Newsletter datum
Transcript
Newsletter datum
datum Newsletter dell’Incaricato federale della protezioine dei dati e della trasparenza Sommario Agosto 2016 Editoriale..................................................................1 Tema: dossier personale..........................................2 Tema: sorveglianza sul lavoro..................................3 Dalla stampa: OGD e LTras.......................................5 A proposito: IPv6......................................................6 In breve: Pokémon Go.............................................6 Consigli: installazione d’una camera.......................7 Agenda.....................................................................7 Editoriale Care lettrici, cari lettori, Un giorno ha solo 24 ore, che raramente bastano per farci star dentro tutti i nostri impegni: così, dopo aver trascorso la mattina a colloquio con un cliente, capita che si debba sfruttare la pausa pranzo per farsi dare una spuntatina ai capelli, prima di precipitarsi alla riunione delle due con i colleghi. – «Che ne dici di vederci per un aperitivo?», mi chiede un amico, mentre il parrucchiere si sta dedicando alla mia chioma. «Ma volentieri, che bella idea!», gli messaggio io di rimando, aggiungendo così automaticamente un nuovo appuntamento nella mia agenda elettronica. A ricordarmi di un altro impegno c’è sempre, per fortuna, il mio fidato smartphone, che mi invia un messaggio di avviso mezz’ora prima dell’incontro. È proprio vero che di questi pratici strumenti non è ormai più possibile fare senza, neanche sul lavoro. Il rischio di mescolare vita privata e attività professionale tuttavia esiste, e in questi casi è la nostra sfera privata a farne maggiormente le spese. Può poi succedere che dopo l’aperitivo si decida di proseguire la serata finendo a tirar tardi in un qualche party ben annaffiato. In questo caso sarebbe però meglio evitare di postare sui social network i selfie che ci siamo scattati per ricordo. – «Cosa penserà di me il mio capo, al quale non ho avuto il coraggio di rifiutare la sua recente richiesta d’amicizia…?». Sì, perché una volta che una foto è online la può vedere chiunque! Immagini compromettenti possono estrometterci anzitempo dalla corsa per un lavoro e nei casi più gravi c’è addirittura il rischio di perdere il posto. Non sarebbe interessante sapere tutto quel che conserva sul mio conto il mio datore di lavoro nel suo archivio personale? La crescente digitalizzazione del lavoro e del tempo libero comporta insomma, sul piano della protezione dei dati, insidie di varia natura. La presente newsletter tratta l’argomento nei suoi risvolti professionali, proponendosi di fornire ai datori di lavoro e ai lavoratori utili indicazioni riguardo ai diritti e ai doveri in materia di protezione dei dati. Silvia Böhlen Responsabile della redazione 1 Tema Dossier personale: Che cosa è autorizzato a sapere il datore di lavoro? La digitalizzazione semplifica la raccolta di dati anche per i servizi del personale, sia nell’ambito della selezione dei candidati sia durante il rapporto di lavoro. Un datore di lavoro può trattare dati personali riguardanti il lavoratore soltanto in quanto siano necessari all’esecuzione di una determinata attività. Non gli si può tuttavia rimproverare di aver trovato in Internet dati concernenti un candidato o un collaboratore. I collaboratori possono in ogni momento chiedere informazioni sui dati contenuti nel loro dossier e far correggere o cancellare le indicazioni errate. Il Codice delle obbligazioni sancisce che prima e dopo la stipulazione del contratto “un datore di lavoro può trattare dati concernenti il lavoratore soltanto in quanto si riferiscano all’idoneità lavorativa o siano necessari all’esecuzione del contratto di lavoro”. È alquanto improbabile che informazioni facilmente reperibili in Internet passino inosservate a un datore di lavoro. Se i contenuti compromettenti comparsi sui social network portano a essere esclusi da una procedura di selezione o