GARANTE PROTEZIONE DATI PERSONALI – Nota 30 giugno 2017, n. 429
Lavoro e dati giudiziari dei dipendenti – Sì al Gps sui mezzi per raccolta rifiuti, ma senza controllo continuativo – Privacy Shield: a settembre la prima revisione dell’accordo Usa-Ue
Lavoro e dati giudiziari dei dipendenti. L’azienda può trattarli, ma solo se autorizzata dalla legge o dal Garante
Il Garante per la protezione dei dati personali ha rigettato l’istanza di una società che chiedeva di essere autorizzata ad effettuare un trattamento di dati giudiziari dei propri dipendenti non previsto da una adeguata base giuridica [doc. web n. 6558837]. La società, che gestisce ed eroga servizi per clienti pubblici e privati, al dichiarato fine di ottemperare ad una richiesta contrattuale, intendeva infatti raccogliere e utilizzare le informazioni presenti nel casellario giudiziale fornito dai propri lavoratori e comunicarle a una ditta appaltante. Il trattamento dei dati giudiziari era finalizzato a consentire alla ditta appaltante di poter esprimere il proprio gradimento o meno sui lavoratori impiegati nello svolgimento dei servizi, nel caso specifico a bordo dei treni, inquadrati come manovale e pulitore.Nel respingere l’istanza, l’Autorità ha ribadito che i soggetti privati possono trattare i dati giudiziari soltanto se autorizzati da una espressa disposizione di legge o da un provvedimento del Garante in cui siano indicate le finalità di rilevante interesse pubblico del trattamento, i tipi di dati e le operazioni eseguibili. Nel caso esaminato dal Garante, la società non ha indicato, né risulta esservi, una base giuridica (legislativa, regolamentare o contrattuale) adeguata a legittimare quel determinato trattamento di dati giudiziari. Nel Ccnl e nel contratto aziendale di gruppo inoltre, non vi sono disposizioni da cui emerge l’indispensabilità del trattamento dei dati giudiziari dei dipendenti per lo svolgimento delle attività nelle quali saranno impiegati i lavoratori. La società infine, non ha indicato e comunque non risulta una base giuridica che autorizzi la comunicazione di dati alla società appaltante.
Sì al Gps sui mezzi per raccolta rifiuti, ma senza controllo continuativo
La localizzazione dei veicoli aziendali non può realizzare un monitoraggio costante dei lavoratori. Questa la decisione del Garante della privacy in merito alla richiesta di verifica preliminare, presentata da un’azienda che si occupa di raccolta dei rifiuti, relativa ad un sistema Gps installato su automezzi e apparati mobili in dotazione ad autisti ed operai [doc. web n. 6495708]. Scopo del sistema, quello di assicurare il migliore impiego delle risorse, il coordinamento dei mezzi, la sicurezza del personale e tutelare il patrimonio aziendale. In quest’ottica la società ha correttamente provveduto ad acquisire la specifica autorizzazione da parte della Direzione territoriale del lavoro, nel rispetto della disciplina in materia di controllo a distanza dei lavoratori, anche dopo le modifiche introdotte dal cosiddetto Jobs Act. I dati concernenti la posizione geografica dei dispositivi radiomobili assegnati alle squadre a piedi, non verranno memorizzati, diversamente da quelli dei dispositivi installati sui mezzi di raccolta “porta a porta” che saranno invece registrati.Nell’esaminare il progetto, il Garante ha sottolineato che i dati delle coordinate geografiche, contrariamente a quanto sostenuto dalla società, non possono considerarsi anonimi, in quanto, sebbene il sistema di geolocalizzazione non li associ direttamente ai singoli operatori, l’incrocio con i dati del “sistema turni”, preordinati da uno specifico software, consente di risalire all’identità del dipendente a cui sia stato assegnato uno specifico dispositivo.Per evitare il controllo continuativo a distanza dei lavoratori l’Autorità ha dunque proposto una rilevazione cosiddetta “ad eventi”, che dovrà avvenire nel momento in cui l’automezzo giunga in prossimità di un punto di raccolta già precedentemente georeferenziato.Il Garante ha ammesso il trattamento dei dati raccolti nei due distinti sistemi (geolocalizzazione e predisposizione dei turni) per l’ulteriore finalità di individuazione e gestione di eventuali anomalie nello svolgimento del servizio, in conformità alla vigente disciplina del lavoro sui controlli a distanza, purché nel rispetto delle previste garanzie a tutela e protezione dei dati degli interessati e con modalità proporzionate. In tal senso, il Garante ha precisato che la consultazione di questi dati potrà esser effettuata (a cura degli incaricati, dotati di credenziali di accesso personalizzate, e registrata in appositi file di log) solo in presenza della concreta ricorrenza di anomalie (es. gravi irregolarità nel servizio) che siano state predeterminate e rese note ai lavoratori insieme alle modalità per l’eventuale trattamento dei dati.Tra le misure previste in generale dal Garante, la necessità di trattare solo i dati necessari, pertinenti e non eccedenti entro limiti temporali congrui rispetto alle finalità perseguite. Trascorso il termine di conservazione dei dati, questi potranno essere storicizzati solo in forma anonima. Il trattamento dei dati personali dovrà essere notificato all’Autorità e dovranno essere adottate idonee misure di sicurezza a protezione degli stessi.
