Tag: Monitoraggio

  • GPDP, Docweb 9669974, 13.5.2021 (6)

    Massima (6) – Il trattamento dei dati personali dei lavoratori, consistente nella raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web dei singoli dipendenti (originariamente associati in via diretta al nominativo, successivamente, attraverso l’id macchina), nella memorizzazione per trenta giorni e nella possibilità di estrarre una reportistica relativa alla navigazione di singoli dipendenti, comporta rischi specifici per i diritti e le libertà degli interessati nel contesto lavorativo e richiede l’obbligo di valutazione di impatto ai sensi dell’art. 35 GDPR. Ciò a maggior ragione se si considera la particolare “vulnerabilità” degli interessati nel contesto lavorativo e l’impiego di sistemi che comportano il “monitoraggio sistematico”, da cui derivi anche la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti.

  • GPDP, Docweb 9669974, 13.5.2021 (5)

    Massima (5) – L’esigenza di ridurre il rischio di usi impropri della navigazione in Internet, da parte dei dipendenti, consistenti in attività non correlate alla prestazione lavorativa (ad esempio, la visione di siti web non pertinenti, l’upload o il download di file, l’uso di servizi di rete con finalità ludiche o estranee all’attività lavorativa) non può giustificare ogni forma di interferenza nella vita privata, ma può essere soddisfatta mediante la predisposizione di misure tecniche e organizzative idonee a prevenire che eventuali informazioni relative alla sfera extralavorativa vengano raccolte, dando luogo a trattamenti di informazioni personali “non pertinenti”, che ricadono nell’ambito di applicazione dell’art. 113 del Codice in materia di protezione dei dati personali, concernente il trattamento dei dati nell’ambito dei rapporti di lavoro.

  • GPDP, Docweb 9669974, 13.5.2021 (4)

    Massima (4) – Il sistema utilizzato da un datore di lavoro (nel caso di specie un Comune) che effettui una raccolta sistematica dei dati di navigazione dei dipendenti e che comporti inevitabilmente il trattamento di informazioni anche estranee all’attività professionale, desumibili dagli URL visitati, risulta in contrasto con il divieto per il datore di lavoro di trattare dati «non attinenti alla valutazione dell’attitudine professionale del lavoratore» e dunque con l’art. 113 del Codice in materia di protezione dei dati personali, in riferimento all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276.

  • GPDP, Docweb 9669974, 13.5.2021 (3)

    Massima (3) – Ove non contengano tutti gli elementi informativi essenziali richiesti dall’art. 13 del GDPR, i documenti contenenti un riferimento ad operazioni di tracciamento delle connessioni ad Internet messi a disposizione dei dipendenti (alcuni dei quali pubblicati nella Intranet, come l’accordo sindacale, il codice di comportamento, alcune circolari interne dell’Ufficio del personale, nonché il modulo che ogni dipendente è tenuto a firmare all’atto della richiesta per l’accesso ad Internet e agli altri servizi di rete utilizzati in occasione dello svolgimento dell’attività lavorativa) non possono sostituire l’informativa che il titolare deve rendere, prima di iniziare il trattamento, agli interessati in merito alle caratteristiche essenziali dello stesso, essendo stati redatti per assolvere ad obblighi diversi rispetto a quelli derivanti dalla disciplina in materia di protezione dei dati. Il mancato rispetto degli obblighi informativi impedisce all’interessato di esser pienamente consapevole della tipologia di operazioni di trattamento che potranno essere svolte anche attingendo, in un quadro di liceità, ai dati raccolti nel corso dell’attività lavorativa.

  • GPDP, Docweb 9669974, 13.5.2021 (2)

    Massima (2) – L’adempimento degli obblighi informativi nei confronti del dipendente (consistenti nella “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”) costituisce una specifica condizione per il lecito utilizzo di tutti i dati raccolti nel corso del rapporto di lavoro, attraverso strumenti tecnologici e/o strumenti di lavoro, per tutti i fini connessi al relativo rapporto, ivi compresi i rilievi disciplinari, unitamente al rispetto della disciplina in materia di protezione dei dati personali (v. art. 4, comma 3, l. 20 maggio 1970, n. 300).

