INFORMATICA GIURIDICA PER LE RELAZIONI AZIENDALI … · Dott.ssa Dina Ferrari. Introduzione al...

INFORMATICA GIURIDICA PER LE

RELAZIONI AZIENDALI

PROFILI GIURIDICI

Dott.ssa Dina Ferrari

Introduzione al trattamento dei dati personali in ambito lavorativo

1) La protezione dei dati personali, le nuove tecnologie e

l’ambiente lavorativo

2) Il quadro giuridico

3) Cenni sui dati trattati e sui soggetti coinvolti nel

trattamento

4) I principi che regolano il diritto alla protezione dei dati

personali, con specifico riguardo all’ambiente lavorativo

5) Cancellazione e smaltimento dei dati

Argomenti


libro

INFORMATICA GIURIDICA

PER LE RELAZIONI

AZIENDALI

Giappichelli, 2013

� LA PROTEZIONE DEI

DATI PERSONALI,

LE NUOVE TECNOLOGIE E

L’AMBIENTE LAVORATIVO


DIRITTO ALLA RISERVATEZZA Libertà, a contenuto negativo, di

non subire ingerenze nella propria

sfera privata.

DIRITTO ALLA PROTEZIONE

DEI DATI PERSONALILibertà, a contenuto positivo, di

esercitare un controllo sul

trattamento e sulla circolazione

delle informazioni riguardanti la

propria persona.

… Alcuni concetti

Secondo il Codice della Privacy , Articolo 1

“Chiunque ha diritto alla protezione dei dati che lo

riguardano”


«Se ogni individuo è titolare di un diritto alla riservatezza in ogni

momento in cui si sviluppa la sua personalità, rimane titolare di questo

diritto anche quando si trova nel luogo di lavoro per adempiere alla

propria prestazione lavorativa»

Con il contratto di lavoro, il lavoratore si impegna ad

eseguire un'obbligazione a vantaggio del datore di

lavoro, ovvero a compiere un’attività psico-fisica che

comporta un coinvolgimento della sua personalità e

che quindi necessita di una specifica tutela in

relazione alla protezione della sua riservatezza.


Il diritto alla riservatezza del lavoratore nel contesto

aziendale/lavorativo trova un limite nei diritti propri del

datore di lavoro

Il diritto alla riservatezza del lavoratore nel contesto

aziendale/lavorativo trova un limite nei diritti propri del

datore di lavoro

Il LAVORATORE ha

interesse a vedere correttamente

e legittimamente impiegate le

sue energie psico-fisiche

Il DATORE DI LAVORO

ha interesse ad organizzare il

lavoro e ad esigere una

prestazione secondo le sue

istruzioni


� Sviluppo della Società dell'informazione

� Impiego delle tecnologie informatiche in ambito

lavorativo

� Internet e posta elettronica quali indispensabili

strumenti di lavoro

� Riorganizzazione dei metodi e delle forme

organizzative e comunicative

� Sviluppo della Società dell'informazione

� Impiego delle tecnologie informatiche in ambito

lavorativo

� Internet e posta elettronica quali indispensabili

strumenti di lavoro

� Riorganizzazione dei metodi e delle forme

organizzative e comunicative

LE ICT E IL LAVORO


RISCHI PER LA PROTEZIONE DEI DATI PERSONALI

�Nuovi metodi di raccolta delle informazioni personali, sofisticati ed invasivi

�Maggior possibilità di controllo sull'attività lavorativa svolta dai lavoratori,

ad esempio

• monitorando gli accessi a Internet

• controllando i siti visitati

• visionando la posta elettronica

Il controllo deve essere esercitato in modo legittimo e senza

pregiudicare interessi specifici tutelati, come appunto il diritto alla privacy, alla

dignità e alla riservatezza del lavoratore


•Presa visione del contenuto

della posta elettronica

• monitoraggio degli accessi

a Internet

•controllo dei siti visitati


Il sistema normativo delle garanzie a tutela del diritto alla

protezione dei dati e alla riservatezza risulta complesso per la

compresenza di varie fonti normative

Il sistema normativo delle garanzie a tutela del diritto alla

protezione dei dati e alla riservatezza risulta complesso per la

compresenza di varie fonti normative

IL QUADRO GIURIDICO

Europa

Giurisprudenza della Corte

europea di giustiziaVarie disposizioni dell’Unione

europea, Raccomandazioni, Direttive

Dichiarazioni internazionali

Diverse tradizioni giuridiche e

costituzionali degli stati membri


vita privata

* il periodo di tempo che

ogni individuo dedica al

lavoro

vita lavorativa *

ma dove finisce la vita privata e comincia

quella lavorativa??