Privacy Shield: a settembre la prima revisione dell’accordo Usa-UeLe raccomandazioni dei Garanti della Privacy Ue alla Commissione
Il Gruppo che riunisce le Autorità Garanti europee (WP 29) ha reso note le raccomandazioni indirizzate alla Commissione Ue in vista della prima revisione congiunta dell’Accordo “Privacy Shield” relativo al trasferimento dei dati dall’Unione agli Stati Uniti. L’Accordo sullo “scudo privacy”, adottato il 12 luglio 2016, si fonda su un sistema di autocertificazione in base al quale le organizzazioni statunitensi che intendono ricevere dati personali dall’Unione europea s’impegnano a rispettare un insieme di principi in materia di privacy fissati dal sistema medesimo. Lo “scudo” prevede un riesame periodico dell’accertamento di adeguatezza al fine di verificare che le constatazioni relative al livello di protezione assicurato dagli Stati Uniti nell’ambito dello Scudo continuino ad essere giustificate in fatto e in diritto.La prima revisione periodica dell’accordo del Privacy Shield è prevista per il prossimo settembre 2017 quando la Commissione europea incontrerà i rappresentanti delle organizzazioni statunitensi interessate, in primo luogo la Federal Trade Commission e il Dipartimento del Commercio e, per le questioni relative alla sicurezza nazionale, i rappresentanti dell’intelligence e il Mediatore (Ombudsperson) istituito dallo Scudo.Per garantire che le autorità statunitensi siano in grado di rispondere costruttivamente alle preoccupazioni riguardanti l’applicazione concreta dell’Accordo, il Gruppo dei Garanti Ue comunicherà alla Commissione le informazioni e i chiarimenti su cui, anche alla luce dei commenti e delle criticità già evidenziate nel parere del dell’aprile scorso, concentrerà la sua attenzione. Per quanto riguarda la parte commerciale, alcune preoccupazioni erano state sollevate, ad esempio, sulle garanzie riguardo a decisioni automatizzate o in relazione all’assenza di indicazioni specifiche per l’applicazione dei principi del Privacy Shield da parte delle società che operano, quali responsabili del trattamento, per titolari stabiliti in Ue. Per quanto riguarda gli aspetti di law enforcement e sicurezza nazionale, il WP 29 chiederà garanzie in merito al rispetto dei principi di necessità e proporzionalità nella eventuale raccolta massiva di dati personali, nonché sulle nomine dei quattro membri del Privacy and Civil Liberties Oversight Board (agenzia indipendente che si occupa della tutela della privacy e delle libertà fondamentali nell’ambito delle attività governativa statunitense per la lotta al terrorismo), sulla nomina del Mediatore e sulle procedure che ne disciplinano il funzionamento.
Possono essere interessanti anche le seguenti pubblicazioni:
- GARANTE PROTEZIONE DATI PERSONALI - Nota 03 dicembre 2021, n. 484 - Tabulati: Tim nega l'accesso a un cliente e scatta la sanzione del Garante privacy - Customer care: Garante privacy, no al controllo a distanza dei lavoratori - Sanità: sì del Garante…
- Giornalismo: stop a foto invasive in casa, anche se il personaggio è famoso - Lavoro: il Garante Privacy ribadisce il no al controllo a distanza - Sanità: il Garante privacy sanziona una società per uso di dati non anonimizzati - Trasferimento dati…
- GARANTE PROTEZIONE dei DATI PERSONALI - Nota n. 503 del 26 maggio 2023 - Enti locali: indagine del Garante Privacy sui Responsabili protezione dati - Videosorveglianza: sanzionata un’azienda di abbigliamento - Antiriciclaggio: no a limitazione diritto…
- GARANTE PROTEZIONE DATI PERSONALI - Nota n. 505 del 28 giugno 2023 - Fidelity card: il Garante privacy sanziona il Gruppo Benetton - Garante: stop al web scraping per formare elenchi telefonici - Garante privacy: illecite le email pubblicitarie senza…
- GARANTE per la PROTEZIONE dei DATI PERSONALI - Nota n. 517 del 6 febbraio 2024 - Intercettazioni: Garante, più tutele per i dati nelle infrastrutture centralizzate - Garante: no a cancellazione di un articolo dall’archivio online di un quotidiano -…
- GARANTE della PROTEZIONE dei DATI PERSONALI - Nota n. 509 dell' 11 settembre 2023 - Telemarketing selvaggio: il Garante Privacy sanziona Tiscali e Comparafacile - Lavoro: sì all’accesso del dipendente alla relazione investigativa - Videosorveglianza:…
RICERCA NEL SITO
NEWSLETTER
ARTICOLI RECENTI
- ISA 2024 le cause di esclusione per l’anno 2
La legge istitutiva degli Indici Sintetici di Affidabilità fiscale (ISA) ha una…
- Il diritto riconosciuto dall’uso aziendale n
La Corte di Cassazione, sezione lavoro, con l’ordinanza n. 10120 depositat…
- L’indennità sostitutiva di ferie non godute
La Corte di Cassazione, sezione lavoro, con l’ordinanza n. 9009 depositata…
- Il giudice tributario è tenuto a valutare la corre
La Corte di Cassazione, sezione tributaria, con l’ordinanza n. 5894 deposi…
- Il lavoratore ha diritto al risarcimento del danno
La Corte di Cassazione, sezione lavoro, con l’ordinanza n. 10267 depositat…