Lavoro: timbrare il cartellino presenze con la app

L'azienda potrà installare l'applicazione sullo smartphone del dipendente, che potrà optare comunque su sistemi di verifica consueti. Un'icona informerà il lavoratore che il servizio di geolocalizzazione è in funzione.

Si potrà usare una app per timbrare il cartellino di presenza, ma solo a patto di garantire la privacy del lavoratore. A dettare le regole sulla possibilità di utilizzare lo smartphone per rilevare l’orario di inizio e fine della giornata lavorativa è stato il Garante della Privacy che ha accolto la richiesta di due società (Manpower srl e Manpower Italia srl) che vorrebbero monitorare il lavoro dei dipendenti con contratto di somministrazione impiegati fuori sede.

Secondo le due società l’adozione della app permetterà di snellire le procedure relative alla gestione amministrativa del personale che opera fuori sede. Il Garante ha accolto la richiesta, in applicazione della disciplina sul “bilanciamento di interessi”, ma ha elencato una serie di paletti da rispettare: prima di tutto, le società dovranno perfezionare il sistema tenendo conto della privacy del dipendente applicando il principio di necessità. In più, secondo il Garante è necessario limitare la geolocalizzazione dei dipendenti: in particolare, verificata l’associazione tra le coordinate geografiche della sede di lavoro e la posizione del lavoratore, il sistema potrà conservare ˗solo il dato relativo alla sede di lavoro (oltre a quello sulla data e l’orario della “timbratura” virtuale), cancellando però il dato relativo alla posizione del lavoratore.

Il lavoratore, inoltre, dovrà essere avvisato di essere osservato dall’azienda: per farlo il Garante impone che la app preveda una icona sempre ben visibile sullo schermo dello smartphone del dipendente, in modo da avvertirlo che la funzione di localizzazione sia attiva. L’applicazione installata dall’azienda non potrà interagire con gli altri dati contenuti nel dispositivo di proprietà del lavoratore (ad esempio, dati relativi al traffico telefonico, agli sms, alla posta elettronica, alla navigazione in internet o altre informazioni presenti sul dispositivo).

L'applicazione - progettata dalla società Peoplelink - permette al dipendente di accedere attraverso un "nome utente" e una password. Dopo l'accesso, il lavoratore o la lavoratrice vedranno una cartina sul cellulare. Su questa cartina, il puntino rosso indicherà dove il lavoratore o la lavoratrice si trovano. A questo punto - se ritiene di essere localizzata in modo preciso - questa persona segnalerà l'inizio della giornata lavorativa, come anche la fine del lavoro. In questo modo, timbrerà di fatto l'entrata e l'uscita. A quel punto, l'applicazione comunicherà il luogo dove si trova la persona ad un referente della sua azienda, che potrà verificare se si trova per davvero in ufficio. Viceversa l'app non è in grado di "tracciare" - cioè di pedinare passo passo - il dipendente mentre sta lavorando.

La scelta di introdurre un sistema di timbratura virtuale deriva dalle difficoltà che hanno le società di somministrazione lavoro di monitorare i dipendenti che sono assunti dall’agenzia ma che vengono impiegati dalle società utilizzatrici. Il contratto di somministrazione, infatti, prevede che sia l’agenzia somministratrice (parte datoriale del rapporto) a corrispondere l’intera retribuzione (e i relativi contributi previdenziali). La società utilizzatrice, poi, rimborsa l’agenzia per il costo del dipendente.

L'azienda dovrà mettere in conto che i sistemi di geolocalizzazione non sono sempre precisi. Dunque, l'applicazione dovrà essere progettata con un margine di tolleranza adeguato. Il lavoratore peraltro ha diritto a sapere - anche solo buttando l'occhio sull'applicazione - che la geolocalizzazione è attiva e in funzione. Negli archivi elettronici dell'azienda, le informazioni saranno conservate solo per il tempo strettamente necessario (non ha senso mantenere i dati, una volta accertato che il dipendente ha rispettato i suoi impegni).

