    Con provvedimento n. 364 del 6 giugno 2024, del Garante per la  privacy sono state pubblicate le nuove linee guida in tema di protezione dei dati personali  nella gestione della posta elettronica dei dipendenti . Si tratta in particolare  del Documento di indirizzo  “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” 

    Nel Documento viene illustrata la normativa vigente  con particolare riguardo alle possibili responsabilità per i datori di lavoro pubblici e privati .

    Da segnalare una importante  novità rispetto  al recente documento del 6 febbraio 2024  sullo stesso tema che aveva creato molto allarme tra i datori di lavoro a causa delle forti restrizioni temporali  sulla gestione delle mail dei dipendenti

    In particolare  nelle nuove linee guida che sostituiscono le precedenti, viene  chiarito che per metadati  si  intendono le  informazioni  generate automaticamente dai server di gestione della posta elettronica aziendale riguardanti invii, ricezione e smistamento e che   possono comprendere gli indirizzi email del mittente e del destinatario, indirizzi IP,  orari di invio, di trasmissione o di ricezione, dimensioni e presenza di allegati.

    Sono questi dati e non  il contenuto nel corpo delle mail  né la cosiddetta" envelope" che vanno eliminati con le scadenze molto restrittive (al massimo 21 giorni di archiviazione ) indicate dal provvedimento del 6 febbraio .

     Il chiarimento  ridimensiona fortemente l'impatto  sulla gestione aziendale  trovando un punto accettabile di equilibrio tra protezione dei dati personali ed esigenze organizzative.

    Nelle  linee guida del  6 febbraio  2024  si analizzava   l'utilizzo di programmi forniti  in modalità cloud  che spesso trattano  in modo generalizzato e sistematico i dati  senza possibilità di  disabilitare o modificare le modalità di archiviazione, con possibile violazione delle norme vigenti 

    Nel provvedimento  il Garante  chiedeva quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti  consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione 

     Il periodo considerato congruo  sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica  del  lavoratore era  fissato a un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. 

    Per i casi in cui i  datori di lavoro  debbano per esigenze organizzative e produttive o di tutela del patrimonio  informativo del titolare ( ad esempio, per specifiche esigenze di sicurezza dei sistemi) trattare i metadati per un periodo di tempo più esteso, si richiede  adempiere agli  obblighi previsti dalla normativa privacy (per esempio informativa privacy, data protection impact assessment-Dpia e legitimate interest assessment-Lia),   e di espletare le procedure di garanzia previste dallo Statuto dei lavoratori  (Legge 300 1970) ovvero 

    • pervenire ad un accordo con le rappresentanze sindacali  o 
    • ottenere l'autorizzazione dell’ispettorato del lavoro.

    Leggi altro
  • Privacy

    Riconoscimento facciale dipendenti: no del Garante Privacy

    / 2 Aprile 2024

    Il Garante per la privacy ricorda che il Regolamento per la protezione dei dati personali non consente l'utilizzo del riconoscimento facciale per controllare le presenze sul posto di lavoro in quanto viola la privacy dei dipendenti. 

    A questo proposito infatti è stato reso noto che sono stati emanati 5 provvedimenti sanzionatori contro altrettante aziende di igiene ambientale  riunite in associazione temporanea impegnate in siti di smaltimento rifiuti,   per trattamento illecito dei dati biometrici dei lavoratori . (Provvedimenti n. 9995680, 9995701, 9995741, 9995762, 9995785)

    Vediamo di seguito i dettagli sul provvedimento più severo emanato nei confronti della capogruppo con sanzione di 70mila euro  per diverse violazioni al Regolamento.

    Videsorveglianza con riconoscimento biometrico: il caso piu grave

    Il Garante privacy era intervenuto a seguito dei reclami di numerosi dipendenti  di aziende attive nel settore dei servizi ambientali che segnalavano l'obbligo per l'accesso al sito di lavoro, di utilizzare un rilevatore biometrico, basato sul riconoscimento facciale.

    A seguito di sopralluoghi e indagini del Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza è stato accertato che  per l'attività di un gruppo di imprese in associazione temporanea operanti in vari siti di smaltimento rifiuti  la società capogruppo aveva fatto installare apparecchi biometrici di rilevamento presenze ,operanti per più di un anno.

