informatica giuridica per le relazioni aziendali … · dott.ssa dina ferrari. introduzione al...
TRANSCRIPT
Introduzione al trattamento dei dati personali in ambito lavorativo
1) La protezione dei dati personali, le nuove tecnologie e
l’ambiente lavorativo
2) Il quadro giuridico
3) Cenni sui dati trattati e sui soggetti coinvolti nel
trattamento
4) I principi che regolano il diritto alla protezione dei dati
personali, con specifico riguardo all’ambiente lavorativo
5) Cancellazione e smaltimento dei dati
Argomenti
Introduzione al trattamento dei dati personali in ambito lavorativo
libro
INFORMATICA GIURIDICA
PER LE RELAZIONI
AZIENDALI
Giappichelli, 2013
Introduzione al trattamento dei dati personali in ambito lavorativo
DIRITTO ALLA RISERVATEZZA Libertà, a contenuto negativo, di
non subire ingerenze nella propria
sfera privata.
DIRITTO ALLA PROTEZIONE
DEI DATI PERSONALILibertà, a contenuto positivo, di
esercitare un controllo sul
trattamento e sulla circolazione
delle informazioni riguardanti la
propria persona.
… Alcuni concetti
Secondo il Codice della Privacy , Articolo 1
“Chiunque ha diritto alla protezione dei dati che lo
riguardano”
Introduzione al trattamento dei dati personali in ambito lavorativo
«Se ogni individuo è titolare di un diritto alla riservatezza in ogni
momento in cui si sviluppa la sua personalità, rimane titolare di questo
diritto anche quando si trova nel luogo di lavoro per adempiere alla
propria prestazione lavorativa»
Con il contratto di lavoro, il lavoratore si impegna ad
eseguire un'obbligazione a vantaggio del datore di
lavoro, ovvero a compiere un’attività psico-fisica che
comporta un coinvolgimento della sua personalità e
che quindi necessita di una specifica tutela in
relazione alla protezione della sua riservatezza.
Introduzione al trattamento dei dati personali in ambito lavorativo
Il diritto alla riservatezza del lavoratore nel contesto
aziendale/lavorativo trova un limite nei diritti propri del
datore di lavoro
Il diritto alla riservatezza del lavoratore nel contesto
aziendale/lavorativo trova un limite nei diritti propri del
datore di lavoro
Il LAVORATORE ha
interesse a vedere correttamente
e legittimamente impiegate le
sue energie psico-fisiche
Il DATORE DI LAVORO
ha interesse ad organizzare il
lavoro e ad esigere una
prestazione secondo le sue
istruzioni
Introduzione al trattamento dei dati personali in ambito lavorativo
� Sviluppo della Società dell'informazione
� Impiego delle tecnologie informatiche in ambito
lavorativo
� Internet e posta elettronica quali indispensabili
strumenti di lavoro
� Riorganizzazione dei metodi e delle forme
organizzative e comunicative
� Sviluppo della Società dell'informazione
� Impiego delle tecnologie informatiche in ambito
lavorativo
� Internet e posta elettronica quali indispensabili
strumenti di lavoro
� Riorganizzazione dei metodi e delle forme
organizzative e comunicative
LE ICT E IL LAVORO
Introduzione al trattamento dei dati personali in ambito lavorativo
RISCHI PER LA PROTEZIONE DEI DATI PERSONALI
�Nuovi metodi di raccolta delle informazioni personali, sofisticati ed invasivi
�Maggior possibilità di controllo sull'attività lavorativa svolta dai lavoratori,
ad esempio
• monitorando gli accessi a Internet
• controllando i siti visitati
• visionando la posta elettronica
Il controllo deve essere esercitato in modo legittimo e senza
pregiudicare interessi specifici tutelati, come appunto il diritto alla privacy, alla
dignità e alla riservatezza del lavoratore
Introduzione al trattamento dei dati personali in ambito lavorativo
•Presa visione del contenuto
della posta elettronica
• monitoraggio degli accessi
a Internet
•controllo dei siti visitati
Introduzione al trattamento dei dati personali in ambito lavorativo
Il sistema normativo delle garanzie a tutela del diritto alla
protezione dei dati e alla riservatezza risulta complesso per la
compresenza di varie fonti normative
Il sistema normativo delle garanzie a tutela del diritto alla
protezione dei dati e alla riservatezza risulta complesso per la
compresenza di varie fonti normative
IL QUADRO GIURIDICO
Europa
Giurisprudenza della Corte
europea di giustiziaVarie disposizioni dell’Unione
europea, Raccomandazioni, Direttive
Dichiarazioni internazionali
Diverse tradizioni giuridiche e
costituzionali degli stati membri
Introduzione al trattamento dei dati personali in ambito lavorativo
vita privata
* il periodo di tempo che
ogni individuo dedica al
lavoro
vita lavorativa *
ma dove finisce la vita privata e comincia
quella lavorativa??
