Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

La Suprema Corte ha condannato la Zecca dello Stato poiché monitorava, in violazione di alcune norme dello Statuto dei Lavoratori, la navigazione web, le posta elettronica e le telefonate dei suoi dipendenti.

Con sentenza del 19 settembre 2016, n. 18302, la Corte di Cassazione ha stabilito l’illegittimità dell’attività di memorizzazione e conservazione sul server aziendale della posta elettronica, delle telefonate e della navigazione web del lavoratore senza la preventiva procedura di autorizzazione prevista dallo Statuto dei lavoratori e dal Codice in materia di protezione dei dati personali.

I fatti alla base della decisione sono questi: in un provvedimento sanzionatorio del 2011 il Garante per la protezione dei dati personali aveva evidenziato che il servizio di navigazione in Internet predisposto dall’Istituto Poligrafico e Zecca dello Stato per i propri dipendenti non si limitava ad impedire l’accesso a siti web non inerenti l’attività lavorativa, ma memorizzava ogni accesso a qualunque sito, ed anche ogni tentativo di accesso, generando la possibilità di ricostruire la navigazione di ogni singolo lavoratore. I dati di navigazione dei dipendenti venivano inoltre conservati nel sistema per una durata variabile da sei mesi ad un anno.

Il Garante aveva inoltre rilevato l’illegittimo sistema di conservazione sul server aziendale dei messaggi di posta elettronica inviati e ricevuti dai dipendenti, che ne consentiva la visualizzazione integrale da parte degli amministratori di sistema, senza che fosse stata fornita alcuna specifica informativa in merito.

Era stato inoltre evidenziato che l’Istituto Polifgrafico attuava una modalità di controllo del traffico telefonico mediante il sistema VoIP, che consentiva la registrazione e la prolungata conservazione dei dati del traffico, anche in questo caso senza che fosse stata fornita un’adeguata informazione ai dipendenti.

Il Garante aveva così ritenuto l’attività del Poligrafico in violazione della L. n. 300 del 1970, artt. 4 ed 8, (Statuto dei Lavoratori), per la possibilità di rilevare dati sensibili dei lavoratori senza aver acquisito il previsto consenso degli interessati (e conseguentemente anche in violazione degli artt. 11, 113 e 114 del Codice sulla protezione dei dati personali). Pertanto nel provvedimento si vietava al Poligrafico la conservazione e la categorizzazione dei dati di navigazione su Internet dei dipendenti, delle mail e delle chiamate telefoniche dei lavoratori, obbligando l’istituto ad informare gli interessati delle modalità trattamento dei loro dati personali. Il Garante aveva anche richiesto che fosse resa nota ai dipendenti l’identità degli amministratori di sistema abilitati ad accedere alle banche dati aziendali e che fosse assicurata la completezza del tracciamento di tutti gli accessi effettuati dagli amministratori.

Nel 2011 il Tribunale di Roma ha respinto il ricorso dell’Istituto Poligrafico e Zecca dello Stato contro il provvedimento del Garante, chiarendo che, come stabilito dall’art. 4 dello Statuto dei lavoratori, l’utilizzazione di impianti di controllo per esigenze organizzative e produttive è consentita al datore di lavoro solo in accordo con le rappresentanze sindacali o a seguito di obblighi di legge, mentre la loro utilizzazione è vietata se attuata per vigilare sull’attività dei lavoratori. Menzionando alcune pronunce precedenti, il tribunale ha evidenziato che le esigenze di tutela aziendale non possono rendere legittima la soppressione di diritti fondamentali del dipendente, come la riservatezza.

L’Istituto Poligrafico si è dunque rivolto alla Corte di Cassazione, sostenendo che  rimangono completamente fuori dal confine operativo della norma dello Statuto dei Lavoratori i controlli che abbiano ad oggetto non l’attività lavorativa, ma altri comportamenti tenuti dal lavoratore sul posto di lavoro, eventualmente anche illeciti, che espongano ad un pericolo i beni dell’azienda o concretino fatti potenzialmente dannosi per i terzi, con conseguente responsabilità del datore di lavoro. Un pericolo tanto più rilevante in quanto l’Istituto svolge attività di interesse pubblico quali la stampa della Gazzetta Ufficiale e della Raccolta ufficiale degli atti normativi della Repubblica italiana, la produzione di documenti identificativi della persona, di sistemi di sicurezza e anticontraffazione, di monete, ecc.

La Cassazione ha tuttavia ritenuto che il rilievo pubblicistico dei compiti affidati all’Istituto Poligrafico dello Stato non giustifica la violazione della normativa vigente, che intende assicurare garanzia ai diritti costituzionalmente riconosciuti ai lavoratori. A tal proposito, il giudice ha posto l’accento sul secondo comma dell’art.4 che prevede che i sistemi di controllo che siano richiesti da esigenze organizzative o per la sicurezza del lavoro, ma dai quali deriva anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere istallati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti.

