L’accesso alla posta elettronica personale dei lavoratori non è consentito al datore di lavoro per finalità difensive, neppure se le email sono state rinvenute sul server aziendale e sul personal computer assegnato ai dipendenti.

È da respingere la tesi per cui, essendo il datore titolare dei sistemi informatici aziendali sui quali erano confluite le comunicazioni personali degli account privati dei lavoratori, si trattava di corrispondenza “aperta” che, come tale, il datore poteva utilizzare in sede giudiziale. Al contrario, si deve ritenere che gli account privati dei dipendenti conservino il carattere di corrispondenza “chiusa” anche se i lavoratori hanno utilizzato il personal computer in dotazione per la posta elettronica personale e le loro comunicazioni sono confluite sul server aziendale.

Per la Cassazione (sentenza 24204/2025), è dirimente che le comunicazioni acquisite dal datore provenissero da account di posta elettronica personali dei lavoratori protetti da una password, perché, sebbene essi fossero inseriti sul server aziendale, si tratta comunque di espressione della vita privata e di diritto di corrispondenza tutelati, tra l’altro, dalla Convenzione europea dei diritti dell’uomo (articolo 8).

La causa è stata promossa dal datore di lavoro per atti di concorrenza sleale e violazione dei doveri di fedeltà e diligenza da parte di alcuni dipendenti che, nel frattempo, hanno interrotto il rapporto. Per supportare la domanda risarcitoria, il datore ha prodotto una consulenza tecnica informatica contenente le email private dei lavoratori. In primo grado il ricorso dell’azienda è stato parzialmente accolto e i lavoratori, una volta accertate la concorrenza sleale e le condotte infedeli, condannati a risarcire il danno in misura pari alle retribuzioni ricevute nell’ultima fase dei rapporti di lavoro (incluse le competenze di fine rapporto).

La Corte d’appello di Milano ha riformato la decisione, ritenendo inutilizzabili gli esiti della consulenza informatica, perché l’accesso agli account privati dei lavoratori, benché inseriti sul server aziendale, costituisce violazione del diritto di vita privata e di corrispondenza. La Cassazione conferma la sentenza e rimarca che le comunicazioni dei dipendenti tramite l’account privato ricadono nelle nozioni di “vita privata” e di “corrispondenza” anche se sono trasmesse dai locali aziendali e non sono utilizzabili per un’azione giudiziale risarcitoria.

Nel bilanciamento dei contrapposti interessi, il controllo datoriale soggiace ai limiti della proporzionalità (nel senso di utilizzo della modalità meno intrusiva) e della preventiva informazione ai lavoratori sui possibili controlli. Nel rispetto di questi limiti, cui il datore è tenuto a presidio della riservatezza dei dipendenti, è illegittima la conservazione dei dati personali dei lavoratori relativi alla posta elettronica privata, tanto più se acquisiti mediante sistemi di controllo rispetto ai quali non è stata osservata la procedura dell’articolo 4 dello Statuto dei lavoratori e non è stato raccolto il consenso individuale.

Il trattamento dei dati relativi alle email estratte dagli account privati, in assenza di queste condizioni, costituisce, altresì, violazione del divieto di indagini sulle opinioni e sulla vita personale del lavoratore.

Fonte: Il Sole 24 Ore – di Giuseppe Bulgarini d’Elci

Sicurezza digitale nella Pubblica Amministrazione: pubblicato il Vademecum dell’Agenzia per la Cybersicurezza Nazionale
Approvato dal Consiglio dei ministri, è ora disponibile sul portale NoiPA e su Syllabus, il Vademecum “Buone pratiche di cyber hygiene per i dipendenti delle pubbliche amministrazioni”, realizzato dall’Agenzia per la Cybersicurezza Nazionale (ACN).

Il documento offre indicazioni chiare e operative per la protezione dei dati e dei servizi pubblici, partendo da un principio semplice: la sicurezza digitale non dipende solo dalla tecnologia, ma soprattutto dai comportamenti quotidiani delle persone.

Phishing, furti di credenziali, ransomware, intelligenze artificiali usate impropriamente: oggi oltre la metà degli attacchi informatici contro la PA nasce da errori umani. Per questo il Vademecum individua 12 buone pratiche concrete, da adottare ogni giorno.

Il Vademecum è rivolto a tutte le amministrazioni e rappresenta uno strumento importante per rafforzare la cultura della sicurezza informatica nel personale della PA. Presto su Syllabus sarà reso disponibile un programma formativo dedicato.

Fonte: NoiPA

La mail con oggetto “manuale per i dipendenti” che sembra provenire dalle Risorse Umane è in realtà una nuova campagna di phishing

Privacy & Società Martedì, 22 Luglio 2025 09:46

Kaspersky ha scoperto una nuova campagna di phishing che prende di mira i dipendenti tramite e-mail personalizzate con file allegati, nascosti come aggiornamenti delle policy HR. Questa campagna rappresenta una significativa escalation nelle tattiche di phishing, poiché gli attaccanti hanno personalizzato non solo il contenuto dell’e-mail, ma anche gli allegati, rivolgendosi a destinatari specifici con un livello di personalizzazione senza precedenti. L’obiettivo è convincere la vittima a fornire le proprie credenziali di posta elettronica aziendale.

I cybercriminali si sono probabilmente preparati analizzando i nomi dei dipendenti per rendere la campagna mirata e più convincente. Le e-mail, caratterizzate da un contenuto ingannevole, contengono il falso badge “mittente verificato” per rafforzare la fiducia, includono il nome del destinatario e invitano ad aprire il file allegato per esaminare i protocolli di lavoro a distanza, la gestione dei benefit e gli standard di sicurezza. Tuttavia, l’intero corpo dell’e-mail è un’immagine priva di testo vero e proprio, studiata per eludere i filtri anti-spam.

Il documento allegato, che si presenta come un “Manuale per i dipendenti” aggiornato, non contiene alcuna linea guida reale, ma solo un frontespizio, un indice con voci presumibilmente modificate evidenziate in rosso, una pagina con un codice QR per accedere al documento completo e istruzioni su come leggere i codici QR utilizzando un telefono. Il documento riporta più volte il nome della vittima, per convincerla che sia stato creato appositamente per lei.

Quando la vittima scansiona il codice QR e segue il link, viene reindirizzata a una pagina fraudolenta in cui le viene chiesto di inserire le proprie credenziali aziendali, aspetto fondamentale per gli aggressori.

“Questa campagna dimostra un nuovo livello di sofisticazione negli attacchi di phishing e forse stiamo assistendo a un nuovo meccanismo automatico di invio di e-mail, che genera per ogni destinatario un documento allegato separato e un’immagine distinta per il corpo dell’e-mail. Questa tattica consente di ampliare la portata dell’attacco e, allo stesso tempo, di eludere le difese tradizionali. Le aziende devono dare priorità alle misure di sicurezza avanzate e alla formazione dei dipendenti per contrastare efficacemente queste minacce”, ha commentato Roman Dedenok, Anti-Spam Expert di Kaspersky.

