Lo scorso mercoledì 24 aprile 2024, i deputati del Parlamento europeo hanno adottato il testo della nuova Direttiva sulle condizioni di lavoro dei lavoratori delle piattaforme digitali. Come si apprende dal comunicato stampa pubblicato sul sito istituzionale del Parlamento, la Direttiva “mira a garantire che i lavoratori delle piattaforme digitali dispongano di una classificazione corretta della loro posizione lavorativa e a correggere il lavoro autonomo fittizio” introducendo “una presunzione di rapporto di lavoro subordinato (rispetto al lavoro autonomo) quando sono presenti fatti che indicano il controllo e la direzione, conformemente al diritto nazionale e ai contratti collettivi […]”.
Tra le novità introdotte dalla Direttiva, per quanto qui di interesse, sono previste limitazioni del trattamento di dati personali effettuato mediante sistemi decisionali o di monitoraggio automatizzati. Non potranno, ad esempio, essere oggetto di alcuna operazione di trattamento (i) i dati relativi allo stato emotivo o psicologico della persona che svolge un lavoro mediante piattaforme digitali; (ii) i dati personali relativi a conversazioni private; (iii) i dati appartenenti alla categoria dei dati particolari (ex dati sensibili) o i dati biometrici o, ancora, (iv) non potranno essere raccolti i dati del lavoratore che svolge attività tramite una piattaforma digitale quando non sta svolgendo la propria attività mediante la piattaforma stessa.
Tutto ciò, sarà valido e dovrà essere applicato sin dall’inizio delle procedure di assunzione e selezione e per tutta la durata del rapporto. Resta inteso che, considerata la tipologia di trattamento e l’elevato rischio che lo stesso può comportare per i diritti e le libertà delle persone fisiche, i trattamenti di dati effettuati tramite una piattaforma di lavoro digitale dovranno essere oggetto di apposite valutazioni di impatto ai sensi dell’articolo 35 del Regolamento (UE) 2016/679. Le valutazioni di impatto svolte dal datore di lavoro dovranno poi essere condivise con i rappresentanti dei lavoratori.
Un altro elemento fondamentale inerisce agli obblighi di trasparenza. Coloro che svolgono attività lavorative tramite piattaforme digitali dovranno essere puntualmente resi edotti, in maniera trasparente, intelligibile e facilmente accessibile con un linguaggio semplice e chiaro, su tutti i tipi di decisioni sostenute o prese da sistemi decisionali o di monitoraggio automatizzati. Aspetto questo che l’ordinamento nazionale italiano ha già avuto modo di “conoscere” tanto a seguito dell’introduzione delle disposizioni di cui al Regolamento (UE) 2016/679 quanto a seguito dell’adozione del c.d. Decreto Trasparenza.
Resta da ultimo inteso, che gli Stati membri dovranno imporre alle piattaforme di lavoro digitali di garantire risorse umane sufficienti per sorvegliare e valutare in modo efficace l’impatto delle decisioni individuali prese o sostenute dai sistemi decisionali o di monitoraggio automatizzati.
◊◊◊◊
Il testo approvato dal Parlamento europeo dovrà ora essere adottato formalmente anche dal Consiglio per poi essere pubblicato nella Gazzetta Ufficiale dell’Unione Europea. Dopo la pubblicazione, ciascuno Stato Membro avrà due anni di tempo per integrare le nuove disposizioni nel proprio ordinamento nazionale.
Altri insight correlati:
Les sites internet qui utilisent le service Google Analytics (GA), sans les garanties prévues par le Règlement (UE) 2016/679 (le « Règlement »), violent la réglementation sur la protection des données, car ils transfèrent aux États-Unis, pays sans niveau de protection approprié, les données des utilisateurs. Ainsi a statué le Garant pour la protection des données personnelles (le « Garant ») par sa décision du 9 juin 2022, suite à une instruction ouverte sur la base d’une série de réclamations et en coordination avec d’autres Autorités Européennes de protection de la vie privée, et publiée le 23 juin suivant.
