Leggi sul monitoraggio online
Il team di Spyrix raccoglie i principali atti e documenti legali che illustrano come i datori di lavoro possono monitorare legalmente le attività online dei propri dipendenti. Fornisce inoltre linee guida su come gli strumenti di monitoraggio possono essere utilizzati per scopi personali.
Atti internazionali globali
GDPR (Regolamento generale sulla protezione dei dati - Unione Europea)
Il GDPR è il principale regolamento europeo sulla protezione dei dati e si applica a qualsiasi organizzazione che tratti dati personali di persone fisiche nell'UE, indipendentemente da dove operi. Il monitoraggio delle attività online, il monitoraggio dei dipendenti e qualsiasi forma di tracciamento digitale rientrano nel suo ambito di applicazione, ogniqualvolta riguardino dati personali.
Ai sensi del GDPR, il monitoraggio è generalmente lecito solo in presenza di una valida base giuridica, come un interesse legittimo, l'adempimento di un contratto o l'ottenimento del consenso esplicito. Prima di implementare strumenti di monitoraggio, le organizzazioni devono assicurarsi che il monitoraggio sia necessario, proporzionato e non interferisca indebitamente con la privacy degli individui.
Il GDPR richiede alle aziende di condurre una Valutazione dell'Interesse Legittima (LIA) o, quando è probabile che il monitoraggio comporti rischi maggiori, una Valutazione d'Impatto sulla Protezione dei Dati (DPIA). Queste valutazioni aiutano a determinare la giustificazione del monitoraggio e a identificare modalità per ridurre i rischi legati alla raccolta dei dati.
La trasparenza è essenziale. Gli individui devono essere chiaramente informati in anticipo sul tipo di monitoraggio, lo scopo, i dati raccolti, la base giuridica, chi avrà accesso e per quanto tempo i dati saranno conservati. Il monitoraggio non divulgato o occulto è generalmente limitato e consentito solo in circostanze molto specifiche definite dalle leggi nazionali.
Il GDPR enfatizza inoltre la minimizzazione dei dati, richiedendo alle organizzazioni di raccogliere solo ciò che è necessario per uno scopo definito. Un monitoraggio continuo o eccessivamente invasivo senza una chiara giustificazione può violare i principi del GDPR.
Per gli strumenti di monitoraggio online, gli obblighi GDPR più rilevanti includono:
Fornire un avviso chiaro sul monitoraggio
Raccogliere solo i dati necessari
Utilizzando misure di sicurezza tecniche e organizzative adeguate
Identificare e documentare la base giuridica del trattamento
Consentire agli individui di esercitare i propri diritti (accesso, cancellazione, opposizione, ecc.)
Linee guida sulla privacy dell'OCSE (Organizzazione per la cooperazione e lo sviluppo economico)
Le Linee Guida OCSE sulla Privacy stabiliscono principi riconosciuti a livello internazionale per la protezione dei dati e la privacy. Sebbene non siano giuridicamente vincolanti, influenzano le leggi nazionali sulla privacy in tutto il mondo e costituiscono un quadro di riferimento per un trattamento responsabile dei dati.
Le linee guida enfatizzano l'equità, la trasparenza, la limitazione delle finalità, la qualità dei dati, le garanzie di sicurezza, l'apertura e la responsabilità. Questi principi incoraggiano le organizzazioni a raccogliere dati personali solo per scopi chiari e legittimi e a garantire che gli individui comprendano come vengono utilizzati i loro dati.
Per il monitoraggio online e dei dipendenti, le Linee Guida OCSE promuovono pratiche trasparenti, proporzionate e rispettose della privacy. Pur non contenendo norme dettagliate specifiche per il monitoraggio, promuovono una governance responsabile dei dati e ispirano la legislazione nazionale che regola direttamente il monitoraggio.
In pratica, le linee guida incoraggiano le organizzazioni a:
Comunicare chiaramente le pratiche di monitoraggio
Limitare la raccolta dati a ciò che è necessario
Proteggere i dati monitorati da accessi non autorizzati
Rivedere regolarmente le pratiche di monitoraggio per verificarne l'equità e la necessità
Sebbene non siano applicabili come il GDPR, le Linee guida dell'OCSE sulla privacy contribuiscono a definire gli standard globali e le migliori pratiche per un monitoraggio legale ed etico.