Per proteggersi da queste minacce, Kaspersky consiglia di:

1. Utilizzare soluzioni di sicurezza specializzate nei server di posta aziendale in grado di rilevare e bloccare i tentativi di phishing.

2. Assicurarsi che tutti i dispositivi dei dipendenti, compresi gli smartphone, siano dotati di un solido software di sicurezza.

3. Formare regolarmente i dipendenti sulle moderne tattiche di phishing.

4. Invitare i dipendenti a controllare attentamente le e-mail per individuare eventuali segnali di phishing, come testi basati su immagini o titoli di documenti non corrispondenti, e a verificare direttamente con le Risorse Umane eventuali richieste sospette.

Fonte: Adnkronos Here

NEWS:

Accessibilità digitale obbligatoria dal 2025

per siti web e servizi digitali di PMI: cosa devono sapere le PMI

A partire dal 28 giugno 2025, le piccole e medie imprese (PMI) europee dovranno garantire l’accessibilità dei propri siti web e servizi digitali, conformemente all’European Accessibility Act (EAA). Questa direttiva stabilisce requisiti precisi per rendere i contenuti digitali fruibili da tutti, comprese le persone con disabilità.

Cosa cambia per le aziende?

  • Obbligo di conformità: i siti web e i servizi digitali dovranno seguire gli standard WCAG 2.1 AA, che riguardano:

    • Percepibilità (testi leggibili, alternative per immagini/video)

    • Operabilità (navigazione da tastiera, tempi di risposta adeguati)

    • Comprensibilità (linguaggio chiaro, istruzioni intuitive)

    • Robustezza (compatibilità con tecnologie assistive, come screen reader)

  • Sanzioni per chi non rispetta le regole:

    • In Italia, multe fino a 40.000€ (o fino al 5% del fatturato per aziende già soggette alla Legge Stanca).

    • Possibile esclusione da bandi pubblici e finanziamenti UE.

Chi è interessato?

✔ Grandi aziende e PMI che offrono servizi digitali (e-commerce, home banking, trasporti, media).
✔ Microimprese (<10 dipendenti) sono esentate, ma potrebbero esserlo solo temporaneamente.
✔ PMI con “onere sproporzionato” possono richiedere deroghe, ma devono dimostrare che i costi superano i benefici.

Perché adeguarsi? Oltre all’obbligo, 5 vantaggi concreti

  1. +20% di potenziali clienti: in UE, 1 persona su 5 ha una disabilità che limita l’accesso al digitale.

  2. Miglior SEO: i siti accessibili sono favoriti dai motori di ricerca.

  3. Minor rischio legale: evitare sanzioni e cause per discriminazione.

  4. Vantaggio competitivo: differenziarsi dai concorrenti non ancora conformi.

  5. Esperienza utente ottimizzata: navigazione più fluida per tutti, non solo per chi ha disabilità.

Servizi digitali coinvolti

  • E-commerce e piattaforme di vendita online

  • App mobili e servizi bancari digitali

  • Siti di trasporti, prenotazioni e emergenza (es. 112)

  • Contenuti multimediali (streaming, video on demand)

WhatsApp, le imprese sottovalutano i rischi informatici

WhatsApp in azienda nel mirino dei Garanti privacy europei. Le imprese sottovalutano i rischi di attacchi informatici e non danno istruzioni sulle modalità corrette di utilizzo. È quanto risulta dall’esame dei provvedimenti noti, decisi nel triennio 2021-2023 dalle autorità Ue preposte alla protezione dei dati personali, in applicazione del Regolamento Ue sulla privacy n. 2016/679 (Gdpr).

Per alcuni Garanti, tra l’altro, la messaggistica istantanea è radicalmente incompatibile con l’uso aziendale, perché crea un rapporto contrattuale diretto da dipendente e gestore del servizio (bypassando l’azienda). Per altre autorità il servizio è inadatto perché divulga indiscriminatamente i dati dei partecipanti alle chat. Per altre autorità, infine, WhatsApp non consente al datore di lavoro di supervisionare il trattamento dei dati relativi alla clientela messo in atto dai dipendenti.

Per alcuni Garanti, tra l’altro, la messaggistica istantanea è radicalmente incompatibile con l’uso aziendale, perché crea un rapporto contrattuale diretto da dipendente e gestore del servizio (bypassando l’azienda). Per altre autorità il servizio è inadatto perché divulga indiscriminatamente i dati dei partecipanti alle chat. Per altre autorità, infine, WhatsApp non consente al datore di lavoro di supervisionare il trattamento dei dati relativi alla clientela messo in atto dai dipendenti.

Ma passiamo a una panoramica delle decisioni: l’applicazione diretta del Gdpr in tutti i paesi della Ue rende indispensabile la circolazione delle notizie sui provvedimenti adottati dai Garanti europei della privacy.

Videosorveglianza – Il Garante spagnolo (decisione del 12 luglio 2023) ha ordinato a una società di vigilanza il pagamento di 10 mila euro per aver carpito immagini dal sistema di videosorveglianza di un istituto penitenziario e averle diffuse tramite WhatsApp. Una guardia, assunta dalla società privata, che forniva servizi di videosorveglianza a una prigione di Madrid, ha usato il suo telefono cellulare per catturare le immagini di un visitatore dal sistema di videosorveglianza e ha inviato queste immagini tramite WhatsApp ad altri colleghi.

Associazione – Un’associazione, che ha divulgato i dati personali di uno dei suoi membri in un gruppo Whatsapp, è stata sanzionata 3 mila euro dal Garante spagnolo (decisione del 28 aprile 2023, caso n. PS/00353/2022). L’interessato era un socio di una associazione dei cacciatori e ha inviato una lettera al suo presidente chiedendo l’accesso ai libri contabili. Il presidente ha diffuso questa lettera in un gruppo Whatsapp formato da 195 associati, insieme a conversazioni private con l’interessato. L’interessato ha presentato un reclamo al Garante spagnolo. Il Garante ha evidenziato che il gruppo WhatsApp in questione dovrebbe limitarsi esclusivamente alla condivisione delle informazioni necessarie per l’adempimento degli scopi dell’associazione.

Comune – Il Garante catalano (decisione del 13 settembre 2021 nel caso PS 28/2021) ha emesso un ammonimento nei confronti di un consiglio comunale per aver creato, con lo scopo di dare informazioni relative al consiglio comunale, un gruppo WhatsApp, che consentiva ai partecipanti di vedere i nomi, i numeri di telefono e le immagini del profilo di altri partecipanti. Al momento della creazione del gruppo, il consiglio comunale non aveva attuato misure tecniche o organizzative adeguate a garantire la riservatezza dei dati. Secondo il Garante, il consiglio comunale avrebbe dovuto astenersi dall’utilizzare un gruppo WhatsApp come strumento appropriato per gli scopi pur di pubblico interesse. In conclusione, il Garante ha ordinato al consiglio comunale di eliminare il gruppo WhatsApp e ha emesso un rimprovero formale.