GA est un instrument informatique fourni par Google aux gérants de sites internet, leur permettant d’analyser des statistiques détaillées sur les utilisateurs, afin d’optimiser les services qu’ils offrent et de piloter leurs campagnes de marketing.
En ce qui concerne le traitement effectué avec cet instrument, d’après les contrôles effectués par le Garant, il est apparu que les gérants des sites internet (comme la société sanctionnée) collectent, au moyen de cookies transmis au navigateur de l’utilisateur, des informations sur les modalités d’interaction de ces derniers avec le site internet, avec chaque page et avec les services proposés. En l’espèce, les données collectées consistent en : des identificateurs en ligne uniques, qui permettent aussi bien l’identification du navigateur ou du dispositif de l’utilisateur qui visite le site internet, que celle du gérant même du site (au travers de l’ID account Google) ; adresse, nom du site internet et données de navigation ; adresse IP du dispositif de l’utilisateur; informations relatives au navigateur, au système d’exploitation, à la résolution de l’écran, à la langue sélectionnée, ainsi qu’à la date et à l’heure de la visite au site internet.
Ces informations sont transférées aux États-Unis d’Amérique, pays qui, à ce jour, comme le Garant l’a déjà répété plusieurs fois, ne garantit pas un système de protection des données personnelles équivalent à celui prévu au sein de l’Union Européenne. Dans un tel contexte, le Garant a souligné que la réglementation en vigueur aux États-Unis permet aux Autorités gouvernementales et aux services de renseignement nord-américains d’accéder aux informations personnelles à des fins de sécurité nationale, sans les garanties prévues par la réglementation européenne.
Le Garant a aussi réaffirmé que l’adresse IP est une donnée personnelle à tous les effets, dans la mesure où elle permet d’identifier un dispositif de communication électronique, rendant ainsi par conséquent indirectement identifiable la personne concernée en sa qualité d’utilisateur. Et cette donnée, quand bien même elle serait tronquée, ne deviendrait pas une donnée anonyme, étant donnée la capacité de Google de l’associer à d’autres données en sa possession, rendant ainsi possible une ré-identification de l’utilisateur.
Pour tous ces motifs, le Garant a adopté la première d’une série de décisions par lesquelles il a averti la société qui gérait le site objet de l’instruction, la sommant de se conformer au Règlement dans les quatre-vingt-dix jours. Le délai indiqué a été considéré par le Garant comme suffisant pour permettre à celle-ci de prendre les mesures nécessaires au transfert, sous peine de suspension des flux de données effectués, par l’intermédiaire de GA, vers les États-Unis.
À l’échéance des quatre-vingt-dix jours, peut-on lire dans la décision examinée, le Garant vérifiera, également sur la base d’activités spécifiques d’inspection, la conformité au Règlement des transferts effectués par les responsables.
◊◊◊◊
Dans l’attente que l’Union Européenne et les États-Unis d’Amérique arrivent à un accord juridiquement contraignant, garantissant un transfert international avec des protections équivalentes à ce qui est requis en Europe, les gérants des sites internet sont appelés à respecter les prescriptions de la réglementation en vigueur. Cela même en envisageant de faire appel éventuellement à des fournisseurs d’accès européens traitant les données personnelles des utilisateurs à l’intérieur du territoire UE.
Contenus corrélés :
Pour gérer correctement un système de lanceurs d’alerte, il est indispensable d’accorder toute l’attention nécessaire à la protection des données personnelles traitées.
Pour atteindre l’équilibre nécessaire entre l’exigence de confidentialité du lanceur d’alerte et du signalement, la nécessité de vérification du fait illégal et le droit de la personne signalée à se défendre et au débat contradictoire, l’adoption de mesures propres à garantir la protection et la sécurité des informations personnelles constituent un facteur déterminant.