Rigettando quindi il ricorso e avvallando le osservazioni presenti nella decisione del Tribunale di Roma, la Cassazione ha sottolineato la necessità di operare, in materia, un contemperamento tra i diritti del datore di lavoro e, in particolare, alla libera iniziativa economica ed alla protezione dei beni aziendali, con la tutela dei diritto del lavoratore, in primo luogo alla riservatezza.

posted by admin on luglio 18, 2016

Miscellanee

(No comments)

Il Garante per la protezione dei dati personali ha pubblicato un’infografica in cui sono sintetizzate le principali regole deontologiche per un corretto trattamento dei dati personali nelle pratiche commerciali.

Le regole formano il “Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale” che entrerà in vigore il 1° ottobre 2016. Il Codice disciplina un settore particolarmente importante per il mercato e fissa le modalità per il corretto utilizzo di banche dati e strumenti di analisi, nel rispetto della dignità e della riservatezza delle persone.

Il documento, redatto dal Garante per la protezione dei dati personali insieme a varie associazioni di categoria, imprenditoriali e dei consumatori interessate, dovrà essere adottato dalle società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager, che dovranno conformare il trattamento dei dati personali alle disposizioni in esso contenute.

Il codice di deontologia è disponibile QUI.

Infografica deontologia privacy

Il Garante Privacy ha dato parere favorevole su due provvedimenti Agid relativi allo Spid, il sistema pubblico per la gestione dell’identità digitale di cittadini e imprese.

I provvedimenti riguardano l’aggiornamento dello schema di regolamento delle modalità attuative per la realizzazione del sistema e lo schema convenzionale dei rapporti fra Agid e gestori dell’identità digitale.

Le modifiche sono volte alla crescita della sicurezza informatica, della protezione dei dati, in particolare alla migliore definizione delle modalità di conservazione dei documenti relativi all’identità digitale e all’utilizzo delle credenziali dell’utente, oltre che alle procedure di sospensione e revoca dei gestori.

Sono inoltre stabiliti gli obblighi dei gestori per il trattamento dei dati, le misure e gli strumenti di sicurezza, le garanzie per la protezione dei dati nei casi di utilizzo di soggetti esterni per la fornitura dell’identità digitale.

Da una nota del Garante, si apprende che l’elaborazione degli articoli è maturata dal confronto tra Agid e l’Ufficio del Garante, con l’apporto dei risultati del tavolo tecnico.

Per ciò che riguarda ogni eventuale violazione, sono definite le modalità di comunicazione dei gestori e le procedure che Agid dovrà avviare nei loro confronti per ogni adempienza.

Da uno studio condotto da Federprivacy nell’agosto 2014 risulta che il 67% dei siti web italiani non è in regola con gli adempimenti in materia di trattamento dei dati personali degli utenti.

“Su 2.500 siti web di enti e imprese italiane, in 1.690 casi non è rispettato l’obbligo di informare l’interessato su come saranno trattati i suoi dati personali in violazione dell’art. 13 del Codice della Privacy, e in molti casi non è rispettata neppure la richiesta di consenso al trattamento dei dati di cui all’art.23. Nel 55% dei casi, a non dare idonea informativa all’interessato, sono piccole e medie imprese, mentre il 17% dei siti web che omettono di dare l’informativa svolgono attività in settori legati alla salute, e che quindi trattano dati sensibili, come ad esempio, ospedali, cliniche, laboratori di analisi, studi medici, dentisti, chirurghi, etc.

Significativo il fatto che nel 7% dei casi, a commettere tali violazioni siano aziende informatiche, come web agency o società di consulenza nel settori di internet, che spesso sviluppano esse stesse numerosi altri siti web per i loro clienti. Risulta inoltre che il 6% dei contravventori sono soggetti di condizioni economiche e dimensionali notevoli, come grandi aziende, multinazionali, enti pubblici, e anche personalità come artisti, politici ed altri vip.”

Questi i risultati della ricerca condotta dalla Federazione Italiana Privacy nell’agosto 2014. Lo studio è stato consegnato al Garante Privacy e alla Presidenza della Repubblica.

La seguente immagine – tratta dalla ricerca di Federprivacy –  mostra un dettaglio delle attività professionali relative ai siti non in regola.Schermata 2014-09-24 alle 00.59.49

OptimeOptime organizza un convegno volto ad analizzare le recenti novità e la principale prassi operativa nell’attuazione degli obblighi di pubblicazione dei dati sui siti web delle Pubbliche Amministrazioni e delle società partecipate (D. Lgs. n. 33/2013).

