Piano finanziato con l Avviso n.5/2013 di Fondimpresa

Transcript

1 Piano finanziato con l Avviso n.5/2013 di Fondimpresa AVS/59/13 ID TITOLO PIANO: PER.S.O.N.E. PER.corsi a Sostegno dell Occupazione nelle Nuove Economie ID Titolo Azione formativa: INTERNET LE NUOVE TECNOLOGIE NEI LUOGHI DILAVORO: LE NUOVE REGOLE DEL GARANTE PER LA PRIVACY E DELLA GIURISPRUDENZA Formazione a cura di Ial Sardegna Srl- Impresa sociale Via Perucca, Elmas (CA) Docente:

2 Struttura del Codice della Privacy D.lgs. 196/03 si compone di 3 parti: I Disposizioni Generali II Disposizioni Relative a Settori Specifici III Tutela dell'interessato e Sanzioni. e di 3 allegati A Codici Deontologici (storici, statistici, giornalisti) B Disciplinare Tecnico C Trattamenti in ambito giudiziario...

3 DATI PERSONALI qualunque informazione relativa a persona fisica [persona giuridica, ente od associazione] identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale DATI SENSIBILI i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale DATI GIUDIZIARI i dati personali idonei a rivelare [ ] informazioni in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale [ ] Tipologia di Dati

4 Tipologia di dati e trattamento Dati personali (o comuni) Dati sensibili Dati giudiziari

5 TRATTAMENTO DEI DATI qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati

6 I Soggetti Titolare (del trattamento) Responsabile (del trattamento) Incaricati (del trattamento) la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile Interessato (al trattamento) la persona fisica [la persona giuridica, l'ente o l'associazione] cui si riferiscono i dati personali

7 TITOLARE (del trattamento) RESPONSABILE (del trattamento) INCARICATO (del trattamento) TIPICA ORGANIZZAZIONE PER IL TRATTAMENTO DEI DATI PERSONALI

8 BREVE APPROFONDIMENTO SUGLI AMMINISTRATORI DI SISTEMA Provv. Gen. 27 novembre 2008 (G.U. n. 300 del 24 dicembre modificato il 25 giugno 2009) AMMINISTRATORI DI SISTEMA Soggetti che vigilano sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica amministrazione. L amministratore di sistema non è semplicemente il manutentore della struttura informatica ma è il garante informatico della protezione delle informazioni personali unitamente al titolare.

9 AMMINISTRATORE DI SISTEMA Non è una figura nuova nell ordinamento italiano. Esisteva già nel Regolamento attuativo (DPR 318/1999) della legge 675/1996. Esistevano due figure: 1. il preposto alla custodia della parola chiave 2. l amministratore di sistema. (abrogato dall'art. 183, D.Lgs. n. 196/03)

10 AMMINISTRATORE DI SISTEMA 1. Deve trattarsi di un soggetto affidabile..a. Valutazione delle caratteristiche soggettive. L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29". 2. Si deve procedere alla designazione individuale ovvero occorre predisporre apposita nomina scritta con il profilo di operatività corrispondente al profilo di autorizzazione assegnato.

11 AMMINISTRATORE DI SISTEMA 1. Deve trattarsi di un soggetto affidabile..a. Valutazione delle caratteristiche soggettive. L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29". 2. Si deve procedere alla designazione individuale ovvero occorre predisporre apposita nomina scritta con il profilo di operatività corrispondente al profilo di autorizzazione assegnato.

12 AMMINISTRATORE DISISTEMA 3. Devono essere resi noti al pubblico e ai lavoratori gli estremi identificativi dell amministratore di sistema tramite menzione nel DPS..c. Elenco degli amministratori di sistema. Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante. Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1 marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento che disciplinino uno specifico settore.

13 AMMINISTRATORE DISISTEMA 4 Si deve procedere alla verifica delle relative attività mediante controllo almeno annuale. 5 Devono essere adottati sistemi idonei alla registrazione degli accessi..f. Registrazione degli accessi. Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

14 RICAPITOLANDO Il Provvedimento prevede che il Titolare sia obbligato a conservare ed tenere aggiornato costantemente un elenco degli Amministratori di Sistema. La lista con gli elementi identificativi, insieme alla nomina con la specifica delle responsabilità e compiti demandati, deve essere documentato; Il Titolare è tenuto ad esibire prontamente l'elenco in caso di ispezione, ma anche di pubblicare in un luogo (es. bacheca) visibile a tutti e ai dipendenti. Il Titolare deve ricordarsi di menzionare in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante, gli estremi identificativi delle persone fisiche nominate Amministratori di Sistema, con l'elenco delle funzioni a ciascuno assegnate. Per quanto concerne i servizi in outsourcing, il Titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche alle quali sono demandati i compiti specifici di Amministratore di Sistema.

