L’uso dei dati biometrici come strumenti di accesso all’azienda non richiede un accordo sindacale ma richiede una valutazione di impatto privacy. Il monitoraggio dei costi dei telefoni aziendali richiede sia l’accordo, sia la valutazione di impatto. Sono solo due delle situazioni pratiche nelle quali può trovarsi il datore di lavoro: l’uso di strumenti informatici che possano comportare un controllo a distanza dell’attività lavorativa deve rispettare i paletti dettati dallo Statuto dei lavoratori (come modificato nel 2015) e dal Regolamento Ue sulla privacy, in vigore dal 25 maggio scorso.

"Per essere chiari, risolvere i problemi" legati alla sicurezza, alle interferenze nelle elezioni ed alla privacy "non è una sfida che durerà un anno. In alcuni casi, come le interferenze nelle elezioni o gli incitamenti all’odio, questi problemi non potranno mai essere risolti pienamente". In un lungo post di fine anno, il fondatore di Facebook, Mark Zuckerberg, ripercorre l’anno appena concluso, universalmente riconosciuto come il più difficile per il colosso statunitense dopo l’esplosione dello scandalo Cambridge Analytica, promettendo un maggiore impegno per il futuro:

Basta un semplice gesto, come avvicinare il dorso della mano a un lettore elettronico, per portare a termine tante operazioni: aprire la porta di casa, pagare la spesa al supermercato, far scattare il tornello in stazione, esibire le proprie generalità... Tutto grazie a un microchip sottocutaneo impiantato nella mano, tra il pollice e l'indice. In Svezia sono oltre quattromila le persone che hanno deciso di usare questo strumento, grande quanto un chicco di riso, per velocizzare tante semplici operazioni e avere sempre con sé dati, abbonamenti e carte di credito.

Il Garante per la protezione dei dati personali ha verificato la conformità dei Codici di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici, statistici, scientifici e investigazioni difensive al Regolamento Ue 2016/679 sulla protezione dei dati personali.

L'avvocato può dare l'informativa privacy sul suo sito e con un avviso affisso nei locali dello studio. È una delle regole deontologiche che passa l'esame della compatibilità con il regolamento europeo sulla protezione dei dati: così ha previsto il Garante della privacy con il provvedimento n. 512 del 19 dicembre 2018, intitolato «Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria».

I cybercriminali, certo. E poi la maggiore sofisticazione e pericolosità delle minacce, che trova breccia in sistemi per la sicurezza spesso e volentieri inadeguati e non aggiornati. La violazione di dati sensibili e infrastrutture critiche all’interno di un’azienda ha sempre una spiegazione e - il dato è sorprendente fino a un certo punto - per l’87% delle grandi organizzazioni è il personale inesperto il principale «cyber risk».

Amazon ha inviato per errore 1700 conversazioni registrate dallo smart speaker Alexa alla persona sbagliata. È successo in Germania, dove un utente ha richiesto alla società proprietaria dell’assistente vocale di poter disporre, come suo diritto garantito dalla normativa europea sulla privacy (GDPR), di tutte le sue conversazioni con il sistema, ma i file consegnati da Amazon corrispondevano a quelli di un altro cliente. 

“Faccine” e punteggi associati ai volti dei lavoratori nella bacheca aziendale. Era questo il sistema adottato da una cooperativa toscana che opera nel settore della logistica (pulizie, facchinaggio, traslochi) per valutare l’attività dei propri dipendenti. Ogni settimana la cooperativa affiggeva nella bacheca aziendale un cartello nel quale i volti dei dipendenti erano associati a emoticon che rappresentavano i giudizi, positivi o negativi, espressi dalla cooperativa. Nella bacheca erano affisse anche le eventuali contestazioni disciplinari.

Informativa incompleta, dati trattati senza un valido consenso, mancata notifica della geolocalizzazione degli utenti. Queste le violazioni accertate nei confronti di Uber dal Garante privacy italiano, che avvierà un autonomo procedimento sanzionatorio e segnalerà la questione anche alle altre Autorità europee.

Il Garante della privacy ha individuato le prescrizioni contenute nelle autorizzazioni generali al trattamento dei dati adottate nel 2016 ancora compatibili con il nuovo Regolamento europeo in materia (GDPR) e con la recente riforma del Codice della privacy. Tali obblighi dovranno essere rispettati da un numero elevato di soggetti - pubblici e privati - in molteplici settori, come quello sanitario, del lavoro, della ricerca scientifica e dell’associazionismo.