E’ durante la propria vita lavorativa che la

maggioranza delle persone ha un'importante, se

non la migliore, opportunità di sviluppare rapporti con l'ambiente esterno. Questo

punto di vista è supportato dal fatto che non è

sempre possibile distinguere chiaramente quali attività dell'individuo facciano parte della sua vita lavorativa e quali no

«

»Corte europea dei diritti dell'uomo


�� Documento del Gruppo “Articolo 29”, “Working document on the Surveillance of Electronic Communication in the

workplace”, del 29 maggio 2002

�� Direttiva 95/46/CE del 24 ottobre 1995 del Parlamento europeo e del Consiglio dell'Unione europea, “relativa alla tutela

delle persone fisiche con riguardo al trattamento dei dati

personali, nonché alla libera circolazione di tali dati”

�� Raccomandazione n.2 del 1989 del Consiglio d’Europa “relativa alla protezione dei dati a carattere personale utilizzati

ai fini dell'occupazione”

�� Parere 8/2001 del Gruppo di lavoro dei Garanti europei

(“articolo 29”) l'“Opinion 8/2001 on the processing of personal

data in the Employment context”


Italia

��Decreto legislativo 30 giugno 2003, n. 196

CODICE PRIVACY

�� legge 31 dicembre 1996, n. 675


�� Costituzione �� artt. 2, 3, 15, 21, 41

�� Codice Civile�� artt. 2087, 2104

�� Normative specifiche �� Codice dell’amministrazione digitale

�� Normative emanate o modificate a seguito dello sviluppo

tecnologico �� art. 616 codice penale

�� Statuto dei Lavoratori (legge 300 del 20 maggio 1970)

�� Attività del Garante…


GARANTEGARANTE � Provvedimenti

� Comunicati

� Informative

� Rapporti

� Pareri

� Risposte a quesiti o ricorsi

� LINEE GUIDA

Linee guida in materia di trattamento di dati personali di lavoratori

per finalità di gestione del rapporto di lavoro in ambito pubblico

14 giugno 2007

Linee guida per il trattamento di dati dei dipendenti privati

23 novembre 2006

�I DATI TRATTATI

� I SOGGETTI COINVOLTI

NEL TRATTAMENTO


DI QUALI DATI STIAMO PARLANDO?DI QUALI DATI STIAMO PARLANDO?

La maggior parte delle attività

compiute in ambito lavorativo

implicano il trattamento di dati

personali

� esigenze fiscali

�motivi relativi allo svolgimento del rapporto di lavoro

� ragioni di valutazione della prestazione lavorativa


A titolo di esempio

Il Gruppo di lavoro "articolo 29" ha elencato alcune categorie di dati

protetti dalla normativa sulla privacy:

� domande di assunzione e referenze;

� dati salariali e fiscali

� cartelle mediche

� registri dei permessi, delle ferie o registri presenze;

� schede di valutazione e di giudizio;

� documenti relativi a promozioni, trasferimenti, formazione professionale o questioni disciplinari;

� documenti relativi a incidenti sul lavoro;

� rimborsi spese;

� composizione del nucleo familiare (cioè dati trattati per facilitare l'accesso a determinati servizi come la scuola materna, gli studi, il trasporto/viaggio, ecc)

� dati generati dal sistema informatico.


dati personali idonei a rivelare

provvedimenti in materia di casellario

giudiziale, di anagrafe delle sanzioni

amministrative dipendenti da reato e

dei relativi carichi pendenti, o la qualità

di imputato o di indagato.