15 SANZIONI In caso di inadempimenti o di mancata applicazione del Provvedimento, il Titolare ricade nelle fattispecie descritte negli artt. 162, 167 e 169 del Codice sulla Privacy, rischiando una multa fino a Euro. In particolare: art. 162, 2 bis: Violazione di adempimenti sulle misure minime di sicurezza (art. 33) e violazione della normativa in tema corretto trattamento dei dati (trattamento illecito art 167). La multa comminata potrebbe oscilla re tra i e i Euro. art. 162, 2 ter: Inosservanza di provvedimenti del Garante. Sanzione amministrativa variabile da a Euro. art. 169: Omessa adozione di misure necessarie alla sicurezza dei dati: il Titolare rischia l'arresto sino a due anni oltre il pagamento di un'ammenda da a Euro.

16 I Principi del Codice Privacy

17 PRINCIPIO DI FINALITA' (ART. 11, COMMA 1, LETTERA B) I DATI PERSONALI OGGETTO DI TRATTAMENTO DEVONO ESSERE RACCOLTI E REGISTRATI PER DETERMINATI SCOPI. CIÒ VUOL DIRE CHE OGNI ATTIVITÀ È CONSENTITA SOLO SE È ANCORATA AD UNA FINALITÀ OVVERO SE INERENTE CON L ATTIVITÀ PRESTATA

18 PRINCIPIO DI NECESSITA' (ART. 3) I SISTEMI INFORMATIVI E I PROGRAMMI INFORMATICI SONO CONFIGURATI RIDUCENDO AL MINIMO L UTILIZZAZIONE DEI DATI PERSONALI E DEI DATI IDENTIFICATIVI, IN MODO DA ESCLUDERNE IL TRATTAMENTO QUANDO LE FINALITÀ PERSEGUITE NEI SINGOLI CASI POSSONO ESSERE REALIZZATE MEDIANTE, RISPETTIVAMENTE, DATI ANONIMI OD OPPORTUNE MODALITÀ CHE PERMETTANO DI IDENTIFICARE L INTERESSATO SOLO IN CASO DI NECESSITÀ.

19 PRINCIPIO DI PROPORZIONALITA' (ART. 11, COMMA 1, LETTERA D) I DATI PERSONALI OGGETTO DI TRATTAMENTO DEVONO ESSERE PERTINENTI, COMPLETI E NON ECCEDENTI RISPETTO ALLE FINALITÀ PER LE QUALI SONO RACCOLTI O SUCCESSIVAMENTE TRATTATI

20 PRINCIPIO DI INDISPENSABILITA' (ART. 22, COMMA 3) I SOGGETTI PUBBLICI POSSONO TRATTARE SOLO I DATI SENSIBILI E GIUDIZIARI INDISPENSABILI PER SVOLGERE ATTIVITÀ ISTITUZIONALI CHE NON POSSONO ESSERE ADEMPIUTE, CASO PER CASO, MEDIANTE IL TRATTAMENTO DI DATI ANONIMI O DI DATI PERSONALI DI NATURA DIVERSA

21 I principali adempimenti ADEMPIMENTI VERSO L AUTORITÀ GARANTE Notificazione Autorizzazione ADEMPIMENTI VERSO GLI INTERESSATI I Informativa Consenso ADEMPIMENTI INTERNI (ORGANIZZATIVI) Misure minime di sicurezza

22 Notificazione Quando si notifica? Nei casi elencati nell art. 37 Codice della Privacy a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; [ ]

23 Notificazione [.] d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. 1-bis. La notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se relativa all'attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione è tipica del loro rapporto professionale con il Servizio sanitario nazionale. [.]

24 Notificazione [.] 2. Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell'interessato, in ragione delle relative modalità o della natura dei dati personali, con proprio provvedimento adottato anche ai sensi dell'articolo 17. Con analogo provvedimento pubblicato sulla Gazzetta Ufficiale della Repubblica italiana il Garante può anche individuare, nell'ambito dei trattamenti di cui al comma 1, eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all'obbligo di notificazione. 3. La notificazione è effettuata con unico atto anche quando il trattamento comporta il trasferimento all'estero dei dati. 4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio. Le notizie accessibili tramite la consultazione del registro possono essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali. [.] 24

25 Notificazione Come si notifica? Art. 38. Modalità di notificazione [II] La notificazione è validamente effettuata solo se è trasmessa per via telematica utilizzando il modello predisposto dal Garante e osservando le prescrizioni da questi impartite, anche per quanto riguarda le modalità di sottoscrizione con firma digitale e di conferma del ricevimento della notificazione. [Tramite il sito 25

26 Notificazione Quante volte si notifica? Art. 38. Modalità di notificazione [IV] Una nuova notificazione è richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella notificazione medesima. Sanzione per omessa notificazione? Art Omessa o incompleta notificazione [ ] sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro e con la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione. (Sanzione oggi raddoppiata ex D.L. 207/2008 Decreto Milleproroghe ) 26

27 Autorizzazione previsto per tutti i titolari che trattano dati sensibili e giudiziari Art. 26. Garanzie per i dati sensibili. 1. I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti. 2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell'interessato, che il titolare del trattamento è tenuto ad adottare.