Viceversa l'applicazione non potrà trattare, neanche in modo accidentale, altri dati archiviati nel dispositivo, essendo questo di proprietà del lavoratore (traffico telefonico, sms, posta elettronica, navigazione in Internet). Prima dell'avvio del nuovo sistema di accertamento delle presenze, peraltro, i dipendenti dovranno ricevere un'informativa sull'applicazione (con la tipologia dei dati trattati, le finalità e modalità del trattamento, i tempi di conservazione, la natura facoltativa della cosa, i soggetti che possono venire a conoscenza dei dati in qualità di responsabili o incaricati del trattamento, in particolare presso la Peoplelink). Le società dovranno adottare tutte le misure di sicurezza per evitare che persone non autorizzate accedano ai dati.

Le due società hanno spiegato al Garante che l'applicazione permette di risparmiare perché l'azienda non deve dotarsi di lettori fisici e cartellini. Peraltro, questi lettori sono soggetti a rompersi e queste avarie hanno creato incomprensioni tra i lavoratori, impossibilitati a timbrare, e le imprese, impossibilitate a verificare. Manpower e Manpower Italia hanno fatto riferimento anche alle "timbrature di comodo", che sono sempre in agguato soprattutto quando un dipendente è distaccato presso altre aziende.

L'Agenzia dell'Entrate diventa social colloquia su Facebook

L'Agenzia delle Entrate inaugura la sua pagina Facebook ed entra in contatto con i cittadini per offrire una prima informazione su un tema di stretta attualità: il canone tv nella bolletta elettrica. Il servizio, realizzato dalle Entrate a costo zero e fornito sulla piattaforma Messenger, è un'innovazione destinata a cambiare radicalmente il rapporto con i contribuenti, che potranno dialogare con il Fisco in tempo reale e in maniera semplice, anche dal proprio smartphone, attraverso il social network più popolare in Italia, con 23 milioni di utenti che si collegano almeno una volta al giorno. Agenzia delle Entrate su Facebook e comunicazione in tempo reale via Messenger. Si potenzia così la presenza del Fisco sui social media, dopo i canali Twitter e YouTube, proponendosi non più solo come vetrina informativa su novità e adempimenti  ma anche come sportello virtuale di dialogo, accessibile da Desktop e Mobile.

Dal 18 luglio ciascuno potrà inviare le proprie domande alla pagina Facebook all’Agenzia delle entrate (attraverso l’applicazione Facebook Messenger): la risposta arriverà entro 24 ore o, nei casi in cui il quesito richieda un approfondimento, entro 5 giorni dalla richiesta. Non solo canone Rai in bolletta: via via l’assistenza dell’Agenzia via Facebook si amplierà e cercherà di risolvere i dubbi più comuni dei contribuenti.

Su Facebook e su tutti i canali social debuttano anche i filmati realizzati in collaborazione con l’Ente Nazionale Sordi per fornire informazioni nella lingua dei segni(Lis).

Per chi sceglie di utilizzare l’applicazione Facebook Messenger, scrivendo la propria domanda, la risposta arriva entro 24 ore o, nei casi in cui il quesito richieda un approfondimento, entro 5 giorni.
Per il momento, lo sportello social di prima informazione è dedicato al Canone RAI (ma sarà poi esteso a tutte le tematiche fiscali): sulla pagina Facebook ci sono i link ai contenuti informativi già presenti sul sito delle Entrate, come le risposte alle domande più frequenti, che possono servire a risolvere i primi dubbi, e le indicazioni per accedere a #EntrateinContatto, ponendo domande specifiche.

Il Fisco assicura il pieno rispetto della privacy: al contribuente che chiede informazioni non vengono richiesti dati personali, gli eventuali dati sensibili contenuti nei post su Facebook verranno rimossi, le informazioni scambiate non verranno utilizzati per altri scopi, ma serviranno solo a fornire al contribuente indicazioni utili per adempiere agli obblighi fiscali.

