g-docweb-display Portlet

Newsletter 21/12/18 - Garante privacy: no alla “gogna” sul posto di lavoro - Uber, accertate violazioni su informativa e consenso - Gdpr e autorizzazioni generali: individuate le prescrizioni ancora valide

Stampa Stampa Stampa

 

NEWSLETTER N. 448 del 21 dicembre 2018

 

Garante privacy: no alla “gogna” sul posto di lavoro
Uber, accertate violazioni su informativa e consenso
Gdpr e autorizzazioni generali: individuate le prescrizioni ancora valide

 

_______________________________

 

Garante privacy: no alla “gogna” sul posto di lavoro
Nella bacheca aziendale le foto dei lavoratori e un emoticon con il giudizio sull’attività svolta

“Faccine” e punteggi associati ai volti dei lavoratori nella bacheca aziendale. Era questo il sistema adottato da una cooperativa toscana che opera nel settore della logistica (pulizie, facchinaggio, traslochi) per valutare l’attività dei propri dipendenti. Ogni settimana la cooperativa affiggeva  nella bacheca aziendale un cartello nel quale i volti dei dipendenti erano associati a emoticon che rappresentavano i giudizi, positivi o negativi, espressi dalla cooperativa. Nella bacheca erano affisse anche le eventuali contestazioni disciplinari.

Un tale uso dei dati personali dei lavoratori è illecito perché lede la loro dignità, la loro libertà e la loro riservatezza. Lo ha stabilito il Garante per la privacy che ha vietato all’azienda di proseguire il trattamento dei  dati dei dipendenti

Dagli accertamenti avviati dall’Autorità su segnalazione di alcuni lavoratori è emerso che la cooperativa aveva messo in atto una sorta di “concorso a premi” obbligatorio per i lavoratori, con relativo prelievo mensile dalla busta paga della quota di partecipazione, e pubblicava nella bacheca aziendale le valutazioni settimanali sull’attività di ciascun dipendente, cui corrispondevano l’attribuzione di un punteggio valido per il concorso, nonché le eventuali contestazioni disciplinari. Le valutazioni, espresse con sei diverse tipologie di emoticon e con giudizi sintetici quali “assenteismo”, “simulazione malattia”, “perdita di lavoro causa scarso servizio o danni”, oppure l’espressione “licenziato”, comparivano accanto alle foto dei dipendenti individuati con cognome e iniziale del nome. La valutazione negativa comportava una decurtazione dallo stipendio. 

Nel disporre il divieto il Garante ha ricordato che il datore di lavoro può trattare le informazioni necessarie e pertinenti per la gestione del rapporto di lavoro in base a quanto previsto dalle leggi, dai regolamenti, dai contratti collettivi e dal contratto di lavoro individuale. Tra questi rientrano senza dubbio i dati necessari ad effettuare la valutazione sul corretto adempimento della prestazione lavorativa e ad esercitare il potere disciplinare nei modi e nei limiti previsti dalla disciplina di settore. Ma non certo la sistematica messa a disposizione sulla bacheca aziendale delle valutazioni e dei rilievi disciplinari a tutti i dipendenti e ad eventuali visitatori, tutti soggetti non  legittimati a conoscere questo tipo di informazioni, peraltro prima della conclusione del procedimento e in assenza di eventuali repliche degli interessati. 

 

_______________________________

 

 

Uber, accertate violazioni su informativa e consenso
Il Garante privacy avvia un procedimento sanzionatorio

ENGLISH VERSION 

Informativa incompleta, dati trattati senza un valido consenso, mancata notifica della geolocalizzazione degli utenti. Queste le violazioni accertate nei confronti di Uber dal Garante privacy italiano, che avvierà un autonomo procedimento sanzionatorio e segnalerà la questione anche alle altre Autorità europee.

L’istruttoria del Garante era stata aperta a fine 2017, non appena la sede americana della multinazionale - che fornisce un servizio di trasporto automobilistico privato attraverso una “App” che collega direttamente passeggeri e autisti - aveva annunciato di aver subito un attacco informatico che aveva coinvolto i dati personali di milioni di persone, tra cui un numero molto elevato di italiani.