Avvocati – Il Garante rumeno (decisione resa nota il 22 febbraio 2022) ha irrogato una multa di circa mille euro a uno studio legale per aver divulgato un fascicolo con i dati personali di uno dei suoi clienti su un gruppo WhatsApp esterno con altri avvocati, senza il consenso dell’interessato. L’indagine del Garante ha rilevato che il fascicolo del caso, che includeva i dati personali dell’interessato (inclusi nome, cognome, indirizzo di casa e informazioni relative a un caso pendente dinanzi a un tribunale) era stato effettivamente condiviso sul gruppo di avvocati esterni di WhatsApp, che conteneva 247 membri, e quindi in maniera eccessiva e senza base giuridica.

Wellness – Il Garante rumeno (decisione resa nota il 7 maggio 2021) ha irrogato a una società di wellness una sanzione di 32 mila euro, per avere pubblicato la richiesta di dimissioni di un ex dipendente sul gruppo WhatsApp dei dipendenti. Il garante rumeno ha ritenuto che il titolare del trattamento non ha predisposto misure tecniche e organizzative idonee a garantire un livello adeguato di riservatezza dei dati, considerando che tutti i membri del gruppo WhatsApp avevano accesso ai dati personali inclusi nella richiesta di dimissioni.

Banca – Il Garante rumeno ha irrogato a una banca una sanzione di tre mila euro per aver scambiato, tramite WhatsApp, un file formato “pdf”, contenente dati di un numero significativo dei suoi clienti. Il Garante ha ritenuto che il titolare del trattamento non ha realizzato misure tecniche e organizzative adeguate e che la banca non ha impedito la divulgazione non autorizzata o l’accesso non autorizzato ai dati personali.

Consumatori – Il Garante rumeno ha adottato misure correttive nei confronti dell’Autorità nazionale per la protezione dei consumatori (Anpc) romena per aver utilizzato WhatsApp come canale ufficiale di comunicazione con i consumatori, per la raccolta di reclami, senza mettere in atto idonee misure tecniche e organizzative. Il Garante ha rilevato che l’Anpc ha raccolto dati personali tramite WhatsApp, mancando di valutare i potenziali rischi per gli interessati e nonostante avesse altri canali disponibili per presentare petizioni e reclami, come un account di posta elettronica registrato o un modulo sul sito web istituzionale.

Sanità – Il Garante danese (decisione del 9 luglio 2021) ha irrogato una sanzione di 80.500 euro a un organismo sanitario per il trattamento illegale di un gran numero di informazioni sanitarie dei cittadini. I dipendenti dell’ente sanitario utilizzavano i loro telefoni privati per comunicare informazioni riservate sui pazienti (numero di previdenza sociale e i dati sanitari). Le chat erano disponibili anche ad ex dipendenti, non rimossi dalla chat di gruppo a causa di una gestione degli accessi inadeguata.

Messaggi personali – L’autorità austriaca per la protezione dei dati (decisione del 3 maggio 2021 resa nel caso 2021-0.285.169) ha rilevato che né il Gdpr né la legge austriaca attuativa del Gdpr si applicano allo scambio di dati sanitari tra due individui tramite WhatsApp, poiché tale trattamento rientra tra i trattamenti di dati da parte di persone fisiche per scopi esclusivamente personali, esentati dal Gdpr.

Imprese – Il Garante finlandese (decisione del 29 ottobre 2021 resa nel caso 9024/181/19) ha stabilito che un’impresa di pulizie ha violato il Gdpr utilizzando i servizi di messaggistica istantanea di WhatsApp con i propri dipendenti come mezzo per scambiare informazioni sui propri clienti, inclusi nomi, indirizzo, codice della porta o codice della cassetta portachiavi. Tra le altre cose, il titolare del trattamento non aveva mezzi per supervisionare l’uso dei dati personali tramite WhatsApp o altrimenti imporre restrizioni sul possibile ulteriore utilizzo. Il Garante finlandese ha ritenuto che la società avrebbe dovuto prendere in considerazione tutti i rischi potenziali, come la possibilità che i dipendenti perdessero i loro telefoni, e che i dati personali dei clienti potessero quindi diventare accessibili a terzi. Dopo aver considerato i termini di utilizzo di WhatsApp, il Garante finlandese ha osservato che l’uso dell’app non è normalmente compatibile con scopi commerciali, in quanto avrebbe creato un rapporto contrattuale tra il dipendente e Facebook (ora Meta).

Inghilterra – L’Information Commissioner’s Office (Ico), con decisione del 31 luglio 2023, ha ammonito un ente responsabile dell’assistenza sanitaria di oltre 652 mila persone che vivono in Scozia, per avere alcuni suoi dipendenti scambiato (anche con un estraneo allo staff medico), a mezzo WhatsApp, per più di 500 volte, nominativi, indirizzi, immagini, video, e screenshot, con informazioni sanitarie dei pazienti. All’ente è stato rimproverato di non aver effettuato alcuna valutazione dei potenziali rischi.

Fonte: Italia Oggi – di Antonio Ciccia Messina

________________________________________________

Whistleblowing e sindacati: istruzioni per l’uso

Il termine whistleblower (“colui che soffia il fischietto”), originario degli USA, definisce la persona che denuncia attività illecite all’organizzazione (e sue controparti) presso cui opera che ne sarebbe affetta. Come riportato sul sito del Ministero della Giustizia, un tale tipo di segnalazione, endogena al sistema, può essere assimilate a un meccanismo di protezione interno all’apparato organizzativo: insomma, una sorta di agente immunitario contro l’azione patologica di alcuni elementi corrosivi della fisiologia organizzativa.

Poiché, però, la denuncia rappresenta la messa in discussione di uno status quo in cui diversi sono ruoli e poteri, affinché il whistleblowing sia incoraggiato è necessario che il segnalante sia “protetto” da eventuali ritorsioni o vessazioni: in primo luogo, potendo beneficiare dell’anonimato, specie se il contesto è poco trasparente o tollerante verso comportamenti “patologici”.

Deve essere interesse dell’organizzazione tutelare il segnalante in quanto con la sua denuncia può permettere di perseguire eventi che possano recare concreto effetti avversi per l’utenza o per l’organizzazione stessa con impatti legali, patrimoniali e reputazionali.

In questa sede ci si sofferma sul ruolo che le organizzazioni sindacali possono rivestire, a supporto di questa fattispecie, nel contesto definito dal d. lgs. 24/2023 (DLWB) che recepisce la direttiva europea 1937/2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione.