28 Tenuto conto dell altissimo numero di soggetti interessati, il legislatore ha previsto le Autorizzazioni Generali concesse a determinate categorie di titolari o di trattamenti Autorizzazione generale n. 1/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) Trattamento dei dati sensibili nei rapporti di lavoro Autorizzazione generale n. 2/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) Trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale Autorizzazione generale n. 3/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) Trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni Autorizzazione generale n. 4/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) Trattamento dei dati sensibili da parte dei liberi professionisti Autorizzazione generale n. 5/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) Trattamento dei dati sensibili da parte di diverse categorie di titolari Autorizzazione generale n. 6/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) Trattamento dei dati sensibili da parte degli investigatori privati Autorizzazione generale n. 7/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) Trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici Autorizzazione generale n. 8/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) Trattamento dei dati genetici Autorizzazione generale n. 9/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) Trattamento dei dati personali effettuato per scopi di ricerca scientifica 28

29 Autorizzazione generale n. 1/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) Trattamento dei dati sensibili nei rapporti di lavoro IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI AUTORIZZA il trattamento dei dati sensibili di cui all'art. 4, comma 1, lett. d), del Codice, finalizzato alla gestione dei rapporti di lavoro, secondo le prescrizioni di seguito indicate. Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità, in conformità all'art. 3 del Codice. 10) Efficacia temporale. La presente autorizzazione ha efficacia a decorrere dal 1 gennaio 2014 fino al 31 dicembre 2014, salve eventuali modifiche che il Garante ritenga di dover apportare in conseguenza di eventuali novità normative rilevanti in materia.

30 Autorizzazione generale n. 1/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) 1) Ambito di applicazione. Trattamento dei dati sensibili nei rapporti di lavoro La presente autorizzazione è rilasciata: a) alle persone fisiche e giuridiche, alle imprese, anche sociali, agli enti, alle associazioni e agli organismi che sono parte di un rapporto di lavoro o che utilizzano prestazioni lavorative anche atipiche, parziali o temporanee, o che comunque conferiscono un incarico professionale alle figure indicate al successivo punto 2, lettere b) e c); b) ad organismi paritetici o che gestiscono osservatori in materia di lavoro, previsti dalla normativa comunitaria, dalle leggi, dai regolamenti o dai contratti collettivi anche aziendali; l'autorizzazione riguarda anche l'attività svolta: c) dal medico competente in materia di igiene e di sicurezza del lavoro, in qualità di libero professionista o di dipendente dei soggetti di cui alla lettera a) o di strutture convenzionate; d) dal rappresentante dei lavoratori per la sicurezza, anche territoriale e di sito; e) da associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro, al solo fine di perseguire le finalità di cui al punto 3), lettera h).

31 Autorizzazione generale n. 1/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) Trattamento dei dati sensibili nei rapporti di lavoro 2) Interessati ai quali i dati si riferiscono (1/2). Il trattamento può riguardare i dati sensibili attinenti: a) a lavoratori subordinati, anche se parti di un contratto di apprendistato, o di formazione e lavoro, o di inserimento, o di lavoro ripartito, o di lavoro intermittente o a chiamata, o di lavoro occasionale ovvero prestatori di lavoro nell'ambito di un contratto di somministrazione di lavoro, o in rapporto di tirocinio, ovvero ad associati anche in compartecipazione e, se necessario in base ai punti 3) e 4), ai relativi familiari e conviventi; b) a consulenti e a liberi professionisti, ad agenti, rappresentanti e mandatari; c) a soggetti che effettuano prestazioni coordinate e continuative, anche nella modalità di lavoro a progetto, o ad altri lavoratori autonomi in rapporto di collaborazione, anche sotto forma di prestazioni di lavoro accessorio, con i soggetti di cui al punto 1)

32 Autorizzazione generale n. 1/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) Trattamento dei dati sensibili nei rapporti di lavoro 2) Interessati ai quali i dati si riferiscono (2/2). Il trattamento può riguardare i dati sensibili attinenti: d) a candidati all'instaurazione dei rapporti di lavoro di cui alle lettere precedenti, [ ], relativamente ai dati sensibili indispensabili contenuti in curricula spontaneamente trasmessi dagli interessati ai fini dell'instaurazione di un rapporto di lavoro; d) a persone fisiche che ricoprono cariche sociali o altri incarichi nelle persone giuridiche, negli enti, nelle associazioni e negli organismi di cui al punto 1); d) a terzi danneggiati nell'esercizio dell'attività lavorativa o professionale dai soggetti di cui alle precedenti lettere.

