Questa situazione si è aggravata con l’uso delle tecnologie sui luoghi di lavoro. Queste, se da un lato hanno portato benefici e migliorato i processi aziendali dall’altro hanno comportato l’aumento delle violazioni dei dati personali dei lavoratori. Nei provvedimenti del Garante, non a caso, il numero di casi riguardanti il trattamento sui luoghi di lavoro è sempre significativo (ved. approfondimento Privacy e rapporti di lavoro: 7 lessons learned da non perdere). L’anno 2022 ha mantenuto il trend, vediamo i casi più interessanti quali lezioni possono trarne le aziende.
Indice
La posta elettronica
Il Garante ha sanzionato una società che, in qualità di titolare del trattamento, aveva effettuato alcune operazioni di trattamento in violazione della disciplina in materia di protezione dei dati personali, con riguardo all’account di posta elettronica aziendale individualizzato (assegnato durante il rapporto di lavoro).
- L’account di posta non può essere mantenuto attivo dopo la cessazione del rapporto di lavoro nell’eventualità di difendersi nell’ambito di una controversia “il trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti”.
- È vietato attivare il sistema di indirizzamento automatico delle e-mail ricevute, successivamente alla cessazione del rapporto di lavoro, ad altro indirizzo di posta elettronica della società.
- I sistemi di posta elettronica non consentono, per loro stessa natura, di archiviare con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabili.
- Il dipendente intestatario dell’indirizzo mail dev’essere informato se nascono esigenze di effettuare trattamenti ulteriori dopo la cessazione del suo rapporto di lavoro poiché l’obbligo di informare il dipendente è espressione del principio generale di correttezza;
I Metadati
In tema di Metadati alla fine del 2022, ha suscitato molto scalpore il provvedimento nei confronti della Regione Lazio che aveva monitorato i dipendenti che inviavano messaggi a uno specifico sindacato, conservando i metadati della posta elettronica per generiche finalità di sicurezza informatica per 180 giorni, in assenza di idonei presupposti giuridici, violando così i principi di protezione dei dati e delle norme sul controllo a distanza.
L’Autorità ha chiarito che la generalizzata raccolta e l’estesa conservazione dei metadati della posta elettronica – che in quanto forma di corrispondenza è tutelata dalla Costituzione – non sono strumentali allo svolgimento della prestazione del dipendente, ai sensi dello Statuto dei lavoratori. In questi casi, infatti, il datore deve avviare le specifiche procedure di garanzia (accordo sindacale o autorizzazione pubblica) previste dalla legge, non potendo i trattamenti di dati personali trovare la propria legittimazione nell’interesse legittimo del titolare o nella cd. teoria dei controlli difensivi, elaborata dalla giurisprudenza. (Per approfondimenti v. “ Controllo dei metadati della posta elettronica aziendale: cosa ne pensa il Garante?”)
Il GPS
Anche i trattamenti di dati effettuati tramite dispositivi di geolocalizzazione impiegati nel contesto lavorativo sono sempre sotto la lente del Garante, in questo provvedimento l’Autorità ha confermato che è possibile trattare dati personali anche se il dispositivo è associato alla targa del veicolo anziché al nome del conducente. Questo perché è possibile identificare il guidatore attraverso l’associazione con altre informazioni. Inoltre, la geolocalizzazione può essere effettuata da un soggetto separato che fornisce dispositivi e accesso a un’applicazione web queste applicazioni consentono infatti la localizzazione tramite sistema GPS e il controllo sulla mappa della distanza percorsa, il calcolo dei chilometri, del tempo di viaggio e della velocità media di guida per ciascun veicolo.
Pertanto, i fornitori di questi servizi avendo accesso a svariati dati devono essere nominati quali Responsabile del trattamento ai sensi dell’art. 28 del GDPR. Non dimentichiamoci che i dipendenti, i collaboratori interessati , inoltre, devono essere resi edotti attraverso un’informativa ex art 13 GDPR sulle caratteristiche del sistema di localizzazione installato a bordo dei veicoli. Infine, tali sistemi devono essere oggetto di preliminare valutazione di impatto sulla protezione dei dati prevista dall’art. 35 del GDPR. Il Garante non ha risparmiato neanche la società che aveva fornito il servizio di geolocalizzazione alla quale è stata applicata una sanzione amministrativa pecuniaria .
La Videosorveglianza
Il trattamento di dati attraverso l’uso di sistemi di videosorveglianza nel contesto lavorativo è da sempre, uno dei temi più delicati. Senza contare che molti degli impianti di videosorveglianza presenti nelle aziende italiane, non sono a norma!
