La vostra organizzazione utilizza strumenti come Microsoft 365, software per la gestione automatizzata di ticket o assistenze, metodi di tracciamento basati su GPS, soluzioni aziendali per conferenze via web o che comunque in qualche modo possano monitorare le attività dei dipendenti?
Il Dlgs 104/2022 del 27 giugno 2022, comunemente chiamato “Decreto Trasparenza”, entrato in vigore il 13 Agosto 2022, ha importanti impatti sull’adeguamento alla privacy delle organizzazioni, in particolare per quanto riguarda i trattamenti dati dei dipendenti.
La nostra impressione è che non gli sia stata data la giusta attenzione, ma se non rispettato prevede sanzioni anche importanti.
Infatti l’art. 4, oltre a prevedere la consegna di specifici documenti e informazioni all’atto dell’assunzione, nella parte in cui fa riferimento all’inserimento dell’art. 1-bis al decreto legislativo 152 del 26 maggio 1997, prevede ulteriori obblighi informativi qualora si verifichi ”l’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori.”
Inoltre, recita più avanti:” Il datore di lavoro o il committente sono tenuti a integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti riguardanti le attività di cui al comma 1, incluse le attività di sorveglianza e monitoraggio. Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, il datore di lavoro o il committente effettuano un’analisi dei rischi e una valutazione d’impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all’articolo 36 del Regolamento medesimo.”
Ne deriva pertanto l’obbligo di una valutazione d’impatto oltre all’aggiornamento delle informative dei dipendenti e del registro dei trattamenti.
La sanzione in caso di inadempimenti è quella prevista dall’art. 19 comma 2 del decreto legislativo 276 del 10 settembre 2003, ovvero da 250 a 1.500€ a dipendente (quindi le aziende con più dipendenti rischiano sanzioni più pesanti), alla quale si potrebbero aggiungere le sanzioni del Garante della privacy in caso di mancato aggiornamento dei registri dei trattamenti, dell’informativa o in assenza di analisi dei rischi e valutazione d’impatto.
Il testo integrale della legge, e dell’articolo 4 in particolare, sono consultabili a questo link direttamente sul sito della Gazzetta Ufficiale
Le altre News
Nuovo formato cartello avviso Videosorveglianza
Durante le nostre attività di consulenza visitando aziende ed enti ci accorgiamo spesso che le linee guida, emanate dallo European Data Protection Board (EDPB) adottate il 29 gennaio 2020, in merito al nuovo formato del cartello con l’informativa breve che avvisa della presenza di videocamere di sorveglianza sono tuttora disattese. Ci sembra utile ricordare quindi…
L’attività del Garante della Privacy nel corso del 2021 in sintesi.
Il Garante della Privacy a pubblicato sul proprio sito, a seguito dell’evento di presentazione svoltosi il 7 luglio 2022, la relazione in merito all’attività svolta nel corso del 2021. Il documento è scaricabile al seguente link. Qui ci focalizziamo su due numeri a nostro avviso di particolare importanza: 9.184 riscontri a reclami o segnalazioni nel…
Il maggior numero di sanzioni per mancata compliance al GDPR è dovuto ai reclami di clienti e dipendenti
Spesso la compliance alla privacy viene sottovaluta, tuttavia è bene rimarcare che la predisposizione di idonee misure di sicurezza e organizzative a difesa dei trattamenti dei dati personali aiuta anche a difendere in maniera più generale le informazioni aziendali inoltre si può incorrere in reclami e pesanti sanzioni da parte del Garante, che possono colpire…
Impatti sulla privacy del nuovo decreto trasparenza
La vostra organizzazione utilizza strumenti come Microsoft 365, software per la gestione automatizzata di ticket o assistenze, metodi di tracciamento basati su GPS, soluzioni aziendali per conferenze via web o che comunque in qualche modo possano monitorare le attività dei dipendenti? Il Dlgs 104/2022 del 27 giugno 2022, comunemente chiamato “Decreto Trasparenza”, entrato in vigore…
