Testo del Regolamento Europeo (UE 2016/679) come pubblicato dalla Gazzetta Ufficiale dell’Unione Europea- (applies from 25 May 2018).
According to the Jobs Act, no authorization is required for checks that are carried out through the work tools. When a specific device (computer, tablet, mobile phone…) is used by the employee to carry out his duties or a specific task, there is no need to request prior authorizations to use it: this fact, however, exposes the use of the tools
Secondo la Commissione Europea però “i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica”
According to the European Supervisor, in particular, i software which not only serve to facilitate the management of workers' practices, but which they monitor, storing personal data referable to the activity of individual employees and extracting reports relating to the service performed, must be authorized in advance. L'authorization it is also needed when the data has no immediate association with the
name of the employee, but they can still be combined with operator code, or they can be cross-referenced by consulting information stored in separate systems.
In these cases, the Privacy Guarantor has excluded that systems similar to the tools used by the worker to carry out his work, therefore not subject to authorization according to the Workers' Statute. The software that monitors the worker it is instead a remote control tool, which as such must be subject to the appropriate authorization procedure.
Furthermore, these systems violate the Privacy Code if employees are not provided with complete and detailed information about the effective methods and purposes of the processing operations made possible by the application.
As regards the protection provided by the Privacy Code, the legislation establishes that the information collected through work tools can be used, provided that the employee is provided with ainformative appropriate.
The disclosure, in particular, must indicate:
- how to use the devices;
- the methods for carrying out the checks;
- the specifications that guarantee compliance with the privacy legislation.
Consequently, in the event of a breach by the company in providing the information to the worker, the data collected through the equipment would not be usable for any purpose, not even disciplinary.
La mancata informativa o la mancanza di un sistema organizzativo di controllo potrà determinare per le aziende le pesanti sanzioni previste dal Regolamento sulla privacy, parametrate al fatturato lordo mondiale dell’impresa, con soglie massime molto elevate (una multa fino a 10 milioni di euro, o fino al 2% del volume d’affari globale registrato nell’anno precedente nei casi previsti dall’Articolo 83, Paragrafo 4 o fino a 20 milioni di euro o fino al 4% del volume d’affari nei casi previsti dai Paragrafi 5 e 6).
Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso. (reg. UE 2016/679, punto 32).
Any processing of personal data should be lawful and fair. It should be transparent to natural persons how personal data concerning them are collected, used, accessed or otherwise processed, as well as the extent to which personal data is or will be processed. The principle of transparency requires that information and communications relating to the processing of such personal data are easily accessible and understandable e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identity of the data controller and the purposes of the processing and further information to ensure correct and transparent processing with regard to the natural persons concerned and their rights to obtain confirmation and communication of a processing of personal data concerning them. It is appropriate that natural persons are made aware of the risks, rules, guarantees and rights relating to the processing of personal data, as well as how to exercise their rights relating to such processing. In particular, the specific purposes of the processing of personal data should be explicit and legitimate and specified at the time of collection of such personal data. Personal data should be adequate, relevant and limited to what is necessary for the purposes of their processing. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, the data controller should set a deadline for the cancellation or for the periodic verification. È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati. I dati personali dovrebbero essere trattati in modo da garantirne un’adeguata sicurezza e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento (punto 37).
Redazionale – 09/04/2018
Related news: Spying: Can employees be spied on?