SlideShare ist ein Scribd-Unternehmen logo

Privacy e lavoro vademecum 2015 del Garante

Uneba
Uneba

Le regole per il corretto trattamento dei dati personali dei lavoratori

Recht
1 von 13
Downloaden Sie, um offline zu lesen
Privacy e lavoro Le regole per il corretto trattamento dei dati personali dei lavoratori da parte di soggetti pubblici e privati 1
Il datore di lavoro può trattare informazioni personali solo se strettamente indispensabili all’esecuzione del rapporto di lavoro. I dati possono essere trattati solo dal personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite. Sul luogo di lavoro va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità delle persone garantendo la sfera della riservatezza nelle relazioni personali e professionali. Le informazioni personali trattate possono riguardare, oltre all’attività lavorativa, la sfera personale e la vita privata dei lavoratori (ad esempio i dati sulla residenza e i recapiti telefonici) e dei terzi (ad esempio dati relativi al nucleo familiare per garantire determinate provvidenze). I trattamenti di dati personali devono rispettare il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzo di informazioni personali e identificative. Si deve inoltre rispettare il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori. I trattamenti devono essere effettuati per finalità determinate, esplicite e legittime in base ai principi di pertinenza e non eccedenza. Il trattamento di dati personali anche sensibili riferibili a singoli lavoratori è lecito, se finalizzato ad assolvere obblighi derivanti dalla legge, dal regolamento o dal contratto individuale (ad esempio, per verificare l'esatto adempimento della prestazione o commisurare l'importo della retribuzione). Principi generaliPrivacy e lavoro 2
Nelle aziende private e pubbliche il lavoratore può essere dotato di un cartellino di riconoscimento. Può essere eccessivo riportare per esteso tutti i dati anagrafici o le generalità complete del dipendente: a seconda dei casi può bastare un codice identificativo o il solo nome o solo il ruolo professionale Cartellini identificativi Comunicazioni In ambito di lavoro privato per comunicare informazioni sul lavoratore ad associazioni di datori di lavoro, ex dipendenti o conoscenti, familiari, parenti occorre il consenso dell’interessato. In ambito di lavoro pubblico è richiesta una norma di legge o di regolamento. Bacheche aziendali Nella bacheca aziendale possono essere affissi ordini di servizio, turni lavorativi o feriali. Non si possono invece affiggere documenti contenenti gli emolumenti percepiti, le sanzioni disciplinari, le motivazioni delle assenze (malattie, permessi ecc.), l’eventuale adesione a sindacati o altre associazioni Privacy e lavoro 3
Pubblicazioni di dati del lavoratore sui siti web e sulle reti interne In ambito di lavoro privato per pubblicare informazioni personali (foto, curricula) nella intranet aziendale e, a maggior ragione in internet, occorre il consenso dell’interessato. In ambito di lavoro pubblico, le P.A., possono mettere a disposizione sui propri siti web istituzionali atti e documenti amministrativi (in forma integrale o per estratto, ivi compresi gli allegati) contenenti dati personali, solo se la normativa di settore preveda espressamente tale obbligo. In tal caso il datore di lavoro pubblico deve selezionare i dati personali da inserire in tali atti e documenti, evitando di divulgare dati eccedenti o non pertinenti, verificando, caso per caso, se ricorrono determinate informazioni che vanno oscurate dagli atti e documenti destinati alla pubblicazione. I soggetti pubblici infatti sono tenuti a ridurre al minimo l'utilizzo di dati identificativi e di tutti gli altri dati personali e ad evitare il relativo trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l'interessato solo in caso di necessità. E’ vietata la pubblicazione di qualsiasi informazione da cui si possa desumere lo stato di malattia o l'esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici. In base alla normativa sulla trasparenza le P.A. devono pubblicare sui siti istituzionali curricula, emolumenti o incarichi di determinati soggetti (dirigenti, consulenti, titolari di incarichi di indirizzo politico, ecc.). Su questa complessa materia il Garante è intervenuto di recente con Linee guida ampie e dettagliate. Privacy e lavoro 4
I dati sanitari vanno conservati in fascicoli separati. Il lavoratore assente per malattia è tenuto a consegnare al proprio ufficio un certificato senza diagnosi ma con la sola indicazione dell’inizio e della durata presunta dell’infermità. Il datore di lavoro non può accedere alle cartelle sanitarie dei dipendenti sottoposti ad accertamenti dal medico del lavoro. Nel caso di denuncia di infortuni o malattie professionali all’Inail, il datore di lavoro deve limitarsi a comunicare solo le informazioni connesse alla patologia denunciata. E’ del tutto vietata la diffusione di "dati idonei a rivelare lo stato di salute" del lavoratore. Dati sanitari Privacy e lavoro 5
Dati biometrici Non è lecito l’uso generalizzato e incontrollato dei cosiddetti “dati biometrici” (quelli ricavati ad esempio dalle impronte digitali o dalla topografia della mano). Questi particolari trattamenti sono stati esaminati dal Garante in un apposito provvedimento generale (doc web n. 3556992 e doc web n. 3563006) in cui sono state previste anche alcune ipotesi di esonero dall’obbligo della verifica preliminare del Garante. Le impronte digitali o della topografia della mano, ad esempio, possono essere usate per presidiare gli accessi ad “aree sensibili” (processi produttivi pericolosi, locali destinati a custodia di beni di particolare valore e/o alla conservazione di documenti riservati) oppure per consentire l'utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati; l’impronta digitale o l'emissione vocale possono essere utilizzate per l’autenticazione informatica (accesso a banche dati o a pc aziendali); la firma grafometrica per la sottoscrizione di documenti informatici. Ciò nel rispetto, in particolare, di rigorose misure di sicurezza specificamente dettagliate nel provvedimento. In alcuni casi individuati dal Garante, nel rigoroso rispetto delle cautele individuate, il datore di lavoro non è tenuto a richiedere il consenso al personale per adottare tecnologie biometriche, ma deve comunque informare i dipendenti sui loro diritti, sugli scopi e le modalità del trattamento dei loro dati biometrici. Non è generalmente ammessa la costituzione di banche dati centralizzate ma è preferibile l’utilizzo di altre forme di memorizzazione dei dati, ad esempio in smart card ad uso esclusivo del dipendente. Nel caso in cui la tecnologia biometrica che si vorrebbe adottare non rientri tra i casi semplificati dal Garante, permane l’obbligo per il datore di lavoro di richiedere un’apposita verifica preliminare prima di iniziare il trattamento dei dati. Privacy e lavoro 6
