GARANTE PROTEZIONE DATI PERSONALI – Nota 30 giugno 2017, n. 429 – Lavoro e dati giudiziari dei dipendenti – Sì al Gps sui mezzi per raccolta rifiuti, ma senza controllo continuativo – Privacy Shield: a settembre la prima revisione dell’accordo Usa-Ue

Lavoro e dati giudiziari dei dipendenti – Sì al Gps sui mezzi per raccolta rifiuti, ma senza controllo continuativo – Privacy Shield: a settembre la prima revisione dell’accordo Usa-Ue

Lavoro e dati giudiziari dei dipendenti. L’azienda può trattarli, ma solo se autorizzata dalla legge o dal Garante

Il Garante per la protezione dei dati personali ha rigettato l’istanza di una società che chiedeva di essere autorizzata ad effettuare un trattamento di dati giudiziari dei propri dipendenti non previsto da una adeguata base giuridica [doc. web n. 6558837]. La società, che gestisce ed eroga servizi per clienti pubblici e privati, al dichiarato fine di ottemperare ad una richiesta contrattuale, intendeva infatti raccogliere e utilizzare le informazioni presenti nel casellario giudiziale fornito dai propri lavoratori e comunicarle a una ditta appaltante. Il trattamento dei dati giudiziari era finalizzato a consentire alla ditta appaltante di poter esprimere il proprio gradimento o meno sui lavoratori impiegati nello svolgimento dei servizi, nel caso specifico a bordo dei treni, inquadrati come manovale e pulitore.Nel respingere l’istanza, l’Autorità ha ribadito che i soggetti privati possono trattare i dati giudiziari soltanto se autorizzati da una espressa disposizione di legge o da un provvedimento del Garante in cui siano indicate le finalità di rilevante interesse pubblico del trattamento, i tipi di dati e le operazioni eseguibili. Nel caso esaminato dal Garante,  la società non ha indicato, né risulta esservi, una base giuridica (legislativa, regolamentare o contrattuale) adeguata a legittimare quel determinato trattamento di dati giudiziari. Nel Ccnl e nel contratto aziendale di gruppo inoltre, non vi sono disposizioni da cui emerge l’indispensabilità del trattamento dei dati giudiziari dei dipendenti per lo svolgimento delle attività nelle quali saranno impiegati i lavoratori. La società infine, non ha indicato e comunque non risulta una base giuridica che autorizzi la comunicazione di dati alla società appaltante.

Sì al Gps sui mezzi per raccolta rifiuti, ma senza controllo continuativo

La localizzazione dei veicoli aziendali non può realizzare un monitoraggio costante dei lavoratori. Questa la decisione del Garante della privacy in merito alla richiesta di verifica preliminare, presentata da un’azienda che si occupa di raccolta dei rifiuti, relativa ad un sistema Gps installato su automezzi e apparati mobili in dotazione  ad autisti ed operai [doc. web n. 6495708]. Scopo del sistema, quello di assicurare il migliore impiego delle risorse, il coordinamento dei mezzi, la sicurezza del personale e tutelare il patrimonio aziendale. In quest’ottica la società ha correttamente provveduto ad acquisire la specifica autorizzazione da parte della Direzione territoriale del lavoro, nel rispetto della disciplina in materia di controllo a distanza dei lavoratori, anche dopo le modifiche introdotte dal cosiddetto Jobs Act. I dati concernenti la  posizione geografica dei dispositivi radiomobili assegnati alle squadre a piedi, non verranno  memorizzati, diversamente da quelli  dei dispositivi installati sui mezzi di raccolta “porta a porta” che saranno invece registrati.Nell’esaminare il progetto, il Garante ha sottolineato che i dati delle coordinate geografiche, contrariamente a quanto sostenuto dalla società, non possono considerarsi anonimi, in quanto, sebbene il sistema di geolocalizzazione non li associ direttamente ai singoli operatori, l’incrocio con i dati del “sistema turni”, preordinati da uno specifico software, consente di risalire all’identità del dipendente a cui sia stato assegnato uno specifico dispositivo.Per evitare il controllo continuativo a distanza dei lavoratori l’Autorità ha dunque proposto una rilevazione cosiddetta  “ad eventi”, che dovrà avvenire nel momento in cui l’automezzo giunga in prossimità di un punto di raccolta già precedentemente georeferenziato.Il Garante ha ammesso il trattamento dei dati raccolti nei due distinti sistemi (geolocalizzazione e predisposizione dei turni) per l’ulteriore finalità di individuazione e gestione di eventuali anomalie nello svolgimento del servizio, in conformità alla vigente disciplina del lavoro sui controlli a distanza, purché nel rispetto delle previste garanzie a tutela e protezione dei dati degli interessati e con modalità proporzionate. In tal senso, il Garante  ha precisato che la consultazione di questi dati potrà esser effettuata  (a cura degli incaricati, dotati di credenziali di accesso personalizzate, e registrata in appositi file di log) solo in presenza della concreta ricorrenza di anomalie (es. gravi irregolarità nel servizio) che siano state predeterminate e rese note ai lavoratori insieme alle modalità  per l’eventuale trattamento dei dati.Tra le misure previste in generale dal Garante, la necessità di trattare solo i dati necessari, pertinenti e non eccedenti entro limiti temporali congrui rispetto alle finalità perseguite. Trascorso il termine di conservazione dei dati, questi potranno essere storicizzati solo in forma anonima. Il trattamento dei dati personali dovrà essere notificato all’Autorità e dovranno essere adottate idonee misure di sicurezza a protezione degli stessi.

