3532
Relazione annuale 2020
Focus sulla protezione dei dati personali nel contesto lavorativo
Francesca Gardini, Ufficio giuridico
Il Garante per la protezione dei dati personali, in data 2 luglio u.s., ha pubblicato sul sito istituzionale - al seguente link - la Relazione sull’attività dallo stesso svolta nel corso del 2020 in merito alla quale segnaliamo, come di particolare interesse per il nostro settore, i capitoli nn. 5, 6 e 13, rispettivamente dedicati a sanità e ricerca nonché alla protezione dei dati personali nel rapporto di lavoro privato e pubblico.
Il Garante in tema di trattamento dei dati personali in ambito lavorativo, sul quale ci soffermiamo nel presento numero di Informaiop, ha reso nota, in premessa, la prosecuzione dei lavori finalizzati all’individuazione delle misure di garanzia necessarie al trattamento dei dati biometrici nel contesto lavorativo, avviati nel 2019 come rappresentato nella precedente relazione annuale (Informaiop n. 359), precisando che, allo stato attuale, tale trattamento è ammesso solo sulla base dell’art. 2-septies, comma 7, del d.lgs. 196/2003 (accesso fisico e logico ai dati da parte dei soggetti autorizzati) che, tuttavia, non include la finalità di controllo dell’autenticazione all’accesso ad aree particolari e riservate, così come la rilevazione della presenza in servizio; ha reso, inoltre, nota la circostanza di aver sottoscritto il 22 aprile u.s. un protocollo di intesa con l’Ispettorato nazionale del lavoro al fine di collaborare e consultarsi, nel rispettivo ambito di competenza e salvo le prerogative di indipendenza dell’Autorità, su tematiche specifiche, anche nella prospettiva di assumere orientamenti condivisi.
Il Garante ha, dunque, ripercorso tutta l’attività svolta nel quadro dell’emergenza epidemiologica COVID-19 - della quale vi abbiamo tenuti costantemente informati - a seguito della quale ha descritto i provvedimenti adottati in merito alle questioni di seguito descritte.
1) Trattamento dei dati personali effettuati mediante sistemi di videosorveglianza in merito al quale il Garante rammenta a tutti i titolari del trattamento l’obbligo di rispettare l’art. 114 del d.lgs. 196/2003 (che rinvia all’art. 4 della legge 300/1970), l’obbligo di fornire un’adeguata informativa agli interessati prima che entrino nel campo di ripresa della telecamera e la necessità di effettuare il trattamento solo in presenza di una specifica condizione di liceità del trattamento. A tale proposito, tra l’altro, nella relazione in commento, viene segnalato il provvedimento del 5 marzo 2020 (doc. web n. 9433080) con il quale il Garante ha sanzionato un’azienda sanitaria locale che aveva installato un sistema di videosorveglianza – dotato di telecamere dislocate in aree nelle quali normalmente transitavano o sostavano i dipendenti – senza il necessario previo accordo con le organizzazione sindacali ovvero l’autorizzazione da parte dell’Ispettorato del lavoro. In questo caso, infatti, l’Autorità ha chiarito che l’esigenza di sicurezza e di tutela del patrimonio non sono sole sufficienti a legittimare la presenza di tali dispositivi in luoghi ove si svolge anche l’attività lavorativa, comportando un trattamento dei dati personali che può essere giustificato solo nel rispetto delle garanzie previste dalla legge nazionale applicabile. La condizioni di liceità del trattamento dei dati personali, in tal caso, pertanto, è rinvenibile nel rispetto dell’art. 4, comma 1, della legge 300/1970, richiamato dall’art. 114 del d.lgs. 196/2003.
2) Trattamento dei dati personali effettuati mediante posta elettronica e altri dispositivi tecnologici in merito al quale il Garante, nelle premesse, ha ribadito che la protezione della vita privata si estende anche all’ambito lavorativo, come più volte stabilito dalla Corte di giustizia europea, precisando, altresì, che tutte le decisioni rese sul punto hanno tenuto conto della necessità di applicare il vigente quadro normativo, caratterizzato da reciproci rinvii operati dal legislatore tra la disciplina in materia di protezione dei dati personali (artt. 113. 114 e 171 del d.lgs. 196/2003 e art. 88 del GDPR) e le norme di settore sui controlli a distanza (legge 300/1970). L’Autorità ha adottato, in particolare, provvedimenti nei quali sono stati affrontati i temi di seguito riportati.
a. Termine di conservazione dei dati personali dei lavoratori raccolti mediante un sistema di workforce management che, secondo quanto stabilito dal Garante nel provvedimento richiamato nella relazione in commento (doc. web n. 9263597), non può essere unico se i dati sono stati raccolti per il raggiungimento di finalità diverse in quanto, in caso di trattamento dei dati dei dipendenti raccolti mediante sistemi tecnologici, il termine di conservazione dei dati deve essere commisurato alla specifica finalità perseguita di tipo organizzativo o produttivo o legata alla sicurezza del lavoro o alla tutela del patrimonio aziendale (art. 4, comma 1, legge 300/1970), precisando, inoltre, con specifico riguardo alla raccolta dei dati relativi alla geolocalizzazione, che non è conforme alla normativa sottoporre i dipendenti al monitoraggio continuo della posizione geografica.