addirittura al licenziamento, è il lavoratore stesso a pagarne le conseguenze. Resta invece da sperare che l’interessato abbia la possibilità di prendere personalmente posizione riguardo ai contenuti controversi e che il datore di lavoro dia maggior peso al colloquio personale che alle informazioni provenienti da Internet. Sempre più spesso alle persone che si candidano per un posto di lavoro viene chiesto un estratto del loro casellario giudiziale, misura discutibile sotto diversi punti di vista e in diversi casi del tutto sproporzionata. Si può chiedere un estratto del casellario giudiziale soltanto se una funzione lo esige necessariamente, fatto valutabile soltanto in ogni singolo caso. Se i dati del casellario giudiziale non sono rilevanti per il rapporto di lavoro, è inammissibile esigerne sistematicamente un estratto. Ciò è inoltre contrario al principio di reinserimento sociale alla base del sistema penale svizzero. Un estratto del casellario giudiziale costituisce una mera istantanea e non garantisce in alcun modo che una determinata persona non si sia mai resa colpevole di qualcosa. Diventa perciò assai più importante conoscere personalmente i candidati durante il colloquio di presentazione. datum - Agosto 2016 Una particolare prudenza è inoltre d’obbligo nella gestione di dati relativi alla salute poiché sono da considerarsi “dati personali degni di particolare protezione”. Ad esempio, un datore di lavoro non è autorizzato a chiedere informazioni sullo stato di salute. Se un lavoratore è tenuto a compilare un questionario sul suo stato di salute, i dati raccolti possono essere analizzati esclusivamente da un medico di fiducia, che a sua volta non può fornire a terzi alcuna informazione sulla diagnosi del paziente. Il medico di fiducia può unicamente comunicare al datore di lavoro che lo stato di salute di un paziente gli consente o meno di esercitare una determinata attività. Dal punto di vista della protezione dei dati diventano un tema delicato anche i programmi per la promozione della salute a livello aziendale qualora, mediante tali programmi, il datore di lavoro venga a conoscenza di informazioni riguardanti lo stato di salute dei suoi collaboratori. Pericoli della digitalizzazione I programmi di gestione del personale assicurano spesso l’amministrazione dei dati concernenti i collaboratori. Esistono programmi che vengono altresì utilizzati come piattaforma di comunicazione e possono migliorare lo scambio tra imprese e collaboratori, esercitando effetti positivi sul loro grado di soddisfazione e di impegno. Alcuni programmi particolarmente interessanti per le grandi aziende operano alla stregua dei social network e permettono agli impiegati di amministrare personalmente i loro profili, alimentandoli anche con informazioni personali e private. Nel caso di simili programmi gli algoritmi non solo riconoscono 2 modelli ed esprimono raccomandazioni specifiche sulla base di esperienze precedenti, ma possono anche servire ai responsabili delle risorse umane a trovare internamente le persone giuste per determinati progetti. Il vantaggio di questi programmi sta nel fatto che per la valutazione viene considerata e ponderata senza pregiudizi la totalità delle informazioni a disposizione. Dal punto di vista della protezione dei dati questo può diventare un problema nel caso in cui mediante gli algoritmi viene analizzato il comportamento dei collaboratori o se vengono elaborati dei profili personali. Poiché la raccolta indiscriminata di dati ha fatto il proprio ingresso anche nel settore della gestione del personale è importante che sia i datori di lavoro sia i lavoratori conoscano i loro diritti e doveri in materia di protezione dei dati. Un datore di lavoro può trattare dati concernenti i suoi impiegati soltanto se sono necessari per adempiere al contratto di lavoro. Se vengono raccolti determinati dati per organizzare giornate di attività nel quadro della promozione della salute a livello aziendale, tali dati vanno successivamente cancellati. Senza