Newsletter datum

datum
Newsletter dell’Incaricato federale della protezioine dei dati e della trasparenza
Sommario
Agosto 2016
Editoriale..................................................................1
Tema: dossier personale..........................................2
Tema: sorveglianza sul lavoro..................................3
Dalla stampa: OGD e LTras.......................................5
A proposito: IPv6......................................................6
In breve: Pokémon Go.............................................6
Consigli: installazione d’una camera.......................7
Agenda.....................................................................7
Editoriale
Care lettrici, cari lettori,
Un giorno ha solo 24 ore, che raramente bastano per farci star dentro tutti i nostri impegni: così, dopo aver
trascorso la mattina a colloquio con un cliente, capita che si debba sfruttare la pausa pranzo per farsi dare
una spuntatina ai capelli, prima di precipitarsi alla riunione delle due con i colleghi. – «Che ne dici di vederci
per un aperitivo?», mi chiede un amico, mentre il parrucchiere si sta dedicando alla mia chioma. «Ma volentieri, che bella idea!», gli messaggio io di rimando, aggiungendo così automaticamente un nuovo appuntamento nella mia agenda elettronica. A ricordarmi di un altro impegno c’è sempre, per fortuna, il mio fidato
smartphone, che mi invia un messaggio di avviso mezz’ora prima dell’incontro. È proprio vero che di questi
pratici strumenti non è ormai più possibile fare senza, neanche sul lavoro. Il rischio di mescolare vita privata e
attività professionale tuttavia esiste, e in questi casi è la nostra sfera privata a farne maggiormente le spese.
Può poi succedere che dopo l’aperitivo si decida di proseguire la serata finendo a tirar tardi in un qualche
party ben annaffiato. In questo caso sarebbe però meglio evitare di postare sui social network i selfie che ci
siamo scattati per ricordo. – «Cosa penserà di me il mio capo, al quale non ho avuto il coraggio di rifiutare
la sua recente richiesta d’amicizia…?». Sì, perché una volta che una foto è online la può vedere chiunque!
Immagini compromettenti possono estrometterci anzitempo dalla corsa per un lavoro e nei casi più gravi
c’è addirittura il rischio di perdere il posto. Non sarebbe interessante sapere tutto quel che conserva sul mio
conto il mio datore di lavoro nel suo archivio personale?
La crescente digitalizzazione del lavoro e del tempo libero comporta insomma, sul piano della protezione dei
dati, insidie di varia natura. La presente newsletter tratta l’argomento nei suoi risvolti professionali, proponendosi di fornire ai datori di lavoro e ai lavoratori utili indicazioni riguardo ai diritti e ai doveri in materia di
protezione dei dati.
Silvia Böhlen
Responsabile della redazione
1
Tema
Dossier personale: Che cosa è autorizzato a sapere il datore di lavoro?
La digitalizzazione semplifica la raccolta
di dati anche per i servizi del personale,
sia nell’ambito della selezione dei candidati sia durante il rapporto di lavoro. Un
datore di lavoro può trattare dati personali riguardanti il lavoratore soltanto in
quanto siano necessari all’esecuzione di
una determinata attività. Non gli si può
tuttavia rimproverare di aver trovato in Internet dati concernenti un candidato o un
collaboratore. I collaboratori possono in
ogni momento chiedere informazioni sui
dati contenuti nel loro dossier e far correggere o cancellare le indicazioni errate.
Il Codice delle obbligazioni sancisce che prima e
dopo la stipulazione del contratto “un datore di
lavoro può trattare dati concernenti il lavoratore
soltanto in quanto si riferiscano all’idoneità lavorativa o siano necessari all’esecuzione del contratto
di lavoro”. È alquanto improbabile che informazioni
facilmente reperibili in Internet passino inosservate a un datore di lavoro. Se i contenuti compromettenti comparsi sui social network portano a
essere esclusi da una procedura di selezione o addirittura al licenziamento, è il lavoratore stesso a
pagarne le conseguenze. Resta invece da sperare
che l’interessato abbia la possibilità di prendere
personalmente posizione riguardo ai contenuti
controversi e che il datore di lavoro dia maggior
peso al colloquio personale che alle informazioni
provenienti da Internet.