Importi e motivi delle sanzioni Privacy inflitte alle aziende italiane di tutte le dimensioni
C’è una risorsa online che raccoglie e permette di filtrare per paese tutte le sanzioni erogate nell’Unione Europea, e quindi anche in Italia, per inadempienze al GDPR (il Regolamento Europeo sulla Privacy in vigore in tutti i paesi della UE). Basta andare all’indirizzo https://www.enforcementtracker.com/ e si accede ad una tabella filtrabile che ci permette di…
Il piano delle ispezioni programmate del Garante Privacy per i prossimi mesi del 2023
l’Ufficio del Garante per la protezione dei dati personali, come di consuetudine e come previsto dal Regolamento del n. 1/2000, ha pubblicato la Deliberazione del 3 agosto 2023 rendendo note quelle che saranno le attività ispettive a cui sarà data la priorità nel secondo semestre di quest’anno, ovvero: a) accertamenti nel settore della statistica e…
Wistleblowing: gli adempimenti privacy obbligatori entro il 17 Dicembre 2023
Il recente D.lgs. 10 marzo 2023 n. 24 prevede che le aziende che abbiano impiegato nell’ultimo anno una media di oltre 50 dipendenti si dotino di procedure e strumenti adatti a garantire la protezione dei segnalanti (wistleblower) di illeciti quali comportamenti, atti od omissioni che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato…
Dove posizionare i cartelli obbligatori per la videosorveglianza?
L’obiettivo dei cartelli, che deve obbligatoriamente esporre chi istalla telecamere di videosorveglianza, è quello di rendere consapevoli le persone che transitano in quell’area di essere riprese. Pertanto, il cartello con l’informativa breve e l’icona della telecamera va collocato prima di entrare nella zona sorvegliata. Non è necessario rivelare la precisa ubicazione delle telecamere, purché non…
Cyber Sicurezza per PMI: webinar gratuito patrocinato dall’ANC
La formazione e la sensibilizzazione di organizzazioni e dipendenti costituiscono la prima misura per la sicurezza informatica. Per questo motivo segnaliamo il webinar “Implementare un programma di Cybersecurity nella propria organizzazione: Standard, Certificazioni e Gestione del Rischio”. Uno degli argomenti su cui con Privacy Smart siamo focalizzati da sempre. L’iniziativa promossa da Unindustria e dalla…
Ecco il piano delle ispezioni programmate dal Garante da gennaio a luglio 2024
Come di consueto, ogni semestre, il Garante per la Privacy definisce gli argomenti oggetto dei controlli programmati e per trasparenza pubblica il provvedimento sul proprio sito. E’ doveroso ricordare che oltre alle ispezioni programmate il Garante svolgerà ulteriori attività ispettive per rispondere ai reclami di chiunque ritenesse la propria Privacy violata, infatti, come ritroviamo in…
Multe salate per i datori che accedono alla posta elettronica dei dipendenti, anche al termine del rapporto lavorativo
Accade ancora sovente che il Garante multi in maniera salata i datori di lavoro che non gestiscono correttamente la fine del rapporto di lavoro con i dipendenti per quanto riguarda l’accesso all’e-mail individuale fornita al lavoratore stesso. Si vedano ad es. i provvedimenti del Garante: link Provvedimento del 7 marzo 2024 [10009004] link Provvedimento del…
Conservazione metadati mail dipendenti: ecco le indicazioni definitive del Garante
Come ricorderete la prima versione del documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” pubblicato in Gazzetta Ufficiale a febbraio 2024 ha suscitato dubbi e perplessità. Il Garante stesso ha sospeso il documento e ha indetto una consultazione pubblica, a seguito della quale, il…
Per la Corte di Giustizia Europea un’impresa può far causa ai concorrenti che violano la privacy
Importanti le potenziali implicazioni della recentissima sentenza della Corte di Giustizia Europea (Cgue) del 4 Ottobre 2024, relativa alla causa C-21/23, intentata da un farmacista tedesco nei confronti di un altro farmacista che effettuava la vendita online e trattava i dati sanitari degli interessati senza i necessari consensi. Al di là della fattispecie, l’importanza della…