il consenso delle persone interessate, i dati non possono essere né trasmessi né utilizzati per scopi commerciali o altro. Il lavoratore può chiedere in ogni momento al proprio datore di lavoro informazioni sui dati raccolti che lo riguardano, durante e dopo la fine del contratto di lavoro; all’occorrenza egli può far valere il suo diritto di opposizione. Di regola una richiesta di informazioni è presentata per scritto e non deve essere motivata. Informazioni complementari: Dal 22o Rapporto d‘attività (2014/2015) del IFPDT: - Questionario sullo stato di salute nelle procedure di candidatura - Richiesta di referenze nel processo di candidatura Newsletter 2012: Ricerche dei datori di lavoro nelle reti sociali Lettere tipo per richieste d›accesso, di cancellazione e di correzione Fonti: Firmen sind zu neugierig. Beobachter, 8.7.2016 „Computer kennen keinen Nasenfaktor“. Frankfurter Allgemeine, 9.4.2016 Die Mär des Strafregisterauszugs. Neue Zürcher Zeitung, 5.4.2016 Einsicht in die Personalakte. Zürcher KMU, 1.4.2016 Sorveglianza sul lavoro: Esiste una sfera privata anche sul posto di lavoro I nuovi modelli di orario lavorativo rendono possibile una work-life-balance su misura. Pur conferendo ai loro collaboratori maggiore libertà nell’impostazione del loro orario di lavoro, i superiori possono comunque, grazie ai flussi di dati digitali, farsi un’idea precisa sui tempi di lavoro, sul rendimento e sui canali di attività dei loro subalterni: la digitalizzazione crea nuove possibilità di controllo delle prestazioni fornite e di sorveglianza. artigianato al volante di un’auto di servizio munita di tachigrafo o di sistema di localizzazione satellitare (GPS), possono emergere divergenze tra l’azienda e i dipendenti qualora quest’ultimi si sentano limitati nella loro sfera privata. Se un dipendente può usare l’auto di servizio anche a titolo privato, il tachigrafo deve poter essere disattivato al termine dell’attività lavorativa. Raccomandiamo ai dipendenti che si sentono sotto pressione da misure di sorveglianza sul posto di lavoro, di chiedere un colloquio personale con il loro superiore oppure, se questo non dà alcun risultato, di rivolgersi all’ispettorato cantonale del lavoro. Mentre lavorano, i dipendenti lasciano sempre più tracce digitali non solo quando sono al pc e sono collegati al server o quando navigano su Internet ma anche lavorando alla cassa di un negozio sorvegliata da una videocamera o come autista di una ditta di I controlli riguardanti il rendimento e il comportamento sul posto di lavoro possono essere svolti soltanto se il personale ne è stato chiaramente informato. Il datore di lavoro deve anche interrogarsi datum - Agosto 2016 3 in merito alle misure tecniche e organizzative che si possono adottare per evitare abusi. Dovrebbe inoltre chiarire ai suoi dipendenti entro quali limiti è consentito l’uso privato di Internet e della posta elettronica. Spesso la navigazione privata su Internet è tollerata per quanto non ostacoli l’adempimento degli obblighi lavorativi contrattuali. A seconda del ramo di attività, la posta elettronica e la navigazione private possono essere rigorosamente vietate. L’attuazione e il controllo di un divieto totale richiedono comunque un grande dispendio. Ai fini di un’informazione dettagliata e trasparente raccomandiamo l’elaborazione di un regolamento d’uso. Più chiaro sarà tale regolamento, maggiori saranno le informazioni che il personale potrà trarne su ciò che è permesso e ciò che è vietato. In tal modo si possono evitare conflitti inutili. La sorveglianza online è consentita moderatamente Sempre che un regolamento non disponga altrimenti, durante il tempo di lavoro è permesso un uso privato misurato di Internet. Le possibilità di controllo da parte del datore di lavoro sono limitate. L’impiego di software di sorveglianza specifici (ad es. keylogger) o di scansione dei contenuti (content scanner) è delicato dal profilo della protezione dei dati poiché potrebbe comportare una sorveglianza del