Gli interventi approfondiranno le disposizioni contenute nelle recenti linee guida del Garante per la protezione dei dati personali in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati. Obiettivo dell’incontro è presentare un quadro dettagliato e completo dei principali obblighi e delle relative responsabilità, mettendo a disposizione dei partecipanti strumenti operativi e indicazioni pratiche per aggiornare le proprie competenze professionali.

Il convegno si terrà a Milano il 23 e 24 settembre presso il Grand Hotel et de Milan.

La Prof. Giusella Finocchiaro interverrà nella prima giornata di lavori con una relazione su “I diritti degli interessati, gli obblighi dei soggetti preposti e la tutela giurisdizionale dei dati personali”. La relazione approfondirà il tema dei diritti degli interessati al trattamento, gli obblighi dei responsabili e degli incaricati al trattamento e il ricorso in sede giurisdizionale.

Parteciperanno in qualità di relatori, anche rappresentanti del Garante per la privacy, della Presidenza del Consiglio dei Ministri, del Dipartimento della Funzione Pubblica e della magistratura contabile e amministrativa.

Il seminario è rivolto ai dirigenti e ai funzionari delle Pubbliche Amministrazioni e degli enti partecipati, responsabili o coinvolti nell’attuazione degli obblighi di pubblicazione dei dati sui siti web.

Per i dettagli dell’evento e per le iscrizioni si rimanda al sito di Optime.

Il provvedimento del Garante per la protezione dei dati personali sulla firma grafometrica non è ancora il provvedimento generale atteso dal mercato. Questa precisazione pare necessaria considerate alcune voci infondate che si sono diffuse e, come sempre, cerchiamo di fare chiarezza.

Il provvedimento del Garante è ancora un provvedimento di natura individuale: cioè un provvedimento concernente una richiesta specifica: quella di Fineco, basata su una soluzione specifica di grafometrica di Namirial e di gestione documentale di In.TE.SA.
Il provvedimento generale del Garante privacy, ovviamente, non potrà fare riferimento a soluzioni specifiche.
L’importanza di questo provvedimento è comunque evidente.
È il primo provvedimento del Garante sulla firma grafometrica come firma elettronica avanzata per la sottoscrizione di contratti ambito bancario. Negli altri due provvedimenti del Garante del 31 gennaio scorso (Unicredit e Cariparma) la firma grafometrica era meccanismo di autenticazione. L’identificazione resta, ovviamente, de visu.
Si conferma che la “firma grafometrica” possa essere una “firma elettronica avanzata”.
Si conferma una procedura molto diffusa nel mercato e l’attenzione massima sulla sicurezza del processo. E da questo provvedimento si possono trarre molte indicazioni al riguardo.
Si conferma, infine, l’attuabilità della firma grafometrica in mobilità.

Il Garante per la protezione dei dati personali torna con un recente provvedimento ad occuparsi delle soluzioni di firma elettronica avanzata implementate nel settore bancario ed in particolare delle misure di sicurezza da adottare per un corretto trattamento dei dati, eventualmente anche di natura biometrica, la cui raccolta è strumentale alla fornitura delle soluzioni.

Il provvedimento denominato “Sistema per la sottoscrizione in forma elettronica di atti, contratti e altri documenti relativi a prodotti e servizi offerti da una banca” del 12 settembre scorso offre diversi spunti di riflessione.

Senza entrare eccessivamente nel merito della descrizione delle caratteristiche tecnologiche della soluzione adottata nel caso sottoposto all’attenzione del Garante, occorre evidenziare in primo luogo che il Garante, riferendosi espressamente alle Regole tecniche in materia di firme elettroniche, pone l’accento sulla strumentalità dei dati personali, anche di natura biometrica, ai fini della generazione della firma elettronica avanzata e conseguentemente sul rispetto del principio di necessità del trattamento di cui al combinato disposto degli artt. 3 ed 11 del Codice.

Il Garante, inoltre, pur rilevando la necessità di richiedere ai firmatari il consenso previa adeguata e completa informativa, evidenzia come il trattamento dei dati strumentale alla fornitura di soluzioni di firma elettronica avanzata può costituire un efficace strumento probatorio, a tutela dell’interessato, in caso di eventuali contenziosi legati al disconoscimento della sottoscrizione apposta. Si legge, infatti, nel provvedimento: “(…) l’utilizzo della soluzione proposta potrebbe efficacemente contribuire, attraverso la garanzia di autenticità, non ripudio e integrità dei documenti sottoscritti elettronicamente, a conferire maggiore certezza nei rapporti giuridici intercorrenti con gli utenti”.

