De Luca & Partners

Q&A

Home » Q&A » Compliance » Data Protection

Data Protection

Sommario

Data Protection

Data Protection

Ultimo aggiornamento : 26/04/2023
Il datore di lavoro può utilizzare le riprese delle videocamere di sicurezza per contestare un inadempimento disciplinare?

Con ordinanza n. 8375 del 23 marzo 2023, la Corte di Cassazione ha confermato l’utilizzabilità delle riprese degli impianti di videosorveglianza installati per finalità di sicurezza a dimostrazione di un inadempimento disciplinare di un dipendente, ma solo a condizione che detti impianti siano installati nel rispetto delle garanzie previste dall’articolo 4 dello Statuto dei Lavoratori. Ai sensi del citato articolo, gli impianti audiovisivi e gli altri strumenti dai quali derivi una possibilità di controllo a distanza dell’attività dei lavoratori (tra cui rientrano anche i sistemi di videosorveglianza) possono essere impiegati dal datore di lavoro esclusivamente per:   

  • esigenze organizzative e produttive; 
  • la sicurezza del lavoro;  
  • la tutela del patrimonio aziendale.   

Inoltre, l’articolo 4 dispone che tali strumenti possono essere installati unicamente previo accordo collettivo stipulato con le organizzazioni sindacali ovvero, in mancanza dello stesso, previa autorizzazione ottenuta dall’Ispettorato Nazionale del Lavoro. 

Ultimo aggiornamento : 05/04/2023
Whistleblowing e obbligo di riservatezza: quali sono gli adempimenti data protection in capo a coloro che ricevono le segnalazioni?

Nell’ambito della gestione di una segnalazione di eventuali illeciti intervenuta in un sistema di Whistleblowing, il trattamento di dati personali deve essere effettuato in conformità con le disposizioni in materia di data protection oggi contenute nel Regolamento (UE) 2016/679 (GDPR) e nel Decreto legislativo 30 giugno 2003, n. 196 (Codice Privacy).

La definizione di apposite procedure per disciplinare il processo di segnalazione comporta il rispetto dei principi fondamentali in materia ed una serie di adempimenti tra cui, a titolo esemplificativo:

  • non raccogliere dati personali che manifestamente non sono utili alla gestione di una segnalazione o, se raccolti accidentalmente, provvedere alla loro cancellazione;
  • garantire ed assicurare l’esercizio dei diritti da parte degli interessati (ad es., ove applicabili, diritto di accesso, rettifica, cancellazione, opposizione, etc.);
  • fornire idonee informative (i) ai segnalanti ed (ii) alle persone coinvolte;
  • effettuare una Valutazione di Impatto;
  • adottare adeguate misure tecniche ed organizzative (anche al fine di prevenire potenziali “data breach”);
  • disciplinare il rapporto con eventuali fornitori;
  • adottare delle politiche di data retention che prevedano un tempo di conservazione non superiore ai 5 anni (decorrenti dalla data della comunicazione dell’esito finale della procedura di segnalazione).
Ultimo aggiornamento : 22/03/2023
Posta elettronica aziendale: il datore di lavoro come deve gestire l’account di posta elettronica di un ex lavoratore?

L’Autorità Garante per la protezione dei dati personali (il “Garante”), seguendo un orientamento divenuto ormai consolidato, ha chiarito che il datore di lavoro, in conformità ai principi fondamentali applicabili in materia di protezione dei dati personali, dopo la cessazione del rapporto di lavoro è tenuto a rimuovere e disattivare l’account di posta elettronica aziendale dell’ex dipendente se riconducibile ad una persona identificata o identificabile. Ciò deve essere effettuato entro un ragionevole lasso di tempo dalla cessazione del rapporto di lavoro che può essere commisurato, nell’applicazione pratica, ai tempi tecnici di predisposizione delle misure a ciò necessarie.

Ad avviso del Garante, inoltre, il datore di lavoro, contestualmente alla chiusura dell’account, è tenuto a:

  • dotarsi di sistemi automatici volti ad informare i mittenti terzi della disattivazione dell’account dell’ex lavoratore e che forniscano indicazioni sui diversi referenti aziendali a cui rivolgersi, indicando i relativi indirizzi di posta elettronica;
  • adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo sull’account dell’ex lavoratore durante tutto il periodo in cui il sistema automatico è in funzione.
Ultimo aggiornamento : 08/03/2023
Nell’ambito di un processo di selezione del personale, un recruiter deve informare il candidato circa il trattamento dei suoi dati personali? Se sì, quando l’informativa dovrebbe essergli consegnata?

In termini generali, gli articoli 13 e 14 del Regolamento (EU) 2016/679 (il “GDPR”) impongono al titolare del trattamento di fornire ai soggetti interessati informazioni complete e precise circa il trattamento dei dati personali che li riguardano. Ciò deve avvenire anche in relazione ai trattamenti di dati personali effettuati nell’ambito dell’attività di selezione del personale: il recruiter, infatti, trattando informazioni personali dei candidati, deve necessariamente fornire loro una informativa recante tutte le informazioni di cui ai sopracitati articoli 13 e 14 del GDPR.