33 Autorizzazione generale n. 1/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) Trattamento dei dati sensibili nei rapporti di lavoro 3) Finalità del trattamento (1/3). Il trattamento dei dati sensibili deve essere indispensabile: a) per adempiere o per esigere l'adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa comunitaria, da leggi, da regolamenti o da contratti collettivi anche aziendali, in particolare ai fini dell'instaurazione, gestione ed estinzione del rapporto di lavoro, nonché del riconoscimento di agevolazioni ovvero dell'erogazione di contributi, dell'applicazione della normativa in materia di previdenza ed assistenza anche integrativa, o in materia di igiene e sicurezza del lavoro o della popolazione, nonché in materia fiscale, sindacale, di tutela della salute, dell'ordine e della sicurezza pubblica; b) anche fuori dei casi di cui alla lettera a), in conformità alla legge e per scopi determinati e legittimi, ai fini della tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori; c) per perseguire finalità di salvaguardia della vita o dell'incolumità fisica del lavoratore o di un terzo;

34 Autorizzazione generale n. 1/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) Trattamento dei dati sensibili nei rapporti di lavoro 3) Finalità del trattamento (2/3). Il trattamento dei dati sensibili deve essere indispensabile: d) per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Qualora i dati siano idonei a rivelare lo stato di salute e la vita sessuale, il diritto da far valere o difendere deve essere di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile; e) per esercitare il diritto di accesso ai documenti amministrativi, nel rispetto di quanto stabilito dalle leggi e dai regolamenti in materia;

35 Autorizzazione generale n. 1/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) Trattamento dei dati sensibili nei rapporti di lavoro 3) Finalità del trattamento (3/3). Il trattamento dei dati sensibili deve essere indispensabile: f) per adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di igiene e di sicurezza del lavoro e di malattie professionali o per i danni cagionati a terzi nell'esercizio dell'attività lavorativa o professionale; g) per garantire le pari opportunità nel lavoro; h) per perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi, in materia di assistenza sindacale ai datori di lavoro.

36 Autorizzazione generale n. 1/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) 4) Categorie di dati (1/2). Trattamento dei dati sensibili nei rapporti di lavoro Il trattamento può avere per oggetto i dati strettamente pertinenti ai sopra indicati obblighi, compiti o finalità che non possano essere adempiuti o realizzati, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa, e in particolare: a) nell'ambito dei dati idonei a rivelare le convinzioni religiose, filosofiche o di altro genere, ovvero l'adesione ad associazioni od organizzazioni a carattere religioso o filosofico, i dati concernenti la fruizione di permessi e festività religiose o di servizi di mensa, nonché la manifestazione, nei casi previsti dalla legge, dell'obiezione di coscienza; b) nell'ambito dei dati idonei a rivelare le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere politico o sindacale, i dati concernenti l'esercizio di funzioni pubbliche e di incarichi politici, di attività o di incarichi sindacali (sempre che il trattamento sia effettuato ai fini della fruizione di permessi o di periodi di aspettativa riconosciuti dalla legge o, eventualmente, dai contratti collettivi anche aziendali), ovvero l'organizzazione di pubbliche iniziative, nonché i dati inerenti alle trattenute per il versamento delle quote di servizio sindacale o delle quote di iscrizione ad associazioni od organizzazioni politiche o sindacali;

37 Autorizzazione generale n. 1/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) Trattamento dei dati sensibili nei rapporti di lavoro 4) Categorie di dati (2/2). c) nell'ambito dei dati idonei a rivelare lo stato di salute, i dati raccolti e ulteriormente trattati in riferimento a invalidità, infermità, gravidanza, puerperio o allattamento, ad infortuni, ad esposizioni a fattori di rischio, all'idoneità psico-fisica a svolgere determinate mansioni, all'appartenenza a determinate categorie protette, nonché i dati contenuti nella certificazione sanitaria attestante lo stato di malattia, anche professionale dell'interessato, o comunque relativi anche all'indicazione della malattia come specifica causa diassenza del lavoratore.

38 Autorizzazione generale n. 1/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) 5) Modalità di trattamento. Trattamento dei dati sensibili nei rapporti di lavoro Fermi restando gli obblighi previsti dagli artt. 11 e 14 del Codice, nonché dagli artt. 31 e seguenti del Codice e dall'allegato B) al medesimo Codice, il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto ai sopra indicati obblighi, compiti o finalità. I dati sono raccolti, di regola, presso l'interessato. La comunicazione di dati all'interessato deve avvenire di regola direttamente a quest'ultimo o a un suo delegato ( ), in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati, anche attraverso la previsione di distanze di cortesia. Restano inoltre fermi gli obblighi di informare l'interessato e, ove necessario, di acquisirne il consenso scritto, in conformità a quanto previsto dagli articoli 13, 23 e 26 del Codice.