Il DLWB si applica oltre che al settore pubblico anche ad una ampia componente del settore privato (società con almeno 50 dipendenti o, se con minore compagine, soggette al d.lgs. 231/2001 o ad altre specifiche normative previste dal DLWB); le nuovo norma sono applicabili dal 15 luglio per il settore pubblico e le imprese con una compagine di almeno 250 elementi e dal 17 dicembre per quelle fino a 249.

Sia per il segnalante che per il facilitatore (persona fisica che assiste il segnalante) il DLWB prevede una serie di protezioni che vanno dalla tutela della riservatezza al divieto di ritorsione alle misure di sostegno da parte di soggetti del terzo settore che hanno stipulato convenzioni con l’ANAC e siano iscritte in un elenco da quest’ultima tenuto (informazioni, assistenza e consulenza per le segnalazioni).

Anche i sindacati hanno un ruolo dalle molteplici sfaccettature, almeno sette, che qui si introducono.

1. Premesso che nella fisiologia delle relazioni sindacali le OO.SS. sono legittimate a interessarsi a che le organizzazioni operino nel rispetto della legalità, il whistleblowing in Italia non può essere utilizzato dai sindacati (ovvero da loro esponenti che operano spendendo la sigla sindacale) per la segnalazione di illeciti (in forma protetta), che è consentita solo alle persone fisiche che operano a nome proprio.

Al riguardo si rammenta che nel contesto privacy: i) i reclami possono essere presentati da soggetti diversi dalle persone fisiche (in Italia, ai sensi dell’art. 142 del Codice privacy, oltre all’interessato il ricorso il Garante può essere presentato, su suo mandato, da parte di enti del terzo settore di cui al d lgs 117/2017, fra cui non rientrano i sindacati; all’estero risultano reclami presentati da sindacati che hanno dato luogo a provvedimenti dei Garanti locali); ii) comunque i sindacati possono provvedere con segnalazioni ex art. 144 del Codice privacy ai fini di eventuali interventi da parte dell’Autorità Garante.

2. Con riguardo alla segnalazione di ritorsioni, mentre secondo le norme previgenti al DLWB (cfr legge 179/2017), le OO.SS. maggiormente rappresentative erano legittimate a segnalare ritorsioni – all’ANAC per il comparto pubblico e all’Ispettorato nazionale del lavoro per il comparto privato (limitato alle organizzazioni con modelli ex 231/2001) -, nel nuovo contesto tale facoltà non è più prevista per i sindacati.

3. L’art. 4 del DLWB prevede che le OO.SS. debbano essere sentite dalle diverse organizzazioni, pubbliche e private, in sede di impianto dei canali interni di segnalazione. E’ questo un momento importante per la definizione di un robusto processo di whistleblowing in cui dovrebbe essere interesse comune delle parti coinvolte individuare un assetto ottimale. Dal punto di vista dei sindacati, questa è occasione per proporre spunti e osservazioni utili a rendere effettivo il diritto di segnalazione dei lavoratori. Dal punto di vista delle organizzazioni, parimenti, ci dovrebbe essere un ascolto attivo per potenziare tali canali di segnalazione.

Su tale aspetto è da ritenere che le OO.SS. potrebbero, in casi di non condivisione dell’assetto definito dall’organizzazione, presentare una propria istanza in primis all’ANAC per evidenziare quelle che ritenessero non conformità sanzionabili da tale Autorità. Analogamente potrebbe essere presentata una istanza al Garante privacy per rappresentare quelli che a loro avviso fossero aspetti di procedura / processo che possono ledere la privacy dei potenziali segnalanti;

4. Singoli sindacalisti potrebbero essere loro, purché prescindendo dal ruolo sindacale e quindi non spendendone la sigla, a) dei whistleblower e quindi effettuare segnalazioni, fruendo appieno del regime di garanzie previsto dal DLWB oppure b) dei facilitatori quindi fornire supporto al whistleblower, analogamente fruendo delle previste garanzie; inoltre per ciascuna delle predette ipotesi, il sindacalista-persona fisica può effettuare segnalazioni per eventuali ritorsioni cui venisse assoggettato.

Va sottolineato che se la segnalazione venisse fatta spendendo la sigla sindacale, il sindacalista interessato non assumerebbe, come specifica l’ANAC, la qualifica di segnalante e non beneficerebbe delle tutele prevista dal d.lgs. n. 24/2023: sarebbero comunque applicabili le disposizioni in tema di consultazione dei rappresentanti sindacali e di repressione delle condotte antisindacali di cui alla l. n. 300/1970.

5. La situazione descritta non impedisce alle singole OO.SS. di provvedere, all’occorrenza o organizzandolo, per un servizio di facilitazione a favore dei segnalanti, nel senso di mettere a disposizione dei potenziali whistleblower la competenza di singoli esponenti sindacali disponibili – ma a nome proprio – a supportare il lavoratore interessato. Una evenienza della specie ove perseguita, andrebbe maneggiata con cura, in quanto deve essere garantita la riservatezza verso terzi sia del segnalante che fruirebbe del servizio sia del facilitatore.

Si tratterebbe di fare in modo che il potenziale segnalante avesse la possibilità di contattare d’iniziativa uno fra gli elementi del sindacato che si siano preventivamente dichiarati disponibili a esperire il ruolo di facilitatore (e impegnati con ciò alla riservatezza sui contatti avuti) e resi noti agli iscritti. Di questo contatto nessun altro soggetto deve avere notizia.

Anche qui, se l’elemento in parola spendesse la sigla sindacale non assumerebbe la qualifica di facilitatore e non beneficerebbe delle tutele prevista dal d.lgs. n. 24/2023 (mentre sarebbero applicabili le disposizioni in tema di consultazione dei rappresentanti sindacali e di repressione delle condotte antisindacali di cui alla l. n. 300/1970).

A prescindere che il sindacato abbia ipotizzato o meno di rendere un tale servizio, comunque il segnalante sarebbe libero di rivolgersi a un esponente sindacale in forma personale e riservata per chiedere il relativo coinvolgimento come facilitatore.

6. Va tenuto anche presente che le OO.SS. rientrano fra i canali attraverso cui il segnalante può effettuare, nei casi previsti dall’art. 15 del DLWB, una divulgazione pubblica; il canale sindacale è infatti espressamente previsto dal considerando 45 della direttiva 1937/2019. Per questa evenienza, il sindacato interessato dovrebbe fornire idoneo supporto e consulenza all’interessato circa la presenza degli estremi previsti dal DLWB per poter fruire delle relative protezioni. Inoltre l’O.S. interessata dovrebbe attentamente vagliare l’evenienza che il segnalante voglia tenere riservate verso l’esterno le sue generalità, ai fini della relativa configurazione (secondo le Linee guida sul DLWB di recente emanate dall’ANAC le segnalazioni anonime sono equiparate a quelle sottoposte a vigilanza “ordinaria” precisando comunque che – in linea con l’art. 16 DLWB – nel caso il soggetto venisse poi individuato e sottoposto a ritorsioni potrà fruire delle tutele del DLWB).