com- portamento. Il divieto di quest’ultima non è però assoluto. Una valutazione personale è lecita (ovvero proporzionale e appropriata) nel caso in cui sia constatato un abuso o vi sia un sospetto motivato al riguardo. Una sorveglianza sistematica sarebbe tuttavia pensabile unicamente all’interno di ditte con requisiti di sicurezza più elevati, ad esempio nei settori bancario e militare, e dovrebbe comunque essere valutata nel singolo caso. Il Tribunale federale ha dichiarato illecita una disdetta con effetto immediato poiché l’impresa che l’aveva presentata aveva installato di nascosto un software sul pc di un suo collaboratore per poter dimostrare che egli navigava troppo su Internet a scopo privato. Di principio è permessa soltanto una sorveglianza anonimizzata dopo che gli impiegati sono stati informati chiaramente al riguardo, rispettivamente mediante un regolamento o un’istruzione. Al fine di contenere quanto meglio la tentazione di navigare eccessivamente a scopo privato e il relativo pericolo di attacchi da parte di virus, troiani o altri vermi informatici, raccomandiamo misure preventive quali il blocco di determinate pagine Internet, l’utilizzazione di un software antivirus efficace e un aggiornamento regolare del browser. Parimenti, occorrerebbe provvedere a una sensibilizzazione degli impiegati al consumo misurato di Internet. Informazioni complementari: Guida al trattamento dei dati personali nell’ambito del lavoro Guida alla sorveglianza dell’utilizzazione di Internet e della posta elettronica sul posto di lavoro Informazioni sulla videosorveglianza sul posto di lavoro Informazioni sulla sorveglianza telefonica sul posto di lavoro 22o Rapporto d‘attività (2014/2015) del IFPDT: Videosorveglianza in ristoranti e take away Comunicato sulla sentenza del Tribunale federale del 17 gennaio 2013 concernente il licenziamento immediato ingiustificato dopo la sorveglianza del computer (in tedesco) Fonti: Vernetzte Arbeitswelt – Chancen und Risiken. Die Zeit, 15.5.2016 Vorsicht, der Chef surft mit. Süddeutsche Zeitung, 9.4.2016 Wer zu viele private Mails verschickt, fliegt raus. Frankfurter Allgemeine, 15.1.2016 Comment UBS flique ses employés. Le Matin, 4.7.2015 Protectas ist zu neugierig. Beobachter, 26.6.2015 Mobiles Arbeiten, aber sicher. Zürcher KMU, 25.6.2015 Darf die Firma meinen Computer ausspionieren?, 20 Minuten, 24.6.2015 Wie Firmen das Internetverhalten ihrer Mitarbeiter im Büro regulieren. Handelszeitung, 18.6.2015 Werden wir bald ständig bei der Arbeit überwacht? 20 Minuten, 20.2.2015 datum - Agosto 2016 4 Dalla stampa OGD e LTras – due strumenti per la trasparenza in Svizzera Open Government Data (OGD) significa libero accesso ai dati delle autorità in modo da permetterne un uso favorevole alla ricerca e allo sviluppo scientifico, alla crescita economica e alla trasparenza in politica. Mentre l’OGD costituisce uno strumento di comunicazione attiva i cui contenuti sono definiti dalle autorità, la legge sulla trasparenza (LTras) disciplina l’accesso su richiesta ai documenti ufficiali dell’Amministrazione federale. Gli effetti collaterali positivi sono una migliore qualità dei dati grazie ai riscontri degli utenti e una maggiore efficienza delle autorità, le quali possono utilizzare più facilmente i dati a titolo interdisciplinare. L’IFPDT accoglie favorevolmente la Strategia OGD del Consiglio federale e considera la piattaforma opendata.swiss gestita dall’Archivio federale quale ulteriore passo in direzione degli obiettivi di trasparenza della Confederazione. La piattaforma online creata nel febbraio 2016 nel frattempo include oltre 1000 collezioni di dati di uffici federali, Cantoni, Città e altre organizzazioni. Dieci anni di legge sulla trasparenza Anche la legge sulla trasparenza, in vigore dal 1° luglio 2006, promuove la trasparenza nell’Amministrazione federale. Mentre l’OGD si prefigge, in quanto strumento attivo, il libero accesso a collezioni di dati grezzi di autorità, la LTras disciplina l’accesso ai documenti ufficiali