Stati Uniti
Atto | Dove si applica | Ambito di monitoraggio | Requisiti chiave | Note per gli utenti di Spyrix |
|---|---|---|---|---|
CCPA | California | Monitoraggio che raccoglie informazioni personali | Informativa sulla privacy, diritto di accesso/cancellazione, rinuncia alla condivisione dei dati | Si applica se il monitoraggio raccoglie identificatori, registri delle attività o dati di utilizzo |
CPRA | California | Monitoring involving "sensitive" data or detailed profiling | Limitazione delle finalità, minimizzazione dei dati, regole più severe per i dati sensibili | Importante quando gli strumenti registrano la geolocalizzazione, i modelli di comportamento o l'attività digitale dettagliata |
ECPA | Federale (Stati Uniti) | Intercettazione o accesso alle comunicazioni elettroniche (e-mail, chat, digitazioni) | Restrizioni all'intercettazione dei contenuti; le eccezioni del datore di lavoro spesso richiedono un preavviso | Molto rilevante per il keylogging, il monitoraggio della posta elettronica e l'acquisizione del contenuto dello schermo |
Linee guida relative al FLSA | Federale (Stati Uniti) | Monitoraggio utilizzato per tracciare le ore di lavoro o la produttività | Il monitoraggio del tempo deve supportare salari accurati; nessuna attività fuori orario non retribuita | Non è una legge sulla privacy, ma influisce sul modo in cui i dati di monitoraggio vengono utilizzati per le decisioni sulla retribuzione |
Leggi di monitoraggio specifiche per Stato | Varia in base allo stato (NY, CT, DE, CO, VA, UT, ecc.) | Monitoraggio elettronico dei dipendenti e dei sistemi sul posto di lavoro | Spesso richiedono una notifica scritta o un riconoscimento esplicito | I datori di lavoro multi-stato beneficiano di una politica di monitoraggio unificata + aggiunte statali |
Canada
PIPEDA (Legge sulla protezione dei dati personali e dei documenti elettronici)
Si applica alle organizzazioni del settore privato in tutto il Canada (tranne nei casi in cui le leggi provinciali lo sostituiscono).
Copre qualsiasi raccolta, utilizzo o divulgazione di informazioni personali, incluso il monitoraggio online e dei dipendenti.
Richiede alle organizzazioni di identificare uno scopo chiaro per il monitoraggio e di ottenere un consenso significativo, ove appropriato.
Il monitoraggio deve essere ragionevole, limitato a quanto necessario e condotto in modo trasparente.
I dipendenti devono essere informati su cosa viene monitorato, perché viene monitorato e come verranno utilizzate le informazioni.
Le informazioni personali devono essere protette con adeguate misure di sicurezza.
Leggi provinciali sulla privacy (PIPA dell'Alberta, PIPA della Columbia Britannica, Legge 25 del Quebec)
Presentare domanda alle organizzazioni del settore privato nelle rispettive province.
Generalmente rispecchiano i principi del PIPEDA, ma potrebbero prevedere regole più severe in materia di consenso, conservazione e privacy dei dipendenti.
Il monitoraggio deve essere ragionevole per scopi aziendali e allineato a politiche chiare e comunicate.
I datori di lavoro devono informare i dipendenti prima di raccogliere informazioni personali tramite strumenti di monitoraggio.
Alcune province richiedono politiche che spieghino il tipo di dati raccolti, per quanto tempo vengono conservati e chi vi ha accesso.
Le organizzazioni devono consentire ai dipendenti di accedere alle loro informazioni personali su richiesta.
Regno Unito
GDPR del Regno Unito
Si applica al trattamento dei dati personali nel Regno Unito, incluso il monitoraggio dei dipendenti e delle attività online.
Requires a clear lawful basis for monitoring (often "legitimate interests" or contract).
Il monitoraggio deve essere necessario, proporzionato e non eccessivamente invasivo.
I datori di lavoro dovrebbero condurre una valutazione dei rischi o una DPIA per il monitoraggio a rischio più elevato (ad esempio, monitoraggio continuo, keylogging).
Forte attenzione alla trasparenza: il personale deve sapere cosa viene monitorato, perché e come i dati verranno utilizzati e archiviati.
Legge sulla protezione dei dati 2018
Integra il GDPR del Regno Unito e fornisce regole ed esenzioni aggiuntive.
Stabilisce disposizioni specifiche sul contesto lavorativo e sull'accesso delle forze dell'ordine.
Rafforza i principi di minimizzazione dei dati, limitazione delle finalità e sicurezza per il monitoraggio dei dati.
Conferisce agli individui il diritto di accedere ai propri dati personali e, in alcuni casi, di opporsi a determinati tipi di monitoraggio.
RIPA (Legge sulla regolamentazione dei poteri investigativi)
Regolamenta l'intercettazione delle comunicazioni e l'uso della sorveglianza e del monitoraggio segreto.
In genere limita l'intercettazione delle comunicazioni senza consenso o autorizzazione.
