Le rivelazioni dall’indagine condotta dalla procura di Milano e dal nucleo investigativo dei Carabinieri di Varese che hanno portato alla luce attività di acquisizione illecita di informazioni – riservate, sensibili e personali – e che, nelle ultime ore, stanno dominando il dibattito politico e pubblico italiano, non possono non far riflettere. L’Autorità Garante per la protezione dei dati personali ha costituito una task force interdipartimentale per individuare prontamente le attività da intraprendere e le maggiori garanzie a protezione delle banche dati. La task force si pone, tra l’altro, l’obiettivo di definire misure di sicurezza, tecniche e organizzative, adeguate riguardo agli accessi ai database da parte del personale autorizzato, ma anche al complesso delle operazioni svolte dagli incaricati della loro gestione e manutenzione. In attesa di ricevere nuovi aggiornamenti a riguardo, cosa deve sapere un’azienda e cosa può e deve fare in casi analoghi?
Prima di entrare nel merito, occorre far presente che, come è noto, ai sensi del Regolamento (UE) 2016/679 si definisce “violazione dei dati” (c.d. “Data Breach”) qualsiasi violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, che possa compromettere la riservatezza, l’integrità o la disponibilità dei dati personali.
In caso di Data Breach, vi sono specifici obblighi da rispettare.
È appena il caso di precisare che se un Data Breach si è verificato, eventuali misure già adottate dall’azienda non sono sufficienti e devono essere riviste e rafforzate. Anche a questo serve la procedura di Data Breach.
Come anticipato in premessa, le notizie recentemente emerse devono far riflettere. Le informazioni e i dati sono sempre di più “merce preziosa” e la sicurezza tecnica e organizzativa da applicare a tutela e protezione delle informazioni trattate è un tema fondamentale per le aziende. Rafforzare la struttura informatica e prevedere misure di sicurezza avanzate e in continuo aggiornamento non meritano più di essere considerate dei costi ma degli investimenti. Ne beneficerà il business e la reputazione aziendale.
Rassegna stampa:
Il Tribunale di Udine (sezione lavoro, ordinanza 504 del 2 agosto 2024) ha ritenuto legittimo il provvedimento di sospensione dal servizio e dalla retribuzione che una società aveva comminato a una lavoratrice che si era rifiutata di sottoscrivere per accettazione la lettera a soggetto autorizzato al trattamento dei dati personali in base alla normativa in materia di privacy (si veda anche Ntpluslavoro del 26 settembre).
Secondo il Tribunale, per un fatto determinato dalla volontà della dipendente e comunque fuori dalla propria sfera di controllo, la società si è trovata nelle condizioni di dover necessariamente sospendere dal servizio e dalla retribuzione la ricorrente. Se così non avesse fatto, avrebbe di fatto violato le norme di garanzia previste dalla normativa in materia di protezione dei dati personali esponendosi inevitabilmente al rischio di incorrere nelle sanzioni perviste.
Il datore di lavoro affida al dipendente non solo risorse e strumenti adeguati a fare in modo che possa effettuare un corretto trattamento dei dati personali, ma anche la responsabilità di trattare tali dati con la dovuta riservatezza, correttezza e diligenza. Se dunque è vero che la nomina a persona designata ha natura unilaterale essendo un atto che promana dalla parte datoriale, è altrettanto vero che la mancata accettazione da parte del lavoratore porta a conseguenze nella gestione del rapporto di lavoro che producono su diversi piani:
– violazione del generale dovere di lealtà e correttezza nell’esecuzione del rapporto;
– inadempimento dei doveri contrattuali;
– integrazione di condotta disciplinarmente rilavante.
Anche sulla base di queste considerazioni, il Tribunale di Udine ha considerato il rifiuto di accettare la nomina come incaricato al trattamento dei dati elemento sufficiente a giustificare l’adozione del provvedimento disciplinare della sospensione dal servizio e dalla retribuzione.
Il caso specifico porta inevitabilmente a domandarsi quali siano, o possano essere, gli effetti e le conseguenze per il datore di lavoro che si trovi suo malgrado di fronte all’ipotesi in cui un lavoratore non accetti l’incarico a soggetto autorizzato al trattamento dei dati personali o, addirittura, manifesti l’intenzione di revocare una accettazione precedentemente fornita.
Logicamente, ma per completezza di ragionamento vale la pena soffermarsi brevemente anche su questo. Il tema non si pone qualora le mansioni assegnate a un lavoratore non presuppongano un trattamento di dati personali. Ad avviso di chi scrive, il tema non si pone per due ordini di ragioni. Da un lato, autorizzare e istruire un lavoratore che non tratta dati personali nell’espletamento delle attività lavorative sarebbe illogico e non necessario. L’articolo 29 del Regolamento Ue 2016/679 (il Gdpr) e l’articolo 2-quaterdecies del Dlgs 196/2003 dispongono, infatti, che a dover essere istruiti siano coloro che hanno “accesso a dati personali” e non coloro che non effettuano alcuna operazione di trattamento. Dall’altro lato, il rifiuto di chi, in ragione delle mansioni assegnate, non accede a informazioni personali non avrebbe alcun impatto nell’espletamento delle quotidiane attività lavorative. Pertanto, anche di fronte a tale ultima ipotesi, non si determinerebbe alcuna condotta potenzialmente rilevante dal punto di vista disciplinare.