Uso di internet/intranet e della posta elettronica aziendale Spetta al datore di lavoro adottare idonee misure di sicurezza per assicurare la disponibilità e l’integrità dei sistemi informativi e dei dati, anche per prevenire utilizzi indebiti. Il datore di lavoro ha l’onere di informare, chiaramente e in modo particolareggiato, i dipendenti su quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengono effettuati controlli anche in accordo con le organizzazioni sindacali, utilizzando ad esempio un disciplinare interno, chiaro e aggiornato affiancato da un’idonea informativa. I controlli I controlli da parte del datore di lavoro per motivi organizzativi o di sicurezza sono leciti solo se sono rispettati i principi di pertinenza e non eccedenza. I sistemi software devono essere programmati e configurati in modo da cancellare periodicamente ed automaticamente i dati personali relativi agli accessi ad internet e al traffico telematico, la cui conservazione non sia necessaria. I datori di lavoro privati e gli enti pubblici economici, possono trattare i dati personali del lavoratore, diversi da quelli sensibili, per il legittimo esercizio di un diritto in sede giudiziaria, a fronte della manifestazione di un libero consenso o per un legittimo interesse. Per quanto riguarda i datori di lavoro pubblici il trattamento dei dati del lavoratore è consentito soltanto per lo svolgimento delle funzioni istituzionali, in base al Codice privacy, alle leggi e ai regolamenti. Privacy e lavoro 7
Uso di internet/intranet e della posta elettronica aziendale Internet/Rete interna Va specificato con chiarezza se la navigazione in Internet o la gestione di file nella rete interna autorizzi o meno specifici comportamenti come il download di software o di file musicali o l’uso dei servizi di rete con finalità ludiche o estranee all’attività lavorativa. Occorre anche specificare quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica o la rete internet sono utilizzate indebitamente. Il datore di lavoro per ridurre il rischio di usi impropri di Internet può adottare opportune misure che possono prevenire controlli successivi sul lavoratore, che possono risultare leciti o meno a seconda dei casi e possono comportare il trattamento di dati sensibili, come le convinzioni religiose, filosofiche, politiche, lo stato di salute o la vita sessuale. Ad esempio si possono individuare i siti correlati o meno alla prestazione lavorativa o configurare sistemi o filtri che prevengano determinate operazioni. Privacy e lavoro 8
Posta elettronica aziendale I contenuti e le informazioni della posta elettronica sono tutelati costituzionalmente da garanzie di segretezza ma riguardano anche l’organizzazione del lavoro. In questo quadro è opportuno che il datore di lavoro renda disponibili indirizzi di posta elettronica condivisi tra più lavoratori (ad es. ufficioreclami@società.com) affiancandoli a quelli individuali (ad es. rossi@società.com) e valuti la possibilità di attribuire al lavoratore un diverso indirizzo destinato ad un uso privato. Il datore di lavoro può mettere a disposizione di ciascun lavoratore apposite funzionalità di sistema che consentano di inviare automaticamente, in caso di assenze programmate, messaggi di risposta che contengano le “coordinate” di un altro lavoratore. Si può altresì consentire al lavoratore di delegare un altro lavoratore (fiduciario) in caso di assenze prolungate, a leggere i messaggi di posta e ad inoltrare al titolare del trattamento quelli ritenuti rilevanti per l’attività lavorativa. Di tale attività dovrebbe essere redatto apposito verbale e informato il lavoratore interessato. In caso di assenze non programmate (ad es. per malattia), qualora il lavoratore non possa attivare la procedura descritta (anche avvalendosi di servizi webmail), il datore di lavoro può incaricare altro personale (ad esempio l’amministratore di sistema) di gestire la posta del lavoratore, avvertendo l’interessato e i destinatari. Privacy e lavoro 9
Non devono essere effettuati controlli a distanza al fine di verificare l'osservanza dei doveri di diligenza stabiliti per il rispetto dell'orario di lavoro e la correttezza nell'esecuzione della prestazione lavorativa (ad es. orientando la telecamera sul badge). Vanno poi osservate le garanzie previste in materia di lavoro quando la videosorveglianza o la geolocalizzazione sono rese necessarie da esigenze organizzative o produttive, o sono richieste per la sicurezza del lavoro. In tali casi, ai sensi dell'art. 4 della l. n. 300/1970, gli impianti e le apparecchiature, "dai quali può derivare anche la possibilità di controllo a distanza dell'attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l'Ispettorato del lavoro [oggi DTL Direzioni territoriali del lavoro], dettando, ove occorra, le modalità per l'uso di tali impianti”. E’ vietato ai datori di lavoro privati e pubblici di effettuare trattamenti di dati personali mediante sistemi hardware e software che mirano al controllo a distanza dei lavoratori. Tale divieto vale anche per l’uso di strumenti di controllo quali la videosorveglianza e la geolocalizzazione Controllo a distanza dei lavoratoriPrivacy e lavoro Videosorveglianza e geolocalizzazione 10
In taluni casi la localizzazione geografica può essere utile a rafforzare le condizioni di sicurezza dei dipendenti permettendo l'invio mirato di soccorsi in caso di difficoltà. Si possono ad esempio utilizzare i dati di localizzazione geografica, rilevati da una app attiva sugli smartphone in dotazione ai lavoratori, purché vengano adottate adeguate cautele a protezione della loro vita privata. [vedi doc. web n. 3505371 e 3474069]. Occorre infatti adottare misure volte a garantire che le informazioni visibili o utilizzabili dalla app siano solo quelle di geolocalizzazione, impedendo l'accesso ad altri dati, quali ad esempio, sms, posta elettronica, traffico telefonico. Il sistema deve essere configurato in modo tale che sullo schermo dello smartphone compaia sempre, ben visibile, un'icona che indichi ai dipendenti quando la funzione di localizzazione è attiva. I dipendenti dovranno essere ben informati sulle caratteristiche dell'applicazione (ad es., sui tempi e le modalità di attivazione) e sui trattamenti di dati effettuati dalle società. Sono inoltre necessarie cautele circa la rilevazione dei dati di geolocalizzazione che non deve essere continuativa e deve avvenire in modo che l’ultima rilevazione cancelli quella precedente. Prima di attivare il sistema le società devono notificare all’Autorità il trattamento di dati sulla localizzazione. Privacy e lavoro Videosorveglianza e geolocalizzazione (2) 11
Documenti di riferimento Linee guida per il trattamento di dati dei dipendenti privati – 23 novembre 2006 doc. web n. 1364099 Linee guida per il trattamento di dati dei dipendenti pubblici – 14 giugno 2007 doc. web n. 1417809 Linee guida del Garante per posta elettronica e internet – 10 marzo 2007 doc. web n. 1387522 Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati – 12 giugno 2014 doc. web n. 3134436 Provvedimento generale prescrittivo in tema di biometria – 12 novembre 2014 doc. web n. 3556992 All. A al Provvedimento 513 del 12 novembre 2014 - Linee-guida biometria doc. web n. 3563006 Provvedimento in materia di videosorveglianza – 8 aprile 2010 doc. web n. 1712680 Provvedimento Sistemi di localizzazione dei veicoli nell'ambito del rapporto di lavoro – 4 ottobre 2011 doc. web n. 1850581 Provvedimento Trattamento di dati personali dei dipendenti effettuato attraverso la localizzazione di dispositivi smartphone. Verifica preliminare richiesta da Wind Telecomunicazioni s.p.a. - 9 ottobre 2014 doc. web n. 3505371 Provvedimento Trattamento di dati personali dei dipendenti effettuato attraverso la localizzazione di dispositivi smartphone. Verifica preliminare richiesta da Ericsson Telecomunicazioni s.p.a. - 11 settembre 2014 doc. web n. 3474069 Privacy e lavoro 12
Documenti di riferimento 13 Per informazioni presso l’Autorità Ufficio relazioni con il pubblico Lunedì-Venerdì, ore 10-13 Piazza di Monte Citorio, 121 00186 Roma tel. 06 696772917 e-mail: urp@gpdp.it pec: urp@pec.gpdp.it A cura del Servizio relazioni con i mezzi di informazione Aprile 2015