Vittorio De Luca, Managing Partner du cabinet De Luca & Partners commente : « La récente décision du Garant pour la protection des données personnelles n’est que la dernière des mesures adoptées sur ce thème qui, comme le rappelle le Garant, s’insère dans un plan d’inspection plus ample visant à vérifier le respect maximum de la protection des données personnelles dans le cadre de la gestion des signalements de conduites illégales. Ceci étant précisé, il convient de souligner qu’une gestion correcte du « système de lanceurs d’alerte » doit s’insérer également au sein d’une stratégie efficace de compliance de l’entreprise. Implémenter des modèles d’organisation, de gestion et de contrôle construits à partir des résultats d’une analyse des risques préliminaire permet de réduire aussi bien le danger que l’infraction soit commise que le risque d’encourir les lourdes sanctions prévues par la réglementation applicable aujourd’hui. Dans un tel contexte, il convient donc d’adopter des procédures spécifiques dans l’entreprise, ainsi que des mesures techniques et d’organisation appropriées, visant à garantir la protection et la sécurité des informations de toutes les personnes impliquées ; cela sans négliger l’importance de la sensibilisation et de la formation aussi bien des utilisateurs de ces systèmes que de ceux qui sont chargés de gérer et de vérifier les signalements effectués. Atteindre un niveau élevé de sensibilisation et de culture au sein de l’entreprise doit constituer un des premiers objectifs à atteindre ».
Ces derniers jours, des services en ligne et des sites italiens, parmi lesquels les sites internet du Sénat et du Ministère de la Défense, ont subi une attaque informatique de la part d’un groupe de cyber-criminels russes. Vittorio De Luca, du Cabinet De Luca & Partners commente :
« Ce qui s’est passé démontre que les attaques informatiques sont à l’ordre du jour et que personne ne peut se considérer comme étant à l’abri. Les attaques aux institutions, en effet, font sensation. Mais, depuis des années désormais, chaque jour des centaines d’entreprises sont la cible des cyber-criminels. Ces attaques ont d’importantes répercussions sur la productivité, elles entraînent des vols de données et une interruption des services, sans compter les dommages à l’image qu’elles provoquent. Une solide sécurité informatique est essentielle pour protéger le patrimoine de connaissances de la société et la continuité de ses activités. De plus, le RGPD en matière de vie privée impose aux sociétés – qu’elles soient de petites ou de grandes dimensions – d’effectuer un recensement des principaux risques informatiques auxquels elles sont exposées ainsi que des impacts que ces risques pourraient avoir sur leur activité. Il convient donc d’établir un plan de riposte aux « accidents », en adoptant des politiques et des mesures de sécurité spécifiques, en mesure de protéger le système informatique, et en effectuant périodiquement des audits. Il est également fondamental de sensibiliser, au moyen de sessions spécifiques de formation, ses propres salariés sur le thème de la cyber-sécurité, afin qu’ils puissent reconnaître et affronter les différentes menaces. La protection contre les attaques informatiques se fait, en substance, en deux phases : une phase de prévention et une phase de protection. Il est à peine nécessaire de rappeler que, en cas d’attaque réussie, les sociétés doivent informer le garant de la vie privée, en activant la procédure de « data breach » dans les 72 heures, à compter du moment où elles en ont connaissance ».
Martina De Angeli, du Service Compliance de notre Cabinet, est intervenue en qualité de professeur lors des sessions de formation qui se sont tenues les 10 et 11 octobre derniers dans le cadre du Module « Compliance Management. Les processus de Compliance dans l’entreprise » faisant partie du « Executive Master in Data Protection Management (GDPR) & Cyber Security for Digital Transformation » organisé par Sida Group S.r.l..
Cette intervention a eu pour objet les principes, les dispositions et les procédures nécessaires pour une construction correcte du Modèle d’Organisation tel qu’il est réglementé par le décret législatif n° 231/2001. On a également approfondi le thème du rapport entre la réglementation sur la responsabilité administrative des établissements et le Règlement (UE) en matière de protection des données personnelles n° 2016/679 (appelé GDPR). Des cas pratiques spécifiques ont fait l’objet d’analyse et de débats.