Continua a leggere la versione integrale pubblica su Norme e Tributi Plus Lavoro del Il Sole 24 Ore.
Recentemente, l’Autorità Garante per la protezione dei dati personali è tornata sul tema dell’utilizzo dei dati biometrici nell’ambito della gestione del rapporto di lavoro. “Ad oggi, l’ordinamento vigente non consente il trattamento dei dati biometrici dei dipendenti, per finalità di rilevazione della presenza in servizio”. Lo ribadisce l’Autorità in un provvedimento dello scorso 6 giugno 2024, con il quale ha comminato ad una concessionaria, datrice di lavoro, una sanzione di euro 120 mila (anche) per aver trattato illecitamente i dati biometrici dei propri dipendenti.
L’Autorità è intervenuta a seguito del reclamo di un dipendente, che lamentava:
Con riferimento al primo motivo del reclamo, ossia la segnalazione inerente al trattamento dei dati biometrici, l’Autorità ha nuovamente, chiarito che l’utilizzo dei dati biometrici da parte del datore di lavoro non è consentito. Ad oggi, non esiste infatti nessuna norma di legge che preveda l’utilizzo del dato biometrico per la rilevazione delle presenze e con l’occasione, viene ricordato che neanche il consenso manifestato dai dipendenti può essere considerato un idoneo presupposto di liceità. Ciò per l’asimmetria tra le rispettive parti del rapporto di lavoro.
Con riferimento, invece, al secondo motivo del reclamo, l’Autorità ha accertato che la società da più di sei anni, mediante un software gestionale, raccoglieva dati personali relativi alle attività dei dipendenti per redigere report mensili da inviare a casa madre, contenenti dati aggregati sui tempi impiegati dalle officine per le lavorazioni effettuate. Tale attività era stata da sempre effettuata in assenza di un’idonea base giuridica e di un’adeguata informativa che, nel contesto del rapporto di lavoro, sono espressione dei principi di correttezza e trasparenza.
Vale la pena ricordare che quest’ultima attività potrebbe, tra le altre, comportare un indiretto controllo a distanza dell’attività dei lavoratori che, in quanto tale, richiederebbe che siano esperite le garanzie previste dall’art. 4 dello Statuto dei Lavoratori: sottoscrizione di un accordo sindacale o, in mancanza, ottenimento di una autorizzazione da parte dell’Ispettorato Nazionale o Territoriale del Lavoro.
Altri insights correlati:
È notizia di qualche giorno fa che il Garante Privacy è tornato recentemente sul tema della conservazione dei metadati delle e-mail aziendali da parte del datore di lavoro. Il provvedimento del 6 giugno, dal titolo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, estende il periodo di conservazione dei metadati da 7 a 21 giorni. Tale pronuncia, la n. 364 del 6 giugno 2024, avviene a distanza di diverse settimane dalla pubblicazione di una prima versione del documento di indirizzo sulla conservazione dei metadati, che aveva suscitato non poche perplessità e discussioni tra gli addetti ai lavori a tal punto da portare l’Autorità ad avviare una consultazione pubblica.
Anzitutto, occorre però fare chiarezza sulla definizione di “metadati”. Con tale termine, infatti, non si devono intendere le informazioni contenute nei messaggi di posta elettronica nella loro “body–part”, bensì le informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.
Come sopracitato, con le linee di indirizzo dell’Autorità il periodo di conservazione è stato esteso a 21 giorni, e questa finestra temporale è comunque da considerarsi orientativa.
L’eventuale conservazione per un tempo più ampio, infatti, può essere effettuata solo in presenza di particolari condizioni che rendano necessaria l’estensione e, in ogni caso, le specificità di tale esigenza devono essere adeguatamente comprovate.
Continua a leggere la versione integrale su Economy Magazine.
Con il provvedimento del 6 giugno 2024, n. 364, denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, l’Autorità Garante per la protezione dei dati personali ritorna sul tema della conservazione dei metadati delle mail aziendali.
Anzitutto con la definizione di “metadati” non si devono intendere le informazioni contenute nei messaggi di posta elettronica nella loro “body–part” bensì le informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.
Rispetto a quanto indicato dall’Autorità ante consultazione pubblica, con le linee di indirizzo del 6 giugno u.s. il periodo di conservazione è stato esteso a 21 giorni.
Tale periodo di conservazione è “orientativo”.
L’eventuale conservazione per un termine più ampio potrà essere effettuata solo in presenza di particolari condizioni che rendano necessaria l’estensione e, in ogni caso, le specificità di tale esigenza dovranno essere adeguatamente comprovate.
In applicazione del principio di accountability, spetta dunque a ciascun datore di lavoro adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.
Ciò tenendo presente che una raccolta e una conservazione dei metadati generalizzate possono comportare un indiretto controllo a distanza dell’attività dei lavoratori e, in tal caso, dovranno essere esperite le garanzie previste dall’art. 4 dello Statuto dei Lavoratori: sottoscrizione di un accordo sindacale o, in mancanza, ottenimento di una autorizzazione da parte dell’Ispettorato Nazionale o Territoriale del Lavoro.
*****
Il nostro Focus Team Privacy rimane a disposizione per tutti gli approfondimenti del caso.
