Il Garante ha dedicato ben 24 pagine alla protezione dei dati personali all’interno dei rapporti di lavoro privati e pubblici, contenute nella Relazione annuale per il 2023.
All’interno della presente Analisi, vi forniremo un quadro di dettaglio in merito agli aspetti maggiormente evidenziati dall’Autorità, con particolare riferimento agli errori che più frequentemente si commettono nella gestione dei rapporti di lavoro con dipendenti e collaboratori.
Indice
Il principio di trasparenza e posta elettronica
Sono stati diversi i provvedimenti sanzionatori del Garante durante il 2023, rivolti a datori di lavoro che hanno omesso di fornire adeguate informazioni:
- sulle modalità d’uso e
- sui relativi trattamenti
connessi all’utilizzo della posta elettronica e degli altri strumenti aziendali da cui sarebbe stato possibile controllare a distanza l’attività del prestatore di lavoro.
In particolare, il Garante ha sottolineato l’obbligo in capo al datore di lavoro di fornire al dipendente un’idonea informativa in merito al trattamento effettuato sull’account di posta elettronica aziendale, soprattutto al fine di gestire la sua disattivazione in occasione della cessazione del rapporto di lavoro.
Le pratiche sanzionate più frequentemente in merito a questa fattispecie sono essenzialmente due:
- Titolari che mantengono attivo, anche successivamente alla cessazione della collaborazione/rapporto di lavoro subordinato con l’interessato, l’account di posta elettronica assegnato con estensione riferita alla società, per un periodo indeterminato di tempo;
Il Garante ha pertanto stabilito che la persistente attività dell’account aziendale non è conforme al principio di minimizzazione dei dati e che l’assenza di determinazioni in ordine alla durata del trattamento, individuata in base a quanto ritenuto congruo rispetto alle finalità perseguite, non è conforme al principio di limitazione della conservazione (art. 5, par. 1, lett. b, c, e GDPR).
(Sulla conservazione dei metadati vedi anche – I metadati della posta elettronica dipendenti: sarà l’ultimo capitolo?)
N.B:
In questa occasione, l’Autorità ha ritenuto di dover precisare che il contenuto dei messaggi di posta elettronica, così come i dati esteriori delle comunicazioni e i file allegati, riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente e che quindi, il Titolare, non può prendere visione delle comunicazioni in entrata sull’account individualizzato assegnato all’interessato.
La seconda pratica illecita, più diffusamente sanzionata in riferimento alla posta elettronica, riguarda:
- Titolari che effettuano accertamenti volti a prevenire pericoli per la sicurezza dei sistemi informatici, anche per il tramite di amministratori di sistema, senza informare adeguatamente i dipendenti.
Il Garante ha chiarito l’onere in capo al datore di lavoro di indicare, ai propri dipendenti e collaboratori, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo ritenute corrette degli strumenti messi a disposizione e se, in che misura e con quali modalità, anche all’esito di eventi imprevisti o eccezionali, vengano effettuati controlli che devono comunque essere conformi ai principi di liceità, proporzionalità e gradualità.
Regole sull’ esercizio dei diritti
L’esercizio dei diritti previsti dal GDPR è sempre più frequente all’interno dei rapporti di lavoro, in particolar modo a seguito della cessazione del rapporto di lavoro o a seguito di contestazioni disciplinari.
Più comunemente, le richieste hanno riguardato l’esercizio del diritto di accesso formulate da dipendenti (ma anche ex dipendenti) volte a prendere visione di una serie di documenti ed informazioni che li riguardavano, come ad esempio: buste paga, attestati di formazione, informazioni contenute nel proprio fascicolo personale e relative alle contestazioni disciplinari ecc.…
- Il Garante ha chiarito che: “Lo scopo del diritto di accesso è infatti quello di consentire all’interessato di verificare (anche a “intervalli ragionevoli” di tempo: v. cons. 63 del RGPD) che sia in corso o meno un determinato trattamento e valutarne la liceità e correttezza.”
L’errore più frequente, commesso da parte dei Titolari del trattamento durante il 2023 e in relazione all’esercizio dei diritti, riguarda essenzialmente:
- L’ omesso o parziale riscontro alla richiesta di esercizio dei diritti da parte degli interessati
Il Garante ha ricordato che Il titolare è tenuto a fornire riscontro all’interessato, anche nel caso non possa dare seguito alle richieste di quest’ultimo (ad es. perché non detiene più i dati), specificandone i motivi e informando circa la possibilità di presentare reclamo all’autorità di controllo e di proporre ricorso giurisdizionale (art. 12, par. 4, del RGPD).
(Per altri approfondimenti sul diritto di accesso vedi anche – Costa caro l’omesso riscontro alla richiesta di accesso)
Le modalità attraverso le quali il titolare è tenuto a fornire riscontro alle richieste dell’interessato sono precisate all’art. 12, par. 1, del GDPR e cioè devono essere fornite per iscritto o con altri mezzi, anche se del caso, con mezzi elettronici e che, solo qualora venga richiesto dall’interessato, le informazioni possono essere fornite oralmente.