Codice della privacy

dati personali che

permettono l'identifica-

zione diretta dell'interessato

dati personali idonei a rivelare l'origine razziale ed etnica,

le convinzioni religiose, filosofiche o di altro genere, le

opinioni politiche, l'adesione a partiti, sindacati,

associazioni od organizzazioni a carattere religioso,

filosofico, politico o sindacale, nonché i dati personali

idonei a rivelare lo stato di salute e la vita sessuale

Qualunque informazione

relativa a persona fisica,

identificata o identificabile,

anche indirettamente,

mediante riferimento a

qualsiasi altra informazione,

ivi compreso un numero di

identificazione personale


In ambito lavorativo

�dati anagrafici dei lavoratori (assunti o cessati dal servizio)

�fotografie

�dati biometrici

�dati che sono connessi all'attività lavorativa in sé considerata, come

• la tipologia di contratto (tempo determinato/indeterminato,

full/part time, ecc)

• la qualifica

• il livello professionale

• la retribuzione individuali

• i premi, le ferie e i permessi

• i trasferimenti e i procedimenti disciplinari

� dati sensibili, specialmente quelli idonei a rivelare l'adesione a

sindacati o a rivelare lo stato di salute in quanto inseriti in certificati

medici o in altra documentazione prodotta per giustificare le assenze

dal lavoro o per fruire di particolari permessi e benefici.


� in documenti prodotti dal lavoratore nel corso del

rapporto di lavoro o anche prima in sede di assunzione,

in documenti elaborati dal datore di lavoro o per conto di

questi, in pendenza del rapporto di lavoro e per finalità di

esecuzione del contratto

� in fascicoli personali dei lavoratori

� conservati in archivi aziendali, cartacei o elettronici

� inseriti in albi, bacheche o nella intranet aziendale

DOVE SI TROVANO QUESTI DATI?DOVE SI TROVANO QUESTI DATI?


= soggetti che possono compiere le

operazioni di trattamento

I SOGGETTI CHE TRATTATO I DATII SOGGETTI CHE TRATTATO I DATI

attribuzioni responsabilità


�� titolarela persona fisica, la persona giuridica, la pubblica amministrazione

e qualsiasi altro ente, associazione od organismo cui competono,

anche unitamente ad altro titolare, le decisioni in ordine alle

finalità, alle modalità del trattamento di dati personali e agli

strumenti utilizzati, compreso il profilo della sicurezza.

�� responsabilequella persona (fisica, giuridica, pubblica amministrazione e

qualsiasi altro ente, associazione od organismo) che può essere

preposto, dal titolare, al trattamento dei dati.

�� incaricatola persona fisica autorizzata a compiere materialmente le singole

operazioni di trattamento dal titolare o dal responsabile.


�� Interessatola persona fisica a cui appartengono e si riferiscono

i dati

�� il Garantequale soggetto super partes, i cui compiti sono stabiliti

dagli artt. 153 e ss. dello stesso codice


AMBIENTI LAVORATIVI DI GRANDI DIMENSIONI,

MOLTO ARTICOLATI NELLA STRUTTURA O CON VARIE

RAMIFICAZIONI NEL TERRITORIO.

AD ESEMPIO, GRUPPI DI IMPRESE, AZIENDE MOLTO

GRANDI CON FORME DI OUTSOURCING,

AMMINISTRAZIONI PUBBLICHE ARTICOLATE NEL

TERRITORIO

AMBIENTI LAVORATIVI DI GRANDI DIMENSIONI,

MOLTO ARTICOLATI NELLA STRUTTURA O CON VARIE

RAMIFICAZIONI NEL TERRITORIO.

AD ESEMPIO, GRUPPI DI IMPRESE, AZIENDE MOLTO

GRANDI CON FORME DI OUTSOURCING,

AMMINISTRAZIONI PUBBLICHE ARTICOLATE NEL

TERRITORIO

IDENTIFICAZIONE CHIARA DI QUESTI SOGGETTI

attribuire in modo preciso le relative responsabilità

permettere l'esercizio dei diritti dell’interessato

rispettare gli adempimenti previsti dal Codice della Privacy e

dalla normativa vigente


articolo 28 del Codice privacy

In un contesto dove manca un unico soggetto chiaramente

identificabile ovvero «quando il trattamento è effettuato da una persona

giuridica, da una pubblica amministrazione o da un qualsiasi altro ente,

associazione od organismo», il titolare del trattamento risulta essere

«l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza».

Ciò che è importante è l'effettivo centro di imputazione del

rapporto di lavoro

�PRINCIPI GENERALI


Trattamentoart. 4, comma 1, lett. a)

qualunque operazione o complesso di operazioni, effettuati sui

dati anche senza l’ausilio di strumenti elettronici, concernenti:


dare conoscenza dei dati personali a uno o più soggetti

determinati diversi dall’interessato, dal rappresentante del titolare

nel territorio dello Stato, dal responsabile e dagli incaricati, in

qualunque forma, anche mediante la loro messa a disposizione o

consultazione.

