il datore di lavoro non può spiare le conversazioni dei dipendenti

NEWSLETTER N. 406 del 28 settembre 2015
• Money transfer, record di sanzioni privacy • Skype, il datore di lavoro non può spiare le conversazioni dei dipendenti • Trasporto locale: biglietto via sms, più tutele per gli utenti Money transfer, record di sanzioni privacy
Bilancio dell'attività ispettiva del primo semestre 2015. Per il secondo
semestre previsti controlli su banche, Caf, software house, carte di fedeltà
153 ispezioni, 1.730 mila euro di sanzioni già riscossi dall'erario, 20
segnalazioni all'autorità giudiziaria, avviati procedimenti sanzionatori
relativamente a circa 1.500 violazioni. Questo in sintesi il bilancio
dell'attività ispettiva del Garante privacy nei primi sei mesi del 2015.
Gli accertamenti, svolti anche con il contributo delle Unità Speciali della
Guardia di finanza ­ Nucleo speciale privacy, hanno riguardato il
marketing telefonico svolto dai call center operanti all'estero; il mobile
payment; la geolocalizzazione dei dipendenti; gli istituti bancari; le reti tlc e
Internet; il trasferimento di dati verso Paesi extra Ue; le strutture
alberghiere; le aziende sanitarie (in particolare per quanto riguarda la
sanità elettronica); le centrali rischi. Il quadro che ne emerge mostra diffuse
illiceità nel trattamento dei dati delle persone; una ancora insufficiente
informazione agli utenti sull'uso dei dati personali da parte di Pa e aziende
(110 violazioni riscontrate); violazioni relative a banche dati, pubbliche e
private; mancata adozione delle misure di sicurezza; tempi eccessivi di
conservazione dei dati di traffico telefonico e telematico.
Numerosi anche i procedimenti sanzionatori per omessa notificazione al
Garante con riferimento a trattamenti di particolare delicatezza e le
sanzioni per non aver risposto alle richieste di informazione e
documentazione del Garante. In questo semestre un particolare rilievo
hanno avuto le 1.172 sanzioni contestate dalla Guardia di finanza
nell'ambito di una complessa indagine antiriciclaggio che ha visto coinvolte
alcune società operanti nel settore del trasferimento di denaro (money transfer). Dagli accertamenti è emerso che tali società avevano utilizzato
illecitamente i dati di centinaia di persone o clienti ignari per frazionare
fittiziamente il trasferimento all'estero di ingenti somme di denaro ed eludere così i limiti che impongono agli operatori la segnalazione di
transazioni al di sopra di certe soglie.
Per quanto riguarda, invece, le violazioni penali, le segnalazioni inviate
alla magistratura hanno riguardato soprattutto casi di mancata adozione
delle misure minime di sicurezza e violazioni dello Statuto dei lavoratori.
Nel mese di luglio il Garante ha varato il piano ispettivo per il secondo
semestre 2015 che prevede non solo la prosecuzione dei controlli già
avviati, ma anche l'individuazione di nuovi ambiti di intervento. Le verifiche del Garante si accentreranno sui trattamenti di dati svolti in relazione alla
fidelizzazione della clientela (carte fedeltà, pay back); sull'attività dei Caf
legata alla trasmissione on line del 730 precompilato; sul marketing
telefonico; sulla implementazione delle misure per la tracciabilità delle
operazioni bancarie. Particolare attenzione, dopo il caso Hacking Team,
verrà posta ai trattamenti di dati effettuati da software house che forniscono
servizi di supporto all'attività della polizia giudiziaria e alla magistratura.
L'attività ispettiva riguarderà, inoltre, come di passi, le istruttorie riguardanti
le segnalazioni, i reclami e i ricorsi dei cittadini; la verifica dell'obbligo di
notificazione; il rispetto delle norme sull'informativa e il consenso;
l'adozione delle misure di sicurezza a protezione dei dati sensibili trattati
da soggetti pubblici e privati e verrà svolta anche in collaborazione con il
Nucleo speciale privacy della Guardia di finanza.
Skype: il datore di lavoro non può spiare le conversazioni dei dipendenti
Il datore di lavoro non può spiare le conversazioni Skype dei dipendenti. Il
contenuto di comunicazioni di tipo elettronico o telematico scambiate dai
dipendenti nell'ambito del rapporto di lavoro godono di garanzie di
segretezza tutelate anche a livello costituzionale.
Il principio è stato riaffermato dal Garante privacy nell'accogliere il ricorso
proposto da una dipendente che lamentava l'illecita acquisizione di
conversazioni, avute con alcuni clienti/fornitori, poste poi alla base del suo
licenziamento.
A seguito del provvedimento del Garante il datore di lavoro non potrà
effettuare alcun trattamento dei dati personali contenuti nelle conversazioni
ottenute in modo illecito, limitandosi alla conservazione di quelli finora
raccolti ai fini di una eventuale acquisizione da parte dell'autorità
giudiziaria.