Infatti, l’Agenzia non richiederà alcun dato personale, ma si limiterà a rispondere a dubbi e aiutare i contribuenti ad adempiere correttamente agli obblighi fiscali. Il trattamento dei dati personali degli utenti risponderà, comunque, alle policy in uso sulla piattaforma Facebook, mentre i dati sensibili postati in commenti o post pubblici verranno rimossi. Le informazioni scambiate non saranno utilizzate per altri scopi, ma serviranno solo per aiutare e indirizzare i contribuenti nella soluzione dei loro quesiti.

Lavoro dipendente: i controlli a distanza non soggetti ad accordo sindacale

Il Jobs Act ha innovato la disciplina dei controlli a distanza, contenuta nel nuovo comma 2 dell’art. 4 della legge n. 300/1970. L’obbligo del preventivo accordo sindacale o, in mancanza, dell’autorizzazione amministrativa non si applica nel caso di strumenti utilizzati per eseguire la prestazione o per rilevare accessi/presenze. Per definire l’ambito applicativo della norma occorre verificare se lo strumento sia utilizzato per eseguire la prestazione; infatti soltanto per tali strumenti il controllo è affrancato dal preventivo accordo sindacale o dalla autorizzazione amministrativa.

La sentenza emessa dalla Corte dei diritti umani il 12 gennaio 2016 conferma il Jobs Act in tema di controllo a distanza. I Giudici di Strasburgo hanno infatti stabilito che, in determinate condizioni, il datore di lavoro ha il diritto di monitorare il dipendente durante l’attività lavorativa quando questo utilizza strumenti per svolgere le proprie mansioni; nel caso in cui riscontri violazioni può utilizzare le informazioni raccolte ai fini del licenziamento.

Secondo il nuovo art. 4 dello Statuto dei Lavoratori il datore di lavoro può  installare, previo accordo sindacale, strumenti dai quali derivi anche la possibilità di controllo a distanza, esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale; inoltre ha piena libertà decisionale per quanto riguarda gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (computer, device mobili, ecc.) e quelli di registrazione di accessi e presenze; le informazioni così raccolte sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal Codice Privacy.

E’ importante sottolineare come la Corte abbia tenuto conto che, l’accesso all’account personale (e non quello aziendale) del dipendente era giustificato dalla convinzione che questi stesse utilizzando lo strumento per svolgere proprie mansioni. Su tali presupposti i giudici di Strasburgo hanno ritenuto ragionevole e giustificato porre in essere un’attività di controllo volta a verificare che i dipendenti stiano svolgendo correttamente il proprio lavoro. Anche perché il monitoraggio riguardava il solo strumento di lavoro, ossia le comunicazioni sul Yahoo Messenger. I Giudici quindi hanno concluso che il controllo del datore di lavoro è stato svolto all’interno di determinati limiti ed è stato proporzionato.

Le ragioni dell’azienda
L’azienda aveva politiche lavorative scritte, chiare e comunicate a tutti i dipendenti;

l’azienda ha il diritto di controllare il corretto svolgimento dell’attività lavorativa dei dipendenti se tale verifica è circoscritta e proporzionata;

l’attività di controllo, quando i dipendenti hanno accesso a Internet deve prevedere le minacce al sistema IT aziendale.

Le ragioni del lavoratore
La sentenza sarebbe forse potuta essere diversa se il dipendente avesse provato in giudizio che:

la propria condotta non aveva comportato danni (sotto molteplici profili) all’azienda;
il comportamento assunto trovava giustificazione in termini personali ed economici (es.: un cellulare costava troppo);

l’attività di controllo dell’azienda era stata svolta senza garanzie e i dati personali erano stati diffusi in maniera non giustificata.

Conclusioni
Sicuramente, l’atteggiamento dei Tribunali a seguito dell’adozione di normative quali il Jobs Act permettono ai datori di lavoro di avere maggiore libertà in tema di controllo dei dipendenti. Ma è fondamentale sottolineare che questo sarà possibile sempre, solo e soltanto quando l’impresa si metta in condizioni strutturali e imprenditoriali tali da rendere il controllo giustificato, circoscritto e proporzionato.