Empfohlen

Privacy, Tutela dei Dati Personali e D.P.S.
Privacy, Tutela dei Dati Personali e D.P.S.Privacy, Tutela dei Dati Personali e D.P.S.
Privacy, Tutela dei Dati Personali e D.P.S.
Boris Amico
 
Privacy e lavoro
Privacy e lavoroPrivacy e lavoro
Privacy e lavoro
AmmLibera AL
 
LA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDALA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDA
Carlo Riganti
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2
Confimpresa
 
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Pedroletti Sharmayne
 
Introduzione alla privacy
Introduzione alla privacyIntroduzione alla privacy
Introduzione alla privacy
Council of Europe
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3
Confimpresa
 
Corso privacy unità 1
Corso privacy unità 1Corso privacy unità 1
Corso privacy unità 1
Confimpresa
 

Empfohlen

Privacy, Tutela dei Dati Personali e D.P.S.
Privacy, Tutela dei Dati Personali e D.P.S.Privacy, Tutela dei Dati Personali e D.P.S.
Privacy, Tutela dei Dati Personali e D.P.S.
Boris Amico
 
Privacy e lavoro
Privacy e lavoroPrivacy e lavoro
Privacy e lavoro
AmmLibera AL
 
LA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDALA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDA
Carlo Riganti
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2
Confimpresa
 
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Pedroletti Sharmayne
 
Introduzione alla privacy
Introduzione alla privacyIntroduzione alla privacy
Introduzione alla privacy
Council of Europe
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3
Confimpresa
 
Corso privacy unità 1
Corso privacy unità 1Corso privacy unità 1
Corso privacy unità 1
Confimpresa
 
Privacy Sanità
Privacy SanitàPrivacy Sanità
Privacy Sanità
Stefano Corsini
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Simone Chiarelli
 
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblico
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblicoLinee guida in materia di trattamento di dati nel rapporto di lavoro pubblico
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblico
Stefano Corsini
 
Gdpr marco longoni
Gdpr marco longoniGdpr marco longoni
Gdpr marco longoni
Ordine Ingegneri Lecco
 
GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018
Simone Chiarelli
 
Il trattamento dei dati personali in ambito sanitario: cosa cambia dopo l’ent...
Il trattamento dei dati personali in ambito sanitario: cosa cambia dopo l’ent...Il trattamento dei dati personali in ambito sanitario: cosa cambia dopo l’ent...
Il trattamento dei dati personali in ambito sanitario: cosa cambia dopo l’ent...
ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018
Simone Chiarelli
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Simone Chiarelli
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018
Simone Chiarelli
 
GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018
Simone Chiarelli
 
GDPR, informativa e appalti - 3 giugno 2018
GDPR, informativa e appalti - 3 giugno 2018GDPR, informativa e appalti - 3 giugno 2018
GDPR, informativa e appalti - 3 giugno 2018
Simone Chiarelli
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europea
Fabio Tonini
 
GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018
Simone Chiarelli
 
GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018
Simone Chiarelli
 
GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018
Simone Chiarelli
 
Codice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personaliCodice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personali
Vittorio Pasteris
 
GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018
Simone Chiarelli
 
Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2
SMAU
 
Lezione 07 2015-2016 Privacy-riservatezza-dati personali
Lezione 07 2015-2016 Privacy-riservatezza-dati personaliLezione 07 2015-2016 Privacy-riservatezza-dati personali
Lezione 07 2015-2016 Privacy-riservatezza-dati personali
Federico Costantini
 
Workshop Privacy Tecnocontrollo Clean
Workshop Privacy Tecnocontrollo CleanWorkshop Privacy Tecnocontrollo Clean
Workshop Privacy Tecnocontrollo Clean
kYuZz
 
Il Privacy Officer, professionista con competenze giuridiche o informatiche?
Il Privacy Officer, professionista con competenze giuridiche o informatiche?Il Privacy Officer, professionista con competenze giuridiche o informatiche?
Il Privacy Officer, professionista con competenze giuridiche o informatiche?
festival ICT 2016
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3
Confimpresa
 

Weitere ähnliche Inhalte

Was ist angesagt?

Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblico
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblicoLinee guida in materia di trattamento di dati nel rapporto di lavoro pubblico
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblico
Stefano Corsini
 

Was ist angesagt? (18)

Privacy Sanità
Privacy SanitàPrivacy Sanità
Privacy Sanità
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
 
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblico
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblicoLinee guida in materia di trattamento di dati nel rapporto di lavoro pubblico
Linee guida in materia di trattamento di dati nel rapporto di lavoro pubblico
 
Gdpr marco longoni
Gdpr marco longoniGdpr marco longoni
Gdpr marco longoni
 
GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018
 
Il trattamento dei dati personali in ambito sanitario: cosa cambia dopo l’ent...
Il trattamento dei dati personali in ambito sanitario: cosa cambia dopo l’ent...Il trattamento dei dati personali in ambito sanitario: cosa cambia dopo l’ent...
Il trattamento dei dati personali in ambito sanitario: cosa cambia dopo l’ent...
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018
 
GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018
 
GDPR, informativa e appalti - 3 giugno 2018
GDPR, informativa e appalti - 3 giugno 2018GDPR, informativa e appalti - 3 giugno 2018
GDPR, informativa e appalti - 3 giugno 2018
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europea
 
GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018
 
GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018
 
GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018
 
Codice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personaliCodice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personali
 
GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018
 
Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2
 

Andere mochten auch

Workshop Privacy Tecnocontrollo Clean
Workshop Privacy Tecnocontrollo CleanWorkshop Privacy Tecnocontrollo Clean
Workshop Privacy Tecnocontrollo Clean
kYuZz
 
Il Privacy Officer, professionista con competenze giuridiche o informatiche?
Il Privacy Officer, professionista con competenze giuridiche o informatiche?Il Privacy Officer, professionista con competenze giuridiche o informatiche?
Il Privacy Officer, professionista con competenze giuridiche o informatiche?
festival ICT 2016
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3
Confimpresa
 
Personalization and privacy
Personalization and privacyPersonalization and privacy
Personalization and privacy
Monica Menoncin
 
Corso privacy unità 4
Corso privacy unità 4Corso privacy unità 4
Corso privacy unità 4
Confimpresa
 
Email marketing & Privacy - Luca Bolognini
Email marketing & Privacy - Luca BologniniEmail marketing & Privacy - Luca Bolognini
Email marketing & Privacy - Luca Bolognini
Contactlab
 

Andere mochten auch (15)

Lezione 07 2015-2016 Privacy-riservatezza-dati personali
Lezione 07 2015-2016 Privacy-riservatezza-dati personaliLezione 07 2015-2016 Privacy-riservatezza-dati personali
Lezione 07 2015-2016 Privacy-riservatezza-dati personali
 
Workshop Privacy Tecnocontrollo Clean
Workshop Privacy Tecnocontrollo CleanWorkshop Privacy Tecnocontrollo Clean
Workshop Privacy Tecnocontrollo Clean
 
Il Privacy Officer, professionista con competenze giuridiche o informatiche?
Il Privacy Officer, professionista con competenze giuridiche o informatiche?Il Privacy Officer, professionista con competenze giuridiche o informatiche?
Il Privacy Officer, professionista con competenze giuridiche o informatiche?
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3
 
Trattamento dei dati personali in azienda. Quali semplificazioni? Avv. Corsini
Trattamento dei dati personali in azienda. Quali semplificazioni? Avv. CorsiniTrattamento dei dati personali in azienda. Quali semplificazioni? Avv. Corsini
Trattamento dei dati personali in azienda. Quali semplificazioni? Avv. Corsini
 
Google Glass & Privacy: quali i rischi futuri per i nostri dati personali?
Google Glass & Privacy: quali i rischi futuri per i nostri dati personali?�Google Glass & Privacy: quali i rischi futuri per i nostri dati personali?�
Google Glass & Privacy: quali i rischi futuri per i nostri dati personali?
 