7. Le previsioni del DLWB non possono essere oggetto di rinunce o transazioni salvo che ai sensi dell’art. 2113.4 del codice civile che prevede alcune sedi “protette” per tali accordi fra cui la commissione di conciliazione istituita in sede sindacale (art. 412-ter c.p.c.). Pertanto. Il sindacato è fra i garanti del rispetto delle previsioni a favore del whistleblower.

Dall’articolata tassonomia di possibile coinvolgimento delle OO.SS. emerge quella che dovrebbe essere un’esigenza presente in primis ai relativi Responsabili della protezione dei dati (è appena il caso di ricordare che i sindacati rientrano fra i soggetti tenuti alla nomina del RPD): impostare una procedura per il trattamento di dati personali afferenti al whistleblowing, a tutela degli interessati per non rischiare in primo luogo che per carenze procedurali possa essere vanificata la riservatezza dei lavoratori (da carenze nei canali di segnalazione non rilevati in sede di confronto per il relativo impianto a carente gestione dei dati dei lavoratori che a loro si rivolgessero su tale tematica); tale tipo di procedura / trattamento dovrebbe poi trovare evidenza nel registro dei trattamenti e trattata in informativa ad hoc o menzionata in quella generale che il sindacato deve comunque aver definito.

Per concludere questa sintetica disamina, è parere di chi scrive che la portata del whistleblower non debba essere intesa come quella del giustiziere di ultima istanza, solo contro tutti, a salvaguardia del diritto interno all’organizzazione ma piuttosto come uno attore “collaborativo” sensore aggiuntivo per i sistemi di gestione del rischio organizzativo e a protezione dagli illeciti. Ciò tanto più quanto l’ambiente organizzativo è sano.

Sta però in prima istanza al sindacato – che è: i) come si desume da quanto descritto un protagonista e non una comparsa del WB e ii) corpo intermedio con tutela costituzionale -, vegliare sulla fisiologia dei processi organizzativi a tutela dei lavoratori, dell’organizzazione pubblica o privata che sia e della collettività in generale che dei relativi output è fruitrice. Pertanto, a pieno titolo, al sindacato compete il ruolo di stakeholder del DLWB.

NOTE AUTORE

Pasquale MancinoPasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

___________________________________________________

Nuovo codice deontologico per i dipendenti pubblici: ecco le regole per l’uso di tecnologie informatiche, social network, e mezzi di informazione

Solo uso sicuro di e-mail, profili e account delle pubbliche amministrazioni. Non si utilizzano le conversazioni pubbliche di una chat per dialogare su procedimenti in corso, non si postano sui social network anticipazioni di determinazioni e deliberazioni, non si mandano e-mail senza firma e senza un recapito per poter replicare: sono alcune prescrizioni dettate dal nuovo codice di comportamento per i dipendenti pubblici, il dpr n. 81 del 13 giugno 2023, pubblicato in G.U. n. 150/2023, che ha modificato il precedente dpr 62/2013.

In particolare, gli articoli 11 -bis e 11-ter trattano rispettivamente dell’utilizzo nelle pubbliche amministrazioni delle tecnologie informatiche e dell’uso dei mezzi di informazione e dei social media.

Ecco le più salienti disposizioni del nuovo codice deontologico per i dipendenti pubblici, che sono da conoscere anche da parte delle imprese e dei professionisti, naturali interlocutori delle comunicazioni con gli enti pubblici.

Capi delle strutture. Si parte dalla regola per cui l’amministrazione, attraverso i propri responsabili di struttura, ha facoltà di svolgere gli accertamenti necessari e adottare ogni misura utile a garantire la sicurezza e la protezione dei sistemi informatici, delle informazioni e dei dati. La disposizione contiene un’imprecisione e una prescrizione operativa. L’imprecisione è l’uso del sostantivo “facoltà”. In realtà, l’amministrazione non ha la facoltà, ma ha l’obbligo di effettuare i controlli e di realizzare un sistema di sicurezza dei sistemi e delle informazioni. Se qualcuno dovesse intendere che queste attività sono opzionali è fuori strada: norme di rango primario, prima tra tutte il regolamento Ue sulla privacy n. 2016/679 (Gdpr), le impongono, anche a pena di pesanti sanzioni amministrative.

La prescrizione operativa, invece, consiste nella individuazione dei “responsabili delle strutture” quali soggetti cui attribuire i compiti di controllo della sicurezza. Ciascun ente dovrà specificare chi sono i responsabili delle strutture: è consigliabile, inoltre, nominarli “designati per specifici compiti e funzioni”, ai sensi dell’articolo 2-quaterdecies del Codice della privacy.

Linee guida. La norma prosegue affidando all’Agenzia per l’Italia Digitale (Agid), sentito il Garante per la protezione dei dati personali, il compito di scrivere linee guida sulle modalità di svolgimento degli accertamenti. Siamo di fronte al rinvio a un atto tecnico scritto da un organo tecnico, destinato a emergere al livello di legislazione primaria. Per come è impostato, il nuovo articolo 11-bis del Codice di comportamento si riferisce a linee guida esclusivamente tecniche, anche se inevitabilmente contribuiranno a definire le disposizioni sostanziali sui controlli dei lavoratori dettate dall’articolo 4 dello Statuto dei Lavoratori. Non a caso, si prevede che l’Agid dovrà acquisire il parere del Garante della privacy, il quale dovrà confezionare la sua valutazione mantenendo le regole tecniche sui controlli indiretti nei binari della liceità giuridica e della tutela della riservatezza. Le amministrazioni devono da subito controllare e garantire la sicurezza dei sistemi e delle informazioni, senza aspettare le linee guida Agid. Quando queste linee guida ci saranno, le p.a. dovranno applicarle, ma nel frattempo devono lo stesso fare controlli e adottare le misure di sicurezza sulla base della normativa vigente e, innanzi tutto, sulla base del Gdpr e del Codice della privacy e dei provvedimenti generali del Garante (tra cui il provvedimento del 1° marzo 2007).

Account ufficiali. L’articolo 11-bis pianta alcuni paletti a riguardo dell’utilizzo da parte dei dipendenti pubblici degli account istituzionali. Si parte dalla regola di fondo per cui, se l’account appartiene al dominio dell’ente pubblico, l’uso è consentito per i soli fini connessi all’attività lavorativa o a essa riconducibili.

L’obbligo, peraltro, non è assoluto. Anche per gli account istituzionali vale la deroga (introdotta dalle nuove norme), in base alla quale al dipendente è consentito l’utilizzo degli strumenti informatici forniti dall’amministrazione per poter assolvere alle incombenze personali senza doversi allontanare dalla sede di servizio, purché l’attività sia contenuta in tempi ristretti e senza alcun pregiudizio per i compiti istituzionali.