b. Termine di conservazione nel server aziendale delle mail contenute nell’account assegnato ad un dipendente (di tipo individualizzato) determinato in vista di futuri possibili contenziosi, in merito al quale è stato chiarito dal Garante, nel provvedimento richiamato nella relazione in commento (doc. web n. 9518890), che il trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela di diritti, precisando, inoltre, che l’accesso sia ai dati esterni che al contenuto dei messaggi di posta elettronica costituisce un trattamento di dati personali effettuato in violazione degli artt. 4 e 8 della legge 300/1970 e 10 del d.lgs. 276/2003, richiamati dagli artt. 113 e 114 del d.lgs. 196/2003 e rientranti tra le disposizioni nazionali richiamate dall’art. 88 del GDPR. Non sono consentiti, in altre parole, controlli massivi, prolungati e indiscriminati dell’attività del dipendente.
c. Reindirizzamento dopo la cessazione del rapporto di lavoro dell’account di posta elettronica aziendale (di tipo individualizzato) sull’account dell’ex superiore gerarchico del dipendente, in merito al quale il Garante, con il provvedimento richiamato nella Relazione in commento (doc. web n. 9445180), ha ribadito che il datore di lavoro deve adottare, come stabilito nelle linee guida per posta elettronica e internet adottate il 1° marzo 2007, misure tecnologiche e organizzative volte a contemperare il legittimo interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività con l’aspettativa di riservatezza della corrispondenza dell’ex dipendente e di terzi.
d. Accesso alla cronologia degli accessi a internet tramite condivisione della password di accesso al pc fornito in uso al dipendente, in merito al quale il Garante, con il provvedimento richiamato nella relazione in commento (doc. web n. 9446730), ha precisato che la condivisione della password di accesso tra legale rappresentante e dipendente contrasta con gli obblighi che gravano sul titolare di (i) adottare, al fine di garantire riservatezza e integrità dei sistemi informatici, misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, e (ii) garantire un’adeguata sicurezza dei dati personali, applicando principi di integrità e riservatezza ai trattamenti effettuati.
e. Disattivazione dell’account di posta elettronica aziendale durante il periodo di malattia del dipendente, a proposito della quale il Garante, con due provvedimenti richiamati nella relazione in commento (doc. web nn. 9474649 e 9441579), ha avuto l’occasione per richiamare l’attenzione dei datori di lavoro alla gestione degli account aziendali durante il rapporto di lavoro alle disposizioni e ai principi in materia di protezione dei dati personali e, in particolare, all’art. 13 del GDPR. In tutti i provvedimenti sinora descritti sinteticamente il Garante ha sottolineato, infatti, il principio fondamentale per cui nell’ambito del rapporto di lavoro il datore di lavoro è obbligato ad informare preventivamente e compiutamente il dipendente in merito alle caratteristiche essenziali del trattamento dei dati personali in quanto espressione, tra l’altro, del principio generale di correttezza dei trattamenti. È stato, infatti, rilevato in tutti i casi affrontati dall’Autorità una carenza nella informativa consegnata ai dipendenti.
Il Garante, inoltre, ha affrontato la tematica relativa al rapporto tra diritto alla protezione dei dati personali e tutela della dignità dei lavoratori, precisando, in particolare, che (i) in materia di procedimento relativo alla risoluzione del rapporto di lavoro per giustificato motivo oggettivo è previsto l’obbligo di comunicazione nei confronti del lavoratore e non di terzi, pertanto, è illecita in quanto avvenuta in assenza di una idonea base giuridica e in violazione del principio di proporzionalità la pubblicazione della lettera di licenziamento nella bacheca aziendale, rendendo conoscibile a terzi le specifiche ragioni del recesso e le informazioni contenute nella stessa che, seppur non annoverabili, di regola, nell’ambito delle categorie particolari di dati, sono da considerare meritevoli di particolare tutela, anche in conseguenza delle conseguenze sul piano economico e sociale che derivano dal recesso (doc. web. n. 9445567), e che (ii) non risultano conformi ai principi di liceità e minimizzazione, le disposizioni aziendali che impongono ai lavoratoti di esporre sul tavolo di lavoro oggetti prettamente personali, con conseguente possibilità per soggetti terzi di apprendere o desumere stati o situazioni personali o informazioni relative allo stato di salute estranei al contenuto della prestazione lavorativa e lesive della dignità e della riservatezza del dipendente, potendosi (e dovendosi) perseguire la legittimità finalità di prevenire possibili accessi illeciti ai dati trattai per conto dei committenti nell’ambito della fornitura del servizio senza trattare dati personali, anche particolari, dei dipendenti (doc. web n. 9509515).
