Abbiamo visto, in diverse occasioni a dire il vero, come l’obbligatorietà dell’accordo sindacale/autorizzazione amministrativa ai sensi dell’art. 4 dello Statuto dei Lavoratori non sia appannaggio di un elenco esaustivo e definito di strumenti considerati idonei a controllore a distanza l’attività dei prestatori di lavoro, ma, invero, si basa sulla sussistenza o meno di determinate caratteristiche proprie dei singoli dispositivi.
I criteri per valutare tali caratteristiche sono emersi con riferimento a diversi strumenti aziendali sottoposti al vaglio del Garante, con la conseguente applicazione della disciplina statutaria sopracitata non solo ai classici sistemi di Videosorveglianza o GPS, ma anche con riferimento a tutti quei strumenti che in prima facie non sembrerebbero idonei a consentire un controllo a distanza dell’attività dei lavoratori. Noi ne abbiamo parlato in diverse occasioni e per chi volesse leggere qualche esempio su questo tema, si legga anche: Articolo – controlli tramite i Log di navigazione; Articolo – controlli degli smart workers; Articolo – controlli tramite i metadati di posta elettronica.
Il recente Provvedimento del Garante si aggiunge così ad una vasta serie di pronunce che definiscono i criteri ermeneutici per stabilire quali siano gli strumenti in grado di controllare a distanza l’attività dei lavoratori e quali no, ma non solo. Molti adempimenti connessi al funzionamento e all’utilizzo di tali strumenti spesso non vengono correttamente osservati, così generando violazioni “a cascata” e gonfiando il quantum della sanzione amministrativa che in questo caso ha raggiunto la cifra di 120 000 euro. Vediamoli allora insieme per capire come evitare tali conseguenze:
Indice
Il fatto
La società Pioneer Hi-Bred Italia Sementi s.r.l. (di seguito “Pioneer”) veniva sanzionata per aver violato la disciplina sul trattamento dei dati personali e dello Statuto dei Lavoratori in relazione all’installazione di un dispositivo telematico sui veicoli aziendali. Tale dispositivo, è bene specificarlo, non consisteva in un classico GPS in grado di determinare la posizione geografica dei veicoli, ma si trattava di un sistema satellitare che permetteva di rilevare determinati comportamenti dei conducenti, sulla cui base attribuire a quest’ultimi un determinato punteggio di guida.
Nota interessante da evidenziare, è che la scelta in merito all’introduzione di tale dispositivo non è stata adottata dalla società poi sanzionata, ma dalla holding del Gruppo a cui appartiene assieme alle altre società figlie, come spesso accade con riferimento a molte attività di Gruppo.
In tale contesto, ci si è chiesti non solo per quali motivi il dispositivo telematico sia stato equiparato agli strumenti idonei a controllare a distanza l’attività dei lavoratori malgrado l‘assenza del GPS, ma anche per quali ragioni la Pioneer sia stata ritenuta responsabile senza considerare che la scelta sulle caratteristiche, funzionalità e modalità di utilizzo del sistema erano state predeterminate “dall’alto” dalla holding.
Vediamolo insieme
I ruoli all’interno dei rapporti di Gruppo
Quando un trattamento di dati personali coinvolge più soggetti è necessario definire i ruoli prima che il trattamento abbia inizio, sulla base dei criteri previsti nelle Linee Guida 07/2020 dell’EDPB. Astrattamente, sulla base dei criteri poc’anzi citati, qualsiasi società appartenente ad un Gruppo (holding compresa) può potenzialmente assumere le vesti di titolari o di responsabili a seconda delle caratteristiche del trattamento che coinvolge il Gruppo medesimo.
Orbene, nel Provvedimento qui esaminato, il Garante ci ricorda come tale valutazione in ogni caso sia preclusa in relazione ai trattamenti di dati personali effettuato da un datore di lavoro nei confronti dei propri dipendenti, anche nell’ambito dei rapporti di Gruppo. Citando anche le sue Linee Guida, il Garante ha difatti precisato che:
Ciascuna società collegata o controllata, al di là delle scelte strategiche predisposte, dispone di un’autonoma titolarità in relazione ai dati personali dei propri dipendenti e collaboratori (v. Linee guida provv. 23 novembre 2006, n. 53; par. 3.2).
Tale considerazione, giusta la quale porta a qualificare la Pioneer come titolare del trattamento, comporta l’automatica assunzione di specifici obblighi e responsabilità in relazione al trattamento dei dati personali dei propri dipendenti, come anche spiegato di seguito:
Le violazioni accertate
Il controllo a distanza
La necessità di siglare un accordo sindacale o di richiedere l’autorizzazione amministrativa, ai fini della legittima installazione del dispositivo telematico ai sensi dell’art. 4 comma 1 Statuto Lavoratori, deriva da una serie di elementi presi in considerazione dall’Autority, in particolare:
- Il dettaglio delle informazioni rilevate dal dispositivo: la data, l’ora di partenza e di arrivo di ciascun viaggio, la percorrenza chilometrica, il consumo di carburante e alcuni indicatori sullo stile di guida del veicolo in termini di sicurezza ed eco-sostenibilità;
- La conservazione delle informazioni e la conseguente consultazione per 13 mesi dalla loro rilevazione;
- L’ assegnazione di un punteggio sulla base delle informazioni rilevate, la cui media mensile permetteva di associare a ciascun dipendente un livello di rischio alla guida e sviluppare, eventualmente, specifiche modalità di intervento.
