Articoli

Monitoraggio dei dipendenti: viola il GDPR profilare in modo automatizzato le assenze

Il GDPR nel luogo di lavoro: quali regole?

 

Il rapporto tra tutela della privacy e potere del datore di lavoro risulta spesso molto critico. Come è noto, l’art. 4 dello Statuto dei Lavoratori legittima il datore di lavoro all’utilizzo di impianti audiovisivi, ovvero altri strumenti, capaci di operare forme di controllo a distanza dell’attività dei propri dipendenti, purché tale utilizzo:

  • sia giustificato da esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale;
  • sia disposto previo accordo sindacale, o autorizzazione amministrativa rilasciata dagli Ispettorati del Lavoro.

Con le modifiche apportate dal Jobs Act, inoltre, le informazioni lecitamente raccolte mediante l’utilizzo di tali strumenti sono utilizzabili a tutti i fini connessi al rapporto di lavoro – anche ai fini disciplinari – , purché ne data al lavoratore adeguata informazione.

 

Il caso che ha interessato il Gruppo Louis, invece, riguarda l’impiego di un algoritmo per il monitoraggio automatizzato dei congedi per malattia degli 818 lavoratori: il software, in particolare, attribuiva un punteggio negativo quando le defezioni non pianificate erano brevi ma ricorrenti, condotte ritenute maggiormente dannose per la produttività aziendale.

L’Autorità cipriota, interessata dal caso, ha affermato che:

  • il monitoraggio sistematico così congeniato non può considerarsi lecito anche se vi fosse stata l’autorizzazione da parte dei lavoratori, giacché la posizione di potere rivestita dal datore di lavoro rende inapplicabile la previsione contenuta all’art.7 del GDPR, ove richiede che il consenso debba essere liberamente prestato dell’interessato. In tale caso, invece, non vi era per i lavoratori alcuna facoltà;
  • inoltre, sebbene le società del gruppo avessero preventivamente effettuato una valutazione d’impatto, ciò non dispensa il titolare del trattamento dal dimostrare che tale trattamento automatizzato di dati relativi alla salute dei lavoratori fosse necessario per il perseguimento di un legittimo interesse, come previsto ai sensi dell’art. 6 par. 1) lettera f) del Regolamento. In tali casi, inoltre, deve essere necessariamente evitata la lesione degli interessi o dei diritti e le libertà fondamentali dell’interessato.

 

 

Come rendersi GDPR compliant? I percorsi formativi e i servizi di consulenza suggeriti da Hedya

 

La pubblicazione del recente Provvedimento dell’Autorità cipriota dimostra che l’assenza di formazione ed informazione in materia di poteri datoriali e controllo dei propri dipendenti costituiscono i primi fattori di criticità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

Videosorveglianza: approvate le nuove Linee Guida UE sulla corretta applicazione del GDPR

Nuove Linee Guida in materia di Videosorveglianza: quali obblighi?

Nel corso degli ultimi anni, il ricorso ad impianti di videosorveglianza – da parte dell’autorità pubblica, ma altresì dei privati – per il monitoraggio sistematico e automatizzato di determinati spazi è in crescita. L’impiego di tali sistemi, infatti, mira a garantire il massimo grado di sicurezza collettiva, nonché individuale: tuttavia, questa attività comporta la raccolta e la conservazione dati personali – anche a carattere particolare – per tutti i soggetti che transitano nello spazio monitorato, richiedendo adeguate tutele.

Per tali ragioni, il 29 gennaio 2020 sono state approvate in via definitiva le Linee Guida n.3/2019 sul trattamento dei dati personali attraverso dispositivi video.

Le Linee Guida:

  • forniscono indicazioni sulla corretta applicazione del GDPR;
  • chiariscono la portata applicativa della normativa in materia di protezione dati.

Pertanto il GDPR non trova applicazione ogniqualvolta le attività di trattamento di dati non hanno alcun riferimento a una persona, ad esempio se una persona non può essere identificata, direttamente o indirettamente, come ad esempio:

  • telecamere finte che, in quanto tali, non elaborano dati personali;
  • registrazioni effettuate da un’altitudine elevata, solo se se i dati elaborati non sono collegati a una persona specifica;
  • attività strettamente personale o domestica.

 

Per tutti i casi che ricadono nell’applicazione del GDPR, le Linee Guida richiamano gli obblighi previsti dal Regolamento, garantendo:

  • la liceità del trattamento;
  • i principi di correttezza, trasparenza e minimizzazione, nonché di privacy by design e by default;
  • i diritti dell’interessato;
  • l’implementazione di adeguate misure di sicurezza.

 

Inoltre, dati gli scopi tipici della videosorveglianza (protezione delle persone e dei beni, individuazione, prevenzione e controllo dei reati, raccolta di prove e identificazione biometrica dei sospetti), le Linee Guida ritengono che, al ricorrere dei requisiti stabiliti all’articolo 35 del GDPR, sia opportuno condurre una DPIA. Pertanto, i titolari del trattamento dovrebbero consultare attentamente la normativa e la prassi applicativa per determinare se tale valutazione è necessaria e, se necessario, effettuarla. L’esito della DPIA eseguita dovrebbe determinare la scelta da parte del titolare del trattamento delle misure di protezione dei dati attuate.

 

Come rendersi GDPR compliant? I percorsi formativi e i servizi di consulenza suggeriti da Hedya

 

La pubblicazione delle nuove Linee Guida dimostra che l’assenza di formazione ed informazione in materia di videosorveglianza costituiscono i primi fattori di criticità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

 

/da
Optimization WordPress Plugins & Solutions by W3 EDGE