Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

I datori di lavoro non possono accedere in maniera indiscriminata alle email o ai dati contenuti negli smartphone in dotazione ai loro dipendenti. Lo ha ribadito il Garante privacy vietando a una multinazionale l’utilizzo dei dati personali trattati in violazione di legge.

L’Autorità ha affermato che il datore di lavoro, pur avendo la facoltà di verificare lo svolgimento delle attività professionali e le modalità di utilizzo degli strumenti aziendali, deve in ogni caso dare priorità alla salvaguardia della libertà e della dignità dei lavoratori. Quest’ultimi devono essere sempre informati in modo esauriente sulle modalità di utilizzo degli strumenti di lavoro ed eventuali verifiche da parte dei superiori. La disciplina di settore in materia di controlli a distanza, inoltre, vieta di effettuare attività di controllo massivo, anche indiretto, prolungato e indiscriminato dell’attività del lavoratore.

Il Garante è intervenuto sul tema in seguito al reclamo di un ex-dipendente di una multinazionale, che lamentava che l’azienda per cui lavorava avrebbe acquisito informazioni anche private contenute nella e-mail e nel telefono aziendale, sia durante il rapporto professionale sia dopo il suo licenziamento.

L’Autorità ha effettivamente constatato che la società non aveva adeguatamente informato i lavoratori sulle modalità e finalità di utilizzo degli strumenti elettronici in dotazione, né su quelle relative al trattamento dei dati. Inoltre, il sistema di posta elettronica aziendale era configurato in modo da conservare copia di tutta la corrispondenza per dieci anni, un tempo non proporzionato allo scopo della raccolta. Esisteva anche una procedura che consentiva ai datori di lavoro di accedere al contenuto dei messaggi che, in linea con la policy aziendale, potevano avere anche carattere privato. È inoltre emerso che la società continuava a mantenere attive le caselle email fino a sei mesi dopo la cessazione del contratto, senza però dare agli ex dipendenti la possibilità di consultarle o, comunque, senza informare i mittenti che le lettere non sarebbero state visionate dai legittimi destinatari ma da altri soggetti.

Nel corso dell’istruttoria è stato accertato inoltre, che il titolare poteva accedere da remoto – non solo per attività di manutenzione – alle informazioni contenute negli smartphone in dotazione ai dipendenti (anche privatissime e non attinenti allo svolgimento dell’attività lavorativa), di copiarle o cancellarle, di comunicarle a terzi violando i principi di liceità, necessità, pertinenza e non eccedenza del trattamento.

Il Garante ha disposto l’apertura di un autonomo procedimento per verificare l’applicazione di eventuali sanzioni amministrative.

Presentiamo qui l’intervista a Giusella Finocchiaro pubblicata sul numero 39/2016 del settimanale Vanity Fair.

Che leggi abbiamo per tutelarci?

«Moltissime. In entrambe le vicende recenti, per esempio, c’è una serie di illeciti civili, dalla violazione della disciplina sulla privacy a quella dei diritti fondamentali della persona. In sede penale si possono configurare ipotesi di vari reati come istigazione al suicidio, interferenze illegali nella vita privata, trattamento di materiale pedopornografico».

Chi denunciare? E con quale efficacia?

«I soggetti contro cui agire sono gli autori, le persone che hanno messo i video online. Poi, naturalmente, si può agire anche contro i provider, le aziende che forniscono l’accesso alla rete, ma a certe condizioni: non hanno l’obbligo di controllare preventivamente ciò che viene messo online, ma sono tenuti per legge a rimuovere contenuti, se c’è un provvedimento dell’autorità giudiziaria o delle autorità competenti».

Ma si riesce a oscurare tutto e per sempre?

«Non si può escludere che il video sia stato scaricato da altri e continui a girare. Naturalmente questi altri compiono a loro volta un illecito. Nei fatti, è una continua rincorsa: nella dimensione digitale, fare molte copie, anche di un messaggio, è facilissimo».

I provider dovrebbero essere più responsabilizzati?

«Sicuramente, ma non con il sistema del controllo, perché è molto difficoltoso. Servirebbe un meccanismo che metta in contatto utente e provider. Perché questo, ricevendo la richiesta di una persona, verifichi e rimuova in tempi molto veloci un contenuto».

Un consiglio per usare bene la rete?

«Non dimenticate mai che entrando in rete si lascia la dimensione strettamente privata e si entra in una di carattere pubblico».

posted by admin on ottobre 18, 2016

Miscellanee

(No comments)

Vanity FairPresentiamo un estratto all’intervista di Vanity Fair a Giusella Finocchiaro. La Professoressa è stata invitata a chiarire alcuni aspetti giuridici che sottendono ad alcuni fatti di cronaca legati al tema della privacy online.

I social permettono di scegliere il grado di visibilità dei post, per gli usi come quello del video circolato illegalmente serve il giudice. Spiega come Giusella Finocchiaro, avvocato e prima in Italia a insegnare diritto di internet.

Due casi nelle cronache in appena 24 ore. Il suicidio di una 31enne un cui video hard girava da oltre un anno illecitamente sul web e la vicenda di una 17enne le cui amiche hanno girato e postato un video mentre la ragazza veniva stuprata in una discoteca. Due casi che portano a chiedersi quasi siano i limiti della privacy su internet. Il garante Antonello Soro ha parlato di «gogna cui la rete rischia di esporci in mancanza di una adeguata consapevolezza, da parte degli utenti, della natura di spazio non circoscritto e degli effetti lesivi che può avere una comunicazione violenta o la ferocia nella irrisione degli altri»

Non ha parlato di mancanza di leggi, ma della necessità di «procedure di risposta più tempestive da parte delle diverse piattaforme» e di un altro bisogno fondamentale: «far crescere il rispetto delle persone in rete». L’investimento in educazione digitale è fondamentale anche secondo Giusella Finocchiaro, avvocato e docente a Bologna di diritto privato e diritto di internet, prima cattedra in Italia in questa materia. Perché le leggi ci sono e la via seguita da Tiziana Cantone è quella corretta, ma i tempi restano lunghi e e non tutti ancora sanno come proteggersi.

L’articolo continua su Vanity Fair.it.

La Suprema Corte ha condannato la Zecca dello Stato poiché monitorava, in violazione di alcune norme dello Statuto dei Lavoratori, la navigazione web, le posta elettronica e le telefonate dei suoi dipendenti.

Con sentenza del 19 settembre 2016, n. 18302, la Corte di Cassazione ha stabilito l’illegittimità dell’attività di memorizzazione e conservazione sul server aziendale della posta elettronica, delle telefonate e della navigazione web del lavoratore senza la preventiva procedura di autorizzazione prevista dallo Statuto dei lavoratori e dal Codice in materia di protezione dei dati personali.

I fatti alla base della decisione sono questi: in un provvedimento sanzionatorio del 2011 il Garante per la protezione dei dati personali aveva evidenziato che il servizio di navigazione in Internet predisposto dall’Istituto Poligrafico e Zecca dello Stato per i propri dipendenti non si limitava ad impedire l’accesso a siti web non inerenti l’attività lavorativa, ma memorizzava ogni accesso a qualunque sito, ed anche ogni tentativo di accesso, generando la possibilità di ricostruire la navigazione di ogni singolo lavoratore. I dati di navigazione dei dipendenti venivano inoltre conservati nel sistema per una durata variabile da sei mesi ad un anno.

Il Garante aveva inoltre rilevato l’illegittimo sistema di conservazione sul server aziendale dei messaggi di posta elettronica inviati e ricevuti dai dipendenti, che ne consentiva la visualizzazione integrale da parte degli amministratori di sistema, senza che fosse stata fornita alcuna specifica informativa in merito.

Era stato inoltre evidenziato che l’Istituto Polifgrafico attuava una modalità di controllo del traffico telefonico mediante il sistema VoIP, che consentiva la registrazione e la prolungata conservazione dei dati del traffico, anche in questo caso senza che fosse stata fornita un’adeguata informazione ai dipendenti.

Il Garante aveva così ritenuto l’attività del Poligrafico in violazione della L. n. 300 del 1970, artt. 4 ed 8, (Statuto dei Lavoratori), per la possibilità di rilevare dati sensibili dei lavoratori senza aver acquisito il previsto consenso degli interessati (e conseguentemente anche in violazione degli artt. 11, 113 e 114 del Codice sulla protezione dei dati personali). Pertanto nel provvedimento si vietava al Poligrafico la conservazione e la categorizzazione dei dati di navigazione su Internet dei dipendenti, delle mail e delle chiamate telefoniche dei lavoratori, obbligando l’istituto ad informare gli interessati delle modalità trattamento dei loro dati personali. Il Garante aveva anche richiesto che fosse resa nota ai dipendenti l’identità degli amministratori di sistema abilitati ad accedere alle banche dati aziendali e che fosse assicurata la completezza del tracciamento di tutti gli accessi effettuati dagli amministratori.

Nel 2011 il Tribunale di Roma ha respinto il ricorso dell’Istituto Poligrafico e Zecca dello Stato contro il provvedimento del Garante, chiarendo che, come stabilito dall’art. 4 dello Statuto dei lavoratori, l’utilizzazione di impianti di controllo per esigenze organizzative e produttive è consentita al datore di lavoro solo in accordo con le rappresentanze sindacali o a seguito di obblighi di legge, mentre la loro utilizzazione è vietata se attuata per vigilare sull’attività dei lavoratori. Menzionando alcune pronunce precedenti, il tribunale ha evidenziato che le esigenze di tutela aziendale non possono rendere legittima la soppressione di diritti fondamentali del dipendente, come la riservatezza.

L’Istituto Poligrafico si è dunque rivolto alla Corte di Cassazione, sostenendo che  rimangono completamente fuori dal confine operativo della norma dello Statuto dei Lavoratori i controlli che abbiano ad oggetto non l’attività lavorativa, ma altri comportamenti tenuti dal lavoratore sul posto di lavoro, eventualmente anche illeciti, che espongano ad un pericolo i beni dell’azienda o concretino fatti potenzialmente dannosi per i terzi, con conseguente responsabilità del datore di lavoro. Un pericolo tanto più rilevante in quanto l’Istituto svolge attività di interesse pubblico quali la stampa della Gazzetta Ufficiale e della Raccolta ufficiale degli atti normativi della Repubblica italiana, la produzione di documenti identificativi della persona, di sistemi di sicurezza e anticontraffazione, di monete, ecc.

La Cassazione ha tuttavia ritenuto che il rilievo pubblicistico dei compiti affidati all’Istituto Poligrafico dello Stato non giustifica la violazione della normativa vigente, che intende assicurare garanzia ai diritti costituzionalmente riconosciuti ai lavoratori. A tal proposito, il giudice ha posto l’accento sul secondo comma dell’art.4 che prevede che i sistemi di controllo che siano richiesti da esigenze organizzative o per la sicurezza del lavoro, ma dai quali deriva anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere istallati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti.

Rigettando quindi il ricorso e avvallando le osservazioni presenti nella decisione del Tribunale di Roma, la Cassazione ha sottolineato la necessità di operare, in materia, un contemperamento tra i diritti del datore di lavoro e, in particolare, alla libera iniziativa economica ed alla protezione dei beni aziendali, con la tutela dei diritto del lavoratore, in primo luogo alla riservatezza.

frontespizioPresentiamo qui l’editoriale di Giusella Finocchiaro pubblicato su Quotidiano Nazionale e Il resto del Carlino il 15 settembre 2016.

La distinzione fra reale e virtuale non ha più senso in un mondo in cui comunichiamo e ci esprimiamo con tutti gli strumenti a disposizione, ma la dignità della persona, alla base dei diritti fondamentali dell’uomo come riconosce anche la Carta Europea, sembra avere perso ogni significato. Vicende angoscianti quelle delle ultime ore, che hanno visto come protagonista il web. Tiziana Cantone si è tolta la vita a causa della diffusione di video intimi in rete. Una ragazza di 17 anni violentata in discoteca a Rimini in condizioni di incapacità, come si è letto sui giornali, è stata filmata, nei momenti in cui si consumava l’abuso, dalle – presunte – amiche. Al di là dei sentimenti di cordoglio, angoscia, indignazione che il lettore prova (o dovrebbe provare) leggendo simili notizie, alcune considerazioni tecnico-giuridiche si possono svolgere, sulla base delle prime informazioni ricavate in queste ore dai media. Fughiamo subito ogni dubbio: la trasmissione di contenuti personali a un conoscente o a un amico non implica un consenso tacito alla diffusione o alla divulgazione di quei contenuti.

L’articolo continua su Quotidiano.net

posted by admin on luglio 18, 2016

Miscellanee

(No comments)

Il Garante per la protezione dei dati personali ha pubblicato un’infografica in cui sono sintetizzate le principali regole deontologiche per un corretto trattamento dei dati personali nelle pratiche commerciali.

Le regole formano il “Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale” che entrerà in vigore il 1° ottobre 2016. Il Codice disciplina un settore particolarmente importante per il mercato e fissa le modalità per il corretto utilizzo di banche dati e strumenti di analisi, nel rispetto della dignità e della riservatezza delle persone.

Il documento, redatto dal Garante per la protezione dei dati personali insieme a varie associazioni di categoria, imprenditoriali e dei consumatori interessate, dovrà essere adottato dalle società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager, che dovranno conformare il trattamento dei dati personali alle disposizioni in esso contenute.

Il codice di deontologia è disponibile QUI.

Infografica deontologia privacy

Obblighi rigorosi per le imprese che operano sui dati, trasparenza e tutela dei diritti, questi i principi fondamentali su cui si fonda il nuovo accordo fra EU e USA per gli scambi transatlantici di dati personali a fini commerciali.

Il 12 luglio 2016 la Commissione Europea ha completato la procedura di adozione del “EU-US Privacy Shield.” Lo scudo UE-USA per la privacy dà riscontro ai requisiti stabiliti dalla sentenza del 6 ottobre 2015 con cui la Corte di giustizia dell’Unione europea ha l’invalidato il vecchio regime, il Safe Harbour, in quanto ritenuto privo di sufficienti garanzie sulla tutela della riservatezza dei dati degli utenti europei trasferiti oltreoceano.

La decisione la Corte accoglieva il ricorso di un cittadino austriaco, Max Schrems, intrapreso nel 2013 nei confronti Facebook. Muovendo dalle rivelazioni del caso Snowden, Schrems aveva denunciato le violazioni al diritto alla riservatezza dei cittadini da parte della NSA, ritenendo perciò il diritto e le prassi statunitensi non sufficienti alla protezione dei dati trasferiti dall’Europa.

Con l’accordo del Privacy Shield gli Stati Uniti hanno escluso attività indiscriminate di sorveglianza di massa sui dati personali trasferiti negli Stati Uniti e hanno assicurato ufficialmente all’UE che l’accesso delle autorità pubbliche ai dati per scopi di applicazione della legge e di sicurezza nazionale è soggetto a limitazioni, garanzie e meccanismi di vigilanza precisi. Secondo le precisazioni fornite dall’Ufficio del Direttore dell’intelligence nazionale, la raccolta di dati in blocco sarà eventualmente ammissibile solo in presenza di determinati presupposti, e comunque si tratterà obbligatoriamente di una raccolta quanto più mirata e concentrata possibile.

Nel nuovo regime il Dipartimento del Commercio degli Stati Uniti sottoporrà le imprese aderenti allo scudo a verifiche e aggiornamenti periodici per accertare che rispettino nella pratica le regole che hanno volontariamente accettato. In caso contrario, l’impresa si espone a sanzioni e al depennamento dall’elenco degli aderenti.

Inoltre, il Privacy Shield permetterà a chiunque ritenga che  sia stato compiuto un abuso sui dati che lo riguardano il diritto a presentare una querela attraverso vari meccanismi di composizione delle controversie di agevole accesso e dal costo contenuto. Idealmente sarà l’impresa stessa a risolvere il caso di reclamo oppure saranno offerte gratuitamente soluzioni basate su un organo alternativo di composizione delle controversie (ADR). Le persone si potranno anche rivolgere alle rispettive autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale del Commercio per assicurare che i casi di reclamo sottoposti da cittadini dell’UE siano esaminati e risolti. Esperiti tutti gli altri mezzi a disposizione, come extrema ratio il caso irrisolto potrà essere sottoposto a arbitrato. Per i casi che implicano la sicurezza nazionale, i cittadini dell’UE dispongono di una possibilità di ricorso nella figura del mediatore, che è indipendente dai servizi d’intelligence degli Stati Uniti.