Gli adempimenti necessari, oltre a quelli previsti dalla normativa gius-lavoristica, sono molteplici. (Per un approfondimento ved. “Videosorveglianza in azienda: controllo e diritti, un’unione fattibile, ma con ostacoli da superare”).
Tra gli adempimenti maggiormente contravvenuti dalle aziende sono quelli che riguardano le informative privacy.
In un provvedimento il Garante ha accertato che la società, pur avendo conformemente alla procedura di garanzia di cui all’art. 4, l. n.300/1970, stipulato un accordo con le rappresentanze aziendali in merito al sistema di videosorveglianza attraverso il quale veniva ripresa anche l’attività dei lavoratori, non aveva fornito le informazioni di cui all’art. 13 del GDPR, neanche mediante cartellonistica, né ai dipendenti né ai clienti del locale.
Il Garante nel provvedimento specifica che, la presa visione da parte dei lavoratori dell’accordo stipulato ai sensi dell’art. 4 della l. 300 del 1970 non è idonea a sostituire l’informativa di cui all’art.13 del GDPR da fornire anche ai clienti del locale di cui si trattava, è stato ritenuto violato l’art. 13 del GDPR nonché l’art. 5, par. 1, lett. a) (principio di correttezza) del GDPR in quanto, nell’ambito del rapporto di lavoro, l’obbligo di informare il dipendente è, altresì, espressione del principio generale di correttezza.
La Sorveglianza digitale
L’informativa è un requisito essenziale non solo per quanto riguarda gli impianti di videosorveglianza tradizionali ma anche in riferimento agli strumenti della c.d “Sorveglianza digitale”.
Nel caso in esame oggetto di trattamento erano i dati, contenuti nel personal computer in uso al reclamante che svolgeva l’attività lavorativa presso la società, a seguito di cessazione dell’attività lavorativa. Tale trattamento ulteriore era stato effettuato in assenza di un regolamento o altro specifico documento aziendale con il quale poteva essere a conoscenza dei trattamenti effettuati dalla società in questione. Violando il principio secondo il quale: “il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 del GDPR”. Inoltre, la presa visione da parte dei lavoratori dell’accordo sindacale stipulato non è idonea a sostituire l’informativa.
La Biometria
Nel nostro articolo “L’impronta digitale non è un badge! La posizione del Garante “ abbiamo analizzato nel dettaglio il caso di Sportitalia dove il Garante specifica che: “l’utilizzo del dato biometrico per finalità di ordinaria gestione del rapporto di lavoro è eccessivo e non appare conforme ai principi di minimizzazione e proporzionalità del trattamento”. Ancora, “il consenso non è un’idonea base giuridica, non costituisce infatti un valido presupposto di liceità del trattamento, considerato l’asimmetria delle parti nel rapporto”.
Quello di Sportitalia non è però un caso isolato. Con due provvedimenti , distinti il Garante ha sanzionato due comuni che avevano installato dei sistemi, che consentivano il trattamento dei dati biometrici dei dipendenti per la rilevazione delle presenze al fine di scoraggiare fenomeni di assenteismo. L’Autorità, anzitutto, ha chiarito che i trattamenti di dati biometrici, in ambito lavorativo, richiedono un’espressa previsione normativa e specifiche garanzie per i diritti degli interessati, inoltre in assenza di proporzionate misure legislative e di specifiche garanzie per gli interessati, il trattamento dei dati biometrici per la già menzionata finalità di rilevazione delle presenze dei dipendenti, non poteva e non può essere effettuato.
Il Decreto Trasparenza
Il Garante nella sua relazione ci ricorda che, l’adozione di sistemi come quelli di monitoraggio nel contesto lavorativo, pone dubbi di compatibilità con il principio di proporzionalità, nonché con gli altri principi di protezione dei dati e con le norme nazionali di settore a tutela della libertà, della dignità e della sfera privata del lavoratore. Tali sistemi devono essere oggetto, di una preliminare verifica, da parte del datore di lavoro, relativamente alle condizioni di liceità stabilite dalla disciplina in materia di controlli a distanza nonché di una valutazione dei rischi per verificarne l’impatto sui diritti e sulle libertà degli interessati.