    Con memorie difensive la Società aveva dichiarato che il fenomeno dell’assenteismo, segnatamente accompagnato da timbrature fraudolente  aveva dato origine a  pesanti contenziosi in ambito  lavoristico […] che  hanno avuto esiti negativi proprio perché la società era impossibilitata a verificare con certezza l’effettivo orario di lavoro prestato in quanto venivano utilizzati fogli presenze cartacei.”;

    Inoltre “la società,  sulla base della dichiarazione e certificazione di conformità dell’apparato biometrico fornita dal produttore  in cui veniva dichiarato che il dispositivo era pienamente conforme al GDPR, riteneva di potere utilizzare lo stesso ai sensi dell’art. 9 c.2, par. b. del Regolamento”  in 9 siti operativi collegati  con  il numero di 13 apparecchi utilizzati per il controllo di un totale di 218 dipendenti

    La guardia di finanza segnalava  in particolare  che :

    •  “gli apparati sono installati al fine di effettuare la rilevazione delle presenze tramite confronto uno a molti dell’impronta biometrica del volto dei dipendenti . La società fornitrice ha fornito il manuale di utilizzo  e un tecnico  effettuava la formazione sull’utilizzo del dispositivo al capocantiere” 
    • “i dati biometrici degli interessati risiedono esclusivamente nel dispositivo e non sono accessibili da remoto, né in locale, se non per la cancellazione, che può essere effettuata solo direttamente sul dispositivo” .
    • Veniva anche verbalizzato che  “probabilmente su molti dispositivi installati è stata mantenuta la password di default, presente sul dispositivo della sede principale" 
    • “il dispositivo è dotato di uno speciale algoritmo per criptare i dati biometrici in modo non reversibile” (verbale cit., p. 4); 
    • i    template biometrici cifrati, acquisti in fase di registrazione dei lavoratori ,   risultavano associati ai suddetti codici numerici, senza alcuna memorizzazione nel dispositivo del nome e cognome degli interessati”.

    Dati biometrici : normativa e parere del Garante

    Nella propria analisi l'autorità osserva  primariamente che  il trattamento di dati biometrici (di regola vietato ai sensi dell’art. 9, par. 1 del Regolamento) è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2 del Regolamento e, con riguardo ai trattamenti effettuati in ambito lavorativo, solo quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento … in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”

    Viene riconosciuto che le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro possano rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento, tuttavia il trattamento dei dati biometrici è consentito solo “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […]

    Allo   stato,  l’ordinamento vigente non consente il trattamento di dati biometrici dei dipendenti per finalità di rilevazione della presenza in servizio. In particolare ricorda che il decreto legge  10/5/2023, n. 51,  con l’art. 8-ter ha prorogato al 31 dicembre 2025 la sospensione dell’installazione e utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale “in luoghi pubblici o aperti al pubblico, da parte delle autorità pubbliche o di soggetti privati”, ciò al fine di “disciplinare conformemente i requisiti di ammissibilità, le condizioni e le garanzie relativi all'impiego di tali  sistemi"  come già ribadito  dal Garante con i provvedimenti n. 369 2022 (doc. web n. 9832838) e n. 16  2021 (doc. web n. 9542071).

    L’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro  non è dunque conforme ai principi di minimizzazione e proporzionalità del trattamento.

    II Garante precisa che  per gli stessi fini  sul luogo di lavoro avrebbero potuto essere adottate misure utili allo scopo ma meno invasive per i diritti degli interessati (es. controlli automatici mediante badge, verifiche dirette, etc.).

    In secondo luogo il Garante ricorda che il datore di lavoro, inoltre, è tenuto ad applicare i principi generali del trattamento, in particolare quelli di liceità, correttezza e trasparenza, minimizzazione, integrità e riservatezza dei dati  . 

    La società ha operato invece senza rispettare il principio di trasparenza,  che prevede l’obbligo di indicare ai propri dipendenti  quali siano le caratteristiche essenziali dei trattamenti di dati effettuati  nonché degli strumenti attraverso i quali  sono effettuati.

    Ancora,  è stato violato l'obbligo di indicare il responsabile del trattamento dei dati personali , che era affidato alla società fornitrice dei dispositivi

    Infine, la circostanza che il produttore e il fornitore dei dispositivi di riconoscimento facciale avessero prodotto una “dichiarazione e certificazione di conformità non può far venir meno la responsabilità della Società, considerato che il titolare del trattamento, alla luce di quanto stabilito dall’art. 5, par. 2, del Regolamento, in base al c.d. principio di responsabilizzazione, “è competente per il rispetto [dei principi generali del trattamento] e in grado di comprovarlo”.