La Commissione europea e il Dipartimento del Commercio degli Stati Uniti effettueranno un’analisi annuale che consentirà di monitorare il funzionamento dello scudo, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e finalità di sicurezza nazionale.

Il nuovo regime scaturisce dall’accordo politico del 2 febbraio 2016 fra la Commissione europea e il governo degli Stati Uniti d’America. In seguito, la Commissione ha inserito varie precisazioni e ulteriori miglioramenti basandosi sui pareri espressi delle autorità europee di protezione dei dati (Gruppo dell’articolo 29) e dal garante europeo della protezione dei dati e sulla risoluzione del Parlamento europeo. In particolare, la Commissione europea e gli Stati Uniti hanno concordato ulteriori precisazioni sulla raccolta di dati in blocco, il rafforzamento del meccanismo di mediazione e una maggiore esplicitazione degli obblighi delle imprese quanto ai limiti applicabili alla conservazione e all’ulteriore trasferimento.

Presentiamo qui l’intervista a Giusella Finocchiaro pubblicata sulla Newsletter di LepidaSpa di giugno 2016.

Il Cloud Computing nell’ambito della PA continua a crescere. Si stanno predisponendo tutti gli strumenti per poter razionalizzare i comparti IT della PA e offrire servizi altamente performanti, ma in Europa il Cloud Computing sta vivendo una serie di criticità legate alla gestione e utilizzo di dati sensibili e alla mancanza di chiarezza riguardo la gestione dei dati.

Data la spinosa questione, abbiamo chiesto un parere a Giusella Finocchiaro Ordinario di Diritto privato e di Diritto di Internet presso l’Università di Bologna, Avvocato in Bologna. “Il cloud, tecnologia ormai largamente diffusa in diversi settori, è destinato a diventare la nuova struttura portante di Internet, ma accanto ai particolari benefici in termini di disponibilità ed elasticità di risorse sorgono alcune rilevanti problematiche connesse alla sicurezza dei dati che vengono così gestiti. In particolare, l’internazionalità che spesso caratterizza i servizi di cloud comporta la necessità di approntare misure adeguate ai dati personali oggetto di trasferimento verso Paesi terzi. Il rilievo costituzionale assunto dal diritto alla protezione dei dati personali in Europa impone infatti l’individuazione di prassi e garanzie che siano capaci di rispettare la scala di valori europea. Tra queste gli strumenti di tipo contrattuale, come le BCR e le clausole contrattuali standard, rappresentano gli espedienti più consoni in relazione alle peculiarità dei servizi cloud. Tuttavia, il legislatore europeo ha ampliato il novero delle misure che possono essere adottate dai Paesi terzi destinatari del flusso di dati europeo. Con il Regolamento (UE) 2016/679 codici di condotta e meccanismi di certificazione possono ora essere impiegati anche nel quadro dei trasferimenti di dati a garanzia dei diritti degli interessati. Gli stessi provider di servizi cloud appartenenti a Paesi terzi potranno dunque garantire un elevato livello di protezione dei dati personali attraverso queste garanzie di nuova introduzione.

L’articolo continua sulla newsletter di Lepida, disponibile QUI.

L’Article 29 Working Party ha pubblicato l’opinione 2/2016 sul trattamento dei dati personali nell’ambito del settore pubblico per finalità di trasparenza, approfondendo in particolare le misure anti-corruzione e la gestione e prevenzione dei conflitti di interesse.

Il documento illustra come applicare i principi di protezione dei dati in relazione alle informazioni che tipicamente sono richieste alla pubblica amministrazione che riguardano le sue attività e i suoi lavoratori e che solitamente sono pubblicate sui siti web degli enti. Si tratta infatti di informazioni che spesso includono anche dati personali e che vengono diffusi al pubblico soprattutto attraverso la rete.

L’Opinione è indirizzata alle autorità legislative degli Stati Membri, così come ai governi nazionali, agli uffici pubblici, alle agenzie a a tutte le istituzioni del settore pubblico che devono sottostare a speciali disposizioni anti-corruzione, a misure per la prevenzione dei conflitti di interesse e altri obblighi di trasparenza.

Il testo, disponibile in inglese, è pubblicato QUI.