Comunicazione

Diffusione

il dare conoscenza di dati personali a soggetti

indeterminati, in qualunque forma, anche mediante

la loro messa a disposizione o consultazione.


«I sistemi informativi e i programmi informatici sono configurati

riducendo al minimo l'utilizzazione di dati personali e di dati

identificativi, in modo da escluderne il trattamento quando le finalità

perseguite nei singoli casi possono essere realizzate mediante,

rispettivamente, dati anonimi od opportune modalità che

permettano di identificare l'interessato solo in caso di necessità».

Principio di necessitàart. 3


Il trattamento di dati personali relativi ai lavoratori deve

essere conforme ai principi e alle regole contenute nella

normativa relativa alla protezione dei dati personali.

Il principio di correttezza richiama il rispetto di tutte le

regole, codificate e no

I dati devono essere trattati in modo lecito

e seconda correttezza


Principio di FinalitàArt. 11, comma 1, lettera b)

I dati devono essere raccolti e registrati

per scopi determinati, espliciti e

legittimi ed utilizzati, in altre operazioni di

trattamento, in termini compatibili con tali

scopi


I dati devono essere pertinenti, completi e non eccedenti

rispetto alle finalità per le quali sono raccolti o

successivamente trattati.

Principio di proporzionalità

Esattezza dei datiI dati devono essere esatti e, se necessario, aggiornati. Inoltre i

dati devono essere conservati in una forma che consenta

l'identificazione dell'interessato per un periodo di tempo non

superiore a quello necessario agli scopi per i quali essi sono stati

raccolti o successivamente trattati.


INFORMATIVA(articolo 13 del Codice)

L’interessato o la persona presso la quale sono raccolti i dati

personali sono previamente informati, oralmente o per iscritto,

circa:

� le finalità e le modalità del trattamento cui sono destinati i dati;

� la natura obbligatoria o facoltativa del conferimento dei dati;

� le conseguenze di un eventuale rifiuto di rispondere;

� i soggetti o le categorie di soggetti ai quali i dati personali possono

essere comunicati o che possono venirne a conoscenza in qualità di

responsabili o incaricati;

� l’ambito di diffusione dei dati medesimi;

� i diritti spettanti all’interessato;

� gli estremi identificativi del titolare e, se questo designato, del

responsabile.


L’informativa non è dovuta se:

� i dati sono trattati in base ad un obbligo previsto dalla legge;

� i dati sono trattati ai fini dello svolgimento delle investigazioni

difensive;

� l’informativa all’interessato comporta un impiego di mezzi che

il Garante dichiari manifestamente sproporzionati rispetto al

diritto tutelato, ovvero si riveli, a giudizio del Garante,

impossibile.


CONSENSOartt. 23-24

Il trattamento dei dati personali può avvenire esclusivamente con il consenso espresso

dell’interessato che deve essere preventivo, esplicito e libero.

(per i dati personali di tipo sensibile è necessaria la forma scritta).

Il consenso non è richiesto quando:

• è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla

normativa comunitaria o per eseguire obblighi derivanti da un contratto del quale è parte

l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste

dell'interessato;

• riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da

chiunque;

• riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della

vigente normativa in materia di segreto aziendale e industriale;


• è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo o

per perseguire un legittimo interesse del titolare o di un terzo destinatario dei

dati;

• è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla

legge 7 dicembre 2000, n. 397, o comunque, per far valere o difendere un diritto

in sede giudiziaria;

• è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non

riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad

aderenti, per il perseguimento di scopi determinati e legittimi individuati

dall'atto costitutivo, dallo statuto o dal contratto collettivo;

• è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato

A) del Codice, per esclusivi scopi scientifici o statistici, ovvero per esclusivi

scopi storici.


DATI SENSIBILI

dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale

I dati sensibili sono dati personali la cui raccolta e

trattamento sono soggetti sia al consenso scritto

dell'interessato sia all'autorizzazione preventiva

del Garante per la protezione dei dati personali.

