Pur lasciando alcuni argomenti alle normative nazionali, sono ribaditi altri principi che hanno un riflesso immediato sul trattamento dei dati e/o sulla documentazione da distribuire (come ad es. l’informativa/consenso).
Non esitate a contattarci. Per ulteriori informazioni cliccare qui
Opinione 2/2017 Privacy dati lavoro - WP art. 29
8 Giugno 2017
Principi generali
- sono applicabili indipendentemente dalle tecnologie in uso
- le comunicazioni elettroniche dai locali aziendali godono della stessa protezione di comunicazioni analoghe
- il consenso è propedeutico a ogni trattamento di dati
- valgono sempre gli adempimenti del contratto di lavoro
- i lavoratori dovranno sempre essere informati dei controlli in atto
2. Introduzione
Si fa riferimento ad ogni tipo di relazione contrattuale.
Prima di dare inizio ad un trattamento di dati si richiede un DPIA (Data Processing Impact Assessment)(v. oltre).
3. Fondamenti legali
Il consenso deve essere revocabile (art. 7a - Data Protection Directive 95/46/EC).
Devono essere attivate precise limitazioni (art. 7f - Data Protection Directive 95/46/EC), ad es.
- Geografiche (zone da non sottoporre a videosorveglianza)
- Tipologia di comunicazioni (archivi e comunicazioni personali)
- Controlli spot e non continuativi
- Non sono ammesse decisioni sul personale basate solo su automatismi
4. Regolamento UE
L'art. 25 indica di realizzare soluzioni di facile comprensione utilizzo.
L'art. 35 richiede un Data Protection Impact Assessment (DPIA) cioè la realizzazione di un documento che metta in evidenza le misure in atto per la protezione dei dati.
L'art. 88 rinvia alle normative nazionali per:
- assunzioni
- osservanza dei contratti di lavoro
- gestione, pianificazione e organizzazione del lavoro
- trattamenti differenziati nei luoghi di lavoro
- sicurezza fisica
- protezione dei dati aziendali e di quelli dei propri clienti
- esercizio dei diritti accordati
- conclusione del rapporto di lavoro
- salvaguardia della dignità umana
- sistemi di monitoraggio sul luogo di lavoro
5. Assunzione
Possibile acquisire dati sui candidati attraverso i social network (fatti salvi i dati strettamente personali o legati ad "amici").
In ogni caso questi dati dovranno essere cancellati qualora la candidatura non avrà buon fine.
Il candidato dovrà essere messo al corrente dell'operazione.
Questa condotta vale anche per l'eventuale periodo successivo di lavoro.
6. Monitoraggio uso risorse IT
Richiesto per:
- Data Loss Prevention (DLP): comunicazioni esterne per intercettare perdita di dati
- Next-Generation Firewalls (NGFWs) e Unified Threat Management (UTM) systems, deep packet inspection, TLS interception, website filtering, content filtering, on-appliance reporting, user identity information
- Applicazioni di sicurezza compreso il controllo degli accessi del lavoratore ai sistemi aziendali
- eDiscovery technology
- Contrllo dell'uso di applicazioni e di risorse IT attraverso sw nascosto o in remoto
- Uso di applicazioni office in cloud
E' opportuna una verifica completa almeno una volta all'anno.
Ogni lavoratore dovrebbe avere un proprio spazio privato per archiviare dati con accesso, da parte di altri, solo in casi eccezionali.
In ogni caso deve sempre prevalere la prevenzione rispetto alla detenzione.
7. Controllo lavoro in remoto
L'azienda, per ridurre i rischi di perdita di dati, dovrà attivare sistemi per:
- memorizzare la digitazione e i movimenti del mouse
- catturare le schermate
- registrare le applicazioni usate
- attivare webcam
- memorizzare credenziali di accesso
Anche i lavoratori che utilizzano attrezzature mobili devono essere informati dei tipi di controllo attivati.
In ogni caso non possono essere attivati controlli continui a meno che le prestazioni siano legate ad una produttività definita.
8. Sistemi di monitoraggio video
L'art. 92 del Reg. UE prevede l'uso di dati biometrici solo per eccezione.
9. Operazioni su veicoli usati dai lavoratori
Deve essere possibile disattivare temporaneamente la rilevazione.
I dati rilevati non devono essere usati per valutare il lavoratore.
Generalmente non si dovrebbero rilevare dati al di fuori dell'orario di lavoro a meno che per controllare furti.
Così come si dovrebbe limitare il controllo solo alle aree geografiche in cui i mezzi operano.
E' possibile la rilevazione di dati specifici (tempi di frenata, di reazione, velocità medie, ecc) al fine di migliorare la condotta del lavoratore.
10. Trasferimento dati a terze parti
Non è possibile trasferire dati dei lavoratori a terze parti se non per far fronte ad adempimenti contrattuali.
Non esitate a contattarci. Per ulteriori informazioni cliccare qui