Q&A

Data Protection

Data Protection

Ultimo aggiornamento : 22/02/2023
È possibile per il datore di lavoro installare, sui dispositivi (ad es., cellulare) in uso ai dipendenti, una App per la rilevazione delle presenze sul luogo di lavoro che prevede anche l’uso dei dati di geolocalizzazione?

Il Garante per la Protezione dei Dati Personali si è espresso favorevolmente rispetto alla possibilità di installare, sui dispositivi in uso ai dipendenti, delle App per la rilevazione dell’orario di inizio e di fine dell’attività lavorativa, anche con funzionalità di geolocalizzazione. Ad avviso dell’Autorità Garante, è tuttavia necessario che il datore di lavoro adotti adeguate misure di sicurezza a tutela dei diritti dei lavoratori. Tra le altre, il Garante ha stabilito che:

  • il sistema di rilevazione delle presenze deve essere strutturato nel rispetto dei principi della «Privacy by design» e «Privacy by default»;
  • il datore di lavoro, una volta verificata l’associazione tra la posizione del lavoratore e le coordinate geografiche della sede di lavoro, può, eventualmente, conservare solo il dato relativo a tale ultima posizione, alla data e all’orario della timbratura, eliminando invece il dato afferente alla posizione del lavoratore;
  • lo schermo del dispositivo in uso al dipendente deve sempre presentare un’icona che indichi che la funzionalità di localizzazione è attiva;
  • l’App deve essere configurata in modo tale da impedire il trattamento, anche accidentale, di altri dati contenuti nel dispositivo del lavoratore;
  • il datore di lavoro è tenuto a fornire ai dipendenti interessati un’informativa comprensiva di tutti gli elementi previsti dalla normativa applicabile nonché ad adottare tutte le misure di sicurezza per preservare l’integrità dei dati e l’accesso a persone non autorizzate.
Ultimo aggiornamento : 09/02/2023
Le disposizioni del c.d. Decreto Trasparenza in materia di protezione dei dati personali sostituiscono quelle del GDPR o delle altre normative nazionali in vigore?

L’Autorità Garante per la protezione dei dati personali è intervenuta chiarendo che le garanzie previste da l Decreto Trasparenza (D.lgs. 27 giugno 2022, n. 104) con il quale sono state introdotte ulteriori misure a tutela del rispetto del principio di trasparenza in caso di impiego di sistemi decisionali o di monitoraggio nell’ambito dei rapporti di lavoro, non modificano le tutele già previste (i) dal GDPR (Regolamento UE 679/2016 per la protezione dei dati personali) e (ii) dallo Statuto dei Lavoratori (L. 300/1970).

L’adozione di sistemi decisionali o di monitoraggio automatizzati in ambito lavorativo devono, infatti, sempre essere oggetto di una preliminare verifica, da parte del datore di lavoro, sia dei principi enunciati dal GDPR, che delle condizioni di liceità stabilite dalla disciplina in materia di controlli a distanza di cui allo Statuto dei Lavoratori nonché  del rispetto delle disposizioni che impediscono ad un datore di lavoro di trattare informazioni attinenti alla sfera privata del lavoratore.

Ultimo aggiornamento : 09/02/2023
Quali sono gli obblighi informativi del datore di lavoro a seguito dell’entrata in vigore del c.d. Decreto Trasparenza?

Qualora la società faccia uso di processi decisionali o sistemi che, attraverso l’attività di raccolta ed elaborazione dei dati, siano in grado di (i) generare decisioni automatizzate che incidano sulla vita lavorativa del lavoratore o su suoi particolari aspetti e di (ii) incidere sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali del lavoratore, il datore di lavoro è tenuto a fornire al lavoratore interessato una specifica informativa che indichi, tra le altre:

  • i parametri utilizzati per programmare o addestrare i sistemi automatizzati;
  • le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
  • il livello di accuratezza, robustezza e cybersicurezza dei sistemi decisionali o di monitoraggio automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.
Ultimo aggiornamento : 09/02/2022
Che cosa si intende per “trattamento” di dati personali?

L’articolo 4 del Regolamento (EU) 2016/679 (il “GDPR”), definisce “trattamento” di dati personali qualsiasi operazione effettuata con o senza l’ausilio di strumenti elettronici, riguardanti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. È sufficiente anche una sola delle operazioni sopra elencate affinché si realizzi un trattamento di dati personali.

Ultimo aggiornamento : 09/02/2022
Chi è il Titolare del trattamento?

Il summenzionato articolo 4 definisce, tra le altre, il Titolare del trattamento come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.

Ultimo aggiornamento : 09/02/2022
Chi è il Responsabile del trattamento?