Art. 4, comma 1, lett. d)

Art. 26, comma 1


Autorizzazione n. 1/2011

al trattamento dei dati sensibili nei rapporti di lavoro

del 24 giugno 2011

DOC. WEB 1822566

� CANCELLAZIONE E SMALTIMENTO


Necessità di adottare accorgimenti e misure per

prevenire accessi non consentiti ai dati personali

memorizzati nelle apparecchiature destinate ad

essere riciclate, reimpiegate o smaltite.

Il rischio è che vengano ritrovati dati personali

all’interno di tali apparecchiature cedute, vendute o

mandate in riparazione o sostituzione.


Tale decreto, prevede misure e procedure atte a

prevenire la produzione di rifiuti elettronici e a

promuoverne il reimpiego, il riciclaggio e altre

forme di recupero in modo da ridurre la quantità di

rifiuti da smaltire. L’applicazione di questa disciplina

mirando al recupero (anche nuova

commercializzazione) produce un rischio in più,

ovvero la aumentata circolazione di componenti

elettronici “usati”.

D.Lgs 25 Luglio 2005, n. 151


Il titolare del trattamento deve seguire le misure e gli accorgimenti che il

Garante definisce nel provvedimento. Accorgimenti che rientrano già

nelle “misure di sicurezza” che il titolare ha l’obbligo di predisporre al

fine di garantire una adeguata protezione dei dati trattati. Obblighi che

non vengono meno nel caso di cessazione del trattamento (art. 16 Cod.

Privacy)

PROVVEDIMENTO DEL GARANTE (DOC

WEB 1571514)

DEL 13 OTTOBRE 2008

Allegato A e B

PROVVEDIMENTO DEL GARANTE (DOC

WEB 1571514)

DEL 13 OTTOBRE 2008

Allegato A e B

�� L’attuazione di questi obblighi relativi al corretto smaltimento dei

rifiuti, può anche essere demandato a soggetti terzi (tecnicamente

qualificati, come centri di assistenza, distributori o produttori di

apparecchiature)


ALLEGATO A

REIMPIEGO E RICICLAGGIO

�� Tenere in considerazione gli standard tecnici esistenti.

�� Utilizzare accorgimenti che consentano l’EFFETTIVA cancellazione dei dati dall’apparecchiatura o la loro non

intelligibilità.

�� Si distingue tra:- Misure tecniche preventive per la memorizzazione

sicura dei dati

- Misure tecniche per la cancellazione sicura dei dati


�Cifratura di singoli file o gruppi di file, di volta in

volta protetti con password.

�Memorizzazione dei dati su hard-disk o altri

supporti in forma automaticamente cifrata al momento

della loro scrittura, tramite l’uso di password riservate e

note al solo utente (file system crittografico, unica

parola chiave di volume)

MISURE TECNICHE PREVENTIVE

PER LA MEMORIZZAZIONE SICURA DEI DATI


�Cancellazione sicura delle informazioni

ottenibile con programmi informatici come

wiping program o file shredder

� Formattazione a basso livello dei dispositivi

�Degaussing (demagnetizazione) dei

dispositivi di memoria

MISURE TECNICHE PER LA

CANCELLAZIONE SICURA DEI DATI


ALLEGATO B

SMALTIMENTO

L’effettiva cancellazione dei dati personali dai supporti

contenuti nelle apparecchiature elettroniche può anche

risultare da procedure che comportino la distruzione dei

supporti di memorizzazione di tipo ottico o magnetico in

modo da impedire l’indebita acquisizione dei dati in essi

contenuti.

Procedure come:

- punzonatura, deformazione meccanica, distruzione fisica,

disintegrazione, demagnetizzazione ad alta intensità


Dall’inosservanza di queste misure può derivare in

capo al titolare del trattamento una

RESPONSABILITA’ PENALE (ex art. 169 cod.

Privacy) e in caso di danni cagionati a terzi anche una

RESPONSABILITA’ CIVILE (ex artt. 15 cod.

Privacy e 2050 c.c.)

CONSEGUENZE

INFORMATICA GIURIDICA PER LE RELAZIONI AZIENDALI … · Dott.ssa Dina Ferrari. Introduzione al...

Documents

Transcript of INFORMATICA GIURIDICA PER LE RELAZIONI AZIENDALI … · Dott.ssa Dina Ferrari. Introduzione al...