È stato, altresì, rammentato ai titolari del trattamento, con diversi provvedimenti, l’obbligo di agevolare l’esercizio dei diritti riconosciuti agli interessati ai sensi dell’art. 12 del GDPR, fornendo un chiaro e adeguato riscontro agli stessi nei termini individuati dall’ordinamento, anche nel caso di non accoglimento della istanza nella quale dovranno essere indicati i motivi ostativi e la possibilità di fare reclamo al Garante o, in alternativa, ricorso giurisdizionale.
Particolarmente interessanti i provvedimenti adottati dall’Autorità in tema di gestione dei dati nell’ambito delle procedure di whistleblowing (doc. web n. 9269618) e dei sistemi di prenotazione e gestione di vari servizi e prestazioni sanitarie che consentono di acquisire e memorizzare numerosi dati relativi a utenti e personale (doc. web nn. 9524175, 9525315, 9525337). Nel primo caso, infatti, attesa la diffusione sui motori di ricerca di dati personali comuni riferiti a due segnalanti (nominativi e indirizzi e-mail), per il tramite della piattaforma utilizzata dal titolare per l’acquisizione e la gestione delle segnalazioni, l’Autorità ha riconosciuto la responsabilità dell’illecito trattamento dei dati al titolare in quanto questo avrebbe dovuto adottare apposite procedure per testare, verificare e valutare l’efficacia delle misure tecniche e organizzative proposte dal fornitore dell’applicativo whistleblowing, al fine di garantire la sicurezza del trattamento, precisando, altresì, in particolare, che tenuto conto dell’oggetto e della finalità del trattamento, nonché dell’elevato rischio per i diritti e le libertà dei segnalanti, sarebbe stato necessario utilizzo di crittografia per il trasporto dei dati la cui assenza era in contrasto con l’art. 32 GDPR. Nel secondo caso, invece, l’Autorità ha sanzionato il titolare in quanto ha rilevato l’inadeguatezza dell’informativa consegnata a utenti e dipendenti, nonché delle misure tecniche e organizzative implementate, e ha ritenuto, inoltre, non conforme al quadro giuridico in materia di protezione dei dati personali la funzione dell’app che consentiva di produrre report sull’attività degli addetti allo sportello, introdotta senza le necessarie garanzie previste dalla legge 300/1970 sui controlli a distanza.
L’attività di controllo del Garante, inoltre, ha riguardato anche i trattamenti dei dati personali effettuati nell’ambito (a) dei procedimenti disciplinari, benché nell’ambito della disciplina riguardante il pubblico impiego, con particolare riferimento alle procedure di protocollazione dei relativi atti e della notifica degli stessi al dipendente, e (b) della pianificazione dei turni dei dipendenti a proposito della quale è stato chiarito che l’affissione in bacheca del documento relativo ai turni di servizio contenente anche le causali delle assenze, con specifico riferimento alle condizioni di salute dei lavoratori o di loro familiari e conviventi, è contraria alla disciplina in materia di protezione dei dati personali, in quanto comporta una comunicazione illecita di dati personali, anche relativi allo stato di salute, a terzi non autorizzati e, quindi, in assenza di un’idonea base giuridica (doc. web n. 9444865). È stato ritenuto, altresì, un’indebita diffusione dei dati personali l’invio ad alcune testate giornalistiche una nota nella quali si menzionavano vicende relative al rapporto di lavoro e richieste avanzate da un dipendente in via stragiudiziale.
È stato, infine, chiarito, in occasione della richiesta dei sindacati di conoscere i nominativi dei lavoratori che ricevevano una retribuzione accessoria e i relativi importi nell’ambito del rapporto di lavoro pubblico, con una nota la cui valenza ha una portata più generale rispetto allo specifico contesto scolastico, che i dati personali dei dipendenti possono essere comunicati ai sindacati esclusivamente in presenza di una norma di legge o, nei casi previsti dalla legge, di regolamento che lo consentano (art. 2 ter, comma 1 e 3, del d.lgs. 196/2003), pertanto, in assenza di una disposizione normativa che soddisfi i requisiti previsti dalla disciplina di protezione dei dati personali potranno essere forniti solo dati numeri o aggregati.
La relazione del Garante, come è facile desumere da quanto sopra esposto sinteticamente, è uno strumento utile per tutti i titolari del trattamento in quanto consente di conoscere i più recenti orientamenti dell’Autorità su singole fattispecie, dai quali è possibile, inoltre, desumere indicazioni chiare in merito all’applicazione della normativa sul trattamento dei dati personali nei vari contesti presi in esame dall’Autorità stessa.
Rimandiamo, pertanto, al prossimo numero di Informaiop il focus sulla protezione dei dati personali nell’ambito della sanità e della ricerca.