Privacy Shield: a settembre la prima revisione dell’accordo Usa-UeLe raccomandazioni dei Garanti della Privacy Ue alla Commissione

Il Gruppo che riunisce le Autorità Garanti europee (WP 29) ha reso note le raccomandazioni indirizzate alla Commissione Ue in vista della prima revisione congiunta dell’Accordo “Privacy Shield” relativo al trasferimento dei dati dall’Unione agli Stati Uniti. L’Accordo sullo “scudo privacy”, adottato il 12 luglio 2016, si fonda su un sistema di autocertificazione in base al quale le organizzazioni statunitensi che intendono ricevere dati personali dall’Unione europea s’impegnano a rispettare un insieme di principi in materia di privacy fissati dal sistema medesimo. Lo “scudo” prevede un riesame periodico dell’accertamento di adeguatezza al fine di verificare che le constatazioni relative al livello di protezione assicurato dagli Stati Uniti nell’ambito dello Scudo continuino ad essere giustificate in fatto e in diritto.La prima revisione periodica dell’accordo del Privacy Shield è prevista per il prossimo settembre 2017 quando la Commissione europea incontrerà i rappresentanti delle organizzazioni statunitensi interessate, in primo luogo la Federal Trade Commission e il Dipartimento del Commercio e, per le questioni relative alla sicurezza nazionale, i rappresentanti dell’intelligence e il Mediatore (Ombudsperson) istituito dallo Scudo.Per garantire che le autorità statunitensi siano in grado di rispondere costruttivamente alle preoccupazioni riguardanti l’applicazione concreta dell’Accordo, il Gruppo dei Garanti Ue comunicherà alla Commissione le informazioni e i chiarimenti su cui, anche alla luce dei commenti e delle criticità già evidenziate nel parere del dell’aprile scorso,  concentrerà la sua attenzione. Per quanto riguarda la parte commerciale, alcune preoccupazioni erano state sollevate, ad esempio, sulle garanzie riguardo a decisioni automatizzate o in relazione all’assenza di indicazioni specifiche per l’applicazione dei principi del Privacy Shield da parte delle società che operano, quali responsabili del trattamento, per titolari stabiliti in Ue. Per quanto riguarda gli aspetti di law enforcement e sicurezza nazionale, il WP 29 chiederà garanzie in merito al rispetto dei principi di necessità e proporzionalità nella eventuale raccolta massiva di dati personali,  nonché sulle nomine dei quattro membri del Privacy and Civil Liberties Oversight Board (agenzia indipendente che si occupa della tutela della privacy e delle libertà fondamentali nell’ambito delle attività governativa statunitense per la lotta al terrorismo), sulla nomina del Mediatore e sulle procedure che ne disciplinano il funzionamento.