L’articolo 23 del d.lgs n. 151/2015  modifica l’articolo 4 dello  Statuto dei Lavoratori,  per rimodulare la fattispecie integrante il divieto dei controlli a distanza, nella consapevolezza di dover tener conto, nell’attuale contesto produttivo, oltre agli impianti audiovisivi, anche degli altri strumenti «dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori» e di quelli «utilizzati dal lavoratore per rendere la prestazione lavorativa».

Nella sua formulazione originaria l’articolo 4  stabiliva un divieto assoluto di utilizzo di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori. Al secondo comma, invece, il divieto cadeva, soltanto a condizione che il datore di lavoro avesse osservato quanto ivi tassativamente previsto, in quanto era stabilito che gli impianti e le apparecchiature di controllo «che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori»  potevano essere installati previo accordo con le Rappresentanze Sindacali presenti in Azienda o, in caso di mancato accordo, previa autorizzazione della DTL territorialmente competente.

La Corte di Cassazione ha recentemente confermato che le garanzie poste in materia di divieto di controlli a distanza dal secondo comma dell’articolo 4 dello Statuto si applicano ai controlli difensivi, volti ad accertare comportamenti illeciti dei lavoratori «quando, però, tali comportamenti riguardino l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, e non, invece, quando riguardino la tutela di beni estranei al rapporto stesso», stabilendo che sono legittimi quei controlli diretti ad accertare comportamenti illeciti del lavoratore e lesivi del patrimonio aziendale.

Lo scopo della norma  è quello di adeguare, da un lato, l’esigenza afferente all’organizzazione del lavoro e della produzione posta in essere dal datore e, dall’altro, il diritto del prestatore a non vedere sottoposto ad un controllato a distanza lo svolgimento delle sue attività nel luogo di lavoro, «individuando una precisa procedura esecutiva e gli stessi soggetti partecipi»).

Per quanto riguarda l’installazione e l’utilizzo degli strumenti di cui al primo comma, è stata confermata una procedura di co gestione fra datore di lavoro e Rappresentanze Sindacali (RSU o RSA) – che trova luogo tramite un Accordo con le rappresentanze sindacali presenti nelle diverse unità produttive dell’azienda ai fini  dell’installazione e dell’utilizzo dell’impianto di controllo – preliminare rispetto all’installazione degli strumenti, il cui esito negativo porta il datore a richiedere l’autorizzazione amministrativa della DTL competente.
L’installazione e l’impiego di tali strumenti necessitano della esclusiva sussistenza di esigenze organizzative e produttive, di sicurezza  del  lavoro di tutela del patrimonio aziendale, costituendo, queste, i presupposti per la stipula preventiva dell’Accordo sindacale o dell’autorizzazione della DTL.

Inoltre, tutte le informazioni raccolte con i mezzi di controllo devono essere utilizzati nel rispetto della disciplina sulla privacy. Gli accordi sindacali con Rsu e Rsa restano invece indispensabili per gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dei lavoratori, che «possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale». In alternativa, se l'impresa ha più unità produttive in diverse province o regioni, l'accordo si fa con i sindacati comparativamente più rappresentativi sul piano nazionale.

In assenza dell'accordo serve l'autorizzazione della Direzione territoriale del lavoro o, nel secondo caso, del ministero del Lavoro.

Questa disposizione, come prosegue la nuova norma, tuttavia, «non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze». E i dati raccolti possono essere utilizzati «a tutti i fini connessi al rapporto di lavoro, a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli» sempre «nel rispetto del Codice sulla privacy.

Garante della privacy: il datore di lavoro non può spiare le conversazioni dei dipendenti

Con provvedimento del 4 giugno del 2015, l’Autorità Garante per la protezione dei dati personali ha affermato che “il datore di lavoro non può spiare le conversazioni dei dipendenti”. Il contenuto di comunicazioni di tipo elettronico o telematico scambiate dai dipendenti nell'ambito del rapporto di lavoro godono di garanzie di segretezza tutelate anche a livello costituzionale.