Tali informazioni, nell’ipotesi in cui i dati siano raccolti direttamente dal candidato, devono essere fornite nel momento dell’acquisizione degli stessi. Nel caso, invece, in cui i dati personali non siano ottenuti dal candidato, l’informazione deve avvenire (i) entro un termine ragionevole dall’ottenimento dei dati personali, ma, al più tardi, entro un mese in considerazione delle specifiche circostanze in cui i dati personali sono trattati; (ii) nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione; oppure (iii) nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.

Ultimo aggiornamento : 22/02/2023
È possibile per il datore di lavoro installare, sui dispositivi (ad es., cellulare) in uso ai dipendenti, una App per la rilevazione delle presenze sul luogo di lavoro che prevede anche l’uso dei dati di geolocalizzazione?

Il Garante per la Protezione dei Dati Personali si è espresso favorevolmente rispetto alla possibilità di installare, sui dispositivi in uso ai dipendenti, delle App per la rilevazione dell’orario di inizio e di fine dell’attività lavorativa, anche con funzionalità di geolocalizzazione. Ad avviso dell’Autorità Garante, è tuttavia necessario che il datore di lavoro adotti adeguate misure di sicurezza a tutela dei diritti dei lavoratori. Tra le altre, il Garante ha stabilito che:

  • il sistema di rilevazione delle presenze deve essere strutturato nel rispetto dei principi della «Privacy by design» e «Privacy by default»;
  • il datore di lavoro, una volta verificata l’associazione tra la posizione del lavoratore e le coordinate geografiche della sede di lavoro, può, eventualmente, conservare solo il dato relativo a tale ultima posizione, alla data e all’orario della timbratura, eliminando invece il dato afferente alla posizione del lavoratore;
  • lo schermo del dispositivo in uso al dipendente deve sempre presentare un’icona che indichi che la funzionalità di localizzazione è attiva;
  • l’App deve essere configurata in modo tale da impedire il trattamento, anche accidentale, di altri dati contenuti nel dispositivo del lavoratore;
  • il datore di lavoro è tenuto a fornire ai dipendenti interessati un’informativa comprensiva di tutti gli elementi previsti dalla normativa applicabile nonché ad adottare tutte le misure di sicurezza per preservare l’integrità dei dati e l’accesso a persone non autorizzate.
Ultimo aggiornamento : 09/02/2023
Le disposizioni del c.d. Decreto Trasparenza in materia di protezione dei dati personali sostituiscono quelle del GDPR o delle altre normative nazionali in vigore?

L’Autorità Garante per la protezione dei dati personali è intervenuta chiarendo che le garanzie previste da l Decreto Trasparenza (D.lgs. 27 giugno 2022, n. 104) con il quale sono state introdotte ulteriori misure a tutela del rispetto del principio di trasparenza in caso di impiego di sistemi decisionali o di monitoraggio nell’ambito dei rapporti di lavoro, non modificano le tutele già previste (i) dal GDPR (Regolamento UE 679/2016 per la protezione dei dati personali) e (ii) dallo Statuto dei Lavoratori (L. 300/1970).

L’adozione di sistemi decisionali o di monitoraggio automatizzati in ambito lavorativo devono, infatti, sempre essere oggetto di una preliminare verifica, da parte del datore di lavoro, sia dei principi enunciati dal GDPR, che delle condizioni di liceità stabilite dalla disciplina in materia di controlli a distanza di cui allo Statuto dei Lavoratori nonché  del rispetto delle disposizioni che impediscono ad un datore di lavoro di trattare informazioni attinenti alla sfera privata del lavoratore.

Ultimo aggiornamento : 09/02/2023
Quali sono gli obblighi informativi del datore di lavoro a seguito dell’entrata in vigore del c.d. Decreto Trasparenza?

Qualora la società faccia uso di processi decisionali o sistemi che, attraverso l’attività di raccolta ed elaborazione dei dati, siano in grado di (i) generare decisioni automatizzate che incidano sulla vita lavorativa del lavoratore o su suoi particolari aspetti e di (ii) incidere sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali del lavoratore, il datore di lavoro è tenuto a fornire al lavoratore interessato una specifica informativa che indichi, tra le altre:

  • i parametri utilizzati per programmare o addestrare i sistemi automatizzati;
  • le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
  • il livello di accuratezza, robustezza e cybersicurezza dei sistemi decisionali o di monitoraggio automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.
Ultimo aggiornamento : 09/02/2022
Che cosa si intende per “trattamento” di dati personali?

L’articolo 4 del Regolamento (EU) 2016/679 (il “GDPR”), definisce “trattamento” di dati personali qualsiasi operazione effettuata con o senza l’ausilio di strumenti elettronici, riguardanti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. È sufficiente anche una sola delle operazioni sopra elencate affinché si realizzi un trattamento di dati personali.

Ultimo aggiornamento : 09/02/2022
Chi è il Titolare del trattamento?

Il summenzionato articolo 4 definisce, tra le altre, il Titolare del trattamento come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.