Nel corso delle ispezioni effettuate presso la sede italiana della società, volte ad accertare la portata nazionale di tale incidente di sicurezza (data breach), sono emerse varie irregolarità riguardo al trattamento dei dati di utenti presenti nel nostro Paese. Innanzitutto era stata fornita un’informativa privacy non corretta e incompleta. Ad esempio, diversamente da quanto indicato, il titolare del trattamento dei dati non è solo la società di diritto olandese Uber B.V. ma anche la capofila statunitense Uber Technologies Inc., in quanto entrambe condividono il potere decisionale in merito ai servizi offerti in Europa. Nell’informativa, inoltre, non erano sufficientemente specificate le finalità del trattamento, i riferimenti ai diritti dell’interessato apparivano generici e lacunosi, e non era neppure chiaro se gli utenti fossero obbligati o meno a fornire i propri dati personali,  né quali fossero le eventuali conseguenze in caso di diniego.

Il Garante ha poi rilevato che la multinazionale ha trattato senza un idoneo consenso i dati dei passeggeri  per poterli profilare sulla base di un indicatore di rischio frode. 

Infine la società non ha rispettato l’obbligo di notificare all’Autorità il trattamento dei dati per finalità di geolocalizzazione, così come previsto dalla normativa in vigore prima del nuovo Regolamento Ue sulla protezione dei dati personali (GDPR).

Alla luce degli esiti ispettivi, il Garante avvierà immediatamente un autonomo procedimento per contestare le violazioni amministrative già accertate. 

Al fine di verificare la conformità al Regolamento Ue dei trattamenti attualmente posti in essere da Uber, copia del provvedimento del Garante italiano sarà trasmessa anche all’Autorità privacy olandese, capofila tra i Garanti europei per quanto riguarda i trattamenti transfrontalieri di dati effettuati da Uber.

 

_______________________________

 

 

Gdpr e autorizzazioni generali: individuate le prescrizioni ancora valide 
Il Garante avvia una consultazione pubblica

Il Garante della privacy ha individuato le prescrizioni contenute nelle autorizzazioni generali al trattamento dei dati adottate nel 2016 ancora compatibili con il nuovo Regolamento europeo in materia (GDPR) e con la recente riforma del Codice della privacy. Tali obblighi dovranno essere rispettati da un numero elevato di soggetti - pubblici e privati - in molteplici settori, come quello sanitario, del lavoro, della ricerca scientifica e dell’associazionismo.

L’Autorità ha proceduto alla revisione delle nove autorizzazioni generali al trattamento dei dati precedentemente esistenti secondo i criteri stabiliti dal decreto n. 101/2018.

In base all’analisi effettuata, quattro autorizzazioni hanno cessato completamente i loro effetti, in particolare: Autorizzazione generale n. 2/2016 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale; Autorizzazione generale n. 4/2016 al trattamento dei dati sensibili da parte dei liberi professionisti; Autorizzazione generale n. 5/2016 al trattamento dei dati sensibili da parte di diverse categorie di titolari; Autorizzazione generale n. 7/2016 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici.

Sono state invece individuate cinque autorizzazioni che contengono specifiche prescrizioni compatibili con il nuovo assetto normativo: Autorizzazione generale n. 1/2016 al trattamento dei dati sensibili nei rapporti di lavoro; Autorizzazione generale n. 3/2016 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni; Autorizzazione generale n. 6/2016 al trattamento dei dati sensibili da parte degli investigatori privati; Autorizzazione generale n. 8/2016 al trattamento dei dati genetici; Autorizzazione generale n. 9/2016 al trattamento dei dati personali effettuato per scopi di ricerca scientifica.

Nel provvedimento adottato dal Garante privacy sono quindi indicate tutte le prescrizioni, aggiornate alla luce delle nuova disposizioni in materia di privacy, che dovranno continuare ad essere rispettate da ogni soggetto che tratta dati personali per le finalità indicate. In considerazione dell’impatto che tali misure possono avere su PA e imprese, nel rispetto delle disposizioni previste dal decreto di revisione del Codice privacy, il testo sarà sottoposto a consultazione pubblica prima della sua approvazione definitiva.

 

 

_______________________________

 

 

 

L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

 

- Fatturazione elettronica: niente banca dati dell’Agenzia delle entrate. Esentate le fatture per prestazioni sanitarie - 20 dicembre 2018

- Gdpr: il Garante verifica la conformità del Codice dei giornalisti - Comunicato del 14 dicembre 2018

Contestazioni pendenti: scade il 18 dicembre la possibilità di effettuare il pagamento delle sanzioni in misura ridotta - Comunicato dell’11 dicembre 2018

 

 

 

 

 

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it