Nel caso esaminato, rileva il Garante, il datore di lavoro è incorso in una
grave interferenza nelle comunicazioni, attuata, per sua stessa
ammissione, attraverso l'installazione di un software sul computer
assegnato alla dipendente in grado di visualizzare sia le conversazioni
effettuate dalla ricorrente dalla propria postazione di lavoro prima di uscire
dall'azienda, sia quelle avvenute successivamente da un computer
collocato presso la propria abitazione. Una procedura, secondo il Garante,
in evidente contrasto con le "Linee guida del Garante per posta elettronica
e Internet" e con le disposizioni poste dall'ordinamento a tutela della
segretezza delle comunicazioni, nonché con la stessa policy aziendale
approvata anche dalla competente Direzione territoriale del lavoro. Pur
spettando, infatti, al datore di lavoro definire le modalità di utilizzo degli
strumenti aziendali, occorre comunque che queste rispettino la libertà e la
dignità dei lavoratori, nonché i principi di correttezza (secondo cui le
caratteristiche essenziali dei trattamenti di dati devono essere rese note ai
lavoratori), di pertinenza e non eccedenza stabiliti dal Codice privacy.
Principi questi da tenere ben presenti, in considerazione del fatto che
l'esercizio del controllo da parte del datore di lavoro può determinare la
raccolta di informazioni personali, anche non pertinenti, di natura sensibile
oppure riferite a terzi. Trasporto locale: biglietto via sms, più tutele per gli utenti
In consultazione pubblica il provvedimento del Garante
Maggiori tutele e più sicurezza per chi acquista via sms il biglietto
dell'autobus o paga il parcheggio, usa i servizi di carsharing o bikesharing,
accede ai varchi delle zone a traffico limitato attraverso il ricorso al credito
telefonico o ad altri strumenti di pagamento (es. carta di credito). Regole
chiare per gli operatori telefonici, i fornitori di servizi per la mobilità e il
trasporto (ad es. aziende di trasporto locale) e per gli "aggregatori" che
forniscono la piattaforma tecnologica per la distribuzione e il pagamento
dei ticket digitali anche per più aziende. Con un provvedimento a carattere
generale il Garante privacy ha definito un quadro di misure dirette a tutti i
soggetti coinvolti nel processo del mobile ticketing via sms, anche
attraverso app dedicate, per garantire il corretto utilizzo delle informazioni
personali degli utenti che si avvalgono di questi servizi.
Gli operatori e le società che offrono servizi per la mobilità e il trasporto
dovranno informare chiaramente gli utenti specificando quali dati personali
utilizzano e per quali scopi. L'informativa dovrà essere consultabile in
forma sintetica sullo smartphone dell'utente. Una versione integrale dovrà
essere pubblicata sul sito di chi offre i servizi e affissa sui mezzi di
trasporto, alle fermate o nelle biglietterie.
Per poter utilizzare i dati personali a fini di marketing, profilazione o
comunicazione a terzi sarà necessario il consenso dell'utente.
Gli accessi ai diversi data base in cui sono conservati i dati degli utenti
dovranno essere tracciati tramite appositi file di log, che contengano
almeno l'indicazione dell'incaricato che ha effettuato l'accesso, la data e
l'ora dell'operazione. Nel caso dell'aggregatore, la piattaforma dovrà
mantenere logicamente separate le porzioni di database dedicate a
ciascuna azienda di trasporto.
I dati trattati nell'ambito del mobile ticketing via sms dovranno essere
conservati per un limitato periodo di tempo, proporzionato alle finalità
connesse al trattamento, che non può superare i sei mesi. I dati possono
essere conservati, se necessario, per periodi più ampi previsti da
specifiche disposizioni normative e per il perseguimento di altre finalità (ad
es. gestione del contenzioso, motivi di giustizia)
Il provvedimento generale del Garante, prima della sua adozione definitiva,
sarà sottoposto a consultazione pubblica. Entro 120 giorni dalla
pubblicazione dell'avviso di consultazione in Gazzetta ufficiale, i soggetti
coinvolti nelle operazioni di mobile ticketing potranno far pervenire le loro
osservazioni all'Autorità, per posta o via mail all'indirizzo [email protected].
L'ATTIVITÁ DEL GARANTE ­ PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati
dall'Autorità
Basta dati di disabili on line sui siti di Regioni e Province. Rischio
sanzioni per i responsabili. Antonello Soro scrive a Sergio
Chiamparino perché valuti iniziative ­ Comunicato del 25 settembre
2015
Privacy dei bambini: pesanti violazioni da siti e app ­ Comunicato del
7 settembre 2015
NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre
2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 ­
00186 Roma.
Tel: 06.69677.2752 ­ Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it