Tag: gdpr

Sul rifiuto del dipendente di accettare la nomina al trattamento dei dati personali

Può il dipendente rifiutarsi di sottoscrivere per accettazione la nomina a incaricato al trattamento dei dati personali sottopostagli dal datore di lavoro?

Il Regolamento (UE) 2016/679 (GDPR) ha introdotto la figura del Responsabile del Trattamento dei dati personali.

L’art. 28 GDPR prevede che “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” e che “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.

All’art. 29 è poi previsto che “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

L’interessante ordinanza 504/2024 del Tribunale di Udine, Sezione Lavoro, afferma che “Le prestazioni rese dalla ricorrente (così come da chiunque operi in un ufficio postale) implicano necessariamente il trattamento in senso tecnico di dati personali altrui”.

Conseguentemente “Se dunque è vero che la nomina quale persona designata al trattamento dei dati personali ha natura unilaterale essendo un atto che promana dalla parte datoriale, è tuttavia altrettanto vero che ogni nomina/designazione per lo svolgimento di determinate mansioni/incarichi implica una accettazione da parte del destinatario di quell’atto (senza la quale la nomina non può produrre i propri effetti), che in base ai principi generali dell’ordinamento deve rivestire la stessa forma dell’atto presupposto. La mancata accettazione da parte del lavoratore dell’incarico conferitogli dal datore porta a conseguenze nella gestione del rapporto di lavoro che si producono su diversi piani: violazione del generale dovere di lealtà e correttezza nell’esecuzione del rapporto, inadempimento dei doveri contrattuali, integrazione di condotta disciplinarmente rilevante. Il rifiuto espressamente opposto dalla (omissis) di sottoscrivere la lettera di incarico e gli specifici impegni ivi indicati implica inevitabilmente il rifiuto di trattare tali dati rispettando la disciplina di legge e le indicazioni datoriali, nonché di formarsi adeguatamente e di aggiornarsi sul punto”.

Ricorda inoltre il Tribunale che l’art. 24 GDPR impone al Titolare del trattamento, di adottare “tenuto conto … dei rischi” connessi al trattamento dei dati personali “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”: in altre parole, in ragione delle generali esigenze di garanzia e tutela dei diritti dei cittadini sottese a tale impianto normativo, l’ordinamento impone alla società di organizzarsi in modo da assicurare il legittimo trattamento dei dati e di essere in grado di provare in qualsiasi momento (“dimostrare”) di aver adottato tali misure organizzative.

Nondimeno, gli artt. 29 e 32 co.4° del Reg. UE n. 2016/679 impongono al Titolare di formare adeguatamente ed aggiornare i propri designati al trattamento, stabilendo che il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento.

In forza di ciò, dunque, il datore di lavoro:

  • deve garantire che i dati delle persone fisiche trattati dai propri incaricati/designati avvenga nel rispetto degli obblighi di legge;
  • allo scopo deve formare adeguatamente i propri designati al trattamento e tenere aggiornata tale formazione;
  • risponde direttamente e a ogni effetto verso le persone fisiche i cui dati personali siano stati trattati illegittimamente dai propri incaricati;
  • deve adottare misure organizzative che le consentano altresì di “dimostrare” che questi ultimi trattino i dati personali altrui in modo legittimo.

Il Datore di lavoro si è insomma trovato, per un fatto determinato dalla volontà del proprio dipendente e comunque fuori dalla propria sfera di controllo, nelle condizioni di dover necessariamente sospendere dal servizio il lavoratore, posto che in caso contrario il datore di lavoro avrebbe senz’altro violato le norme di garanzia e di tutela sopra esaminate, esponendosi altresì inevitabilmente al rischio di incorrere in responsabilità sia di natura civilistica verso i soggetti interessati da eventuali trattamenti illegittimi (cfr. art. 82 GDPR) sia di natura amministrativa (cfr. artt. 83 e 84 GDPR).

A fronte di ciò, il datore di lavoro legittimamente può sospendere il dipendente, in attesa che vengano ripristinate le condizioni minime che consentano di operare nel rispetto della sopra richiamata disciplina di legge nazionale e comunitaria in tema di protezione e tutela dei dati personali.

Scarica qui il provvedimento del Tribunale di Udine e la nostra newsletter sul punto.