Ed ancora, dopo aver richiamato espressamente gli articoli di legge che impongono la forma scritta per i contratti bancari e quindi ribadita, sia pure implicitamente, l’idoneità della firma elettronica avanzata a soddisfare il requisito della forma scritta ad substantiam, compie un’importante affermazione di politica economica del diritto, sostenendo che: la firma cosiddetta grafometrica “asseconda legittime esigenze organizzative della società”.

Infine, il provvedimento richiama l’attenzione sulle necessarie misure di sicurezza da adottare al fine di ridurre, fra l’altro, i rischi di installazione abusiva di software o di modificazione della configurazione dei dispositivi adottati, nonché sulla necessità di adottare policy per la gestione degli incidenti di sicurezza e sulla necessità, nel caso in cui il titolare del trattamento si avvalga di soggetti esterni per l’adozione delle misure di sicurezza, di ottenere dall’installatore una descrizione scritta degli interventi effettuati che ne attesti la conformità alla normativa vigente.

posted by admin on marzo 7, 2013

Miscellanee

(No comments)

whatsappIl Garante per la privacy italiano ha contattato la società produttrice di WhatsApp per ottenere informazioni sulle modalità del trattamento dei dati degli utenti.

Dopo i recenti accertamenti avviati sul trattamento dei dati personali da parte di Skype, Il Garante per la protezione dei dati sta ora raccogliendo informazioni sulla politica in materia di privacy del servizio di messaggistica istantanea per smartphone WhatsApp.

L’interesse del Garante verso la nota app deriva dai risultati un recente rapporto delle Autorithy per la privacy canadesi e olandesi che ha portato alla luce alcune caratteristiche dell’applicazione che potrebbero comportare implicazioni e rischi specifici per la protezione dei dati personali degli utenti.

Innanzitutto, per poter utilizzare il servizio, gli utenti di WhatsApp  sono costretti ad autorizzare l’applicazione ad accedere alla propria rubrica dei contatti e quindi a raccogliere dati personali di soggetti terzi che non hanno modo di esprimere il consenso al trattamento dei loro dati. Secondariamente, il rapporto ha evidenziato alcune possibili criticità nelle misure di sicurezza adottate dall’app, in particolare riguardo alla conservazione dei dati trattati e al loro accesso da parte di terzi non autorizzati.

Il Garante italiano ha dunque contattato la società californiana produttrice di  WhatsApp chiedendo di chiarire una serie di aspetti: quali tipi di dati personali degli utenti vengono raccolti e usati al momento dell’iscrizione e nel corso dell’erogazione dei servizi di messaggistica e condivisione file; come vengono conservati e protetti questi dati; le misure adottate (es. cifratura, generazione di credenziali etc.) per limitare il rischio di accesso da parte di soggetti diversi dagli interessati e, in particolare, se siano stati previsti sistemi contro gli attacchi tipo “man in the middle”, volti ad acquisire illecitamente il contenuto dei messaggi scambiati mediante l’applicazione.

L’Autorità ha inoltre chiesto di sapere per quanto tempo vengono conservati i dati degli utenti e il numero degli account riferibili a quelli italiani.

Si rimane in attesa di una risposta da parte della società americana.

Pubblicate le motivazioni della sentenza di secondo grado del caso Google vs. Vividown, conclusosi con l’assoluzione di Google dall’accusa di violazione della legge sulla privacy.

Com’è ormai noto, quello che può essere considerato il più noto caso italiano in materia di diritto su Internet si è concluso con l’assoluzione di Google.

Lo scorso dicembre la Corte d’Appello di Milano, ribaltando la precedente sentenza, ha assolto con formula piena i tre dirigenti di Google, David Drummond, George De Los Reyes e Peter Fleischer, perché il fatto non sussiste.

Nel 2010, i tre manager erano stati condannati dal tribunale di Milano a sei mesi di carcere a causa della diffusione su Google video di un filmato in cui un ragazzino disabile veniva umiliato dai compagni di classe. Il giudice di primo grado aveva ravvisato nella vicenda una responsabilità della dirigenza di Google a causa della vaghezza delle indicazioni in materia di privacy che Google Video riserva agli utenti che praticano l’upload degli audiovisivi.

Le motivazioni della Corte d’Appello, pubblicate il 27 febbraio 2013, individuano tuttavia la responsabilità del trattamento dei dati nell’uploader del video e non nella piattaforma di hosting. Pertanto la violazione non sarebbe in capo a Google, ma ai responsabili della pubblicazione online del video (nello specifico, una studentessa minorenne di Torino).

Per un’analisi dettagliata delle motivazioni della sentenza si rimanda al post della Prof. Giusella Finocchiaro. Le motivazioni della sentenza sono disponibili QUI.