Con la newsletter n. 448 del 21 dicembre, il Garante per la protezione dei dati personali è intervenuto in materia di autorizzazioni generali per il trattamento dati e carenze informative da parte della società Uber, esprimendosi infine sul sistema di valutazione dell’attività dei dipendenti adottato da una società toscana.
GDPR e autorizzazioni generali. Il Garante Privacy ha individuato le prescrizioni contenute nelle autorizzazioni generali al trattamento dati adottate nel 2016 e compatibili con le disposizioni del GDPR. L’autorità è al contempo intervenuta con la revisione delle 9 autorizzazioni generali al trattamento dei dati preesistenti secondo i criteri di cui al d.lgs. n. 101/2018. In base all’analisi effettuata, hanno cessato di produrre effetti l’autorizzazione generale n. 2/2016 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, l’Autorizzazione n. 4/12016 al trattamento dei dati sensibili da parte dei liberi professionisti, l’Autorizzazione n. 5/2016 al trattamento dei dati sensibili da parte di diverse categorie di titolari e l’Autorizzazione generale n. 7/2016 al trattamento dei dati di carattere giudiziario da parte di privati, enti pubblici economici e soggetti pubblici. Il Garante ha individuato anche le autorizzazioni che contengono prescrizioni compatibili con il nuovo assetto normativo. Nel provvedimento sono quindi indicate tutte le prescrizioni, aggiornate alla luce delle nuova disposizioni, che dovranno continuare ad essere rispettate da ogni soggetto che tratta dati personali per le finalità indicate. Inoltre in considerazione dell’impatto che tali misure possono avere su PA e imprese, nel rispetto delle disposizioni previste dal decreto di revisione del Codice privacy, il testo sarà sottoposto a consultazione pubblica prima della sua approvazione definitiva . Uber. Il Garante ha inoltre accertato alcune violazioni da parte di Uber tra cui l’incompletezza dell’informativa, la mancanza di consenso al trattamento dei dati e la mancata notifica della geolocalizzazione degli utenti. L’attività ispettiva era partita alla fine del 2017 quando la società aveva annunciato di aver subito un attacco informatico che aveva coinvolto i dati personali di milioni di persone. Alla luce degli esiti ispettivi, il Garante avvierà immediatamente un autonomo procedimento per contestare le violazioni amministrative già accertate. Il caso della bacheca aziendale. Su segnalazione di alcuni lavoratori, il Garante ha avviato degli accertamenti in merito al sistema adottato da una cooperativa toscana per la valutazione dei dipendenti fondato sulla pubblicazione sulla bacheca aziendale di emoticon e punteggi assegnati ai vari lavoratori in base alle proprie prestazioni. Le valutazioni, espresse con sei diverse tipologie di emoticon e con giudizi sintetici quali assenteismo”, simulazione malattia”, perdita di lavoro causa scarso servizio o danni”, oppure l’espressione licenziato”, comparivano accanto alle foto dei dipendenti individuati con cognome e iniziale del nome. La valutazione negativa comportava una decurtazione dallo stipendio . Il Garante, vietando tale prassi, ha ricordato che il datore di lavoro può trattare le informazioni necessarie e pertinenti per la gestione del rapporto di lavoro in base a quanto previsto dalle leggi, dai regolamenti, dai contratti collettivi e dal contratto di lavoro individuale .