39 Autorizzazione generale n. 1/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) 6) Conservazione dei dati. Trattamento dei dati sensibili nei rapporti di lavoro Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lettera e), del Codice, i dati sensibili possono essere conservati per un periodo non superiore a quello necessario per adempiere agli obblighi o ai compiti di cui al punto 3), ovvero per perseguire le finalità ivi menzionate. A tal fine, anche mediante controlli periodici, deve essere verificata costantemente la stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto al rapporto, alla prestazione o all'incarico in corso, da instaurare o cessati, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene. Specifica attenzione è prestata per l'indispensabilità dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni e gli adempimenti.

40 Autorizzazione generale n. 1/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) Trattamento dei dati sensibili nei rapporti di lavoro 7) Comunicazione e diffusione dei dati. I dati sensibili possono essere comunicati e, ove necessario, diffusi nei limiti strettamente pertinenti agli obblighi, ai compiti o alle finalità di cui al punto 3), a soggetti pubblici o privati, ivi compresi organismi sanitari, casse e fondi di previdenza ed assistenza sanitaria integrativa anche aziendale, istituti di patronato e di assistenza sociale, centri di assistenza fiscale, agenzie per il lavoro, associazioni ed organizzazioni sindacali di datori di lavoro e di prestatori di lavoro, liberi professionisti, società esterne titolari di un autonomo trattamento di dati e familiari dell'interessato. Ai sensi dell'art. 26, comma 5, del Codice, i dati idonei a rivelare lo stato di salute non possono essere diffusi.

41 Autorizzazione generale n. 1/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) Trattamento dei dati sensibili nei rapporti di lavoro 8) Richieste di autorizzazione. I titolari dei trattamenti che rientrano nell'ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di autorizzazione a questa Autorità, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette. Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento, devono intendersi accolte nei termini di cui al provvedimento medesimo. Il Garante non prenderà in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformità dalle prescrizioni del presente provvedimento, salvo che, [ ] il loro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nella presente autorizzazione.

42 Autorizzazione generale n. 1/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) 9) Norme finali (1/2). Trattamento dei dati sensibili nei rapporti di lavoro Restano fermi gli obblighi previsti da norme di legge o di regolamento, ovvero dalla normativa comunitaria, che stabiliscono divieti o limiti in materia di trattamento di dati personali e, in particolare, dalle disposizioni contenute: a) nell'art. 8 della legge 20 maggio 1970, n. 300, che vieta al datore di lavoro ai fini dell'assunzione e nello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore; b) nell'art. 6 della legge 5 giugno 1990, n. 135, che vieta ai datori di lavoro lo svolgimento di indagini volte ad accertare, nei dipendenti o in persone prese in considerazione per l'instaurazione di un rapporto di lavoro, l'esistenza di uno stato di sieropositività;

43 Autorizzazione generale n. 1/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) 9) Norme finali (2/2). Trattamento dei dati sensibili nei rapporti di lavoro c) nelle norme in materia di pari opportunità o volte a prevenire discriminazioni; d) fermo restando quanto disposto dall'art. 8 della legge 20 maggio 1970, n. 300, nell'art. 10 del decreto legislativo 10 settembre 2003, n. 276, che vieta alle agenzie per il lavoro e agli altri soggetti privati autorizzati o accreditati di effettuare qualsivoglia indagine o comunque trattamento di dati ovvero di preselezione di lavoratori, anche con il loro consenso, in base alle convinzioni personali, alla affiliazione sindacale o politica, al credo religioso, al sesso, all'orientamento sessuale, allo stato matrimoniale o di famiglia o di gravidanza, alla età, all'handicap, alla razza, all'origine etnica, al colore, alla ascendenza, all'origine nazionale, al gruppo linguistico, allo stato di salute e ad eventuali controversie con i precedenti datori di lavoro, nonché di trattare dati personali dei lavoratori che non siano strettamente attinenti alle loro attitudini professionali e al loro inserimento lavorativo.

44 Autorizzazione generale n. 1/2013 del 12 dicembre 2012 (scad. 31 dicembre 2014) 9) Norme finali (2/2). Trattamento dei dati sensibili nei rapporti di lavoro c) nelle norme in materia di pari opportunità o volte a prevenire discriminazioni; d) fermo restando quanto disposto dall'art. 8 della legge 20 maggio 1970, n. 300, nell'art. 10 del decreto legislativo 10 settembre 2003, n. 276, che vieta alle agenzie per il lavoro e agli altri soggetti privati autorizzati o accreditati di effettuare qualsivoglia indagine o comunque trattamento di dati ovvero di preselezione di lavoratori, anche con il loro consenso, in base alle convinzioni personali, alla affiliazione sindacale o politica, al credo religioso, al sesso, all'orientamento sessuale, allo stato matrimoniale o di famiglia o di gravidanza, alla età, all'handicap, alla razza, all'origine etnica, al colore, alla ascendenza, all'origine nazionale, al gruppo linguistico, allo stato di salute e ad eventuali controversie con i precedenti datori di lavoro, nonché di trattare dati personali dei lavoratori che non siano strettamente attinenti alle loro attitudini professionali e al loro inserimento lavorativo.