Privacy & Facebook | BTO 2016 | Monica Gobbato
Privacy & Facebook | BTO 2016 | Monica GobbatoPrivacy & Facebook | BTO 2016 | Monica Gobbato
Privacy & Facebook | BTO 2016 | Monica Gobbato
 
Unolegal TOOL (Privacy Day 2016)
Unolegal TOOL (Privacy Day 2016)Unolegal TOOL (Privacy Day 2016)
Unolegal TOOL (Privacy Day 2016)
 
Privacy su Facebook: la pubblicazione di immagini e foto sulla facebook fanpage
Privacy su Facebook: la pubblicazione di immagini e foto sulla facebook fanpagePrivacy su Facebook: la pubblicazione di immagini e foto sulla facebook fanpage
Privacy su Facebook: la pubblicazione di immagini e foto sulla facebook fanpage
 
Personalization and privacy
Personalization and privacyPersonalization and privacy
Personalization and privacy
 
Vesuviocamp2010: La privacy (su Feisbuc) siamo noi by catepol
Vesuviocamp2010: La privacy (su Feisbuc) siamo noi by catepolVesuviocamp2010: La privacy (su Feisbuc) siamo noi by catepol
Vesuviocamp2010: La privacy (su Feisbuc) siamo noi by catepol
 
Corso privacy unità 4
Corso privacy unità 4Corso privacy unità 4
Corso privacy unità 4
 
Internet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustInternet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trust
 
Email marketing & Privacy - Luca Bolognini
Email marketing & Privacy - Luca BologniniEmail marketing & Privacy - Luca Bolognini
Email marketing & Privacy - Luca Bolognini
 
Web marketing e privacy
Web marketing e privacyWeb marketing e privacy
Web marketing e privacy
 

Ähnlich wie Privacy e lavoro vademecum 2015 del Garante

Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2
Confimpresa
 
Convegno controlli efficaci roma
Convegno controlli efficaci romaConvegno controlli efficaci roma
Convegno controlli efficaci roma
rosannasovani
 
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleGDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
Stiip Srl
 
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
ALESSIA PALLADINO
 

Ähnlich wie Privacy e lavoro vademecum 2015 del Garante (20)

Smartworking: controllo a distanza e privacy
Smartworking: controllo a distanza e privacySmartworking: controllo a distanza e privacy
Smartworking: controllo a distanza e privacy
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2
 
Semplificazioni privacy aziende 2011
Semplificazioni privacy aziende 2011Semplificazioni privacy aziende 2011
Semplificazioni privacy aziende 2011
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
 
Codice trattamento dei dati personali e rapporto di lavoro
Codice trattamento dei dati personali e rapporto di lavoroCodice trattamento dei dati personali e rapporto di lavoro
Codice trattamento dei dati personali e rapporto di lavoro
 
Controll iinformatici dipendenti17lug14
Controll iinformatici dipendenti17lug14Controll iinformatici dipendenti17lug14
Controll iinformatici dipendenti17lug14
 
Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | Sanità
Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | SanitàSmau Milano 2016 - Andrea Michinelli e Stefano Ricci | Sanità
Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | Sanità
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
 
Convegno controlli efficaci roma
Convegno controlli efficaci romaConvegno controlli efficaci roma
Convegno controlli efficaci roma
 
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
 
Obblighi di Comunicazione Spese Sanitarie e ricadute rispetto alla normativa ...
Obblighi di Comunicazione Spese Sanitarie e ricadute rispetto alla normativa ...Obblighi di Comunicazione Spese Sanitarie e ricadute rispetto alla normativa ...
Obblighi di Comunicazione Spese Sanitarie e ricadute rispetto alla normativa ...
 
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleGDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
 
Il gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacyIl gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacy
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR
 
Avvocato carozzi
Avvocato carozziAvvocato carozzi
Avvocato carozzi
 
Il titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamentoIl titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamento
 
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
 
Newsletter 05.2018
Newsletter 05.2018Newsletter 05.2018
Newsletter 05.2018
 

Mehr von Uneba

Mehr von Uneba (20)

Fondi strutturali Unione Europea 2021 2027, prospettive e opportunità
Fondi strutturali Unione Europea 2021 2027, prospettive e opportunitàFondi strutturali Unione Europea 2021 2027, prospettive e opportunità
Fondi strutturali Unione Europea 2021 2027, prospettive e opportunità
 
Il PNRR per gli enti Uneba - sociosanitario non profit
Il PNRR per gli enti Uneba - sociosanitario non profitIl PNRR per gli enti Uneba - sociosanitario non profit
Il PNRR per gli enti Uneba - sociosanitario non profit
 
Posti letto in Rsa, assistenza domiciliare e caregiver in Italia
Posti letto in Rsa, assistenza domiciliare e caregiver in ItaliaPosti letto in Rsa, assistenza domiciliare e caregiver in Italia
Posti letto in Rsa, assistenza domiciliare e caregiver in Italia
 
Fondazione Santa Tecla con Fondazione Amplifon
Fondazione Santa Tecla con Fondazione AmplifonFondazione Santa Tecla con Fondazione Amplifon
Fondazione Santa Tecla con Fondazione Amplifon
 
Resilienza personale, professionale sociale
Resilienza personale, professionale socialeResilienza personale, professionale sociale
Resilienza personale, professionale sociale
 
Armadio farmaci robotizzato per casa di riposo
Armadio farmaci robotizzato per casa di riposoArmadio farmaci robotizzato per casa di riposo
Armadio farmaci robotizzato per casa di riposo
 
Preparazione automatizzata farmaci in Rsa - Jvm in Fondazione Santa Tecla
Preparazione automatizzata farmaci in Rsa - Jvm in Fondazione Santa TeclaPreparazione automatizzata farmaci in Rsa - Jvm in Fondazione Santa Tecla
Preparazione automatizzata farmaci in Rsa - Jvm in Fondazione Santa Tecla
 
Registro Unico Nazionale del Terzo Settore, spiegato bene
Registro Unico Nazionale del Terzo Settore, spiegato beneRegistro Unico Nazionale del Terzo Settore, spiegato bene
Registro Unico Nazionale del Terzo Settore, spiegato bene
 
Registro Unico Nazionale del Terzo Settore: te lo spiega Uneba
Registro Unico Nazionale del Terzo Settore: te lo spiega UnebaRegistro Unico Nazionale del Terzo Settore: te lo spiega Uneba
Registro Unico Nazionale del Terzo Settore: te lo spiega Uneba
 