Il principio è stato rinnovato dal Garante privacy nell'accogliere il ricorso proposto da una dipendente che lamentava l'illecita acquisizione di conversazioni, avute con alcuni clienti/fornitori, poste poi alla base del suo licenziamento.

A seguito del provvedimento del Garante, il datore di lavoro non potrà effettuare alcun trattamento dei dati personali contenuti nelle conversazioni ottenute in modo illegittimo, limitandosi alla conservazione di quelli finora raccolti ai fini di una eventuale acquisizione da parte dell'autorità giudiziaria.

Nel caso esaminato, rileva il Garante, il datore di lavoro è in corso in una grave interferenza nelle comunicazioni, attuata, per sua stessa ammissione, attraverso l'installazione di un software sul computer assegnato alla dipendente in grado di visualizzare sia le conversazioni effettuate dalla ricorrente dalla propria postazione di lavoro prima di uscire dall'azienda, sia quelle avvenute successivamente da un computer collocato presso la propria abitazione.

Una procedura, secondo il Garante, in evidente contrasto con le "Linee guida del Garante per posta elettronica e Internet" e con le disposizioni poste dall'ordinamento a tutela della segretezza delle comunicazioni, nonché con la stessa policy aziendale approvata anche dalla competente Direzione territoriale del lavoro. Pur spettando, infatti, al datore di lavoro definire le modalità di utilizzo degli strumenti aziendali, occorre comunque che queste rispettino la libertà e la dignità dei lavoratori, nonché i principi di correttezza (secondo cui le caratteristiche essenziali dei trattamenti di dati devono essere rese note ai lavoratori), di pertinenza e non eccedenza stabiliti dal Codice privacy. Principi questi da tenere ben presenti, in considerazione del fatto che l'esercizio del controllo da parte del datore di lavoro può determinare la raccolta di informazioni personali, anche non pertinenti, di natura sensibile oppure riferite a terzi.

Infatti, afferma il Garante, pur spettando al datore di lavoro definire le modalità di utilizzo degli strumenti aziendali, occorre comunque che queste rispettino la libertà e la dignità dei lavoratori, nonché i principi di correttezza, di pertinenza e non eccedenza stabiliti dal Codice privacy.

A tal fine il Garante per la protezione dei dati personali ha pubblicato, sul proprio sito internet, la Newsletter n. 406 del 28 settembre 2015, con la quale, tra le altre cose, tratta della materia delle conversazioni telefoniche in azienda. Nel documento il Garante della privacy ha sottolineato che il datore di lavoro non può spiare le conversazioni Skype dei propri dipendenti. Il contenuto di comunicazioni di tipo elettronico o telematico scambiate dai dipendenti anche nell’ambito del rapporto di lavoro godono di garanzie di segretezza tutelate anche a livello costituzionale.

Ricordiamo che il tema del trattamento dei dati personale mediante il controllo dei lavoratori viene ulteriormente approfondito dalla nuova normativa del Jobs Act che prevede la integrale sostituzione del vigente art. 4 dello Statuto dei Lavoratori. In particolare, come noto, la nuova formulazione mira a distinguere tra controlli sugli impianti, che dovrebbero restare vietati salvo autorizzazioni particolari, da quelli sugli strumenti di lavoro, i quali, invece, sono stati liberalizzati e comunque sganciati da un’apposita procedura da seguire. In sostanza, i dispositivi aziendali potranno essere oggetto di controlli a distanza senza dover passare attraverso l’accordo con i sindacati o attraverso l’autorizzazione dell’ex ispettorato del lavoro, purché però il datore di lavoro predisponga un’informativa sulla policy di controllo che l’impresa intenda implementare, tale da rendere consapevoli i lavoratori interessati. Si affronta quindi un tema molto rilevante da inquadrare più approfonditamente in quanto fonte di cambiamento rispetto ad abitudini consolidate.

Banner, siti e blog: cookie e privacy come mettersi in regola

Come previsto dal Provvedimento dell'8 maggio 2014, è scaduto il 2 giugno il termine per dare attuazione alle prescrizioni del Garante in materia di cookie.