27 luglio 2022, stop al telemarketing: il Registro delle Opposizioni

registro delle opposizioniNegli ultimi anni è cresciuto a dismisura il fenomeno delle telefonate da parte degli operatori di telemarketing.

Spesso voci registrate, ma anche operatori di svariati settori commerciali (energie e telefonia soprattutto).

Il blocco dei numeri non sempre porta risultati concreti sia per la modifica continua dei numeri chiamanti, sia per la ricezione di chiamate da numeri sconosciuti.

Già dal 2010 esiste uno servizio volto ad arginare questi fenomeni: il Registro Pubblico delle Opposizioni o RPO, istituito con DPR 178/2010, col fine di offrire agli utenti la possibilità di opporsi all’utilizzo del proprio numero per fini di marketing.

Con l’art. 1 comma 54 della Legge 124/2017 regolamentata dal DPR n. 149/2018, il Registro è stato inoltre esteso anche alle comunicazioni cartacee.

In sostanza il Registro costituisce una lista di numeri verso i quali gli operatori commerciali non possono effettuare chiamate per finalità commerciali.

Se un numero è registrato nel Registro, un’azienda, o un call center, non potrà usarlo per proporre prodotti o promozioni o servizi.

Qualora lo utilizzasse, commetterebbe una violazione del diritto di opposizione ex art. 21 del Regolamento UE 2016/679 (GDPR), con la conseguente applicazione delle sanzioni di cui all’art. 83 della medesima normativa.

La legge 5/2018, prendendo atto che ormai le telefonate insistenti si sono spostate prevalentemente sui telefoni cellulari, estende l’applicazione del Registro pubblico delle opposizioni a tutti i numeri privati, compresi quelli mobili.

Può essere iscritto al Registro qualsiasi numero, anche se non presente in un elenco pubblico.

Il regolamento attuativo (DPR 26/2022 pubblicato nella Gazzetta Ufficiale n. 74 del 29 marzo 2022), ha stabilito l’entrata in vigore della nuova normativa nei 120 giorni dalla sua pubblicazione, e dunque al 27 luglio 2022.

Oltre alla possibilità di iscrivere gratuitamente nel registro tutti i numeri di cellulare, le nuove disposizioni prevedono anche l’inclusione in automatico di tutti i numeri fissi che non risultano iscritti nell’elenco telefonico pubblico. L’iscrizione nel registro cancella automaticamente tutti i consensi dati in precedenza, e a partire da quindici giorni dall’iscrizione al registro, le telefonate a fini commerciali a quell’utenza sono considerate illegali.

Il sito del RPO indica tutte le modalità di iscrizione (via web, via mail, via telefono, via fax o tramite lettera raccomandata), in ogni caso sempre gratuita.

Scarica qui la nostra newsletter sul punto.

Google: Garante privacy stop all’uso degli Analytics

google analyticsGoogle: Garante privacy stop all’uso degli Analytics: dati trasferiti negli Usa senza adeguate garanzie

Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.

Lo ha affermato il Garante per la privacy a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee. Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.

All’esito di tali accertamenti il Garante ha adottato il primo di una serie di provvedimenti con cui ha ammonito Caffeina Media S.r.l. che gestisce un sito web, ingiungendo alla stessa di conformarsi al Regolamento europeo entro novanta giorni. Il tempo indicato è stato ritenuto congruo per consentire al gestore di adottare misure adeguate per il trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti.

Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti.

Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.

Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.

Accedi qui al provvedimento del 9.6.2022 del Garante della Privacy e al comunicato stampa del 23.6.2022,

Scarica qui la nostra newsletter in materia.

Didattica a distanza

 

didattica_a_distanzaSono state pubblicate le Istruzioni del Garante per la Protezione dei Dati personali per la didattica on line.

In esse, tra l’altro, si stabilisce che nell’utilizzo delle piattaforme per le lezioni a distanza utilizzate dai nostri ragazzi non è necessario ottenere il consenso al trattamento, ma solo fornire una chiara informativa.

Questo perché trattasi dell’adempimento del servizio scolastico, ossia la funzione istituzionalmente assegnata a scuole e atenei.

Si allega il file didattica a distanza – prime indicazioni approvato in data 26 marzo 2020