45 INFORMATIVA Art. 13. Informativa. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: I soggetti che effettueranno il trattamento La finalità del trattamento La modalità del trattamento I diritti dell interessato 45

46 La Forma dell Informativa L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto [ ] (art. 13 D.lgs. 196/03) LA FORMA E LIBERA E tuttavia consigliabile la forma scritta quale prova dell avvenuta comunicazione 46

47 Consenso dell interessato DEFINIZIONE: libera manifestazione della volontà dell'interessato con cui egli accetta espressamente un determinato trattamento dei propri dati personali, previa informativa da chi gestisce i dati. INFORMATO: è invalido il consenso non preceduto da informativa (Garante Provv. 28 maggio 1997) ESPRESSO: non può essere implicito, né per comportamenti concludenti (Garante Provv. 25 dicembre 1998) I REQUISITI DEL CONSENSO LIBERO: non costretto e non condizionato (Garante Provv. 28 maggio 1997) SPECIFICO: è invalido se generico DOCUMENTATO PER ISCRITTO: annotato, trascritto, riportato dal titolare o dal responsabile o da un incaricato del trattamento su un registro o un atto o un verbale. In caso di dati sensibili occorre il consenso rilasciato per iscritto dall'interessato 47

48 Casi nei quali può essere effettuato il trattamento senza consenso (art. 24) a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato [ ]; c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale; e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo; f) [ ] è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria [ ] 48

49 Casi nei quali può essere effettuato il trattamento senza consenso (art. 24) g) [ ] è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo; h) [ ] è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo; i-bis) riguarda dati contenuti nei curricula, nei casi di cui all'articolo 13, comma 5- bis; i-ter) [ ] riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate [ ] ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili,[ ], e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa di cui all'articolo

50 Disciplinare Tecnico Misure Minime di Sicurezza MISURE MINIME DI SICUREZZA MISURE IDONEE DI SICUREZZA 50

51 CARATTERISTICHE DELLE CREDENZIALI DI AUTENTICAZIONE 1. Lunghezza minima della password di 8 caratteri, 2. non riconducibile al soggetto GESTIONE DELLE CREDENZIALI DI AUTENTICAZIONE 1. Modifica dopo il primo utilizzo, ogni 6 o 3 mesi a seconda dei dati trattati 2. Disattivazione in caso di non uso per almeno 6 mesi o di perdita della qualità che permette l accesso ai dati 3. Garanzia della disponibilità dei dati o degli strumenti elettronici in caso di prolungata assenza o impedimento dell incaricato che goda delle credenziali di autenticazione 51

52 SISTEMA DI AUTORIZZAZIONE Verifica almeno annuale delle condizioni per l autorizzazione PROTEZIONE CONTRO IL RISCHIO DI INTRUSIONE Attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. AGGIORNAMENTI PERIODICI DEI PROGRAMMI PER ELABORATORE Almeno annuale per dati comuni Almeno semestrale per dati sensibili e/o giudiziari 52

53 BACK UP salvataggio dei dati con frequenza almeno settimanale DISASTER RECOVERY Ripristino entro il termine massimo di una settimana 53

54 Misure minime di sicurezza VS Misure idonee di sicurezza È NECESSARIO PRESTARE ATTENZIONE ALLA DISTINZIONE TRA MISURE MINIME DI SICUREZZA E MISURE IDONEE DI SICUREZZA art. 4 comma 3 del D.Lgs.196/03: Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31. MISURE MINIME MISURE IDONEE NESSUNA DEFINIZIONE NORMATIVA: sono individuabili sulla base delle soluzioni tecniche concretamente disponibili sul mercato, mentre le misure minime sono puntualmente individuate dalla legge (in particolare dall'allegato B). 54

55 Misure minime di sicurezza VS Misure idonee di sicurezza CONSEGUENZE DIVERSE PER IL MANCATO RISPETTO DELLE MISURE MINIME DI SICUREZZA E DELLE MISURE IDONEE DI SICUREZZA Responsabilità di tipo amministrativo e penale MISURE MINIME MISURE IDONEE Responsabilità Civile ex art c.c.