Sempre più spesso alle persone che si candidano
per un posto di lavoro viene chiesto un estratto
del loro casellario giudiziale, misura discutibile
sotto diversi punti di vista e in diversi casi del tutto
sproporzionata. Si può chiedere un estratto del
casellario giudiziale soltanto se una funzione lo
esige necessariamente, fatto valutabile soltanto in
ogni singolo caso. Se i dati del casellario giudiziale
non sono rilevanti per il rapporto di lavoro, è inammissibile esigerne sistematicamente un estratto.
Ciò è inoltre contrario al principio di reinserimento
sociale alla base del sistema penale svizzero. Un
estratto del casellario giudiziale costituisce una
mera istantanea e non garantisce in alcun modo
che una determinata persona non si sia mai resa
colpevole di qualcosa. Diventa perciò assai più
importante conoscere personalmente i candidati
durante il colloquio di presentazione.
datum - Agosto 2016 Una particolare prudenza è inoltre d’obbligo nella
gestione di dati relativi alla salute poiché sono da
considerarsi “dati personali degni di particolare
protezione”. Ad esempio, un datore di lavoro non
è autorizzato a chiedere informazioni sullo stato
di salute. Se un lavoratore è tenuto a compilare un
questionario sul suo stato di salute, i dati raccolti
possono essere analizzati esclusivamente da un
medico di fiducia, che a sua volta non può fornire
a terzi alcuna informazione sulla diagnosi del paziente. Il medico di fiducia può unicamente comunicare al datore di lavoro che lo stato di salute di
un paziente gli consente o meno di esercitare una
determinata attività. Dal punto di vista della protezione dei dati diventano un tema delicato anche i
programmi per la promozione della salute a livello
aziendale qualora, mediante tali programmi, il datore di lavoro venga a conoscenza di informazioni
riguardanti lo stato di salute dei suoi collaboratori.
Pericoli della digitalizzazione
I programmi di gestione del personale assicurano
spesso l’amministrazione dei dati concernenti i
collaboratori. Esistono programmi che vengono
altresì utilizzati come piattaforma di comunicazione e possono migliorare lo scambio tra imprese
e collaboratori, esercitando effetti positivi sul loro
grado di soddisfazione e di impegno. Alcuni programmi particolarmente interessanti per le grandi
aziende operano alla stregua dei social network e
permettono agli impiegati di amministrare personalmente i loro profili, alimentandoli anche con
informazioni personali e private. Nel caso di simili
programmi gli algoritmi non solo riconoscono
2
modelli ed esprimono raccomandazioni specifiche
sulla base di esperienze precedenti, ma possono
anche servire ai responsabili delle risorse umane a
trovare internamente le persone giuste per determinati progetti. Il vantaggio di questi programmi
sta nel fatto che per la valutazione viene considerata e ponderata senza pregiudizi la totalità delle
informazioni a disposizione. Dal punto di vista della
protezione dei dati questo può diventare un problema nel caso in cui mediante gli algoritmi viene
analizzato il comportamento dei collaboratori o se
vengono elaborati dei profili personali.
Poiché la raccolta indiscriminata di dati ha fatto
il proprio ingresso anche nel settore della gestione del personale è importante che sia i datori
di lavoro sia i lavoratori conoscano i loro diritti
e doveri in materia di protezione dei dati. Un
datore di lavoro può trattare dati concernenti
i suoi impiegati soltanto se sono necessari per
adempiere al contratto di lavoro. Se vengono
raccolti determinati dati per organizzare giornate
di attività nel quadro della promozione della salute
a livello aziendale, tali dati vanno successivamente
cancellati. Senza il consenso delle persone interessate, i dati non possono essere né trasmessi
né utilizzati per scopi commerciali o altro. Il lavoratore può chiedere in ogni momento al proprio
datore di lavoro informazioni sui dati raccolti che
lo riguardano, durante e dopo la fine del contratto
di lavoro; all’occorrenza egli può far valere il suo
diritto di opposizione. Di regola una richiesta di
informazioni è presentata per scritto e non deve
essere motivata.