Vediamo di analizzare come si atteggia il modico uso disegnato dalla disposizione ora citata. Considerato che, oramai, l’acquisizione di beni e la fruizione di servizi si fa con gli strumenti di comunicazione elettronica, la deontologia del pubblico dipendente si adegua e la regola del “modico uso consentito” dei beni pubblici si allarga agli strumenti elettronici dell’amministrazione pubblica. Anche qui ci sarebbe un limite, ma non è facile da tracciare. Si tratta del significato dell’espressione “incombenze personali”. Sicuramente sono comprese esigenze connesse a obblighi giuridici, ma il concetto va esteso a necessità della vita quotidiana connesse a significative relazioni interpersonali. La prassi dovrà essere capace di non allargare troppo il raggio di azione delle “incombenze personali”. Deve, infatti, comunque trattarsi di “incombenze”, così da escludere attività ludiche o di svago.

L’uso per ragioni personali degli account istituzionali, in ogni caso, non può in alcun modo compromettere la sicurezza o la reputazione dell’amministrazione.

E-mail personali. Il nuovo articolo 11-bis del codice di condotta modella anche l’utilizzo delle caselle di posta elettronica personali, che è di norma evitato per attività o comunicazioni afferenti al servizio, salvi i casi di forza maggiore dovuti a circostanze in cui il dipendente, per qualsiasi ragione, non possa accedere all’account istituzionale. Non si mandano comunicazioni di servizio con la e-mail personale, salvo casi di eccezionale urgenza.

Qualunque sia la casella usata, il dipendente è responsabile del contenuto dei messaggi inviati. Per quanto sia di non intuitiva comprensione, la comunicazione di posta elettronica è una comunicazione ufficiale, riconducibile all’amministrazione: se il dipendente ha scritto una e-mail con la casella istituzionale, è la stessa p.a. ad averla spedita. Una comunicazione via e-mail è un atto dell’istruttoria procedimentale, ma può assumere anche la natura di atto decisorio, in quanto tale impugnabile.

La responsabilità del contenuto della e-mail attribuita a chi l’ha scritta è un precetto così tanto ovvio da un punto di vista giuridico quanto poco percepito dall’estensore della comunicazione.

Le pubbliche amministrazioni faranno bene a organizzare sessioni di addestramento ad oggetto tecniche di redazione delle comunicazioni di posta elettronica e degli altri sistemi di messaggistica.

D’altra parte, l’articolo 11-bis citato obbliga le pubbliche amministrazioni a fornire ai suoi dipendenti prescrizioni interne cogenti sulle modalità di firma dei messaggi di posta elettronica di servizio.

L’occasione è da sfruttare per scrivere un protocollo interno sulla stesura delle comunicazioni elettroniche di servizio.

Visto che il singolo dipendente è responsabile di cosa ha scritto, le pubbliche amministrazioni non possono esimersi dal dare regole su come e cosa scrivere. A cominciare da regole spicciole, tra cui evitare di usare le funzioni “rispondi” e “rispondi a tutti” e controllare gli allegati (evitando di accumulare file, peggio se non vagliati rispetto a dati personali sproporzionati).

Dal canto suo l’articolo 11-bis citato impone di indicare in ciascun messaggio in uscita elementi di identificazione del dipendente/mittente e un recapito istituzionale al quale il medesimo sia reperibile.

Quanto al contenuto delle e-mail, l’articolo 11-bis aggiunge che è vietato l’invio di messaggi di posta elettronica, all’interno o all’esterno dell’amministrazione, che siano oltraggiosi, discriminatori o che possano essere in qualunque modo fonte di responsabilità dell’amministrazione.

Social media. Un articolo che farà molto discutere è il nuovo articolo 11-ter del codice di comportamento, che si occupa dell’utilizzo dei mezzi di informazione e dei social media.

In dettaglio, nell’utilizzo dei propri account di social media, il dipendente deve utilizzare ogni cautela affinché le proprie opinioni o i propri giudizi su eventi, cose o persone, non siano in alcun modo attribuibili direttamente alla pubblica amministrazione di appartenenza.

Utile, ma non decisivo è un’avvertenza generale immediatamente reperibile sull’account personale.

Anche, quando esprime opinioni personali non impegnative per l’ente di appartenenza, il dipendente è tenuto ad astenersi da qualsiasi intervento o commento che possa nuocere al prestigio, al decoro o all’immagine dell’amministrazione di appartenenza o della pubblica amministrazione in generale.

Il bilanciamento tra libertà di espressione e doveri del pubblico dipendente non potrà che essere realizzato nei singoli casi concreti di volta in volta.

Sicurezza. Di portata cogente è la regola per cui non si avviano conversazioni pubbliche mediante l’utilizzo di piattaforme digitali o social media ad oggetto comunicazioni, afferenti direttamente o indirettamente al servizio: qui è in gioco non solo la riservatezza delle persone, ma anche il segreto d’ufficio.

Non a caso l’articolo 11-ter ricorda che ci sono leggi che vietano la divulgazione di notizie e che in ogni caso i dipendenti non possono divulgare o diffondere per ragioni estranee al loro rapporto di lavoro con l’amministrazione e in difformità alle disposizioni sulla trasparenza amministrativa, documenti, anche istruttori, e informazioni di cui essi abbiano la disponibilità. Sono escluse da tale limitazione le attività o le comunicazioni per le quali l’utilizzo dei social media risponde a una esigenza di carattere istituzionale.

Fonte: Italia Oggi del 24 luglio 2023 – di Antonio Ciccia Messina

___________________________________________________

SAPEVATE CHE BASTANO POCHI SECONDI A UN HACKER PER RUBARVI LA PASSWORD?

IL TEMPO DI DECIFRAZIONE AUMENTA A CIRCA 22 MINUTI AGGIUNGENDO UNA LETTERA MAIUSCOLA, MENTRE AGGIUNGENDO UN CARATTERE SPECIALE SI ARRIVA A CIRCA UN’ORA DI LAVORO – IL 64% DEGLI INCIDENTI INFORMATICI E’ CAUSATO DA AZIONI “MALDESTRE” DEGLI UTENTI, COME AVERE CHIAVI DI ACCESSO TROPPO SEMPLICI O USARE LA STESSA PASSWORD PER DIVERSI SERVIZI E APP – I CONSIGLI DELL’ESPERTO PER UNA PASSWORD EFFICACE…

(ANSA) – Una password standard di otto caratteri può essere decifrata in pochi secondi. È possibile aggiungere 22 minuti di lavoro extra per i cybercriminali inserendo una lettera maiuscola. L’aggiunta di un carattere speciale, combinato con una lettera maiuscola, richiede invece un’ora scarsa di lavoro. Sono indicazioni che arrivano dal sito security.org in occasione del World Password Day. Si celebra dal 2013, per iniziativa di Intel, ogni primo giovedì di maggio e mira ad aumentare la consapevolezza sul tema della sicurezza informatica.

