Con il provvedimento del 6 giugno 2024, n. 364, denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, l’Autorità Garante per la protezione dei dati personali ritorna sul tema della conservazione dei metadati delle mail aziendali.
Anzitutto con la definizione di “metadati” non si devono intendere le informazioni contenute nei messaggi di posta elettronica nella loro “body–part” bensì le informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.
Rispetto a quanto indicato dall’Autorità ante consultazione pubblica, con le linee di indirizzo del 6 giugno u.s. il periodo di conservazione è stato esteso a 21 giorni.
Tale periodo di conservazione è “orientativo”.
L’eventuale conservazione per un termine più ampio potrà essere effettuata solo in presenza di particolari condizioni che rendano necessaria l’estensione e, in ogni caso, le specificità di tale esigenza dovranno essere adeguatamente comprovate.
In applicazione del principio di accountability, spetta dunque a ciascun datore di lavoro adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.
Ciò tenendo presente che una raccolta e una conservazione dei metadati generalizzate possono comportare un indiretto controllo a distanza dell’attività dei lavoratori e, in tal caso, dovranno essere esperite le garanzie previste dall’art. 4 dello Statuto dei Lavoratori: sottoscrizione di un accordo sindacale o, in mancanza, ottenimento di una autorizzazione da parte dell’Ispettorato Nazionale o Territoriale del Lavoro.
*****
Il nostro Focus Team Privacy rimane a disposizione per tutti gli approfondimenti del caso.
I dati sono diventati il nuovo petrolio e il loro ruolo verosimilmente crescerà ancora man mano che il digitale diventerà più centrale nelle nostre vite. Con implicazioni non banali in tema di privacy, come sottolinea Vittorio De Luca, fondatore dello studio legale De Luca & Partners. “Il legislatore comunitario è intervenuto in maniera importante su questo ambito nel corso degli ultimi anni, ma a livello aziendale il quadro è ancora diversificato tra realtà che hanno implementato e strutturato veri e propri modelli di compliance interni e nel tempo sono riuscite a mutare la cultura e la sensibilità di tutti coloro che compongono l’organizzazione, mentre altre continuano a considerare la data protection come un costo azienda piuttosto che un investimento”, sottolinea.
La normativa in materia di protezione dei dati personali e quella giuslavoristica sono ormai strettamente legate tra loro non solo per quel che concerne il trattamento dei dati relativi alle risorse umane. “Sempre più spesso ci capita di assistere aziende nella corretta gestione di richieste di accesso ai documenti e ai fascicoli personali che vengono – legittimamente – presentate dai lavoratori nell’ambito di procedimenti disciplinari nei loro confronti”, sottolinea. Con i rischi che possono derivare da una gestione scorretta di queste richieste “Oltre alle conseguenze sul fronte giuslavoristico, un soggetto interessato (in questo caso, il lavoratore) ha sempre la possibilità di effettuare una segnalazione all’Autorità Garante per la protezione dei dati”, spiega De Luca.
Continua a leggere la versione integrale pubblicata su La Repubblica.
Altri insights correlati:
L’installazione di telecamere nei luoghi di lavoro deve rispettare gli obblighi previsti dallo Statuto dei lavoratori e le garanzie assicurate ai dipendenti dalla normativa sulla privacy. Così si è espresso il Garante della privacy con un provvedimento dell’11 aprile 2024 pubblicato sulla newsletter del 21 maggio 2024. Non avendo assicurato il rispetto delle procedure di garanzia previste dalla disciplina di settore in materia di controlli a distanza e avendo peraltro utilizzato le immagini di videosorveglianza per adottare un provvedimento disciplinare nei confronti della lavoratrice, la condotta si pone di fuori del quadro di liceità delineato dalle disposizioni di settore e dalla disciplina in materia di protezione dei dati. Lo stesso utilizzo dei dati raccolti illecitamente non è consentito, tanto meno per sanzionare disciplinarmente la dipendente.
Leggi qui il provvedimento dell’Autorità Garante per la protezione dei dati personali pubblicato con la newsletter dell’11 aprile 2024.
Lo scorso mercoledì 24 aprile 2024, i deputati del Parlamento europeo hanno adottato il testo della nuova Direttiva sulle condizioni di lavoro dei lavoratori delle piattaforme digitali. Come si apprende dal comunicato stampa pubblicato sul sito istituzionale del Parlamento, la Direttiva “mira a garantire che i lavoratori delle piattaforme digitali dispongano di una classificazione corretta della loro posizione lavorativa e a correggere il lavoro autonomo fittizio” introducendo “una presunzione di rapporto di lavoro subordinato (rispetto al lavoro autonomo) quando sono presenti fatti che indicano il controllo e la direzione, conformemente al diritto nazionale e ai contratti collettivi […]”.
Tra le novità introdotte dalla Direttiva, per quanto qui di interesse, sono previste limitazioni del trattamento di dati personali effettuato mediante sistemi decisionali o di monitoraggio automatizzati. Non potranno, ad esempio, essere oggetto di alcuna operazione di trattamento (i) i dati relativi allo stato emotivo o psicologico della persona che svolge un lavoro mediante piattaforme digitali; (ii) i dati personali relativi a conversazioni private; (iii) i dati appartenenti alla categoria dei dati particolari (ex dati sensibili) o i dati biometrici o, ancora, (iv) non potranno essere raccolti i dati del lavoratore che svolge attività tramite una piattaforma digitale quando non sta svolgendo la propria attività mediante la piattaforma stessa.