Informazioni complementari:
ƒƒ Dal 22o Rapporto d‘attività (2014/2015) del IFPDT:
- Questionario sullo stato di salute nelle procedure di candidatura
- Richiesta di referenze nel processo di candidatura
ƒƒ Newsletter 2012: Ricerche dei datori di lavoro nelle reti sociali
ƒƒ Lettere tipo per richieste d›accesso, di cancellazione e di correzione
Fonti:
ƒƒ Firmen sind zu neugierig. Beobachter, 8.7.2016
ƒƒ „Computer kennen keinen Nasenfaktor“. Frankfurter Allgemeine, 9.4.2016
ƒƒ Die Mär des Strafregisterauszugs. Neue Zürcher Zeitung, 5.4.2016
ƒƒ Einsicht in die Personalakte. Zürcher KMU, 1.4.2016
Sorveglianza sul lavoro: Esiste una sfera privata anche sul posto di lavoro
I nuovi modelli di orario lavorativo rendono possibile una work-life-balance su
misura. Pur conferendo ai loro collaboratori maggiore libertà nell’impostazione
del loro orario di lavoro, i superiori possono comunque, grazie ai flussi di dati
digitali, farsi un’idea precisa sui tempi di
lavoro, sul rendimento e sui canali di attività dei loro subalterni: la digitalizzazione
crea nuove possibilità di controllo delle
prestazioni fornite e di sorveglianza.
artigianato al volante di un’auto di servizio munita di
tachigrafo o di sistema di localizzazione satellitare
(GPS), possono emergere divergenze tra l’azienda e
i dipendenti qualora quest’ultimi si sentano limitati
nella loro sfera privata. Se un dipendente può usare
l’auto di servizio anche a titolo privato, il tachigrafo
deve poter essere disattivato al termine dell’attività
lavorativa. Raccomandiamo ai dipendenti che si
sentono sotto pressione da misure di sorveglianza
sul posto di lavoro, di chiedere un colloquio personale con il loro superiore oppure, se questo non dà
alcun risultato, di rivolgersi all’ispettorato cantonale
del lavoro.
Mentre lavorano, i dipendenti lasciano sempre più
tracce digitali non solo quando sono al pc e sono
collegati al server o quando navigano su Internet ma
anche lavorando alla cassa di un negozio sorvegliata
da una videocamera o come autista di una ditta di
I controlli riguardanti il rendimento e il comportamento sul posto di lavoro possono essere svolti
soltanto se il personale ne è stato chiaramente
informato. Il datore di lavoro deve anche interrogarsi
datum - Agosto 2016 3
in merito alle misure tecniche e organizzative che si
possono adottare per evitare abusi. Dovrebbe inoltre
chiarire ai suoi dipendenti entro quali limiti è consentito l’uso privato di Internet e della posta elettronica.
Spesso la navigazione privata su Internet è tollerata
per quanto non ostacoli l’adempimento degli obblighi lavorativi contrattuali. A seconda del ramo di
attività, la posta elettronica e la navigazione private
possono essere rigorosamente vietate. L’attuazione
e il controllo di un divieto totale richiedono comunque un grande dispendio. Ai fini di un’informazione
dettagliata e trasparente raccomandiamo l’elaborazione di un regolamento d’uso. Più chiaro sarà tale
regolamento, maggiori saranno le informazioni che il
personale potrà trarne su ciò che è permesso e ciò
che è vietato. In tal modo si possono evitare conflitti
inutili.
La sorveglianza online è consentita moderatamente
Sempre che un regolamento non disponga altrimenti,
durante il tempo di lavoro è permesso un uso privato
misurato di Internet. Le possibilità di controllo da
parte del datore di lavoro sono limitate. L’impiego di
software di sorveglianza specifici (ad es. keylogger)
o di scansione dei contenuti (content scanner) è
delicato dal profilo della protezione dei dati poiché
potrebbe comportare una sorveglianza del com-
portamento. Il divieto di quest’ultima non è però
assoluto. Una valutazione personale è lecita (ovvero
proporzionale e appropriata) nel caso in cui sia
constatato un abuso o vi sia un sospetto motivato
al riguardo. Una sorveglianza sistematica sarebbe
tuttavia pensabile unicamente all’interno di ditte
con requisiti di sicurezza più elevati, ad esempio nei
settori bancario e militare, e dovrebbe comunque
essere valutata nel singolo caso.
Il Tribunale federale ha dichiarato illecita una disdetta
con effetto immediato poiché l’impresa che l’aveva
presentata aveva installato di nascosto un software
sul pc di un suo collaboratore per poter dimostrare
che egli navigava troppo su Internet a scopo privato.