I rapporti degli Enti del Terzo Settore con le Pubbliche Amministrazioni
I rapporti degli Enti del Terzo Settore con le Pubbliche AmministrazioniI rapporti degli Enti del Terzo Settore con le Pubbliche Amministrazioni
I rapporti degli Enti del Terzo Settore con le Pubbliche Amministrazioni
 
La telepresenza Cisco per gli anziani di Fondazione Santa Tecla
La telepresenza Cisco per gli anziani di Fondazione Santa TeclaLa telepresenza Cisco per gli anziani di Fondazione Santa Tecla
La telepresenza Cisco per gli anziani di Fondazione Santa Tecla
 
Lombardia -. Il vaccino Covid 19 nelle Rsa per anziani
Lombardia -. Il vaccino Covid 19 nelle Rsa per anzianiLombardia -. Il vaccino Covid 19 nelle Rsa per anziani
Lombardia -. Il vaccino Covid 19 nelle Rsa per anziani
 
I rapporti degli Enti del Terzo Settore con le pubbliche amministrazioni3
I rapporti degli Enti del Terzo Settore con le pubbliche amministrazioni3I rapporti degli Enti del Terzo Settore con le pubbliche amministrazioni3
I rapporti degli Enti del Terzo Settore con le pubbliche amministrazioni3
 
Il lavoro nella Riforma del Terzo Settore - Alcuni spunti
Il lavoro nella Riforma del Terzo Settore - Alcuni spuntiIl lavoro nella Riforma del Terzo Settore - Alcuni spunti
Il lavoro nella Riforma del Terzo Settore - Alcuni spunti
 
Bilancio d'esercizio e bilancio sociale per enti del Terzo Settore ed imprese...
Bilancio d'esercizio e bilancio sociale per enti del Terzo Settore ed imprese...Bilancio d'esercizio e bilancio sociale per enti del Terzo Settore ed imprese...
Bilancio d'esercizio e bilancio sociale per enti del Terzo Settore ed imprese...
 
Decreto Sostegni - Cosa cambia nel mondo del lavoro
Decreto Sostegni - Cosa cambia nel mondo del lavoroDecreto Sostegni - Cosa cambia nel mondo del lavoro
Decreto Sostegni - Cosa cambia nel mondo del lavoro
 
8 criticità per la Long Term Care in Italia
8 criticità per la Long Term Care in Italia8 criticità per la Long Term Care in Italia
8 criticità per la Long Term Care in Italia
 
L'impatto del Covid sulla long term care e i servizi sociosanitari
L'impatto del Covid sulla long term care e i servizi sociosanitariL'impatto del Covid sulla long term care e i servizi sociosanitari
L'impatto del Covid sulla long term care e i servizi sociosanitari
 
Assistenza domiciliare in Lombardia
Assistenza domiciliare in LombardiaAssistenza domiciliare in Lombardia
Assistenza domiciliare in Lombardia
 
Nipoti di Babbo Natale
Nipoti di Babbo NataleNipoti di Babbo Natale
Nipoti di Babbo Natale
 

Privacy e lavoro vademecum 2015 del Garante

  • 1. Privacy e lavoro Le regole per il corretto trattamento dei dati personali dei lavoratori da parte di soggetti pubblici e privati 1
  • 2. Il datore di lavoro può trattare informazioni personali solo se strettamente indispensabili all’esecuzione del rapporto di lavoro. I dati possono essere trattati solo dal personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite. Sul luogo di lavoro va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità delle persone garantendo la sfera della riservatezza nelle relazioni personali e professionali. Le informazioni personali trattate possono riguardare, oltre all’attività lavorativa, la sfera personale e la vita privata dei lavoratori (ad esempio i dati sulla residenza e i recapiti telefonici) e dei terzi (ad esempio dati relativi al nucleo familiare per garantire determinate provvidenze). I trattamenti di dati personali devono rispettare il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzo di informazioni personali e identificative. Si deve inoltre rispettare il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori. I trattamenti devono essere effettuati per finalità determinate, esplicite e legittime in base ai principi di pertinenza e non eccedenza. Il trattamento di dati personali anche sensibili riferibili a singoli lavoratori è lecito, se finalizzato ad assolvere obblighi derivanti dalla legge, dal regolamento o dal contratto individuale (ad esempio, per verificare l'esatto adempimento della prestazione o commisurare l'importo della retribuzione). Principi generaliPrivacy e lavoro 2
  • 3. Nelle aziende private e pubbliche il lavoratore può essere dotato di un cartellino di riconoscimento. Può essere eccessivo riportare per esteso tutti i dati anagrafici o le generalità complete del dipendente: a seconda dei casi può bastare un codice identificativo o il solo nome o solo il ruolo professionale Cartellini identificativi Comunicazioni In ambito di lavoro privato per comunicare informazioni sul lavoratore ad associazioni di datori di lavoro, ex dipendenti o conoscenti, familiari, parenti occorre il consenso dell’interessato. In ambito di lavoro pubblico è richiesta una norma di legge o di regolamento. Bacheche aziendali Nella bacheca aziendale possono essere affissi ordini di servizio, turni lavorativi o feriali. Non si possono invece affiggere documenti contenenti gli emolumenti percepiti, le sanzioni disciplinari, le motivazioni delle assenze (malattie, permessi ecc.), l’eventuale adesione a sindacati o altre associazioni Privacy e lavoro 3
  • 4. Pubblicazioni di dati del lavoratore sui siti web e sulle reti interne In ambito di lavoro privato per pubblicare informazioni personali (foto, curricula) nella intranet aziendale e, a maggior ragione in internet, occorre il consenso dell’interessato. In ambito di lavoro pubblico, le P.A., possono mettere a disposizione sui propri siti web istituzionali atti e documenti amministrativi (in forma integrale o per estratto, ivi compresi gli allegati) contenenti dati personali, solo se la normativa di settore preveda espressamente tale obbligo. In tal caso il datore di lavoro pubblico deve selezionare i dati personali da inserire in tali atti e documenti, evitando di divulgare dati eccedenti o non pertinenti, verificando, caso per caso, se ricorrono determinate informazioni che vanno oscurate dagli atti e documenti destinati alla pubblicazione. I soggetti pubblici infatti sono tenuti a ridurre al minimo l'utilizzo di dati identificativi e di tutti gli altri dati personali e ad evitare il relativo trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l'interessato solo in caso di necessità. E’ vietata la pubblicazione di qualsiasi informazione da cui si possa desumere lo stato di malattia o l'esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici. In base alla normativa sulla trasparenza le P.A. devono pubblicare sui siti istituzionali curricula, emolumenti o incarichi di determinati soggetti (dirigenti, consulenti, titolari di incarichi di indirizzo politico, ecc.). Su questa complessa materia il Garante è intervenuto di recente con Linee guida ampie e dettagliate. Privacy e lavoro 4
  • 5. I dati sanitari vanno conservati in fascicoli separati. Il lavoratore assente per malattia è tenuto a consegnare al proprio ufficio un certificato senza diagnosi ma con la sola indicazione dell’inizio e della durata presunta dell’infermità. Il datore di lavoro non può accedere alle cartelle sanitarie dei dipendenti sottoposti ad accertamenti dal medico del lavoro. Nel caso di denuncia di infortuni o malattie professionali all’Inail, il datore di lavoro deve limitarsi a comunicare solo le informazioni connesse alla patologia denunciata. E’ del tutto vietata la diffusione di "dati idonei a rivelare lo stato di salute" del lavoratore. Dati sanitari Privacy e lavoro 5
  • 6. Dati biometrici Non è lecito l’uso generalizzato e incontrollato dei cosiddetti “dati biometrici” (quelli ricavati ad esempio dalle impronte digitali o dalla topografia della mano). Questi particolari trattamenti sono stati esaminati dal Garante in un apposito provvedimento generale (doc web n. 3556992 e doc web n. 3563006) in cui sono state previste anche alcune ipotesi di esonero dall’obbligo della verifica preliminare del Garante. Le impronte digitali o della topografia della mano, ad esempio, possono essere usate per presidiare gli accessi ad “aree sensibili” (processi produttivi pericolosi, locali destinati a custodia di beni di particolare valore e/o alla conservazione di documenti riservati) oppure per consentire l'utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati; l’impronta digitale o l'emissione vocale possono essere utilizzate per l’autenticazione informatica (accesso a banche dati o a pc aziendali); la firma grafometrica per la sottoscrizione di documenti informatici. Ciò nel rispetto, in particolare, di rigorose misure di sicurezza specificamente dettagliate nel provvedimento. In alcuni casi individuati dal Garante, nel rigoroso rispetto delle cautele individuate, il datore di lavoro non è tenuto a richiedere il consenso al personale per adottare tecnologie biometriche, ma deve comunque informare i dipendenti sui loro diritti, sugli scopi e le modalità del trattamento dei loro dati biometrici. Non è generalmente ammessa la costituzione di banche dati centralizzate ma è preferibile l’utilizzo di altre forme di memorizzazione dei dati, ad esempio in smart card ad uso esclusivo del dipendente. Nel caso in cui la tecnologia biometrica che si vorrebbe adottare non rientri tra i casi semplificati dal Garante, permane l’obbligo per il datore di lavoro di richiedere un’apposita verifica preliminare prima di iniziare il trattamento dei dati. Privacy e lavoro 6