Ultimo aggiornamento : 09/02/2022
Chi è il Responsabile del trattamento?

È definito, ai sensi dell’art. 4, par. 8), del GDPR, Responsabile del trattamento il soggetto terzo che tratta dati personali per conto del Titolare del trattamento. Quest’ultimo è tenuto a ricorrere a Responsabili del trattamento che presentano garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate a garantire il rispetto delle prescrizioni imposte dal GDPR e da tutta la normativa applicabile in materia. Il rapporto tra Titolare e Responsabile è regolato, ai sensi dell’art. 28 del GDPR, da un contratto o altro atto giuridico, che vincoli il Responsabile al Titolare e determinati elementi quali la materia disciplinata dal trattamento, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati nonché gli obblighi e i diritti in capo al Titolare stesso.

Ultimo aggiornamento : 09/02/2022
L’Organismo di Vigilanza è autonomo Titolare, Responsabile del trattamento o “parte dell’ente”?

L’Autorità Garante per la protezione dei dati personali (il “Garante”) ha chiarito il ruolo e le responsabilità dell’Organismo di Vigilanza (l’“OdV”) riguardo i trattamenti dei dati personali dallo stesso svolti nell’esercizio delle sue funzioni. Nell’escludere che l’OdV possa essere definito come un autonomo Titolare o come un Responsabile del trattamento, il Garante lo ha soggettivamente qualificato come “parte dell’Ente”, riconoscendo all’Ente stesso il ruolo di Titolare del trattamento in quanto chiamato a definire il perimetro e le modalità di esercizio dei compiti assegnati all’OdV. Alla luce della qualificazione soggettiva dell’OdV come “parte dell’Ente” e nel rispetto della normativa applicabile in materia di protezione dei dati personali, a parere del Garante, il Titolare del trattamento è chiamato a designare i suoi singoli membri come dei soggetti autorizzati, fornendo loro apposite e specifiche istruzioni a tutela dei dati degli interessati.

Ultimo aggiornamento : 09/02/2022
Cosa si intende con il termine Valutazione d’Impatto sulla protezione dei dati (o “Data Protection Impact Assessment – DPIA”)?

La Valutazione di Impatto sulla protezione dei dati (o, secondo la versione originale del GDPR, la “Data Protection Impact Assessment – DPIA”) è una procedura avente lo scopo di descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, al fine di adottare misure idonee ed adeguate ad affrontarli. Una DPIA può riguardare un singolo trattamento oppure più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi (cfr. art. 35 del GDPR). Attraverso l’assessment svolto, il Titolare del trattamento valuta e dimostra la conformità della sua organizzazione alle norme in materia di protezione dei dati personali. Vista la sua utilità, il WP Art. 29 (ossia il gruppo di lavoro comune delle Autorità europee per la protezione dei dati personali) ha raccomandato di effettuare una Valutazione di Impatto per tutti i trattamenti posti in essere, senza limitarsi ai soli casi in cui il GDPR la prescrive come obbligatoria.

Ultimo aggiornamento : 09/02/2022
Cosa è una violazione dei dati personali (c.d. Data Breach)?

Un Data Breach è una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Esempi di Data Breach possono essere l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati; il furto o la perdita di dispositivi informatici contenenti dati personali o l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. Il GDPR dispone che il Titolare del trattamento, senza ingiustificato ritardo ed entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione subita all’Autorità Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo e qualora la violazione comporti un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. In ogni caso, il titolare del trattamento, anche a prescindere dalla notifica al Garante, deve documentare tutte le violazioni dei dati personali su un apposito registro (cfr. articoli 33 e 34 del Regolamento UE 2016/679).

Ultimo aggiornamento : 09/02/2022
Ai dipendenti deve essere richiesto il consenso per trattare i loro dati nell’ambito del rapporto di lavoro?

Ai dipendenti non deve essere richiesto il consenso per il trattamento dei loro dati nell’ambito del rapporto di lavoro. Ciò in quanto il consenso, a causa del rapporto di “dipendenza” del lavoratore nei confronti del datore di lavoro, non potrebbe mai ritenersi liberamente prestato né, per le stesse ragioni, liberamente revocabile. Resta inteso che il datore di lavoro deve rilasciare al lavoratore idonea informativa e implementare misure di sicurezza tecniche ed organizzative idonee a garantire l’integrità e la riservatezza di dati trattati.

Q&A
Compliance Responsabilità Amministrativa Degli Enti (D.Lgs. 231/01)
I contenuti della presente Sezione non costituiscono un parere tecnico e/o legale o altro tipo di consulenza professionale.
I contenuti della presente Sezione hanno uno scopo meramente divulgativo e informativo, non hanno carattere esaustivo e possono essere rimossi o modificati in qualsiasi momento.
Per specifichi problemi o situazione occorre richiedere una consulenza specifica.
Lo Studio declina ogni responsabilità per qualsivoglia danno, diretto o indiretto, incidentale o conseguenziale legato all’uso, proprio o improprio, dei contenuti della presente Sezione.