Di principio è permessa soltanto una sorveglianza
anonimizzata dopo che gli impiegati sono stati
informati chiaramente al riguardo, rispettivamente
mediante un regolamento o un’istruzione.
Al fine di contenere quanto meglio la tentazione di
navigare eccessivamente a scopo privato e il relativo
pericolo di attacchi da parte di virus, troiani o altri
vermi informatici, raccomandiamo misure preventive quali il blocco di determinate pagine Internet,
l’utilizzazione di un software antivirus efficace e un
aggiornamento regolare del browser. Parimenti, occorrerebbe provvedere a una sensibilizzazione degli
impiegati al consumo misurato di Internet.
Informazioni complementari:
ƒƒ Guida al trattamento dei dati personali nell’ambito del lavoro
ƒƒ Guida alla sorveglianza dell’utilizzazione di Internet e della posta elettronica sul posto di lavoro
ƒƒ Informazioni sulla videosorveglianza sul posto di lavoro
ƒƒ Informazioni sulla sorveglianza telefonica sul posto di lavoro
ƒƒ 22o Rapporto d‘attività (2014/2015) del IFPDT: Videosorveglianza in ristoranti e take away
ƒƒ Comunicato sulla sentenza del Tribunale federale del 17 gennaio 2013 concernente il licenziamento
immediato ingiustificato dopo la sorveglianza del computer (in tedesco)
Fonti:
ƒƒ Vernetzte Arbeitswelt – Chancen und Risiken. Die Zeit, 15.5.2016
ƒƒ Vorsicht, der Chef surft mit. Süddeutsche Zeitung, 9.4.2016
ƒƒ Wer zu viele private Mails verschickt, fliegt raus. Frankfurter Allgemeine, 15.1.2016
ƒƒ Comment UBS flique ses employés. Le Matin, 4.7.2015
ƒƒ Protectas ist zu neugierig. Beobachter, 26.6.2015
ƒƒ Mobiles Arbeiten, aber sicher. Zürcher KMU, 25.6.2015
ƒƒ Darf die Firma meinen Computer ausspionieren?, 20 Minuten, 24.6.2015
ƒƒ Wie Firmen das Internetverhalten ihrer Mitarbeiter im Büro regulieren. Handelszeitung, 18.6.2015
ƒƒ Werden wir bald ständig bei der Arbeit überwacht? 20 Minuten, 20.2.2015
datum - Agosto 2016 4
Dalla stampa
OGD e LTras – due strumenti per la trasparenza in Svizzera
Open Government Data (OGD) significa
libero accesso ai dati delle autorità in
modo da permetterne un uso favorevole
alla ricerca e allo sviluppo scientifico, alla
crescita economica e alla trasparenza
in politica. Mentre l’OGD costituisce uno
strumento di comunicazione attiva i cui
contenuti sono definiti dalle autorità, la
legge sulla trasparenza (LTras) disciplina
l’accesso su richiesta ai documenti ufficiali dell’Amministrazione federale.
Gli effetti collaterali positivi sono una migliore qualità
dei dati grazie ai riscontri degli utenti e una maggiore
efficienza delle autorità, le quali possono utilizzare
più facilmente i dati a titolo interdisciplinare.
L’IFPDT accoglie favorevolmente la Strategia OGD
del Consiglio federale e considera la piattaforma
opendata.swiss gestita dall’Archivio federale quale
ulteriore passo in direzione degli obiettivi di trasparenza della Confederazione. La piattaforma online
creata nel febbraio 2016 nel frattempo include oltre
1000 collezioni di dati di uffici federali, Cantoni, Città
e altre organizzazioni.
Dieci anni di legge sulla trasparenza
Anche la legge sulla trasparenza, in vigore dal 1°
luglio 2006, promuove la trasparenza nell’Amministrazione federale. Mentre l’OGD si prefigge, in quanto
strumento attivo, il libero accesso a collezioni di
dati grezzi di autorità, la LTras disciplina l’accesso
ai documenti ufficiali esistenti unicamente dietro
richiesta. Essa va concepita quale strumento passivo
di informazione nell’ambito del quale il richiedente
può decidere autonomamente il contenuto e il
volume dei dati cui intende accedere. La LTras apre
le porte a un’informazione completa delle autorità a
chi vuole prenderne visione.