Introduzione al trattamento dei dati personali in ambito lavorativo
E’ durante la propria vita lavorativa che la
maggioranza delle persone ha un'importante, se
non la migliore, opportunità di sviluppare rapporti con l'ambiente esterno. Questo
punto di vista è supportato dal fatto che non è
sempre possibile distinguere chiaramente quali attività dell'individuo facciano parte della sua vita lavorativa e quali no
«
»Corte europea dei diritti dell'uomo
Introduzione al trattamento dei dati personali in ambito lavorativo
���� Documento del Gruppo “Articolo 29”, “Working document on the Surveillance of Electronic Communication in the
workplace”, del 29 maggio 2002
���� Direttiva 95/46/CE del 24 ottobre 1995 del Parlamento europeo e del Consiglio dell'Unione europea, “relativa alla tutela
delle persone fisiche con riguardo al trattamento dei dati
personali, nonché alla libera circolazione di tali dati”
���� Raccomandazione n.2 del 1989 del Consiglio d’Europa “relativa alla protezione dei dati a carattere personale utilizzati
ai fini dell'occupazione”
���� Parere 8/2001 del Gruppo di lavoro dei Garanti europei
(“articolo 29”) l'“Opinion 8/2001 on the processing of personal
data in the Employment context”
Introduzione al trattamento dei dati personali in ambito lavorativo
Italia
����Decreto legislativo 30 giugno 2003, n. 196
CODICE PRIVACY
���� legge 31 dicembre 1996, n. 675
Introduzione al trattamento dei dati personali in ambito lavorativo
���� Costituzione ���� artt. 2, 3, 15, 21, 41
���� Codice Civile���� artt. 2087, 2104
���� Normative specifiche ���� Codice dell’amministrazione digitale
���� Normative emanate o modificate a seguito dello sviluppo
tecnologico ���� art. 616 codice penale
���� Statuto dei Lavoratori (legge 300 del 20 maggio 1970)
���� Attività del Garante…
Introduzione al trattamento dei dati personali in ambito lavorativo
GARANTEGARANTE � Provvedimenti
� Comunicati
� Informative
� Rapporti
� Pareri
� Risposte a quesiti o ricorsi
� LINEE GUIDA
Linee guida in materia di trattamento di dati personali di lavoratori
per finalità di gestione del rapporto di lavoro in ambito pubblico
14 giugno 2007
Linee guida per il trattamento di dati dei dipendenti privati
23 novembre 2006
Introduzione al trattamento dei dati personali in ambito lavorativo
DI QUALI DATI STIAMO PARLANDO?DI QUALI DATI STIAMO PARLANDO?
