fbpx

Blog

I Garanti europei privacy riuniti nel Gruppo "Articolo 29" (WP29) hanno pubblicato un documento volto a chiarire gli scenari di rischio privacy che possono configurarsi nei rapporti di lavoro in relazione al trattamento dei dati personali dei lavoratori, tenendo conto in particolare dell’utilizzo di tecnologie sempre più innovative che vanno fortemente ad impattare sui diritti e le libertà delle persone fisiche.

L' "Opinion 2/2017 on data processing at work" del WP29, pubblicata lo scorso 8 giugno 2017 e scaricabile dal sito UE http://ec.europa.eu/newsroom/document.cfm?doc_id=45631, fa chiarezza riguardo al trattamento dei dati del personale da parte di aziende private e enti pubblici. In paritcolare il WP29 sottolinea e ribadisce chiarendone il contesto, quanto già presente nel Regolamento UE 2016/679, già in vigore e direttamente esecutivo dal prossimo maggio 2018, ovvero, ogni lavoratore ha diritto alla tutela della propria privacy e in particolare ha il diritto ad essere adeguatamente informato sulle modalità di trattamento dei propri dati e sulle modalità di controllo attivate dall’organizzazione.

Se GDPR va a definire sostanzialmente un modello organizzativo della Privacy, la sua declinazione nel contesto lavorativo, secondo il WP29, deve prevedere la definizione di privacy policy e regolamenti che disciplinino, in modo chiaro, semplice ed esaustivo, l’utilizzo degli strumenti di lavoro in dotazione del personale. In analogia al Dlgs 231 questo significa anche definire misure preventive che segnalino a dipendenti e collaboratori eventuali possibili violazioni che potrebbero commettere.

Nel docuemnto si ribadisce come l’uso dei dati personali dei lavoratori deve essere quanto più possibile limitato alle finalità aziendali.Anche dove il datore di lavoro debba far valere ll “legittimo interesse” (previsto dall’art. 6 del nuovo Regolamento), deve essere bilanciato con i diritti e le libertà dei lavoratori, secondo i principi di necessità e proporzionalità.


Anche la verifica e il monitoraggio dei profili social dei lavoratori, anche da parte dell’area risorse umane, deve essere limitato ai soli profili professionali, escludendo la vita privata, anche di possibili candidati a posizioni lavorative aperte. Nella stessa prospettiva, secondo i Garanti europei e come già previsto dal Jobs Act, gli strumenti di geolocalizzazione possono essere utilizzati per finalità strettamente aziendali e adeguatamente informato su finalità e controlli.

Più in generale, in merito alle questioni legate al controllo a distanza dei lavoratori, il WP29 sottolinea l'importanza di informare adeguatamente i lavoratori -tramite specifici regolamenti e policy aziendali - sul corretto utilizzo degli applicativi e degli strumenti tecnologici in dotazione a dipendenti e collaboratori per rendere la loro prestazione lavorativa. In questa ottica i Garanti invitano i datori di lavoro a offrire, ad esempio, connessioni WiFi ad hoc e a definire spazi riservati – su computer e smartphone, su cloud e posta elettronica - dove possono essere conservati documenti o inviate comunicazioni personali, non accessibili al datore di lavoro se non in casi assolutamente eccezionali.

Il WP29 ha fornito indicazioni di merito che risultano abbastanza in linea con l'attuale disciplina italiana in materia.

Sembra incredibile che una delle aziende più innovative usi per le casse self service dei bistrot windows XP, ormai fuori supporto dall'aprile 2014 e architetturalmente obsoleto.
Se vi recate al bistrot IKEA, per intenderci quello dove si possono acquistare hot dog, gelato, pizzette, dovete fare lo scontrino e pagare con le casse self service, non esiste più il cassiere da oltre un anno.

Attenzione però a usare la vostra carta fedeltà ma sopratutto ad usare la vostra carta di credito perché i preziosi dati della vostra carta sono gestiti da un sistema operativo, Windows XP, che quanta sicurezza e riservatezza dei dati non fornisce alcuna garanzia da oltre tre anni, ma soprattutto non rispetta la legge italiana sulla privacy in particolare l'allegato B testo Unico privacy.

Ne abbiamo le prove e le pubblichiamo sotto, infatti ci è capitato di scoprire il celato segreto in una domenica pomeriggio in IKEA dove una delle "macchinette" self service era bloccata e magicamente il valoroso commesso si è preoccupato di riavviarla svelando Windows XP.

cassa self service

Usare un sistema Windows XP per i pagamenti e per le carte fedeltà è un po' come voler guidare una moderna Formula 1 con oltre 800 cavalli, su un circuito con asfalti, cordoli, corsie, vie di fuga e guard rail di 40 anni fa :nessuno sano di mente farebbe una cosa del genere, troppo pericolosa.

Eppure di casi come quello di IKEA ce ne sono ce ne sono tanti, basta pensare al mondo della sanità, ai chioschi multifunzione, al settore dell'automazione industriale; sono ambiti assolutamente fuori legge,in cui trovare un Windows XP è normalissimo.

Anche se l'uso di software datati e non aggiornabili è ben diffuso in questi ambiti, non ho ancora letto di alcuna iniziativa del Garante Privacy Italiano per "imporre" ai produttori di questi dispositivi le stesse regole di adeguamento e patching che dobbiamo rispettare noi nei nostri uffici e aziende. Parlare poi di ispezione del Garante Privacy nei confronti di colossi come IKEA o dei monopoli della sanità, o del mondo industriale è quasi un'eresia, casomai la dovessero fare.... li avvisano prima.

In ogni caso se siete in IKEA ricordatevi di pagare con i soldi contanti, eviterete rischi inutili alla vostra carta di credito. Magari quel Windows XP della cassa self service usa anche un vecchio rilevatore di banconote false e forse accetta anche le banconote false da €50 che avete comprato su quel sito con estensione .Onion al prezzo di €10 ciascuna, proprio quelle che, almeno fino a qualche anno fa,superavano i controlli di falso semplicemente perché le macchinette non controllavano la lunghezza della banconota che, nel caso specifico risultava più corta di 1,2 mm rispetto a quella vera.

Altro giro altra corsa sull'ottovolante della cyber insicurezza, per la serie continuiamo a rincorrere i problemi e non ad affrontarli strutturalmente vediamo quanti danni farà l'ennesimo ramsoware stile wannacry....
 
 
 
 
Studio Fiorenzi P.IVA 06170660481 - Perizie Informatiche Forensi e Consulenze Tecniche a valore Legale e Giudiziario in Tribunale