«La pubblicazione e la messa a disposizione di siffatti
dati comportano un grande potenziale, che finora
è stato sfruttato soltanto parzialmente in Svizzera»,
ha scritto il Consiglio federale nella sua Strategia sul
libero accesso ai dati pubblici in Svizzera 2014–2018.
In tal senso esso intende rendere liberamente
accessibile e riutilizzabile un numero ingente di dati
di autorità. Le collezioni di dati dell’ente pubblico
possono essere utili allo sviluppo di nuovi servizi
d’informazione e di nuove conoscenze scientifiche.
La Strategia OGD promuove inoltre in generale la
trasparenza e la competenza degli attori politici
nella loro attività sociale, cosa che contribuisce ad
aumentare il consenso e la fiducia della popolazione.
datum - Agosto 2016 Negli ultimi tempi sono giunti a conoscenza casi in
cui l’accesso a documenti ufficiali sarebbe ostacolato
dall’importo eccessivo degli emolumenti. In determinati casi straordinari come la tutela della sicurezza
interna i limiti alla trasparenza possono essere
giustificati. Essi non devono tuttavia pregiudicare il
principio fondamentale di trasparenza. Una recente
iniziativa parlamentare esige un’ampia esenzione
dagli emolumenti.
In occasione del decimo anniversario della legge
sulla trasparenza nell’Amministrazione, venerdì 2
settembre 2016 si terranno a Berna un convegno
pubblico e una tavola rotonda in occasione dei quali
vari relatori si esprimeranno sul tema «Quanto trasparente è la nostra Amministrazione federale dopo
dieci anni di esistenza della legge sulla trasparenza?»
Informazioni e iscrizione sul nostro sito web.
5
Informazioni complementari:
ƒƒ informazioni supplementari concernenti la LTras sul nostro sito www.lincaricato.ch / Principio di trasparenza
ƒƒ strategia 2014–2018 sul libero accesso ai dati pubblici in Svizzera del Consiglio federale disponibile sul sito
dell’amministrazione federale
Fonti:
ƒƒ Piquée au vif, Armasuisse jette 30’000 francs par la fenêtre. Le Matin Dimanche, 14.8.2016
ƒƒ Plädoyer für Transparenz in der Verwaltung. NZZ, 28.6.2016
ƒƒ Beim Nachrichtendienst gilt Transparenz mit Grenzen. NZZ, 19.5.2016
ƒƒ Der Bund will eine „Open-Data-Kultur“ fördern. NZZ,17.5.2016
ƒƒ Le prix elevé de la transparence. Le Temps, 11.5.2016
ƒƒ Kostenlose Transparenz. Sonntagszeitung, 8.5.2016
ƒƒ Transparenz nur gegen Bares. Sonntagszeitung, 13.3.2016
A proposito
Aspetti della protezione dei dati nel protocollo Internet IPv6
Internet è diventato oggi la tecnologia più importante
per la trasmissione di ogni tipo di comunicazione.
Poiché gli indirizzi IP del protocollo Internet versione
4 (IPv4) si esauriranno nel prossimo futuro, è stato
sviluppato un nuovo protocollo (IPv6). L’IPv6 offre
rispetto all’IPv4 una serie di vantaggi pratici, comportando però anche alcuni rischi per la protezione
dei dati e della sfera privata. Tali rischi possono essere minimizzati prendendo le giuste misure tecniche
e organizzative.
Per saperne di più leggete le spiegazioni sul nostro
sito Internet
In breve
A caccia dei piccoli mostri con lo smartphone
Pokémon Go è il nome della app che ammalia mezzo
mondo e dà qualche grattacapo ai preposti alla protezione dei dati. Telefonino in mano, i giocatori camminano per le strade a caccia degli agognati mostri
che attendono di essere catturati. Divertimento a
parte, questo gioco ha tuttavia un prezzo: gli utilizzatori consentono all’applicazione di accedere ai dati
relativi alla loro ubicazione e quindi possono essere
localizzati in tempo reale. Per la funzione di realtà aumentata l’applicazione si serve anche della videocamera. Dalle lunghe istruzioni per l’uso si evince solo
datum - Agosto 2016 in parte che cosa il fornitore intende fare con questi
dati e a chi esattamente li trasmette, una questione
che riguarda anche numerose altre applicazioni e
servizi online. Raccomandiamo pertanto agli utenti di
verificare attentamente quali autorizzazioni richiede
un’applicazione e di valutarne l’effettiva necessità.