È l’eccessiva semplicità che continua a rendere molto semplice la vita ai criminali informatici, soprattutto quando la stessa chiave di accesso viene utilizzata per accedere a più servizi e app. Secondo il più recente report dell’azienda Nordpass, anche nel 2022 la password più gettonata al mondo è stata ‘Password’, mentre in Italia la tendenza è ancora quella di usare la sequenza ‘123456’. E come riportato dall’ultimo rapporto Clusit, l’Associazione Italiana per la Sicurezza Informatica, ben il 64% degli incidenti a livello globale hanno come causa azioni “maldestre” degli utenti.

“Rileviamo che i criminali informatici utilizzano tecniche molto comuni e poco complesse per violare account e impossessarsi di dati e identità digitali, questo significa che dall’altra parte ancora non abbiamo imparato a difenderci – afferma Alessio Pennasilico, del Comitato Scientifico Clusit – Alla luce delle tecnologie oggi disponibili è doveroso abbandonare numeri, lettere e caratteri speciali che puntualmente dobbiamo ripristinare perché difficili da ricordare, a favore di una autenticazione sicura, che può comprendere l’autenticazione multi fattore tramite app o l’autenticazione biometrica”.

___________________________________________________

Decreto Trasparenza, per informare i lavoratori basta il rinvio ai contratti

Il decreto Lavoro (Dl 48/2023, pubblicato sulla Gazzetta ufficiale 103 del 4 maggio e in vigore da venerdì 5 maggio) contiene una misura di semplificazione molto importante: la revisione degli adempimenti introdotti l’anno scorso con il cosiddetto decreto Trasparenza, il Dlgs 104/2022 che – nel dare attuazione a una direttiva comunitaria (2019/1152) – aveva appesantito gli adempimenti informativi gravanti sul datore di lavoro al momento dell’assunzione.

I precedenti – Il Dlgs 104/2022 aveva, in particolare, posto a carico del datore l’obbligo di adempiere il suo dovere informativo nei confronti del dipendente in modo diretto, mediante una comunicazione scritta nella quale dovevano essere illustrate, in dettaglio, tutte le condizioni del futuro rapporto di lavoro, senza eccezioni (dalla retribuzione sino alla disciplina dell’eventuale licenziamento). Di fatto, i datori di lavoro hanno dovuto, in questi mesi, redigere informative lunghissime su temi che trovavano già una completa esposizione in altri testi normativi e contrattuali (si pensi alla disciplina delle ferie, dell’orario o del preavviso), senza che questo appesantimento si traducesse in un concreto incremento delle tutele o delle informazioni in possesso dei lavoratori.

Le modifiche – Il decreto Lavoro, senza toccare gli obblighi informativi gravanti sul datore, sceglie una modalità più semplice per adempierli. L’articolo 26 prevede in particolare che per un gruppo nutrito di informazioni il datore di lavoro possa, in luogo della redazione dell’informativa, limitarsi a indicare al dipendente il riferimento normativo o della contrattazione collettiva, anche aziendale, che regola l’istituto di riferimento (a questo fine, il datore dovrà mettere a disposizione anche per via digitale tutti gli accordi collettivi applicati).

Una semplificazione opportuna che cancella un passaggio inutile come la stesura di un’informativa che ripete e trascrive le norme di legge o del contratto collettivo; semplificazione che, a ben vedere, era suggerita dalla stessa direttiva comunitaria da cui è scaturito il decreto Trasparenza (l’articolo 3 della normativa comunitaria include espressamente tra le modalità alternative di comunicazione delle informazioni il rinvio alla legge o al contratto collettivo).

Le informazioni semplificate – Le informazioni che potranno essere fornite al lavoratore con questa nuova modalità semplificata sono molte. Si potrà rinviare alla legge e al contratto collettivo per indicare la durata del periodo di prova, descrivere l’eventuale diritto di ricevere la formazione del datore di lavoro, illustrare la durata del congedo per ferie e degli altri congedi retribuiti ai quali ha diritto il lavoratore nonché la procedura, la forma e la durata del preavviso in caso di licenziamento e di dimissioni. Viene investita dalla semplificazione anche l’indicazione dell’importo iniziale della retribuzione e dei relativi elementi costitutivi, completi dei termini e delle modalità di pagamento.

L’orario di lavoro – Un gruppo di obblighi informativi particolarmente pesante dal punto di vista compilativo era quello in tema di orario di lavoro: la programmazione dell’orario normale di lavoro e le eventuali condizioni del lavoro straordinario e del cambio di turno oppure, nelle aziende caratterizzate da modalità organizzative che rendono imprevedibile la gestione dell’orario, le condizioni per i cambiamenti dell’orario. Anche su questo, il datore di lavoro potrà tornare al sistema precedente, che consentiva di assolvere l’obbligo informativo indicando le norme di legge e di contratto collettivo che regolano tali istituti.

È inclusa nella semplificazione, infine, anche l’indicazione degli enti e degli istituti che raccolgono i contributi previdenziali e assicurativi.

Poche ed essenziali le informazioni che, invece, devono essere comunicate direttamente, senza fruire della semplificazione appena descritta: l’identità delle parti, il luogo di lavoro, l’inquadramento e le mansioni, la durata e la tipologia contrattuale.

Che cosa cambierà – Le Informazioni che possono essere date dal datore di lavoro al lavoratore rinviando alla legge o al contratto collettivo di riferimento:

durata del periodo di prova;

diritto di ricevere la formazione del datore di lavoro;

durata del congedo per ferie e degli altri congedi retribuiti cui ha diritto il lavoratore;

procedura, forma e durata del preavviso in caso di licenziamento e dimissioni;

indicazione dell’importo iniziale della retribuzione e dei relativi elementi costitutivi;

termini e modalità di pagamento delle retribuzioni;

informazioni in tema di orario di lavoro;

indicazione degli enti e degli istituti che raccolgono i contributi previdenziali e assicurativi.

Le informazioni che il datore dovrà continuare a comunicare direttamente al lavoratore:

identità delle parti;

luogo di lavoro;

inquadramento e mansioni;

durata del rapporto; tipologia contrattuale.

Fonte: Il Sole 24 Ore – di Giampiero Falasca

Approvato il Data Privacy Framework, la nuova decisione di adeguatezza della Commissione UE per trasferire i dati negli USA

La Commissione Europea ha ufficialmente approvato il “EU-US Data Privacy Framework”, ovvero il nuovo accordo sul trasferimento dei dati verso gli Stati Uniti. Con la pubblicazione della nuova decisione di adeguatezza del 10 luglio 2023, Bruxelles ha così formalmente riconosciuto che adesso sussistono garanzie sufficienti per la protezione dei dati personali dei cittadini dell’UE trattati nel territorio statunitense, nonché tutele legali che insieme ai nuovi parametri sono in grado di limitare l’invasivo operato delle agenzie di intelligence Usa.