  • GPDP, Docweb 9669974, 13.5.2021 (1)

    Massima (1) – Nel rispetto del principio di «liceità, correttezza e trasparenza», il titolare del trattamento deve adottare misure appropriate per fornire all’interessato tutte le informazioni di cui agli artt. 13 e 14 del GDPR in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (art. 12 del Regolamento), anche qualora il trattamento preveda il monitoraggio dell’attività di navigazione dei propri dipendenti nell’ambito dell’attività lavorativa.

  • Il monitoraggio del traffico di rete e degli accessi ad Internet effettuati dal dipendente durante l’orario di lavoro

    GPDP, Docweb n. 9669974 del 13 maggio 2021 | Massime e Commento di Giona Compagnoni

  • GPDP, Docweb 9751362, 10.2.2022 (5)

    Massima (5) – Ove un provider statunitense, privo di un proprio stabilimento nell’UE, ponga in essere un trattamento di dati personali qualificabile come “transfrontaliero” ai sensi dell’art. 4, par. 1, n. 23 del GDPR, in quanto idoneo ad incidere su interessati in più di uno Stato membro, trova applicazione quanto previsto dall’art. 55, par. 1, GDPR, ai sensi del quale «ogni Autorità di controllo è compente ad eseguire i compiti assegnati e a esercitare i poteri ad essa conferiti a norma del (…) regolamento nel territorio del rispettivo Stato membro». Tale disposizione è idonea a fondare la competenza dell’Autorità di protezione dati italiana in ordine alla valutazione, con riguardo al proprio territorio, della conformità al Regolamento europeo del trattamento di dati personali posto in essere da tale provider e ad esercitare i poteri ad essa riconosciuti dall’art. 58 GDPR.

  • GPDP, Docweb 9751362, 10.2.2022 (4)

    Massima (4) – Il trattamento posto in essere da un Internt Service Provider, consistente nella raccolta di immagini dal web (c.d. web scraping) e nella loro elaborazione con strumenti automatizzati al fine di creare rappresentazioni vettoriali di volti e, successivamente, sottoporli ad hash per indicizzare i dati, operazione necessaria per stabilire una eventuale correlazione con le immagini oggetto di comparazione caricate dagli utenti, è attività che non appare sovrapponibile a quella posta in essere da un qualsiasi motore di ricerca, tenuto conto del fatto che il titolare compie una rielaborazione tecnica delle immagini raccolte, tanto da renderle “dati biometrici”, alle quali sono peraltro associate informazioni certamente idonee ad identificare la persona ritratta, a cui viene correlato un archivio di risorse che si snoda attraverso il tempo. La valutazione di tale circostanza, unitamente alla finalità comparativa sopra evidenziata, è idonea ad integrare, come richiesto nel Considerando 24, un’attività assimilabile al controllo del comportamento dell’interessato, ossia al monitoraggio dell’interessato, in quanto posta in essere tramite il tracciamento in Internet e la successiva profilazione. Ove tale attività sia posta in essere da un provider stabilito al di fuori dell’UE, è ravvisabile l’ambito territoriale di applicazione del GDPR ai sensi dell’art. 3, par. 2, lett. b).

  • GPDP, Docweb 9751362, 10.2.2022 (3)

    Massima (3) – La creazione di un archivio di dati personali che riguarda un interessato presente nell’Unione che si compone di informazioni articolate nel tempo o di riferimenti a momenti temporali diversi, arricchito con tutte le informazioni associabili alla persona stessa ed i cui dati vengono analizzati comparativamente, integra il requisito del monitoraggio del comportamento dell’interessato.

Open Access