Cosa sono i cookie
Un cookie è un piccolo file di testo che viene creato all'interno del computer di chi visualizza un sito web allo scopo di registrarvi alcune informazioni relative alla visita nonché di creare un sistema per riconoscere l'utente anche in momenti successivi; tale cookie, infatti, potrà non solo essere creato ma anche letto e modificato dallo stesso sito web che lo ha generato.

In pratica possiamo dire che i cookie sono una sorta di "memoria" attraverso la quale un sito web riesce a riconoscere uno specifico utente e ad associargli delle informazioni di varia natura e per differenti finalità.

E' bene precisare che un sito Web può impostare un cookie sul browser dell'utente solo ed esclusivamente se le preferenze configurate per quest'ultimo lo consentono e che il browser può consentire a un determinato sito di accedere solo ed esclusivamente ai cookie da esso impostati e non a quelli impostati da altri siti Web.

Si ricorda che la disciplina relativa all'uso dei c.d. "cookie" e di altri strumenti analoghi (web beacon/web bug, clear GIF, ecc.) nei terminali (personal computer, notebook, tablet pc, smartphone, ecc.) utilizzati dagli utenti, è stata modificata a seguito dell'attuazione della direttiva 2009/136 che ha modificato la direttiva "e-Privacy" (2002/58/CE), questa poi è stata adottata dall'Italia con la pubblicazione del Provvedimento dell' 8 maggio 2014.

Il Garante, consapevole della portata della presente decisione, ritiene pertanto necessario che le misure prescritte nella stessa siano, da un lato, tali da consentire agli utenti di esprimere scelte realmente consapevoli sull'installazione dei cookie mediante la manifestazione di un consenso espresso e specifico (come previsto dall'art. 23 del Codice) e, dall'altro, presentino il minore impatto possibile in termini di soluzione di continuità della navigazione dei medesimi utenti e della fruizione, da parte loro, dei servizi telematici.

I gestori di siti web, sono tenuti a fornire agli utenti in relazione ai cookie e agli altri dispositivi installati da o per il tramite del proprio sito stabilisce che nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni contenente le seguenti indicazioni:

1. che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall'utente nell'ambito della navigazione in rete;

2. che il sito consente anche l'invio di cookie "terze parti" (laddove ciò ovviamente accada);

3. il link all'informativa estesa, che deve contenere le seguenti ulteriori indicazioni relative a:

• uso dei cookie tecnici e analytics;

• possibilità di scegliere quali specifici cookie autorizzare;

• possibilità per l'utente di manifestare le proprie opzioni in merito all'uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni;

4. l'indicazione che alla pagina dell'informativa estesa è possibile negare il consenso all'installazione di qualunque cookie;

5. l'indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un'immagine o di un link) comporta la prestazione del consenso all'uso dei cookie;

Il mancato e/o non corretto adeguamento alle disposizioni sancite dalla nuova normativa sui cookie può avere delle conseguenze davvero pesantissime. Il provvedimento dell'8 maggio 2014, infatti, prevede sanzioni amministrative salatissime da un minimo di 6.000 fino ad un massimo di 36.000 Euro per chi non è in regola.

Ancora peggiori le conseguenze dell'installazione di cookie di profilazione senza il consenso dell'interessato: in questo caso, infatti, la sanzione va da un minimo di 10.000 ad un massimo di 120.000 Euro. La mancata notificazione al Garante, infine, prevede una sanzione da 20.000 a 120.000 Euro.

Seppur motivata dal lodevole intento di tutelare la privacy degli utenti della Rete, la cookie law, soprattutto nella versione italiana, rischia di essere un vero e proprio terremoto i siti web: se l'avviso appare giustificato nel caso in cui un sito adotti in prima persona dei cookie di tracciamento, forse eccessivamente oneroso appare l'obbligo di informativa ed il blocco preventivo per i cookie di terze parti spesso ospitati inconsapevolmente sui siti di migliaia di piccoli e piccolissimi editori o di semplici blogger.