Anche se pochi giorni fa il Dipartimento di giustizia degli Stati Uniti e l’Ufficio del direttore dell’intelligence nazionale degli Stati Uniti avevano annunciato di aver completato gli impegni previsti dall’ordine esecutivo adottato da Joe Biden lo scorso ottobre per tentare di andare incontro alle esigenze europee, in realtà il nuovo accordo arriva dopo un iter lungo e travagliato durato tre anni. Anche nella fase che ha portato all’approvazione finale del Data Privacy Framework lo scorso 7 luglio vi sono stati 24 Stati membri dell’UE che hanno votato a favore, ma d’altra parte 3 Stati membri che si sono mantenuti anonimi si sono invece astenuti rimanendo fermi nelle loro perplessità fino all’ultimo.

Anche se si tratta indubbiamente di una buona notizia per migliaia di aziende che per svolgere le loro attività necessitano di poter trasferire lecitamente dati personali negli Usa, e che a tutti gli effetti adesso possono farlo sulla base del nuovo accordo, non è tuttavia ancora chiaro se questa nuova decisione di adeguatezza potrà reggere, in primo luogo perché a maggio lo stesso Parlamento Europeo aveva giudicato le misure Usa insufficienti per garantire la protezione dei dati degli europei invitando la Commissione Ue a riaprire i negoziati, ma soprattutto perché sarà inevitabile il ricorso alla Corte di Giustizia dell’Ue da parte di noyb, l’organizzazione fondata dall’attivista Max Schrems, noto per le due sentenze della suprema Corte europea che portano il suo cognome le quali avevano già invalidato i due precedenti accordi che regolavano il trasferimento dei dati verso gli Usa, rispettivamente prima il Safe Harbor e poi il Privacy Shield. E l’Avv. Schrems ha già annunciato sul sito di noyb di voler presentare ricorso anche stavolta.

Flash News Martedì, 11 Luglio 2023 07:11

______________________________________________________

I sindacati non possono conoscere i nominativi dei dipendenti che ricevono una retribuzione accessoria

Più riservatezza sul salario accessorio: i sindacati non possono conoscere i nominativi dei dipendenti delle scuole che ricevono una retribuzione accessoria e i relativi importi liquidati con il fondo d’istituto. Inoltre, nelle comunicazioni ai dipendenti bisogna usare modalità individualizzate, specie se contengono dati sensibili e particolari. Sono alcune delle precisazioni fornite dal Garante della privacy, con slide esplicative pubblicate sul sito istituzionale. Considerato il quadro normativo applicabile al comparto scuola, il Garante, Pasquale Stanzione, ha sottolineato che non è consentito agli istituti scolastici comunicare alle organizzazioni sindacali i nominativi dei docenti o di altro personale e le somme liquidate a ciascuno per lo svolgimento di attività finanziate con il fondo d’istituto.

La finalità di dare evidenza alle organizzazioni sindacali della remunerazione dei progetti finanziati con il fondo d’istituto può essere, infatti, perseguita rendendo disponibile alle parti sindacali, solamente informazioni aggregate, come ad esempio, l’ammontare complessivo del trattamento accessorio effettivamente distribuito, eventualmente ripartito per fasce o qualifiche, senza comunicare i nominativi e le somme erogate individualmente a titolo di compenso accessorio.

Sulle comunicazioni al personale: specie se contengono categorie particolari di dati devono essere utilizzate per tutte le modalità di comunicazione, anche quelle elettroniche, forme individualizzate nei confronti di quest’ultimo o di un suo delegato: si deve usare l’indirizzo e-mail individuale (non account condivisi) e solo per il tramite di personale autorizzato.

Nel caso in cui si proceda alla trasmissione di un documento cartaceo, questo dovrà essere trasmesso, di regola, in plico chiuso, salva la necessità di acquisire, anche mediante la sottoscrizione per ricevuta, la prova della ricezione dell’atto.

In materia di trasmissione di documenti, specie quelli riportanti dati sensibili e particolari, ad altri uffici scolastici, anche territoriali, si devono usare alcune cautele. In particolare, se devono essere trasmessi ad altri uffici o funzioni della medesima struttura organizzativa in ragione delle rispettive competenze, i documenti devono contenere esclusivamente le informazioni necessarie allo svolgimento della funzione, senza allegare, se non strettamente indispensabile, documentazione integrale o riportare stralci all’interno del testo. Inoltre, devono essere selezionate e impiegate modalità di trasmissione della documentazione tali da garantire la ricezione e il relativo trattamento da parte dei soli uffici o strutture organizzative competenti e del solo personale autorizzato.

Nel pubblicare gli esiti degli scrutini e degli esami nei cosiddetti “tabelloni”, le informazioni sul rendimento scolastico sono soggette ad un regime di conoscibilità stabilito dalle norme di settore e dal Ministero dell’Istruzione. Non vanno inseriti dati relativi alla salute e neppure dati non pertinenti. Il riferimento alle prove differenziate. sostenute dagli studenti con disturbi specifici di apprendimento (DSA), non va inserito nei tabelloni, ma deve essere indicato solamente nell’attestazione da rilasciare allo studente. In materia, il Garante ha fornito ulteriori ragguagli sulla pubblicazione on line, chiarendo che a differenza delle tradizionali forme di pubblicità degli scrutini, la pubblicazione online dei voti costituisce una forma di diffusione di dati particolarmente invasiva e non coerente con la normativa sulla privacy.

Una volta esposti, infatti, i voti rischiano di rimanere in rete per un tempo indefinito e possono essere da chiunque, anche estraneo all’ambito scolastico, e per qualsiasi fine registrati, utilizzati, incrociati con altri dati presenti sul web, determinando in questo modo una ingiustificata violazione del diritto alla riservatezza degli studenti, in particolare per quelli di loro che abbiano ricevuto giudizi negativi.

La necessaria pubblicità agli esiti scolastici, secondo il Garante, può essere peraltro realizzata, senza violare la privacy degli studenti, prevedendo la pubblicazione degli scrutini non sull’albo on line, ma utilizzando il registro elettronico o altre modalità che assicurino l’accesso selezionato ai dati.

Nel registro elettronico non vanno inserite note contenenti un riferimento allo stato di salute dei singoli studenti, anche se non c’è indicazione di patologie specifiche, considerata la visibilità a tutte le famiglie degli alunni della classe.

Il fornitore servizi informatici e del registro elettronico opera per conto e nell’interesse della scuola e, pertanto, deve essere designato responsabile del trattamento (articolo 28 Regolamento Ue 2016/679).

Fonte: Italia Oggi del 9 maggio 2023 – di Antonio Ciccia Messina