In una nota dell’Autorità rivolta al Ministero del lavoro ha risposto ad alcuni dubbi interpretativi “Questioni interpretative e applicative in materia di protezione dei dati connesse all’entrata in vigore del d. lgs. 27 giugno 2022, n. 104 in materia di condizioni di lavoro trasparenti e prevedibili c.d. Decreto trasparenza” che gli obblighi di informazione dei lavoratori nascenti dal Decreto in questione, non sostituiscono quelli già previsti dal GDPR in caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati ai fini della assunzione o del conferimento dell’incarico, o per altre attività collegate al rapporto di lavoro e alla sua gestione. Restano inoltre salve le tutele previste dalla legge n. 300/1970 (Statuto dei lavoratori) e dal Codice. (v. il nostro approfondimento “Il Decreto Lavoro semplifica il Decreto Trasparenza“)
L’esercizio dei diritti
Il Garante nell’esaminare alcuni reclami in materia di esercizio dei diritti, ha ribadito la necessità che, anche nell’ambito del rapporto di lavoro, è consentito agli interessati l’esercizio effettivo dei diritti riconosciuti dal GDPR, rammentando tra l’altro, che, nel caso di inottemperanza alle istanze di esercizio dei diritti, grava sul titolare del trattamento l’obbligo di manifestare il diniego con la chiara indicazione dei motivi sottostanti, informando, altresì, della possibilità di presentare reclamo al Garante o, in alternativa, ricorso giurisdizionale.
Il Garante afferma ancora una volta, nelle sue pronunce, che nel rapporto di lavoro, l’istanza di accesso può riguardare anche dati personali già in possesso dell’interessato per consentirgli di verificare (anche a “intervalli ragionevoli” di tempo: v. cons. 63 del GDPR) se sia in corso un determinato trattamento e valutarne la liceità e la correttezza. Inoltre, il titolare del trattamento è tenuto a soddisfare le richieste dell’interessato con le specifiche modalità e i limiti temporali individuati dall’art. 12 del GDPR, per rendere effettivi i principi di trasparenza e correttezza (v. cons. 58 e 60 del GDPR)
La distinzione tra informativa e riscontro all’istanza di accesso
Secondo l’Autorità “l’obbligo per l’interessato di compilare un modulo predefinito a campi multipli al fine di dare corso alla richiesta di accesso ai sensi dell’art. 15 del GDPR non è conforme in particolare all’obbligo di “agevola[re] l’esercizio dei diritti dell’interessato” previsto dall’art. 12, par. 2, del GDPR, con il quale contrasta la prassi di non considerare istanze eventualmente presentate in forma diversa da quella indicata dal titolare del trattamento.
Ancora il diritto di accesso alle informazioni indicate dall’art. 15 del GDPR, in applicazione dei principi di trasparenza e correttezza (art. 5, par. 1, lett. a), del GDPR), non può ritenersi soddisfatto per il solo fatto di aver fornito l’informativa di cui agli artt. 13 e 14 del GDPR il diritto di accesso e il cd. diritto di informativa, seppur correlati, sono diritti differenti, sanciti da distinte disposizioni dell’ordinamento, rispondenti ad esigenze di tutela e garanzia dell’interessato non completamente sovrapponibili.
Tutte le informazioni fornite nell’informativa, ai sensi dell’art. 15 del GDPR, devono poi essere verificate e declinate alla luce delle concrete operazioni di trattamento effettuate nei confronti del richiedente (in senso conforme anche le Guidelines 01/2022 on data subject rights – Right of access, adottate il 18 gennaio 2022).
Il Whistleblowing
Il 15 luglio è entrata ufficialmente in vigore la Direttiva Whistleblowing (D.lgs. 10 marzo 2023, n. 24) per l’occasione abbiamo elaborato delle FAQ esplicative sugli adempimenti più importanti: Le 10 cose da sapere sul whistleblowing prima del 15 luglio”.
Nel corso del 2022 il Garante, ha dato il via a un ciclo di attività ispettive, avente a oggetto le principali funzionalità di alcuni tra gli applicativi per l’acquisizione e gestione delle segnalazioni di illeciti più diffusamente impiegati dai datori di lavoro pubblici e privati.
Nello specifico sono stati effettuati accertamenti nei confronti di una azienda sanitaria ospedaliera e della società fornitrice dell’applicativo. In particolare, l’accesso all’applicazione web di whistleblowing basata su un software open source, avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservavano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti.
Il Garante lamenta alla struttura di :
- non aver informato adeguatamente i lavoratori in merito al trattamento in questione;
- l’assenza di una valutazione di impatto preliminare all’adozione dello strumento;
- il mancato aggiornamento del registro delle attività di trattamento;
In un provvedimento successivo, inoltre, la società informatica che, in qualità di responsabile del trattamento, forniva all’azienda ospedaliera l’applicazione web di whistleblowing, è stata sanzionata. E’ stato rilevato che la stessa si era avvalsa di un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicativo, senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria. Aveva poi utilizzato il medesimo servizio di hosting anche per proprie finalità.
Da ultimo quindi è fondamentale scegliere con attenzione lo strumento da adottare, ma soprattutto un fornitore affidabile.