Il monitoraggio segreto dei dipendenti (a loro insaputa) è consentito solo in circostanze molto limitate, come indagini su gravi casi di cattiva condotta e quando è proporzionato.
Codice delle pratiche di lavoro dell'ICO (e relative linee guida)
Linee guida non vincolanti dell'Information Commissioner's Office del Regno Unito sul monitoraggio sul lavoro.
Sottolinea che il monitoraggio deve essere mirato, non eccessivo e giustificato da una chiara esigenza aziendale.
Raccomanda di effettuare valutazioni d'impatto prima di introdurre nuovi strumenti di monitoraggio.
Consiglia ai datori di lavoro di creare politiche scritte chiare che spieghino cosa viene monitorato, come e per quali scopi.
Sottolinea la consultazione, la trasparenza e il rispetto delle ragionevoli aspettative dei lavoratori in materia di privacy.
Australia e Nuova Zelanda
Legge sulla privacy del 1988 (Australia)
Il Privacy Act del 1988 definisce il quadro generale per il trattamento delle informazioni personali da parte delle organizzazioni australiane, inclusi i dati raccolti tramite monitoraggio online e dei dipendenti. Richiede alle organizzazioni di raccogliere solo le informazioni ragionevolmente necessarie, di essere trasparenti su come tali informazioni vengono utilizzate e di mantenerle al sicuro. Sebbene la legge non contenga norme dettagliate sulla sorveglianza sul posto di lavoro, qualsiasi monitoraggio che identifichi un individuo sarà generalmente soggetto ai Principi australiani sulla privacy, in particolare per quanto riguarda la notifica, la limitazione delle finalità e i diritti di accesso. In pratica, ciò significa che i datori di lavoro e i fornitori di servizi che utilizzano strumenti di monitoraggio dovrebbero definire obiettivi aziendali chiari, evitare un tracciamento eccessivo e spiegare le proprie pratiche nelle informative sulla privacy e nella documentazione interna.
Leggi sulla sorveglianza sul posto di lavoro (a livello statale, Australia)
Diversi stati e territori australiani regolano il monitoraggio in modo più diretto attraverso leggi sulla sorveglianza sul posto di lavoro, come il Workplace Surveillance Act del 2005 (NSW) e il Workplace Privacy Act del 2011 (ACT). Queste leggi in genere regolano quando e come i datori di lavoro possono utilizzare telecamere, computer e sistemi di monitoraggio, spesso richiedendo un preavviso scritto, una segnaletica visibile e politiche chiare prima dell'inizio del monitoraggio. La sorveglianza nascosta è severamente limitata e solitamente consentita solo con un'autorizzazione specifica e per indagini su gravi condotte illecite o attività illecite, non per il monitoraggio di routine delle prestazioni. Per gli strumenti di monitoraggio online, ciò significa che i datori di lavoro negli stati interessati devono fornire ai dipendenti un avviso chiaro e tempestivo che il loro utilizzo di computer, Internet o posta elettronica può essere monitorato e garantire che qualsiasi monitoraggio sia conforme alle condizioni di legge.
Privacy Act 2020 (Nuova Zelanda)
Il Privacy Act 2020 della Nuova Zelanda modernizza il quadro normativo sulla privacy del Paese e si applica sia ai dati dei clienti che a quelli dei dipendenti, comprese le informazioni raccolte tramite monitoraggio sul posto di lavoro o online. La legge impone alle organizzazioni di raccogliere informazioni solo per scopi leciti e necessari, di essere trasparenti in merito alle proprie pratiche e di consentire ai singoli di accedere ai propri dati personali. Le linee guida delle autorità di regolamentazione sottolineano che il monitoraggio, la registrazione o la ripresa dei dipendenti devono essere proporzionati e supportati da chiare policy aziendali sviluppate in linea sia con il Privacy Act che con il diritto del lavoro. I datori di lavoro sono incoraggiati a consultare il personale, spiegare perché il monitoraggio è necessario e considerare l'impatto sulla fiducia e sul morale, soprattutto quando si utilizzano strumenti che consentono un monitoraggio continuo o dettagliato.
Area Asia-Pacifico
PDPA (Legge sulla protezione dei dati personali) – Singapore
Copre i dati personali gestiti dalle organizzazioni, compresi i dati dei dipendenti e di monitoraggio.
Richiede uno scopo chiaro e legittimo per il monitoraggio.
In genere è necessario il consenso o un'altra valida base.
Forte attenzione alla trasparenza, alla corretta notifica e alle garanzie di protezione dei dati.
La conservazione deve essere limitata allo stretto necessario.
PDPA – Malesia
Si applica ai dati personali trattati in contesti commerciali e lavorativi.
Il consenso è un requisito fondamentale per la raccolta dei dati di monitoraggio.