  • 7. Uso di internet/intranet e della posta elettronica aziendale Spetta al datore di lavoro adottare idonee misure di sicurezza per assicurare la disponibilità e l’integrità dei sistemi informativi e dei dati, anche per prevenire utilizzi indebiti. Il datore di lavoro ha l’onere di informare, chiaramente e in modo particolareggiato, i dipendenti su quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengono effettuati controlli anche in accordo con le organizzazioni sindacali, utilizzando ad esempio un disciplinare interno, chiaro e aggiornato affiancato da un’idonea informativa. I controlli I controlli da parte del datore di lavoro per motivi organizzativi o di sicurezza sono leciti solo se sono rispettati i principi di pertinenza e non eccedenza. I sistemi software devono essere programmati e configurati in modo da cancellare periodicamente ed automaticamente i dati personali relativi agli accessi ad internet e al traffico telematico, la cui conservazione non sia necessaria. I datori di lavoro privati e gli enti pubblici economici, possono trattare i dati personali del lavoratore, diversi da quelli sensibili, per il legittimo esercizio di un diritto in sede giudiziaria, a fronte della manifestazione di un libero consenso o per un legittimo interesse. Per quanto riguarda i datori di lavoro pubblici il trattamento dei dati del lavoratore è consentito soltanto per lo svolgimento delle funzioni istituzionali, in base al Codice privacy, alle leggi e ai regolamenti. Privacy e lavoro 7
  • 8. Uso di internet/intranet e della posta elettronica aziendale Internet/Rete interna Va specificato con chiarezza se la navigazione in Internet o la gestione di file nella rete interna autorizzi o meno specifici comportamenti come il download di software o di file musicali o l’uso dei servizi di rete con finalità ludiche o estranee all’attività lavorativa. Occorre anche specificare quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica o la rete internet sono utilizzate indebitamente. Il datore di lavoro per ridurre il rischio di usi impropri di Internet può adottare opportune misure che possono prevenire controlli successivi sul lavoratore, che possono risultare leciti o meno a seconda dei casi e possono comportare il trattamento di dati sensibili, come le convinzioni religiose, filosofiche, politiche, lo stato di salute o la vita sessuale. Ad esempio si possono individuare i siti correlati o meno alla prestazione lavorativa o configurare sistemi o filtri che prevengano determinate operazioni. Privacy e lavoro 8
  • 9. Posta elettronica aziendale I contenuti e le informazioni della posta elettronica sono tutelati costituzionalmente da garanzie di segretezza ma riguardano anche l’organizzazione del lavoro. In questo quadro è opportuno che il datore di lavoro renda disponibili indirizzi di posta elettronica condivisi tra più lavoratori (ad es. ufficioreclami@società.com) affiancandoli a quelli individuali (ad es. rossi@società.com) e valuti la possibilità di attribuire al lavoratore un diverso indirizzo destinato ad un uso privato. Il datore di lavoro può mettere a disposizione di ciascun lavoratore apposite funzionalità di sistema che consentano di inviare automaticamente, in caso di assenze programmate, messaggi di risposta che contengano le “coordinate” di un altro lavoratore. Si può altresì consentire al lavoratore di delegare un altro lavoratore (fiduciario) in caso di assenze prolungate, a leggere i messaggi di posta e ad inoltrare al titolare del trattamento quelli ritenuti rilevanti per l’attività lavorativa. Di tale attività dovrebbe essere redatto apposito verbale e informato il lavoratore interessato. In caso di assenze non programmate (ad es. per malattia), qualora il lavoratore non possa attivare la procedura descritta (anche avvalendosi di servizi webmail), il datore di lavoro può incaricare altro personale (ad esempio l’amministratore di sistema) di gestire la posta del lavoratore, avvertendo l’interessato e i destinatari. Privacy e lavoro 9
  • 10. Non devono essere effettuati controlli a distanza al fine di verificare l'osservanza dei doveri di diligenza stabiliti per il rispetto dell'orario di lavoro e la correttezza nell'esecuzione della prestazione lavorativa (ad es. orientando la telecamera sul badge). Vanno poi osservate le garanzie previste in materia di lavoro quando la videosorveglianza o la geolocalizzazione sono rese necessarie da esigenze organizzative o produttive, o sono richieste per la sicurezza del lavoro. In tali casi, ai sensi dell'art. 4 della l. n. 300/1970, gli impianti e le apparecchiature, "dai quali può derivare anche la possibilità di controllo a distanza dell'attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l'Ispettorato del lavoro [oggi DTL Direzioni territoriali del lavoro], dettando, ove occorra, le modalità per l'uso di tali impianti”. E’ vietato ai datori di lavoro privati e pubblici di effettuare trattamenti di dati personali mediante sistemi hardware e software che mirano al controllo a distanza dei lavoratori. Tale divieto vale anche per l’uso di strumenti di controllo quali la videosorveglianza e la geolocalizzazione Controllo a distanza dei lavoratoriPrivacy e lavoro Videosorveglianza e geolocalizzazione 10
  • 11. In taluni casi la localizzazione geografica può essere utile a rafforzare le condizioni di sicurezza dei dipendenti permettendo l'invio mirato di soccorsi in caso di difficoltà. Si possono ad esempio utilizzare i dati di localizzazione geografica, rilevati da una app attiva sugli smartphone in dotazione ai lavoratori, purché vengano adottate adeguate cautele a protezione della loro vita privata. [vedi doc. web n. 3505371 e 3474069]. Occorre infatti adottare misure volte a garantire che le informazioni visibili o utilizzabili dalla app siano solo quelle di geolocalizzazione, impedendo l'accesso ad altri dati, quali ad esempio, sms, posta elettronica, traffico telefonico. Il sistema deve essere configurato in modo tale che sullo schermo dello smartphone compaia sempre, ben visibile, un'icona che indichi ai dipendenti quando la funzione di localizzazione è attiva. I dipendenti dovranno essere ben informati sulle caratteristiche dell'applicazione (ad es., sui tempi e le modalità di attivazione) e sui trattamenti di dati effettuati dalle società. Sono inoltre necessarie cautele circa la rilevazione dei dati di geolocalizzazione che non deve essere continuativa e deve avvenire in modo che l’ultima rilevazione cancelli quella precedente. Prima di attivare il sistema le società devono notificare all’Autorità il trattamento di dati sulla localizzazione. Privacy e lavoro Videosorveglianza e geolocalizzazione (2) 11
  • 12. Documenti di riferimento Linee guida per il trattamento di dati dei dipendenti privati – 23 novembre 2006 doc. web n. 1364099 Linee guida per il trattamento di dati dei dipendenti pubblici – 14 giugno 2007 doc. web n. 1417809 Linee guida del Garante per posta elettronica e internet – 10 marzo 2007 doc. web n. 1387522 Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati – 12 giugno 2014 doc. web n. 3134436 Provvedimento generale prescrittivo in tema di biometria – 12 novembre 2014 doc. web n. 3556992 All. A al Provvedimento 513 del 12 novembre 2014 - Linee-guida biometria doc. web n. 3563006 Provvedimento in materia di videosorveglianza – 8 aprile 2010 doc. web n. 1712680 Provvedimento Sistemi di localizzazione dei veicoli nell'ambito del rapporto di lavoro – 4 ottobre 2011 doc. web n. 1850581 Provvedimento Trattamento di dati personali dei dipendenti effettuato attraverso la localizzazione di dispositivi smartphone. Verifica preliminare richiesta da Wind Telecomunicazioni s.p.a. - 9 ottobre 2014 doc. web n. 3505371 Provvedimento Trattamento di dati personali dei dipendenti effettuato attraverso la localizzazione di dispositivi smartphone. Verifica preliminare richiesta da Ericsson Telecomunicazioni s.p.a. - 11 settembre 2014 doc. web n. 3474069 Privacy e lavoro 12
  • 13. Documenti di riferimento 13 Per informazioni presso l’Autorità Ufficio relazioni con il pubblico Lunedì-Venerdì, ore 10-13 Piazza di Monte Citorio, 121 00186 Roma tel. 06 696772917 e-mail: urp@gpdp.it pec: urp@pec.gpdp.it A cura del Servizio relazioni con i mezzi di informazione Aprile 2015