Per questa particolare categoria, infatti, non c'è solo il rischio di una forte riduzione dei guadagni (pensiamo al blocco dei banner sino all'accettazione dei cookie) ma anche quello, forse più grave, di dover (o voler) chiudere il sito o blog: nei prossimi mesi, infatti, potrebbero essere non pochi i gestori di siti web che, ritenendo troppo rischioso, troppo complesso e/o economicamente non più conveniente la permanenza on-line, decideranno di interrompere le pubblicazioni.

Datori di lavoro e privacy: nuove linee guida

I datori di lavoro possono trattare i dati personali dei lavoratori dipendenti solo se strettamente indispensabili all'esecuzione del rapporto di lavoro, così come il trattamento degli stessi può avvenire solo a cura del personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite: queste alcune delle indicazioni fornite dal Garante per la privacy nel vademecum che traccia le linee guida in materia di trattamento dei dati dei lavoratori. Il vademecum riepiloga anche le norme in materia di privacy in ambito lavorativo emanate nel tempo dall'Autorità garante.

l Garante della Privacy pubblica un nuovo vademecum con le linee guida da rispettare da parte del datore di lavoro nei confronti dei dipendenti: regole generali e casi specifici.

Ci sono disposizioni di carattere generale e altre invece relative a strumenti precisi (cartellino presenze, bacheche aziendali e via dicendo) nel Vademecum su Privacy e lavoro messo a punto dal Garante per la protezione dei dati personali. Innanzitutto, è stabilito che il datore di lavoro possa trattare informazioni personali solo se strettamente indispensabili all’esecuzione del rapporto di lavoro.

Non solo: i dati possono essere trattati solo da personale incaricato e devono essere rispettate idonee misure di sicurezza. Sul luogo di lavoro vanno assicurate la tutela di diritti, libertà fondamentali, dignità delle persone, garantendo la sfera della riservatezza nelle relazioni personali e professionali. In generale, il trattamento dei dati personali deve rispettare il principio di necessità, per cui sistemi e programmi devono essere configurati riducendo la minimo le informazioni personali e i dati identificativi. Vanno poi rispettati i principi di correttezza, per cui le caratteristiche generali del trattamento vanno rese note ai collaboratori, di pertinenza e non eccedenza (le finalità devono essere esplicite e legittime).

Da sottolineare che il trattamento dei dati sensibili è lecito se finalizzato a obblighi di legge, o derivanti dal regolamento o dal contratto. Entrando nello specifico delle regole:

cartellino identificativo: è lecito utilizzarlo, senza necessariamente riportare tutti i dati anagrafici e le generalità complete del dipendente. Possono bastare codice identificativo, nome, ruolo professionale;

comunicazioni: nel privato per comunicare informazioni sul lavoratore ad associazioni di datori di lavoro, ex dipendenti o conoscenti è necessario il consenso dell’interessato. Nel pubblico, ci vuole un’apposita norma di legge;

bacheche aziendali: si possono affiggere ordini di servizio e turni, non si possono invece inserire documenti relativi a emolumenti, sanzioni disciplinari, motivazioni assenze, adesione a sindacati;

pubblicazione dati: qualsiasi dato personale del lavoratore (foto, curriculum) non può essere pubblicato su siti o intranet aziendali senza il consenso del lavoratore. E’ sempre vietato pubblicare qualsiasi informazione da cui si possa desumere patologie, o uno stato di malattia, disabilità, invalidità. Nel pubblico, per pubblico dati personali è necessaria apposita normativa di settore;

dati sanitari: vanno sempre conservati in fascicoli separati. In caso di assenza per malattia, il certificato riporta solo la data di inizio e fine, non l’indicazione della patologia. Il datore di lavoro non può mai accedere alle cartelle sanitarie, nemmeno in caso di accertamento del medico del lavoro. In caso di denuncia di malattie professionali, il datore di lavoro deve limitarsi a comunicare all’INAIL le informazioni connesse alla patologia. Anche qui, il vademecum sottolinea l’assoluto divieto di diffondere dati idonei a rivelare lo stato di salute del lavoratore;

dati biometrici: sono previste una serie di limitazioni, su cui il Garante ha pubblicato documenti specifici. Ad esempio, le impronte digitali o altre caratteristiche possono essere utilizzate solo per l’accesso a particolari aree sensibili o a macchinari pericolosi. Non sono ammesse banche dati centralizzate, vanno preferibilmente utilizzati altri strumenti, come le smart card ad esclusivo utilizzo del dipendente;

posta elettronica: il datore di lavoro garantisce sicurezza e integrità dei dati, e informa dettagliatamente il dipendente su modalità di utilizzo degli strumenti, controlli, e via dicendo, ad esempio con un disciplinare interno;

controllo a distanza: è vietato.