I dati devono essere trattati in modo corretto e per uno scopo specifico e dichiarato.
Include regole sui limiti di conservazione, sulla sicurezza dei dati e sui responsabili del trattamento di terze parti.
APPI (Legge sulla protezione dei dati personali) – Giappone
Regolamenta il trattamento dei dati personali dei clienti e dei dipendenti.
Richiede alle organizzazioni di definire e comunicare lo scopo del monitoraggio.
Pone l'accento sulla sicurezza dei dati e sulla corretta supervisione del personale che gestisce le informazioni personali.
Il monitoraggio deve essere proporzionato e allineato alle politiche interne.
A seconda del contesto, i dipendenti possono avere diritto di accesso e correzione.
PIPL (Legge sulla protezione delle informazioni personali) – Cina
Legge completa sulla protezione dei dati che copre i dati dei luoghi di lavoro e dei consumatori.
Richiede uno scopo chiaro, la minimizzazione dei dati e la trasparenza per il monitoraggio.
Potrebbe essere necessario il consenso, soprattutto quando il monitoraggio riguarda dati sensibili o dettagliati.
Stabilisce requisiti rigorosi in materia di conservazione, sicurezza e documentazione dell'elaborazione.
Conferisce agli individui il diritto di accedere, correggere e richiedere la cancellazione dei dati monitorati.
America Latina
LGPD (Lei Geral de Proteção de Dados) – Brasile
La LGPD brasiliana regolamenta qualsiasi utilizzo dei dati personali, comprese le informazioni raccolte tramite monitoraggio online o sul posto di lavoro. Le organizzazioni necessitano di una chiara base giuridica per il monitoraggio e devono spiegarne lo scopo. Il monitoraggio deve essere limitato a quanto necessario, svolto in modo trasparente e supportato da adeguate misure di sicurezza. Gli individui hanno il diritto di accedere, correggere e richiedere la cancellazione dei propri dati personali.
Leggi nazionali sulla privacy in Argentina, Messico e Cile
Questi paesi dispongono di leggi nazionali sulla protezione dei dati che si applicano ai dati personali raccolti tramite strumenti di monitoraggio. I requisiti comuni includono il perseguimento di uno scopo legittimo, l'informazione degli interessati sul monitoraggio e la tutela della sicurezza dei dati. Il monitoraggio deve essere ragionevole e proporzionato e gli interessati hanno generalmente il diritto di accedere o aggiornare le proprie informazioni. Sebbene le norme specifiche differiscano, trasparenza e necessità sono aspettative costanti in tutta la regione.
Area del Medio Oriente
Legge sulla protezione dei dati degli Emirati Arabi Uniti (DPL / PDPL)
La legge federale degli Emirati Arabi Uniti sulla protezione dei dati si applica alle organizzazioni che trattano dati personali di persone residenti negli Emirati Arabi Uniti, compresi i dipendenti. Per il monitoraggio, richiede uno scopo chiaro e legittimo, limita la raccolta dei dati allo stretto necessario e pone forte enfasi sulla trasparenza e sulla sicurezza. Le organizzazioni devono informare il personale di qualsiasi monitoraggio, documentarne le motivazioni e attuare politiche e misure di sicurezza interne per la gestione dei dati monitorati.
Legge sulla protezione della privacy dei dati del Qatar
La legge sulla privacy dei dati personali del Qatar riguarda i dati personali trattati elettronicamente o destinati al trattamento elettronico. Riconosce il diritto di ogni individuo alla riservatezza dei dati e generalmente richiede il consenso o un altro motivo legittimo prima di trattare i dati personali, compresi i dati raccolti tramite sistemi di monitoraggio. Le organizzazioni devono implementare misure di sicurezza adeguate, essere trasparenti sulle modalità di utilizzo dei dati personali e rispettare il diritto degli individui ad accedere e correggere le proprie informazioni.
Legge saudita sulla protezione dei dati personali (PDPL)
La PDPL dell'Arabia Saudita si applica al trattamento dei dati personali relativi a individui nel Regno, da parte di organizzazioni all'interno o all'esterno del Paese. Ai fini del monitoraggio, richiede alle organizzazioni di definire finalità chiare, adottare informative sulla privacy scritte e informare gli individui sulle modalità di raccolta e utilizzo dei loro dati. Il consenso è una base importante per il trattamento in molti casi, sebbene la legge consenta anche il trattamento per determinate ragioni aziendali, legali e di interesse pubblico. I datori di lavoro che utilizzano strumenti di monitoraggio sono tenuti a proteggere i dati monitorati, limitare l'accesso e gestire le informazioni dei dipendenti in conformità con le norme di trasparenza, sicurezza e conservazione della PDPL.