Tutto ciò, sarà valido e dovrà essere applicato sin dall’inizio delle procedure di assunzione e selezione e per tutta la durata del rapporto. Resta inteso che, considerata la tipologia di trattamento e l’elevato rischio che lo stesso può comportare per i diritti e le libertà delle persone fisiche, i trattamenti di dati effettuati tramite una piattaforma di lavoro digitale dovranno essere oggetto di apposite valutazioni di impatto ai sensi dell’articolo 35 del Regolamento (UE) 2016/679. Le valutazioni di impatto svolte dal datore di lavoro dovranno poi essere condivise con i rappresentanti dei lavoratori.
Un altro elemento fondamentale inerisce agli obblighi di trasparenza. Coloro che svolgono attività lavorative tramite piattaforme digitali dovranno essere puntualmente resi edotti, in maniera trasparente, intelligibile e facilmente accessibile con un linguaggio semplice e chiaro, su tutti i tipi di decisioni sostenute o prese da sistemi decisionali o di monitoraggio automatizzati. Aspetto questo che l’ordinamento nazionale italiano ha già avuto modo di “conoscere” tanto a seguito dell’introduzione delle disposizioni di cui al Regolamento (UE) 2016/679 quanto a seguito dell’adozione del c.d. Decreto Trasparenza.
Resta da ultimo inteso, che gli Stati membri dovranno imporre alle piattaforme di lavoro digitali di garantire risorse umane sufficienti per sorvegliare e valutare in modo efficace l’impatto delle decisioni individuali prese o sostenute dai sistemi decisionali o di monitoraggio automatizzati.
◊◊◊◊
Il testo approvato dal Parlamento europeo dovrà ora essere adottato formalmente anche dal Consiglio per poi essere pubblicato nella Gazzetta Ufficiale dell’Unione Europea. Dopo la pubblicazione, ciascuno Stato Membro avrà due anni di tempo per integrare le nuove disposizioni nel proprio ordinamento nazionale.
Altri insights correlati:
A far data dal prossimo 1° ottobre 2024, le imprese e i lavoratori autonomi che operano nei cantieri temporanei o mobili, come definiti dal Testo Unico Sicurezza (nello specifico, art. 89, comma 1, lettera a), del Dlgs. 81/2008), sono tenuti al possesso di una patente rilasciata, in formato digitale, dalla competente sede territoriale dell’Ispettorato nazionale del lavoro.
È quanto recentemente introdotto dall’articolo 29, comma 19, lettera a), D.L. 2 marzo 2024, n. 19, non ancora convertito in legge, che, sostituendo l’art. 27, comma 1), Testo Unico Sicurezza, introduce un sistema di qualificazione delle imprese, e dei lavoratori autonomi, tramite crediti. La patente sarà rilasciata a fronte del possesso di requisiti specificatamente individuati dalla norma, ossia: (i) l’iscrizione alla Camera di commercio; (ii) l’adempimento, da parte del datore di lavoro, dei dirigenti, dei preposti e dei lavoratori dell’impresa, degli obblighi formativi previsti dall’articolo 37 del Testo Unico Sicurezza; (iii) l’adempimento, da parte dei lavoratori autonomi, degli obblighi formativi; (iv) il possesso del Documento unico di regolarità contributiva (Durc) in corso di validità; (v) il possesso del Documento di valutazione dei rischi (DVR) ovvero (vi) il possesso del Documento unico di regolarità fiscale (Durf).
In attesa del rilascio della patente, salvo diversa comunicazione da parte dell’Ispettorato, le imprese e i lavoratori autonomi potranno comunque operare all’interno dei cantieri.
Il nuovo sistema, che prevede una dotazione iniziale di 30 crediti ed una dotazione minima pari o superiore a 15 crediti – se il punteggio scende al di sotto della soglia minima, e salvo eccezioni, non è infatti possibile operare all’interno dei cantieri temporanei o mobili – prevede delle decurtazioni dei crediti a fronte di determinati eventi, accertamenti ovvero provvedimenti emanati nei confronti dei datori di lavoro, dei dirigenti, dei preposti dell’impresa o del lavoratore autonomo. Fermo ciò è altresì previsto che i crediti decurtati possano essere reintegrati.
La verifica del regolare possesso della patente è demandata al committente o al responsabile dei lavori e l’attività in assenza della patente o in possesso di una patente con un punteggio inferiore alla dotazione minima comporta il pagamento di una sanzione amministrativa fino a euro 12.000 e l’esclusione dalla partecipazione ai lavori pubblici per un periodo di sei mesi.
◊◊◊◊
In vista del prossimo 1° ottobre 2024, e sempre considerando eventuali emendamenti in sede di conversione, imprese e lavoratori autonomi che rientrano tra i soggetti destinatari dei nuovi obblighi dovranno organizzarsi per garantire la conformità a quanto previsto dal nuovo sistema di qualificazione.
Altri insights correlati:
