News
20 giugno 2018
Il Regolamento (UE) 2016/679, oltre a costituire un cambiamento importante a livello della protezione dei dati personali, deve essere considerato quale tentativo di governo democratico per tutte quelle innovazioni che il progresso tecnologico ha con il tempo introdotto.
15 giugno 2018
Il Tribunale Amministrativo Regionale per il Lazio (Sezione Prima Quater), con la sentenza n. 84 del 5 gennaio 2018, ha disposto che si deve convenire con il Garante quando afferma che la preclusione degli obblighi di trasparenza di cui al combinato disposto dei commi 1, lettere c) ed f), e 1-bis dell'art. 14 d.lgs. 33/2013 nei confronti di pubblici dipendenti, debba includere anche la pubblicazione del dato aggregato di cui al successivo comma 1-ter – relativo alla diffusione via internet di dati personali attinenti agli emolumenti di dirigenti pubblici mediante pubblicazione sul sito web della P.A. – in quanto violativa dei diritti e delle libertà fondamentali dell’individuo.
11 giugno 2018
Il Garante privacy ha espresso parere favorevole sullo schema di decreto legislativo, approvato dal Governo ed inviato alle Camere, recante disposizioni per l’adeguamento al Regolamento (UE). Tuttavia, dal parere emergono molti dubbi interpretativi e precisi inviti alle Camere ad eseguire modifiche e/o integrazioni allo schema presentato.
Formazione

Per conoscere veramente la privacy iscrivetevi ai nostri corsi!

Newsletter

Per essere sempre aggiornati in materia di privacy iscrivetevi alla nostra newsletter!

Dettaglio news
lunedì 8 gennaio 2018

Garante: no al sistema di “Gestione attese” di Poste Italiane S.p.a.

Il Garante, con un recente provvedimento, ha dichiarato illecito, per violazione degli artt. 3, 11, comma 1, lett a) e d), 13, 14 e 114 del Codice Privacy, il trattamento dei dati personali, effettuato da Poste Italiane S.p.a., mediante l’utilizzo di un sistema per la gestione delle attese allo sportello.
Nella specie, le Organizzazioni sindacali e i dipendenti di quest’ultima hanno, attraverso numerose segnalazioni e un reclamo, adito l’Authority contestando la regolarità del sistema adoperato dalla Società, per aver comportato, a loro giudizio, “un trattamento illecito e sproporzionato di dati personali”. Gli istanti hanno lamentato, soprattutto, la decisione di rendere pubblico il nome dei dipendenti sui display dei singoli sportelli, avvenuta senza fornire la dovuta informativa e in assenza della stipula di uno specifico accordo con i sindacati. Chiamata a rispondere sul punto in fase d’istruttoria, la Società si è difesa, dapprima, sostenendo l’applicabilità, nel caso in esame, del disposto di cui all’art. 55 novies del D.Lgs. n. 165/2001, il quale prevede “l’obbligo per i dipendenti che sono a contatto con il pubblico dell’uso di “cartellini identificativi” o dell’apposizione di “targhe” presso la postazione di lavoro”.
Poste Italiane S.p.a. aveva deciso di adottare tale sistema con l’obiettivo di rendere il più possibile “conoscibile e trasparente” l’organizzazione e le attività svolte dai propri dipendenti  e di agevolare i rapporti con gli utenti. Aveva pertanto ritenuto il sistema di gestione uno strumento aziendale utilizzabile “nell’ambito della libertà di organizzazione del lavoro”, il tutto nel pieno rispetto della normativa privacy e della disciplina in materia di lavoro.
La Società, nel fornire chiarimenti al Garante, ha evidenziato la totale assenza di una storicizzazione dei dati relativi al dipendente e alla sua operatività, da parte del sistema, il quale consente soltanto la visualizzazione momentanea del nome di battesimo dell’operatore nel display di sportello e di sala consulenza nonché nella console di monitoraggio dell’andamento dell’attesa.
L’accesso a quest’ultima, poi, è riservato, a detta della Società, unicamente al personale “profilato in base a ruoli definiti ed al cono di visibilità territoriale”, in modo tale da assicurare una certa riservatezza ai dati trattati.
Alla luce delle informazioni rese da Poste Italiane S.p.A., è emerso che il sistema utilizzato "per la gestione delle code nelle operazioni di sportello" ha consentito diverse operazioni di trattamento di dati personali, tra cui: la visualizzazione del nominativo dell’operatore su ogni singola postazione; lo stato di disponibilità dello sportello; il tempo medio di evasione dei ticket serviti associati in via diretta al nominativo dell’operatore; la memorizzazione dei dati anche identificativi  (nominativo) con possibilità di estrazione di reportistica. Al dipendente non è, inoltre, consentito “disabilitare la visualizzazione del nominativo”, avendo come unica scelta la possibilità di richiedere al direttore la momentanea modifica del nome.
Tutto ciò premesso, il Garante ha ritenuto il trattamento dei dati, così come operato da Poste Italiane S.p.a., contrario ai principi di liceità e proporzionalità (art. 11, comma 1, lett. a) e d) del Codice) nonché ai principi di necessità, pertinenza e non eccedenza di cui agli artt. 3 e 11, comma 1, lett. d) del Codice, in quanto le caratteristiche del sistema ed il controllo penetrante dallo stesso operabile sono da considerare sproporzionate rispetto alle finalità organizzative/produttive e di sicurezza del lavoro. La console di monitoraggio, infatti, ha consentito l’accesso ai dati personali, in tempo reale ed in via continuativa, di oltre 12.000 soggetti incaricati, i quali li potevano raccogliere e memorizzare, anche sulla base di non specificate anomalie.
E’ stato, poi, sottolineato che vi era la necessità del rilascio di un’informativa completa ai dipendenti, circa le modalità e le finalità delle operazioni attuate dal sistema, del tutto assente nel caso in esame. Da ultimo, il Garante ha evidenziato come le operazioni prolungate di memorizzazione e visualizzazione dei dati hanno illegittimamente permesso un “monitoraggio costante dell’attività e della produttività del lavoratore, anche per l’impossibilità di disattivare lo schermo in cui viene riportato il nome”. Il sistema di gestione delle attese, non essendo indispensabile ai fini della prestazione lavorativa, rientra in quegli strumenti anche organizzativi dai quali può indirettamente derivare il controllo a distanza del lavoratore e, per tale ragione, così come attuato, risulta contrario anche alla disciplina di settore di cui all’art. 4, comma 1, della L. n. 300/1970. Per tutte queste ragioni, il Garante ha vietato a Poste Italiane S.p.A., con decorrenza immediata, l’ulteriore trattamento dei dati personali effettuato con il sistema di gestione delle attese.