56 LA PRIVACY NEL RAPPORTO DI LAVORO Influenza del codice privacy nel rapporto di lavoro Principali interventi dell Autorità Garante per la privacy Settore Pubblico Settore Privato Videosorveglianza in azienda Trattamento dati dei dipendenti Regole per la navigazione su internet Regole per la posta elettronica

57 Il codice della privacy ha notevolmente influenzato il rapporto di lavoro pubblico e privato IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI è intervenuto più volte per delimitare le linee guida riferite ai rapporti di lavoro SETTORE PRIVATO Linee guida per il trattamento di dati dei dipendenti privati 23 novembre 2006 (G.U. 7 dicembre 2006, n. 285) SETTORE PUBBLICO Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico 14 giugno 2007 (G.U. 13 luglio 2007, n. 161)

58 In questa sede sarà dedicata attenzione agli interventi per il settore privato 23 novembre 2006 Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati 10 marzo 2007 Linee guida del Garante per posta elettronica e internet

59 Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati (Deliberazione n. 53 del 23 novembre 2006) SCOPO DELLE LINEE GUIDA Fornire indicazioni e raccomandazioni con riguardo alle operazioni di trattamento effettuate con dati personali (anche sensibili) di lavoratori operanti alle dipendenze di datori di lavoro privati il Garante ravvisa l esigenza di adottare le presenti linee guida, suscettibili di periodico aggiornamento, nelle quali si tiene conto, altresì, di precedenti decisioni dell Autorità AREE DI INTERESSE -comunicazione e diffusione dei dati - informativa che il datore di lavoro deve rendere ai lavoratori (art. 13 del Codice), ai dati idonei a rivelare lo stato di salute - diritto d accesso

60 Deliberazione n. 53 del 23 novembre 2006 AMBITI CONSIDERATI LE OPERAZIONI DI TRATTAMENTO RIGUARDANO PER LO PIÙ dati anagrafici di lavoratori (assunti o cessati dal servizio), dati biometrici, fotografie e dati sensibili riferiti anche a terzi, idonei in particolare a rivelare il credo religioso o l adesione a sindacati (SENSIBILI) dati idonei a rivelare lo stato di salute, di regola contenuti in certificati medici o in altra documentazione prodotta per giustificare le assenze dal lavoro o per fruire di particolari permessi e benefici previsti anche nei contratti collettivi (SENSIBILI) - informazioni più strettamente connesse allo svolgimento dell attività lavorativa, quali la tipologia del contratto (a tempo determinato o indeterminato, a tempo pieno o parziale, etc.); la qualifica e il livello professionale, la retribuzione individuale corrisposta anche in virtù di provvedimenti ad personam ; l ammontare di premi; il tempo di lavoro anche straordinario; ferie e permessi individuali (fruiti o residui); l assenza dal servizio nei casi previsti dalla legge o dai contratti anche collettivi di lavoro; trasferimenti ad altra sede di lavoro; procedimenti e provvedimenti disciplinari (COMUNI)

61 Deliberazione n. 53 del 23 novembre 2006 AMBITI CONSIDERATI UBICAZIONE DEI DATI INTERESSATI DAL PRESENTE PROVVEDIMENTO I dati sono: -contenuti in atti e documenti prodotti dai lavoratori in sede di assunzione (rispetto ai quali, con riferimento alle informazioni raccolte mediante annunci contenenti offerte di lavoro, questa Autorità si è già pronunciata o nel corso del rapporto di lavoro; -contenuti in documenti e/o file elaborati dal (o per conto del) datore di lavoro in pendenza del rapporto di lavoro per finalità di esecuzione del contratto e successivamente raccolti e conservati in fascicoli personali, archivi cartacei o elettronici aziendali; - resi disponibili in albi e bacheche o, ancora, nelle intranet aziendali.

62 Deliberazione n. 53 del 23 novembre 2006 AMBITI CONSIDERATI UBICAZIONE DEI DATI INTERESSATI DAL PRESENTE PROVVEDIMENTO I dati sono contenuti in: -atti e documenti prodotti dai lavoratori in sede di assunzione - in documenti e/o file elaborati dal (o per conto del) datore di lavoro in pendenza del rapporto di lavoro per finalità di esecuzione del contratto e successivamente raccolti e conservati in fascicoli personali, archivi cartacei o elettronici aziendali - resi disponibili in albi e bacheche o, ancora, nelle intranet aziendali

63 Comunicazione e diffusione di dati personali REGOLA GENERALE La conoscenza dei dati personali relativi ad un lavoratore da parte di terzi è ammessa se l'interessato vi acconsente. MODALITA DI COMUNICAZIONE il datore di lavoro deve utilizzare forme di comunicazione individualizzata con il lavoratore, adottando le misure più opportune per prevenire un'indebita comunicazione di dati personali. DIFFUSIONE Il datore di lavoro ha facoltà di comunicare a terzi in forma anonima dati ricavati dalle informazioni relative a singoli o gruppi di lavoratori: ESEMPIO: numero complessivo di ore di lavoro straordinario prestate o di ore non lavorate a livello aziendale o all'interno di singole unità produttive.