    Controllo biometrico lavoratori: le conclusioni del Garante privacy

    In conseguenza di queste risultanze la società capogruppo è stata sanzionata con ammenda di 70mila euro  considerando, a sfavore della Società,

    1. la natura della violazione che ha riguardato i principi generali e le condizioni di liceità del trattamento e il trattamento di dati particolari,
    2.   la durata della violazione che si è protratta per più di un anno e il numero significativo degli interessati coinvolti;
    3.  con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

    Invece, a favore della Società, si è tenuto conto della cooperazione con l’Autorità di controllo e della decisione di sospendere le attività di trattamento dopo l’inizio delle attività ispettive.

    Leggi altro
  • Privacy

    Privacy nelle Agenzie per il lavoro: il Codice approvato dal Garante

    / 16 Febbraio 2024

    Con il provvedimento 9983415 dell'11 gennaio  2024 pubblicato nella newsletter del 14 febbraio,   l'autorità Garante per la privacy ha approvato  il Codice di condotta in tema di protezione dei dati personali predisposto da Assolavoro l' associazione  nazionale di Agenzie per il lavoro, aderente a Confindustria.

    Il Codice,   di cui si attende a breve la pubblicazione in Gazzetta Ufficiale,  fornisce le linee  guida    per il corretto trattamento dei dati     gestiti dalle Agenzie  nell’ambito delle attività di intermediazione,  ricerca e selezione del personale e somministrazione di lavoro.

     Nello stesso documento il Garante ha anche dato l'accredito ad un nuovo Organismo di monitoraggio indipendente , deputato a  controllare che il codice venga rispettato e a gestire eventuali reclami in materia.

    Scarica qui il Codice di condotta privacy per le Agenzie per il lavoro 

    Codice Privacy Agenzie per il lavoro: cosa prevede

    Nel codice  sono delineate le linee di condotta per la tutela dei  soggetti  candidati a posizioni lavorative i cui dati sono gestiti dalle agenzie  con particolare attenzione al contrasto alle discriminazioni nell’accesso al mercato del lavoro. 

    In estrema sintesi :

    • le Agenzie che aderiscono al Codice si impegnano a trattare solo dati strettamente necessari all’istaurazione del rapporto di lavoro e quindi :
    • sono vietate, anche se con il consenso dei candidati 
    •  indagini sulle opinioni politiche, religiose o sindacali dei lavoratori e
    •  preselezioni sulla base di informazioni che riguardano stato matrimoniale, gravidanza, handicap, neanche con il consenso dei candidati.
    •  consultazione di profili social , tranne   nei canali di natura  professionale ma  limitatamente alle  informazioni   che abbiano relazione con le competenze richieste per il posto di lavoro .
    • informazioni relative a illeciti disciplinari o procedimenti giudiziari che lo abbiano coinvolto

    ATTENZIONE : l' acquisizione di  referenze professionali del candidato presso precedenti datori di lavoro  è possibile  solo  “previa autorizzazione esplicita del candidato”.

    Codice Agenzie per il lavoro: il trattamento automatizzato dei dai

    Nel comunicato del Garante  sul si legge inoltre che per quanto riguarda il delicato aspetto delle decisioni basate su un trattamento automatizzato, le Agenzie per il lavoro sono tenute ad  effettuare:

    • una dettagliata valutazione di impatto preventiva 
    • indicando nell’informativa resa ai lavoratori,  i meccanismi alla base dell’automatizzazione e le valutazioni periodiche adottate per verificare l’affidabilità del sistema automatizzato.

    Infine, nel caso di trattamenti totalmente automatizzati ai lavoratori deve essere comunque sempre garantito il diritto di:

    • ottenere l'intervento umano, ove necessario ,
    • di esprimere la propria opinione e 
    • di contestare la decisione.

    Codice privacy Agenzie per il lavoro: quali sono

    Nel documento viene specificato  che le agenzie per il lavoro –  APL –  di cui si tratta sono gli enti autorizzati dall’ANPAL (Agenzia Nazionale delle Politiche Attive

    del Lavoro sotto la vigilanza del Ministero del Lavoro) a seguito di una articolata procedura disciplinata dal Capo I del D. Lgs. n. 276/2003 “Attuazione delle deleghe in materia di occupazione e mercato del lavoro, di cui alla legge 14 febbraio 2003, n. 30”. Le ApL sono iscritte in un apposito Albo suddiviso in  cinque sezioni:

    • 1) agenzie di somministrazione di tipo generalista: svolgono attività di somministrazione di  manodopera. L'autorizzazione alla somministrazione di tipo generalista autorizza
    • automaticamente anche allo svolgimento delle attività di intermediazione, ricerca e selezione del personale e supporto alla ricollocazione professionale. Le agenzie di somministrazione  generalista possono somministrare lavoratori sia a tempo determinato sia a tempo
    • indeterminato; 
    • 2) agenzie di somministrazione di tipo specialista: possono somministrare lavoratori solo a  tempo indeterminato;
    • 3) agenzie di intermediazione: svolgono attività di mediazione tra domanda e offerta di lavoro.  Tali agenzie sono automaticamente iscritte anche alla quarta e alla quinta sezione;
    • 4) agenzie di ricerca e selezione del personale: svolgono attività di consulenza per  l'individuazione delle candidature idonee a ricoprire posizioni lavorative su incarico del
    • committente;
    • 5) agenzie di supporto alla ricollocazione professionale: svolgono l'attività, finalizzata alla  ricollocazione nel mercato del lavoro di prestatori di lavoro, considerati singolarmente o  collettivamente, su incarico dell'organizzazione committente.

    Leggi altro
  • Privacy

    Pubblici registri immobiliari: corretto utilizzo Sezione D di note e annotazioni

    / 30 Gennaio 2024

    Con Circolare n.1 del 29 gennaio le Entrate si occupano di Pubblici registri immobiliari e normativa in materia di trattamento dei dati personali.

    In particolare, si evidenziano gli aspetti critici del corretto utilizzo della Sezione D nelle note di trascrizione e di iscrizione e nelle domande di annotazione al fine di prevenire l’emersione di eventuali trattamenti illeciti e, all’esito, individuare le possibili aree di azione.

    Con la circolare le Entrate intendono fornire alle categorie interessate opportune indicazioni sul corretto utilizzo dei modelli di richiesta delle formalità relative alla pubblicità immobiliare.

    Sinteticamente, le entrate sottolineano che, nell’eseguire la pubblicità immobiliare occorre che non vengano riportate "informazioni eccedenti rispetto alle finalità del trattamento, come nel caso dei dati personali eventualmente presenti nell’atto ma non utili alla pubblicità stessa".  

    Vediamo maggiori dettagli sulle problematiche del quadro D dei modelli di pubblicità immobiliare.

    Pubblici registri immobiliari: corretto utilizzo Sezione D di note e annotazioni 

    La Circolare si sofferma sulle note che vengono presentate al conservatore e sui dati che in esse vengono riportati, al fine di individuare se possano configurarsi eventuali trattamenti illeciti o eccedenti, con particolare attenzione alle parti della nota.

    Con specifico riferimento alle nota, si ricorda come con l’automazione dei servizi di pubblicità immobiliare, le note sono redatte su appositi modelli specificatamente approvati che sono stati oggetto, nel tempo, di vari aggiornamenti

    In coerenza con i modelli approvati da utilizzarsi, le note sono formate da quattro sezioni:

    • la “sezione A”, riportante i dati relativi al titolo presentato per l’esecuzione della formalità (identificativi dell’atto, autorità emanante, ecc…)
    • la “sezione B”, riportante i dati relativi agli immobili relazionati nella formalità (sostanzialmente, gli identificativi catastali degli immobili)
    • la “sezione C”, riportante i dati relativi ai soggetti presenti nella formalità (identificativi dei soggetti e rispettivi diritti relazionati sugli immobili oggetto di formalità) 
    • la “sezione D”, riportante eventuali altre informazioni, non codificabili nelle precedenti sezioni, ritenute ugualmente necessarie per una compiuta pubblicità immobiliare nonché le informazioni previste ai fini dell’esecuzione della voltura catastale automatica.

    Nelle prime tre sezioni (A, B e C), la cui compilazione è sostanzialmente obbligata, si devono indicare dati – relativi al titolo, agli immobili ed ai soggetti – corrispondenti a quelli richiesti dalla legge a pena di rifiuto (art. 2674 c.c.). 

    Si fa specifico riferimento ai dati necessari per la pubblicità immobiliare indicati rispettivamente dagli artt. 2659 e 2660 c.c. per le note di trascrizione e dall’art. 2839 c.c. per le note di iscrizione. 

    In tale ottica, i dati presenti in dette sezioni possono ritenersi lecitamente indicati, anche sotto il profilo della protezione dei dati personali, in quanto riportati in presenza di un’adeguata base giuridica rappresentata dall’obbligo normativo di indicazione imposto in materia di “tenuta di registri pubblici relativi a beni immobili”. 