Molte applicazioni, infatti, registrano più dati di quanti
sarebbero necessari a fornire il servizio. Se si vuole
impedirlo occorre adeguare le impostazioni standard
o rinunciare al servizio.
6
Consigli
Istallazione di una videocamera in una casa plurifamiliare
Per istallare un impianto di videosorveglianza in una proprietà privata non
è necessaria alcuna autorizzazione ma
occorre osservare determinate regole.
Chi entra nel campo di ripresa di una
videocamera dev’esserne informato, ad
esempio mediante un cartello.
Se questo non risulta già chiaro dalla situazione,
sul cartello dovrebbe figurare dove gli interessati
possono ottenere informazioni sui dati rilevati. La
videocamera dovrebbe inoltre limitare il campo di
ripresa allo stretto necessario; le immagini riprese
non dovrebbero essere conservate più a lungo del
dovuto e andrebbero adeguatamente protette da
accessi non autorizzati. Nella scheda informativa
“Videosorveglianza da parte di persone private” si
descrivono nel dettaglio i requisiti da considerare per
la gestione di una videosorveglianza conforme alla
protezione dei dati.
In una casa plurifamiliare un singolo residente non
può istallare di sua propria iniziativa una videocamera nelle aree comuni: una decisione del genere va
presa d’intesa con tutti i comproprietari della casa;
un consenso della maggioranza non è sufficiente. Se
non sussiste un interesse preponderante in favore di
tale decisione, ogni singolo deve essere d’accordo.
Nella sua sentenza del 29 marzo 2016 (DTF
4A_576/2015) il Tribunale federale ha stabilito che
l’interesse generale di un proprietario di un immobile
o di più inquilini non giustifica ipso facto l’esercizio
di un impianto di videosorveglianza all’interno di
una casa plurifamiliare. Analogamente, la protezione
della sfera privata (art. 13 Cost.) non è anteposta alla
garanzia costituzionale della proprietà (art. 26 Cost.)
o alla tutela dell’integrità fisica (art. 10 cpv. 2 Cost.),
tanto che una videosorveglianza in aree comuni può
essere lecita senza l’accordo di tutti gli interessati.
Diventa perciò irrinunciabile una ponderazione
concreta degli interessi che tenga conto di tutte le
circostanze del singolo caso. Mentre una videosorveglianza posta all’entrata di un caseggiato anonimo
nel quale esiste il rischio di aggressione può essere
assolutamente opportuna e ragionevole per tutti
gli interessati, la videosorveglianza in una piccola
casa plurifamiliare, dove i vicini si conoscono, non
dovrebbe rientrare nella regola . Una sorveglianza
permanente dell’ingresso di una casa plurifamiliare,
che permetta un rilevamento sistematico del comportamento di inquilini e visitatori, rappresenta in
ogni caso una grave ingerenza nella sfera privata.
Per questo motivo l’istallazione di un impianto di
videosorveglianza deve essere sempre giustificato e
proporzionato.
Informazioni complementari:
ƒƒ Promemoria „Videosorveglianza da parte di persone private“ sul nostro sito
ƒƒ Informazioni dettagliati sulla videosorveglianza in altri ambiti sul nostro sito
ƒƒ Sentenza del Tribunale federale del 29.5.2016 (BGE 142 III 263)
Fonte:
ƒƒ Dürfen wir eine Videokamera installieren? Neue Luzerner Zeitung, 25.5.2016
Agenda
10 anni della legge sulla trasparenza - Giornata svizzera del principio della trasparenza
Venerdì 2 settembre 2016, Aula Progr, Waisenhausplatz 30, Berna
«Quanto trasparente è la nostra Amministrazione federale?»
datum - Agosto 2016 7
datum è una pubblicazione dell‘Incaricato federale della
protezione dei dati e della trasparenza.
Gli articoli di datum possono essere copiati e riutilizzati.
Impressum
Agosto 2016
Traduzioni: Cancelleria federale svizzera, Servizi linguistici centrali
Questa newsletter è disponibile anche in tedesco e francese.
L’IFPDT in Internet: www.lincaricato.ch
datum - Agosto 2016 8