La maggior parte delle attività
compiute in ambito lavorativo
implicano il trattamento di dati
personali
� esigenze fiscali
�motivi relativi allo svolgimento del rapporto di lavoro
� ragioni di valutazione della prestazione lavorativa
Introduzione al trattamento dei dati personali in ambito lavorativo
A titolo di esempio
Il Gruppo di lavoro "articolo 29" ha elencato alcune categorie di dati
protetti dalla normativa sulla privacy:
� domande di assunzione e referenze;
� dati salariali e fiscali
� cartelle mediche
� registri dei permessi, delle ferie o registri presenze;
� schede di valutazione e di giudizio;
� documenti relativi a promozioni, trasferimenti, formazione professionale o questioni disciplinari;
� documenti relativi a incidenti sul lavoro;
� rimborsi spese;
� composizione del nucleo familiare (cioè dati trattati per facilitare l'accesso a determinati servizi come la scuola materna, gli studi, il trasporto/viaggio, ecc)
� dati generati dal sistema informatico.
Introduzione al trattamento dei dati personali in ambito lavorativo
dati personali idonei a rivelare
provvedimenti in materia di casellario
giudiziale, di anagrafe delle sanzioni
amministrative dipendenti da reato e
dei relativi carichi pendenti, o la qualità
di imputato o di indagato.
Codice della privacy
dati personali che
permettono l'identifica-
zione diretta dell'interessato
dati personali idonei a rivelare l'origine razziale ed etnica,
le convinzioni religiose, filosofiche o di altro genere, le
opinioni politiche, l'adesione a partiti, sindacati,
associazioni od organizzazioni a carattere religioso,
filosofico, politico o sindacale, nonché i dati personali
idonei a rivelare lo stato di salute e la vita sessuale
Qualunque informazione
relativa a persona fisica,
identificata o identificabile,
anche indirettamente,
mediante riferimento a
qualsiasi altra informazione,
ivi compreso un numero di
identificazione personale
Introduzione al trattamento dei dati personali in ambito lavorativo
In ambito lavorativo
�dati anagrafici dei lavoratori (assunti o cessati dal servizio)
�fotografie
�dati biometrici
�dati che sono connessi all'attività lavorativa in sé considerata, come
• la tipologia di contratto (tempo determinato/indeterminato,
full/part time, ecc)
• la qualifica
• il livello professionale
• la retribuzione individuali
• i premi, le ferie e i permessi
• i trasferimenti e i procedimenti disciplinari
� dati sensibili, specialmente quelli idonei a rivelare l'adesione a
sindacati o a rivelare lo stato di salute in quanto inseriti in certificati
medici o in altra documentazione prodotta per giustificare le assenze
dal lavoro o per fruire di particolari permessi e benefici.
Introduzione al trattamento dei dati personali in ambito lavorativo
� in documenti prodotti dal lavoratore nel corso del
rapporto di lavoro o anche prima in sede di assunzione,
in documenti elaborati dal datore di lavoro o per conto di
questi, in pendenza del rapporto di lavoro e per finalità di
esecuzione del contratto
� in fascicoli personali dei lavoratori
� conservati in archivi aziendali, cartacei o elettronici
� inseriti in albi, bacheche o nella intranet aziendale
DOVE SI TROVANO QUESTI DATI?DOVE SI TROVANO QUESTI DATI?
Introduzione al trattamento dei dati personali in ambito lavorativo
= soggetti che possono compiere le
operazioni di trattamento
I SOGGETTI CHE TRATTATO I DATII SOGGETTI CHE TRATTATO I DATI
attribuzioni responsabilità
Introduzione al trattamento dei dati personali in ambito lavorativo
���� titolarela persona fisica, la persona giuridica, la pubblica amministrazione
e qualsiasi altro ente, associazione od organismo cui competono,
anche unitamente ad altro titolare, le decisioni in ordine alle
finalità, alle modalità del trattamento di dati personali e agli
strumenti utilizzati, compreso il profilo della sicurezza.
���� responsabilequella persona (fisica, giuridica, pubblica amministrazione e
qualsiasi altro ente, associazione od organismo) che può essere
preposto, dal titolare, al trattamento dei dati.
���� incaricatola persona fisica autorizzata a compiere materialmente le singole
operazioni di trattamento dal titolare o dal responsabile.