N.B:
L’art. 2-undecies del Codice stabilisce tutti quei casi in cui il riscontro alla richiesta di esercizio dei diritti possa essere ritardato, limitato o completamente escluso, ma solo per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, con comunicazione motivata e resa senza ritardo all’interessato, alla tutela di uno degli interessi elencati dalla disposizione codicistica.
Un esempio di scuola consiste nel limitare il diritto di accesso al fine di non pregiudicare lo svolgimento di investigazioni difensive o l’esercizio di un diritto in sede giudiziaria; ma in questo specifico caso, è bene tenere a mente che il trattamento di dati personali effettuato per finalità di tutela dei diritti deve riferirsi a contenziosi in atto o a situazioni precontenziose, e non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti.
È possibile non inviare la comunicazione motivata, in cui vengono esplicitati i motivi ostativi all’esercizio dei diritti, solo qualora la stessa “possa compromettere le finalità che giustificano la limitazione”.
In ultimo, il Garante ha sottolineato che:
“l’ambito temporale della limitazione del diritto di accesso è circoscritto a quanto strettamente necessario ad evitare un pregiudizio all’esercizio del diritto (cfr. art. 2-undecies, comma 3, del Codice) e pertanto, una volta venute meno le ragioni del pregiudizio, nessun ostacolo può essere frapposto all’esercizio del diritto previsto dall’art. 15 del RGPD”.
videosorveglianza e controlli a distanza
Nella Relazione 2023, in materia di videosorveglianza, il Garante si sofferma su molti concetti già da noi chiariti e che potrete trovare al seguente articolo – Videosorveglianza e controllo datoriale ecco le regole da rispettare
Gli errori più comuni analizzati dal Garante riguardano:
- L’ assenza di accordo con le rappresentanze sindacali o di autorizzazione rilasciata dall’Ispettorato del lavoro.
- il Mancato rispetto dei contenuti dell’accordo con le rappresentanze sindacali ovvero dell’autorizzazione rilasciata dall’Ispettorato del lavoro.
Sono infatti frequenti le attività di conservazione delle immagini per un tempo superiore al termine stabilito nell’accordo o anche l’attivazione delle telecamere in orario lavorativo contrariamente a quanto stabilito dalle relative autorizzazioni dell’Ispettorato. - L’assenza di una idonea informativa in merito al trattamento dei dati tramite il sistema di videosorveglianza.
Il Garante, ha ricordato che anche le aree nelle quali transitano o sostano − talora continuativamente − i dipendenti (ad es. accessi alla struttura e ai garage, zone di carico/scarico merci, ingressi carrai e pedonali), se sottoposte a videosorveglianza, sono soggette alla piena applicazione della disciplina in materia di protezione dei dati personali.
N.B:
È stato ribadito, inoltre, che i poteri che l’ordinamento riconosce al Garante ai sensi dell’art. 114 del Codice si aggiungono (e non sostituiscono né vengono meno rispetto) ai poteri propri dell’Ispettorato del lavoro.
Le lesson-learned
Ecco cosa abbiamo imparato dalla Relazione annuale 2023 presentata al Parlamento lo scorso 15 giugno.
Per quanto riguarda la gestione della posta elettronica, dalla Relazione possiamo comprendere le misure, qui di seguito elencate, da adottare per evitare sanzioni ed ispezioni.
- Prima di tutto, il Titolare ha l’obbligo di fornire un’informativa privacy completa nei confronti dei propri dipendenti, con il fine di precisare anche le modalità di utilizzo della posta elettronica e la frequenza dei controlli volti a prevenire rischi per la sicurezza informatica, come prescritto dal comma 3 dell’articolo 4 Statuto Lavoratori;
- Redigere specifiche policy di comportamento e di istruzioni d’uso per quanto riguarda posta elettronica e strumenti aziendali;
- Adottare modalità tecniche e organizzative volte ad invitare tutti i dipendenti, con adeguata periodicità, a visionare i documenti contenenti regole interne sulla gestione della posta elettronica e di internet, evidenziandone l’importanza;
- Investire sulla formazione del personale al fine di prevenire il rischio che gli stessi commettano violazioni del GDPR con conseguenze sanzionatorie per la Società;
- Creare procedure che regolamentino le modalità di disattivazione degli account in occasione della cessazione del rapporto di lavoro.
Il Titolare deve provvedere alla rimozione dell’account di posta elettronica individualizzato, previa disattivazione della stessa e contestuale adozione di sistemi automatici volti ad informarne i terzi e a fornire a questi ultimi indirizzi alternativi riferiti alla sua attività professionale.
Dopodiché, in merito alla richiesta di esercizio dei diritti, è fondamentale che il titolare implementi:
- Specifiche procedure con il fine di regolamentare modalità, tempistiche, ruoli e responsabilità di coloro i quali, all’interno dell’azienda, sono preposti a dare riscontro ed a valutare le richieste di esercizio dei diritti da parte di interessati.
Infine, sulla videosorveglianza, le misure tecniche e organizzative per assicurare che un sistema di questo tipo sia conforme alle disposizioni contenute nella normativa privacy e del diritto del lavoro sono dettagliatamente spiegate nell’articolo Videosorveglianza e controllo datoriale ecco le regole da rispettare a cui facciamo espresso rinvio per l’approfondimento sul tema.