    La sezione D della nota è costituita invece da un campo integralmente libero, utilizzabile per l’indicazione di eventuali altre informazioni ritenute necessarie ai fini di una compiuta pubblicità immobiliare e quindi rimesso, nella sua compilazione, alle relative valutazioni effettuate dalla parte richiedente. 

    Risulta evidente che i prospettati profili di criticità possono correlarsi tendenzialmente ai dati indicati dal richiedente nella sezione D delle note dove è possibile indicare “altri aspetti che si ritiene utile pubblicare”

    La nota è tradizionalmente definita “atto di parte”, e deve configurarsi quale documento “autosufficiente” in relazione ai dati ivi contenuti e destinati alla conoscenza dei terzi, ovverosia ai fini di una compiuta pubblicità immobiliare.

    In altri termini, è utile in questa sede richiamare i cd. principi di autosufficienza e autoresponsabilità della nota elaborati dalla giurisprudenza di legittimità. 

    Alla luce di tali principi, la nota deve essere “autoconsistente” sotto il profilo della funzione pubblicitaria e la responsabilità verso i terzi ricade sul soggetto che richiede la formalità relativamente ad un determinato atto, redigendone (o facendo redigere) la nota in un certo modo e con un apposito contenuto. 

    Pertanto è da escludersi che tale responsabilità possa ricadere sul Conservatore il quale è chiamato dall’ordinamento a svolgere controlli esclusivamente di tipo formale. 

    Quindi, il conservatore non potrebbe, per ipotesi, rifiutarsi di eseguire la formalità richiesta adducendo, a motivo di legittimo rifiuto, la presenza nella nota di dati illecitamente trattati, ad esempio perché non strettamente necessari ai fini della pubblicità immobiliare, o opponendo altre esigenze di tutela della protezione dei dati personali, né potrebbe, per tali medesimi motivi, ritardare l’esecuzione della formalità richiesta.

    Pertanto nel documento in oggetto le entrate specificano che nell’eseguire la pubblicità immobiliare occorre che non vengano riportate "informazioni eccedenti rispetto alle finalità del trattamento, come nel caso dei dati personali eventualmente presenti nell’atto ma non utili alla pubblicità stessa" e ci si debba limitare all’ostensione dei dati strettamente necessari.

    Leggi altro
  • Privacy

    Guida Privacy: on line la guida del Garante all’applicazione delle norme UE

    / 2 Giugno 2023

    Con un comunicato stampa del 19 giugno il Garante per la protezione dei dati personali informa della pubblicazione della "Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali".

    Viene specificato che, la Guida si propone come un utile strumento di consultazione per chi opera in ambito pubblico e privato, un manuale agile, in particolare per le piccole e medie imprese, e offre una panoramica sui principali aspetti che imprese e soggetti pubblici devono tenere presenti per dare piena attuazione al Regolamento:

    • dai diritti dell’interessato ai doveri dei titolari; 
    • dalla trasparenza sull’uso dei dati personali alla liceità del loro trattamento.

    Si sottolinea che una attenzione particolare è rivolta ai contenuti, ai tempi e modalità con cui il titolare deve:

    • fornire l’informativa all’interessato; 
    • valutare le circostanze in cui il titolare deve notificare al Garante privacy, ed eventualmente agli interessati, la violazione di dati personali; 
    • provvedere alla designazione del Responsabile della protezione dei dati. 

    Tra le novità introdotte dal Regolamento vi è appunto l'RPD, figura indipendente, autorevole e con competenze manageriali, che offre consulenza e supporto al titolare e funge da punto di contatto con il Garante.

    Attenzione al fatto che, il Garante ricorda che con il GDPR la privacy da obbligo avvertito solo in maniera formale diventa parte integrante delle attività di un’organizzazione, che è tenuta al rispetto del principio di responsabilizzazione ("accountability"), in base al quale il titolare deve adottare comportamenti proattivi e attività dimostrabili, finalizzati al rispetto della normativa.

    Viene infine specificato che, il Regolamento Ue ha introdotto anche nuovi diritti riconosciuti alle persone, come quello di poter trasferire i propri dati da un titolare del trattamento a un altro, compresi i social network ("diritto alla portabilità"), o come il diritto all’oblio, cioè il diritto di non veder riproposte informazioni personali quando non sono più necessarie rispetto alle finalità per le quali sono state raccolte.

    Infine la Guida contiene richiami puntuali alle Linee guida europee, oltre che rimandi alla legislazione nazionale fornendo importanti raccomandazioni.

    Leggi altro