esistenti unicamente dietro richiesta. Essa va concepita quale strumento passivo di informazione nell’ambito del quale il richiedente può decidere autonomamente il contenuto e il volume dei dati cui intende accedere. La LTras apre le porte a un’informazione completa delle autorità a chi vuole prenderne visione. «La pubblicazione e la messa a disposizione di siffatti dati comportano un grande potenziale, che finora è stato sfruttato soltanto parzialmente in Svizzera», ha scritto il Consiglio federale nella sua Strategia sul libero accesso ai dati pubblici in Svizzera 2014–2018. In tal senso esso intende rendere liberamente accessibile e riutilizzabile un numero ingente di dati di autorità. Le collezioni di dati dell’ente pubblico possono essere utili allo sviluppo di nuovi servizi d’informazione e di nuove conoscenze scientifiche. La Strategia OGD promuove inoltre in generale la trasparenza e la competenza degli attori politici nella loro attività sociale, cosa che contribuisce ad aumentare il consenso e la fiducia della popolazione. datum - Agosto 2016 Negli ultimi tempi sono giunti a conoscenza casi in cui l’accesso a documenti ufficiali sarebbe ostacolato dall’importo eccessivo degli emolumenti. In determinati casi straordinari come la tutela della sicurezza interna i limiti alla trasparenza possono essere giustificati. Essi non devono tuttavia pregiudicare il principio fondamentale di trasparenza. Una recente iniziativa parlamentare esige un’ampia esenzione dagli emolumenti. In occasione del decimo anniversario della legge sulla trasparenza nell’Amministrazione, venerdì 2 settembre 2016 si terranno a Berna un convegno pubblico e una tavola rotonda in occasione dei quali vari relatori si esprimeranno sul tema «Quanto trasparente è la nostra Amministrazione federale dopo dieci anni di esistenza della legge sulla trasparenza?» Informazioni e iscrizione sul nostro sito web. 5 Informazioni complementari: informazioni supplementari concernenti la LTras sul nostro sito www.lincaricato.ch / Principio di trasparenza strategia 2014–2018 sul libero accesso ai dati pubblici in Svizzera del Consiglio federale disponibile sul sito dell’amministrazione federale Fonti: Piquée au vif, Armasuisse jette 30’000 francs par la fenêtre. Le Matin Dimanche, 14.8.2016 Plädoyer für Transparenz in der Verwaltung. NZZ, 28.6.2016 Beim Nachrichtendienst gilt Transparenz mit Grenzen. NZZ, 19.5.2016 Der Bund will eine „Open-Data-Kultur“ fördern. NZZ,17.5.2016 Le prix elevé de la transparence. Le Temps, 11.5.2016 Kostenlose Transparenz. Sonntagszeitung, 8.5.2016 Transparenz nur gegen Bares. Sonntagszeitung, 13.3.2016 A proposito Aspetti della protezione dei dati nel protocollo Internet IPv6 Internet è diventato oggi la tecnologia più importante per la trasmissione di ogni tipo di comunicazione. Poiché gli indirizzi IP del protocollo Internet versione 4 (IPv4) si esauriranno nel prossimo futuro, è stato sviluppato un nuovo protocollo (IPv6). L’IPv6 offre rispetto all’IPv4 una serie di vantaggi pratici, comportando però anche alcuni rischi per la protezione dei dati e della sfera privata. Tali rischi possono essere minimizzati prendendo le giuste misure tecniche e organizzative. Per saperne di più leggete le spiegazioni sul nostro sito Internet In breve A caccia dei piccoli mostri con lo smartphone Pokémon Go è il nome della app che ammalia mezzo mondo e dà qualche grattacapo ai preposti alla protezione dei dati. Telefonino in mano, i giocatori camminano per le strade a caccia degli agognati mostri che attendono di essere catturati. Divertimento a parte, questo gioco ha tuttavia un prezzo: gli utilizzatori consentono all’applicazione di accedere ai dati relativi alla loro ubicazione e quindi possono essere localizzati in tempo reale. Per la funzione di realtà aumentata l’applicazione si serve anche della videocamera. Dalle lunghe istruzioni per l’uso si evince solo datum - Agosto 2016 in parte che cosa il fornitore intende fare con questi dati e a chi esattamente li trasmette, una questione che riguarda anche numerose altre applicazioni e servizi online. Raccomandiamo pertanto agli utenti di verificare attentamente quali autorizzazioni richiede un’applicazione e di valutarne l’effettiva necessità. Molte applicazioni, infatti, registrano più dati di quanti sarebbero necessari a fornire il servizio. Se si vuole impedirlo occorre adeguare le impostazioni standard o rinunciare al servizio. 