Introduzione al trattamento dei dati personali in ambito lavorativo
���� Interessatola persona fisica a cui appartengono e si riferiscono
i dati
���� il Garantequale soggetto super partes, i cui compiti sono stabiliti
dagli artt. 153 e ss. dello stesso codice
Introduzione al trattamento dei dati personali in ambito lavorativo
AMBIENTI LAVORATIVI DI GRANDI DIMENSIONI,
MOLTO ARTICOLATI NELLA STRUTTURA O CON VARIE
RAMIFICAZIONI NEL TERRITORIO.
AD ESEMPIO, GRUPPI DI IMPRESE, AZIENDE MOLTO
GRANDI CON FORME DI OUTSOURCING,
AMMINISTRAZIONI PUBBLICHE ARTICOLATE NEL
TERRITORIO
AMBIENTI LAVORATIVI DI GRANDI DIMENSIONI,
MOLTO ARTICOLATI NELLA STRUTTURA O CON VARIE
RAMIFICAZIONI NEL TERRITORIO.
AD ESEMPIO, GRUPPI DI IMPRESE, AZIENDE MOLTO
GRANDI CON FORME DI OUTSOURCING,
AMMINISTRAZIONI PUBBLICHE ARTICOLATE NEL
TERRITORIO
IDENTIFICAZIONE CHIARA DI QUESTI SOGGETTI
attribuire in modo preciso le relative responsabilità
permettere l'esercizio dei diritti dell’interessato
rispettare gli adempimenti previsti dal Codice della Privacy e
dalla normativa vigente
Introduzione al trattamento dei dati personali in ambito lavorativo
articolo 28 del Codice privacy
In un contesto dove manca un unico soggetto chiaramente
identificabile ovvero «quando il trattamento è effettuato da una persona
giuridica, da una pubblica amministrazione o da un qualsiasi altro ente,
associazione od organismo», il titolare del trattamento risulta essere
«l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza».
Ciò che è importante è l'effettivo centro di imputazione del
rapporto di lavoro
Introduzione al trattamento dei dati personali in ambito lavorativo
Trattamentoart. 4, comma 1, lett. a)
qualunque operazione o complesso di operazioni, effettuati sui
dati anche senza l’ausilio di strumenti elettronici, concernenti:
Introduzione al trattamento dei dati personali in ambito lavorativo
dare conoscenza dei dati personali a uno o più soggetti
determinati diversi dall’interessato, dal rappresentante del titolare
nel territorio dello Stato, dal responsabile e dagli incaricati, in
qualunque forma, anche mediante la loro messa a disposizione o
consultazione.
Comunicazione
Diffusione
il dare conoscenza di dati personali a soggetti
indeterminati, in qualunque forma, anche mediante
la loro messa a disposizione o consultazione.
Introduzione al trattamento dei dati personali in ambito lavorativo
«I sistemi informativi e i programmi informatici sono configurati
riducendo al minimo l'utilizzazione di dati personali e di dati
identificativi, in modo da escluderne il trattamento quando le finalità
perseguite nei singoli casi possono essere realizzate mediante,
rispettivamente, dati anonimi od opportune modalità che
permettano di identificare l'interessato solo in caso di necessità».
Principio di necessitàart. 3
Introduzione al trattamento dei dati personali in ambito lavorativo
Il trattamento di dati personali relativi ai lavoratori deve
essere conforme ai principi e alle regole contenute nella
normativa relativa alla protezione dei dati personali.
Il principio di correttezza richiama il rispetto di tutte le
regole, codificate e no
I dati devono essere trattati in modo lecito
e seconda correttezza
Introduzione al trattamento dei dati personali in ambito lavorativo
Principio di FinalitàArt. 11, comma 1, lettera b)
I dati devono essere raccolti e registrati
per scopi determinati, espliciti e
legittimi ed utilizzati, in altre operazioni di
trattamento, in termini compatibili con tali
scopi
Introduzione al trattamento dei dati personali in ambito lavorativo
I dati devono essere pertinenti, completi e non eccedenti
rispetto alle finalità per le quali sono raccolti o
successivamente trattati.
Principio di proporzionalità
Esattezza dei datiI dati devono essere esatti e, se necessario, aggiornati. Inoltre i
dati devono essere conservati in una forma che consenta
l'identificazione dell'interessato per un periodo di tempo non
superiore a quello necessario agli scopi per i quali essi sono stati
raccolti o successivamente trattati.
Introduzione al trattamento dei dati personali in ambito lavorativo
INFORMATIVA(articolo 13 del Codice)
L’interessato o la persona presso la quale sono raccolti i dati
personali sono previamente informati, oralmente o per iscritto,
circa:
� le finalità e le modalità del trattamento cui sono destinati i dati;
� la natura obbligatoria o facoltativa del conferimento dei dati;
� le conseguenze di un eventuale rifiuto di rispondere;
� i soggetti o le categorie di soggetti ai quali i dati personali possono
essere comunicati o che possono venirne a conoscenza in qualità di
responsabili o incaricati;
� l’ambito di diffusione dei dati medesimi;
� i diritti spettanti all’interessato;
� gli estremi identificativi del titolare e, se questo designato, del
responsabile.
Introduzione al trattamento dei dati personali in ambito lavorativo
L’informativa non è dovuta se:
� i dati sono trattati in base ad un obbligo previsto dalla legge;
� i dati sono trattati ai fini dello svolgimento delle investigazioni
difensive;
� l’informativa all’interessato comporta un impiego di mezzi che
il Garante dichiari manifestamente sproporzionati rispetto al
diritto tutelato, ovvero si riveli, a giudizio del Garante,
impossibile.
Introduzione al trattamento dei dati personali in ambito lavorativo
CONSENSOartt. 23-24
Il trattamento dei dati personali può avvenire esclusivamente con il consenso espresso
dell’interessato che deve essere preventivo, esplicito e libero.
(per i dati personali di tipo sensibile è necessaria la forma scritta).
Il consenso non è richiesto quando:
• è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla
normativa comunitaria o per eseguire obblighi derivanti da un contratto del quale è parte
l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste
dell'interessato;
• riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da
chiunque;
• riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della
vigente normativa in materia di segreto aziendale e industriale;
Introduzione al trattamento dei dati personali in ambito lavorativo
• è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo o
per perseguire un legittimo interesse del titolare o di un terzo destinatario dei
dati;
• è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla
legge 7 dicembre 2000, n. 397, o comunque, per far valere o difendere un diritto
in sede giudiziaria;
• è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non
riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad
aderenti, per il perseguimento di scopi determinati e legittimi individuati
dall'atto costitutivo, dallo statuto o dal contratto collettivo;
• è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato
A) del Codice, per esclusivi scopi scientifici o statistici, ovvero per esclusivi
scopi storici.
Introduzione al trattamento dei dati personali in ambito lavorativo
DATI SENSIBILI
dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale
I dati sensibili sono dati personali la cui raccolta e
trattamento sono soggetti sia al consenso scritto
dell'interessato sia all'autorizzazione preventiva
del Garante per la protezione dei dati personali.
Art. 4, comma 1, lett. d)
Art. 26, comma 1
Introduzione al trattamento dei dati personali in ambito lavorativo
Autorizzazione n. 1/2011
al trattamento dei dati sensibili nei rapporti di lavoro
del 24 giugno 2011
DOC. WEB 1822566
Introduzione al trattamento dei dati personali in ambito lavorativo
Necessità di adottare accorgimenti e misure per
prevenire accessi non consentiti ai dati personali
memorizzati nelle apparecchiature destinate ad
essere riciclate, reimpiegate o smaltite.
Il rischio è che vengano ritrovati dati personali
all’interno di tali apparecchiature cedute, vendute o
mandate in riparazione o sostituzione.
Introduzione al trattamento dei dati personali in ambito lavorativo
Tale decreto, prevede misure e procedure atte a
prevenire la produzione di rifiuti elettronici e a
promuoverne il reimpiego, il riciclaggio e altre
forme di recupero in modo da ridurre la quantità di
rifiuti da smaltire. L’applicazione di questa disciplina
mirando al recupero (anche nuova
commercializzazione) produce un rischio in più,
ovvero la aumentata circolazione di componenti
elettronici “usati”.
D.Lgs 25 Luglio 2005, n. 151
Introduzione al trattamento dei dati personali in ambito lavorativo
Il titolare del trattamento deve seguire le misure e gli accorgimenti che il
Garante definisce nel provvedimento. Accorgimenti che rientrano già
nelle “misure di sicurezza” che il titolare ha l’obbligo di predisporre al
fine di garantire una adeguata protezione dei dati trattati. Obblighi che
non vengono meno nel caso di cessazione del trattamento (art. 16 Cod.
Privacy)
PROVVEDIMENTO DEL GARANTE (DOC
WEB 1571514)
DEL 13 OTTOBRE 2008
Allegato A e B
PROVVEDIMENTO DEL GARANTE (DOC
WEB 1571514)
DEL 13 OTTOBRE 2008
Allegato A e B
���� L’attuazione di questi obblighi relativi al corretto smaltimento dei
rifiuti, può anche essere demandato a soggetti terzi (tecnicamente
qualificati, come centri di assistenza, distributori o produttori di
apparecchiature)
Introduzione al trattamento dei dati personali in ambito lavorativo
ALLEGATO A
REIMPIEGO E RICICLAGGIO
���� Tenere in considerazione gli standard tecnici esistenti.
���� Utilizzare accorgimenti che consentano l’EFFETTIVA cancellazione dei dati dall’apparecchiatura o la loro non
intelligibilità.
���� Si distingue tra:- Misure tecniche preventive per la memorizzazione
sicura dei dati
- Misure tecniche per la cancellazione sicura dei dati
Introduzione al trattamento dei dati personali in ambito lavorativo
�Cifratura di singoli file o gruppi di file, di volta in
volta protetti con password.
�Memorizzazione dei dati su hard-disk o altri
supporti in forma automaticamente cifrata al momento
della loro scrittura, tramite l’uso di password riservate e
note al solo utente (file system crittografico, unica
parola chiave di volume)
MISURE TECNICHE PREVENTIVE
PER LA MEMORIZZAZIONE SICURA DEI DATI
Introduzione al trattamento dei dati personali in ambito lavorativo
�Cancellazione sicura delle informazioni
ottenibile con programmi informatici come
wiping program o file shredder
� Formattazione a basso livello dei dispositivi
�Degaussing (demagnetizazione) dei
dispositivi di memoria
MISURE TECNICHE PER LA
CANCELLAZIONE SICURA DEI DATI
Introduzione al trattamento dei dati personali in ambito lavorativo
ALLEGATO B
SMALTIMENTO
L’effettiva cancellazione dei dati personali dai supporti
contenuti nelle apparecchiature elettroniche può anche
risultare da procedure che comportino la distruzione dei
supporti di memorizzazione di tipo ottico o magnetico in
modo da impedire l’indebita acquisizione dei dati in essi
contenuti.
Procedure come:
- punzonatura, deformazione meccanica, distruzione fisica,
disintegrazione, demagnetizzazione ad alta intensità
Introduzione al trattamento dei dati personali in ambito lavorativo
Dall’inosservanza di queste misure può derivare in
capo al titolare del trattamento una
RESPONSABILITA’ PENALE (ex art. 169 cod.
Privacy) e in caso di danni cagionati a terzi anche una
RESPONSABILITA’ CIVILE (ex artt. 15 cod.
Privacy e 2050 c.c.)
CONSEGUENZE