64 Comunicazione e diffusione di dati personali ATTIVITA CONSENTITE INTRANET AZIENDALE Necessario il consenso del lavoratore per pubblicare informazioni personali (quali fotografia, informazioni anagrafiche o curricula) nella intranet aziendale aziendale. Le stesse regole si applicano alla pubblicazione su rete internet. BACHECA AZIENDALE La diffusione di dati personali del lavoratore tramite la bacheca aziendale può avvenire solo se necessaria per dare esecuzione a obblighi derivanti dal contratto di lavoro DIVIETI - affissione relativa ad emolumenti percepiti o che fanno riferimento a particolari condizioni personali ; - sanzioni disciplinari irrogate o informazioni relative a controversie giudiziarie; - assenze dal lavoro per malattia; - iscrizione e/o adesione dei singoli lavoratori ad associazioni. CARTELLINI IDENTIFICATI VI L indicazione sul cartellino di dati personali identificativi (generalità o dati anagrafici) non può essere imposta. Per soddisfare le esigenze dell utenza è sufficiente riportare altre informazioni (codici identificativi, il solo nome o il ruolo professionale svolto). PRECISAZIONE L'obbligo del cartellino può trovare fondamento negli accordi sindacali aziendali, il cui rispetto può essere ricondotto alle prescrizioni del contratto di lavoro.

65 MISURE DI SICUREZZA PER I DATI SENSIBILI DEL DIPENDENTE I dati sensibili (in part. sanitari) devono essere conservati separatamente da ogni altro dato personale dell'interessato FASCICOLO PERSONALE Se il lavoratore produce spontaneamente certificati medici recanti anche la diagnosi il datore di lavoro e deve adottare gli opportuni accorgimenti per non renderla visibile (ad I fascicoli personali cartacei dei dipendenti devono contenere sezioni appositamente dedicate alla custodia dei dati sensibili (p. es. sanitari) in modo da non consentirne una indistinta consultazione nel corso delle ordinarie attività amministrative esempio, prescrivendone la circolazione in busta chiusa previo oscuramento di tali informazioni) Per la custodia dei dati personali dei lavoratori il personale deve ricevere uno specifico incarico e ricevere una formazione adeguata. In assenza di un'adeguata formazione il rispetto della riservatezza dei lavoratori sul luogo di lavoro non potrà mai essere garantito

66 MISURE FISICHE ED ORGANIZZATIVE Il datore di lavoro deve adottare le seguenti misure organizzative e fisiche idonee a garantire che: 1) i luoghi ove si svolge il trattamento di dati personali dei lavoratori siano opportunamente protetti da indebite intrusioni; 2) le comunicazioni personali riferibili esclusivamente a singoli lavoratori avvengano con modalità tali da escluderne l'indebita presa di conoscenza da parte di terzi o di soggetti non designati quali incaricati; 3) siano impartite chiare istruzioni agli incaricati in ordine alla scrupolosa osservanza del segreto d'ufficio, anche con riguardo a dipendenti del medesimo datore di lavoro che non abbiano titolo per venire a conoscenza di particolari informazioni personali; 4) sia prevenuta l'acquisizione e riproduzione di dati personali trattati elettronicamente, in assenza di adeguati sistemi di autenticazione o autorizzazione e/o di documenti contenenti informazioni personali da parte di soggetti non autorizzati; 5) sia prevenuta l'involontaria acquisizione di informazioni personali da parte di terzi o di altri dipendenti: opportuni accorgimenti, ad esempio, devono essere presi in presenza di una particolare conformazione o dislocazione degli uffici, in assenza di misure idonee volte a prevenire la diffusione delle informazioni (si pensi al mancato rispetto di distanze di sicurezza o alla trattazione di informazioni riservate in spazi aperti, anziché all'interno di locali chiusi).

67 LINEE GUIDA DEL GARANTE PER POSTA ELETTRONICA E INTERNET NEI LUOGHI DI LAVORO Il datore di lavoro deve istruire i propri collaboratori sulle modalità di utilizzo della posta elettronica e della rete Internet da parte dei lavoratori. Il datore di lavoro deve attenersi alle linee guida che l Autorità Garante ha dettato al fine di tutela dei diritti degli interessati: a) l'adozione e la pubblicizzazione di un disciplinare interno; b) l'adozione di misure di tipo organizzativo affinché: - si proceda ad un'attenta valutazione dell'impatto sui diritti dei lavoratori; - si individui preventivamente (anche per tipologie) a quali lavoratori è accordato l'utilizzo della posta elettronica e dell'accesso a Internet; - si individui quale ubicazione è riservata alle postazioni di lavoro per ridurre il rischio di impieghi abusivi. Continua