6 Consigli Istallazione di una videocamera in una casa plurifamiliare Per istallare un impianto di videosorveglianza in una proprietà privata non è necessaria alcuna autorizzazione ma occorre osservare determinate regole. Chi entra nel campo di ripresa di una videocamera dev’esserne informato, ad esempio mediante un cartello. Se questo non risulta già chiaro dalla situazione, sul cartello dovrebbe figurare dove gli interessati possono ottenere informazioni sui dati rilevati. La videocamera dovrebbe inoltre limitare il campo di ripresa allo stretto necessario; le immagini riprese non dovrebbero essere conservate più a lungo del dovuto e andrebbero adeguatamente protette da accessi non autorizzati. Nella scheda informativa “Videosorveglianza da parte di persone private” si descrivono nel dettaglio i requisiti da considerare per la gestione di una videosorveglianza conforme alla protezione dei dati. In una casa plurifamiliare un singolo residente non può istallare di sua propria iniziativa una videocamera nelle aree comuni: una decisione del genere va presa d’intesa con tutti i comproprietari della casa; un consenso della maggioranza non è sufficiente. Se non sussiste un interesse preponderante in favore di tale decisione, ogni singolo deve essere d’accordo. Nella sua sentenza del 29 marzo 2016 (DTF 4A_576/2015) il Tribunale federale ha stabilito che l’interesse generale di un proprietario di un immobile o di più inquilini non giustifica ipso facto l’esercizio di un impianto di videosorveglianza all’interno di una casa plurifamiliare. Analogamente, la protezione della sfera privata (art. 13 Cost.) non è anteposta alla garanzia costituzionale della proprietà (art. 26 Cost.) o alla tutela dell’integrità fisica (art. 10 cpv. 2 Cost.), tanto che una videosorveglianza in aree comuni può essere lecita senza l’accordo di tutti gli interessati. Diventa perciò irrinunciabile una ponderazione concreta degli interessi che tenga conto di tutte le circostanze del singolo caso. Mentre una videosorveglianza posta all’entrata di un caseggiato anonimo nel quale esiste il rischio di aggressione può essere assolutamente opportuna e ragionevole per tutti gli interessati, la videosorveglianza in una piccola casa plurifamiliare, dove i vicini si conoscono, non dovrebbe rientrare nella regola . Una sorveglianza permanente dell’ingresso di una casa plurifamiliare, che permetta un rilevamento sistematico del comportamento di inquilini e visitatori, rappresenta in ogni caso una grave ingerenza nella sfera privata. Per questo motivo l’istallazione di un impianto di videosorveglianza deve essere sempre giustificato e proporzionato. Informazioni complementari: Promemoria „Videosorveglianza da parte di persone private“ sul nostro sito Informazioni dettagliati sulla videosorveglianza in altri ambiti sul nostro sito Sentenza del Tribunale federale del 29.5.2016 (BGE 142 III 263) Fonte: Dürfen wir eine Videokamera installieren? Neue Luzerner Zeitung, 25.5.2016 Agenda 10 anni della legge sulla trasparenza - Giornata svizzera del principio della trasparenza Venerdì 2 settembre 2016, Aula Progr, Waisenhausplatz 30, Berna «Quanto trasparente è la nostra Amministrazione federale?» datum - Agosto 2016 7 datum è una pubblicazione dell‘Incaricato federale della protezione dei dati e della trasparenza. Gli articoli di datum possono essere copiati e riutilizzati. Impressum Agosto 2016 Traduzioni: Cancelleria federale svizzera, Servizi linguistici centrali Questa newsletter è disponibile anche in tedesco e francese. L’IFPDT in Internet: www.lincaricato.ch datum - Agosto 2016 8