È definito, ai sensi dell’art. 4, par. 8), del GDPR, Responsabile del trattamento il soggetto terzo che tratta dati personali per conto del Titolare del trattamento. Quest’ultimo è tenuto a ricorrere a Responsabili del trattamento che presentano garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate a garantire il rispetto delle prescrizioni imposte dal GDPR e da tutta la normativa applicabile in materia. Il rapporto tra Titolare e Responsabile è regolato, ai sensi dell’art. 28 del GDPR, da un contratto o altro atto giuridico, che vincoli il Responsabile al Titolare e determinati elementi quali la materia disciplinata dal trattamento, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati nonché gli obblighi e i diritti in capo al Titolare stesso.

Ultimo aggiornamento : 09/02/2022
L’Organismo di Vigilanza è autonomo Titolare, Responsabile del trattamento o “parte dell’ente”?

L’Autorità Garante per la protezione dei dati personali (il “Garante”) ha chiarito il ruolo e le responsabilità dell’Organismo di Vigilanza (l’“OdV”) riguardo i trattamenti dei dati personali dallo stesso svolti nell’esercizio delle sue funzioni. Nell’escludere che l’OdV possa essere definito come un autonomo Titolare o come un Responsabile del trattamento, il Garante lo ha soggettivamente qualificato come “parte dell’Ente”, riconoscendo all’Ente stesso il ruolo di Titolare del trattamento in quanto chiamato a definire il perimetro e le modalità di esercizio dei compiti assegnati all’OdV. Alla luce della qualificazione soggettiva dell’OdV come “parte dell’Ente” e nel rispetto della normativa applicabile in materia di protezione dei dati personali, a parere del Garante, il Titolare del trattamento è chiamato a designare i suoi singoli membri come dei soggetti autorizzati, fornendo loro apposite e specifiche istruzioni a tutela dei dati degli interessati.

Ultimo aggiornamento : 09/02/2022
Cosa si intende con il termine Valutazione d’Impatto sulla protezione dei dati (o “Data Protection Impact Assessment – DPIA”)?

La Valutazione di Impatto sulla protezione dei dati (o, secondo la versione originale del GDPR, la “Data Protection Impact Assessment – DPIA”) è una procedura avente lo scopo di descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, al fine di adottare misure idonee ed adeguate ad affrontarli. Una DPIA può riguardare un singolo trattamento oppure più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi (cfr. art. 35 del GDPR). Attraverso l’assessment svolto, il Titolare del trattamento valuta e dimostra la conformità della sua organizzazione alle norme in materia di protezione dei dati personali. Vista la sua utilità, il WP Art. 29 (ossia il gruppo di lavoro comune delle Autorità europee per la protezione dei dati personali) ha raccomandato di effettuare una Valutazione di Impatto per tutti i trattamenti posti in essere, senza limitarsi ai soli casi in cui il GDPR la prescrive come obbligatoria.

Ultimo aggiornamento : 09/02/2022
Cosa è una violazione dei dati personali (c.d. Data Breach)?

Un Data Breach è una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Esempi di Data Breach possono essere l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati; il furto o la perdita di dispositivi informatici contenenti dati personali o l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. Il GDPR dispone che il Titolare del trattamento, senza ingiustificato ritardo ed entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione subita all’Autorità Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo e qualora la violazione comporti un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. In ogni caso, il titolare del trattamento, anche a prescindere dalla notifica al Garante, deve documentare tutte le violazioni dei dati personali su un apposito registro (cfr. articoli 33 e 34 del Regolamento UE 2016/679).

Ultimo aggiornamento : 09/02/2022
Ai dipendenti deve essere richiesto il consenso per trattare i loro dati nell’ambito del rapporto di lavoro?

Ai dipendenti non deve essere richiesto il consenso per il trattamento dei loro dati nell’ambito del rapporto di lavoro. Ciò in quanto il consenso, a causa del rapporto di “dipendenza” del lavoratore nei confronti del datore di lavoro, non potrebbe mai ritenersi liberamente prestato né, per le stesse ragioni, liberamente revocabile. Resta inteso che il datore di lavoro deve rilasciare al lavoratore idonea informativa e implementare misure di sicurezza tecniche ed organizzative idonee a garantire l’integrità e la riservatezza di dati trattati.

I contenuti della presente Sezione non costituiscono un parere tecnico e/o legale o altro tipo di consulenza professionale.
I contenuti della presente Sezione hanno uno scopo meramente divulgativo e informativo, non hanno carattere esaustivo e possono essere rimossi o modificati in qualsiasi momento.
Per specifichi problemi o situazione occorre richiedere una consulenza specifica.
Lo Studio declina ogni responsabilità per qualsivoglia danno, diretto o indiretto, incidentale o conseguenziale legato all’uso, proprio o improprio, dei contenuti della presente Sezione.