Sul luogo di lavoro va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità delle persone garantendo la sfera della riservatezza nelle relazioni personali e professionali. Le informazioni personali trattate possono riguardare, oltre all’attività lavorativa, la sfera personale e la vita privata dei lavoratori (ad esempio i dati sulla residenza e i recapiti telefonici) e dei terzi (ad esempio dati relativi al nucleo familiare per garantire determinate provvidenze).

I trattamenti di dati personali devono rispettare il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzo di informazioni personali e identificative.
Si deve inoltre rispettare il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori. I trattamenti devono essere effettuati per finalità determinate, esplicite e legittime in base ai principi di pertinenza e non eccedenza.

Nella bacheca aziendale possono essere affissi ordini di servizio, turni lavorativi o feriali. Non si possono invece affiggere documenti contenenti gli emolumenti percepiti, le sanzioni disciplinari, le motivazioni delle assenze (malattie, permessi ecc.), l’eventuale adesione a sindacati o altre associazioni.

Uso di internet/intranet e della posta elettronica aziendale. Spetta al datore di lavoro adottare idonee misure di sicurezza per assicurare la disponibilità e l’integrità dei sistemi informativi e dei dati, anche per prevenire utilizzi indebiti. I controlli per motivi organizzativi o di sicurezza sono leciti solo se sono rispettati i principi di pertinenza e non eccedenza.

I sistemi software devono essere programmati e configurati in modo da cancellare periodicamente ed automaticamente i dati personali relativi agli accessi ad internet e al traffico telematico, la cui conservazione non sia necessaria.

Va specificato con chiarezza se la navigazione in Internet o la gestione di file nella rete interna autorizzi o meno specifici comportamenti come il download di software o di file musicali o l’uso dei servizi di rete con finalità ludiche o estranee all’attività lavorativa.

Per i datori di lavoro. Stop a telecamere illecite nei luoghi di lavoro

Il Garante della Privacy ha detto no ai sistemi di videosorveglianza che controllano i lavoratori in assenza delle garanzie di legge. L'Autorità ha dato lo stop ai sistemi di videosorveglianza a diverse società, tra cui un'amministrazione pubblica, perché erano state installate in violazione dello Statuto dei lavoratori, che vieta il controllo a distanza dei dipendenti, e della normativa in materia di protezione dei dati personali. Il Garante, è intervenuto a seguito di alcune segnalazioni, ha dichiarato illecito il trattamento di dati effettuato e di conseguenza inutilizzabili le immagini riprese in violazione di legge. L'Autorità della Privacy ha vietato definitivamente l'uso delle telecamere installate nell'area dove sono collocati i cartellini di presenza dei dipendenti e gli orologi marcatempo.
Il divieto è scattato per l'uso delle telecamere collocate presso gli accessi ai luoghi di lavoro o in altre aree interne, in corrispondenza degli ascensori e dei corridoi, in attesa dell'eventuale attuazione delle procedure previste dallo Statuto dei lavoratori (accordo con le rappresentanze sindacali aziendali, o autorizzazione della Direzione provinciale del Lavoro).
Nel motivare i divieti il Garante, ha ribadito che il controllo a distanza dell'attività lavorativa si configura anche nel caso in cui la sorveglianza non sia a carattere continuativo o le telecamere siano segnalate da cartelli: per essere in regola nell'installazione di telecamere occorre comunque e sempre rispettare le procedure stabilite dallo Statuto a tutela dei lavoratori.