Il Garante ha quindi costatato come il grado di dettaglio, la conservazione e la successiva valutazione effettuata sui dati afferenti ai viaggi professionali, concorrano, nel loro complesso, all’effettuazione di un’attività di controllo sull’attività dei lavoratori. Per tale ragione, verificata la mancata osservanza delle procedure di garanzia di cui all’art. 4 della legge n. 300/1970, il Garante ha accertato la violazione della disposizione poc’anzi citata.
Il divieto di indagine
All’interno dell’Articolo – gestione algoritmica delle risorse umane il caso Glovo, abbiamo commentato un altro Provvedimento del Garante molto importante per capire i criteri e l’orientamento dell’Autority (malgrado le differenze sulla quantità e qualità dei dati) non solo in relazione all’applicazione della disciplina in materia di controlli a distanza, ma anche in considerazione del dettato di cui all’art. 8 dello Statuto dei Lavoratori in materia di divieto di indagine sui fatti non rilevanti alla valutazione professionale dei dipendenti.
Quest’ultima disposizione è risultata rilevante anche nel caso qui esaminato, poiché la Pioneer non si è limitata a raccogliere esclusivamente le informazioni relative ai viaggi professionali dei dipendenti, ma ha raccolto informazioni anche relativamente ai viaggi privati. Difatti, mantenendo il dispositivo funzionante anche quando l’autovettura (concessa come fringe benefit) veniva utilizzata privatamente dai prestatori di lavoro, era possibile raccogliere una serie di informazioni ulteriori e non inerenti all’esecuzione delle mansioni.
In tale contesto, a parere del Garante, a nulla rileva la facoltà concessa in capo al dipendente di attivare il cd. pulsante “privacy”, presente sul veicolo, al fine di disattivare temporaneamente la rilevazione dei dati.
Il titolare dovrebbe infatti essere in grado di impedire by design la raccolta di dati e informazioni che esulano dalla sfera professionale e lavorativa del dipendente, non essendo legittimo subordinare la garanzia di tale tutela ad un comportamento attivo del lavoratore medesimo.
Il principio di trasparenza
All’interno dei gruppi societari può accadere che alcuni documenti siano predisposti direttamente dalla holding, con la conseguente prassi/obbligo delle società affiliate/controllate di utilizzare tali modelli pre-impostati senza possibilità di adattamenti o modifiche. Tuttavia, mentre per alcune tipologie di atti questo approccio può essere utile e legittimo (come nel caso in cui la holding imponga di utilizzare le medesime condizioni generali di contratto) , altrettanto non può dirsi con riguardo all’informativa privacy in relazione al trattamento dei dati personali dei dipendenti, il cui contenuto deve essere determinato dallo specifico titolare del trattamento, che, come menzionato sopra, resta la singola società datrice di lavoro.
A tale conclusione è arrivato il Garante nel Provvedimento qui commentato, il quale, valutando il contenuto dell’informativa privacy, ha constatato un linguaggio molto vago tale da non permettere l’individuazione di elementi fondamentali quali tipologie e finalità dei dati raccolti, i destinatari dei dati e soprattutto chi fosse il titolare del trattamento effettivo. La documentazione predisposta a livello di gruppo, dunque, è risultata inidonea a rappresentare le caratteristiche essenziali del trattamento sulla base dei principi del GDPR.
la valutazione del legittimo interesse
L’utilizzo della base giuridica del legittimo interesse, di cui all’art. 6 par. 1 lett. f GDPR, impone al titolare del trattamento uno specifico obbligo di valutazione, la cui effettuazione dovrebbe essere dimostrabile in applicazione del principio di accountability.
La valutazione del legittimo interesse, da eseguirsi secondo i criteri indicati dall’EDPB e dalla Corte di Giustizia UE (per un approfondimento si veda: Articolo – come eseguire la valutazione del legittimo interesse), serve proprio a rendere edotto il titolare in merito ai rischi per i diritti e le libertà degli interessati che possono derivare dal trattamento. Solo tramite questa presa di consapevolezza il titolare è in grado di bilanciare tali rischi rispetto ai propri interessi, comprendendo infine se è il caso di individuare misure meno invasive per perseguire il medesimo risultato ovvero introdurre misure di mitigazione per ridurre l’impatto sugli interessati.
Tale valutazione, che ribadiamo essere obbligatoria per tutti i titolari del trattamento che individuano nel legittimo interesse la base giuridica più idonea a rendere lecito il proprio trattamento, non era stata effettuata dalla Pioneer, costringendo quindi il Garante a considerare tale condotta come contraria al GDPR.
individuazione dei ruoli e accordi ex. art. 28 GDPR
In ultima analisi, dopo essersi concentrato sulle modalità di raccolta e di utilizzo dei dati, il Garante ha ricostruito la catena dei destinatari degli stessi, constatando che i dati fossero accessibili non solo dal personale autorizzato della Pioneer ma anche da parte di soggetti esterni alla società.
Determinati dipendenti appartenenti alle altre società del Gruppo, in qualità di amministratori e supervisori, potevano prendere visione di queste informazioni pur in assenza di un atto giuridico idoneo a disciplinare il flusso di dati personali come previsto dall’art. 28 GDPR.
Secondo quest’ultima disposizione del GDPR, il titolare può affidare il trattamento anche a soggetti esterni, purché ne disciplini il rapporto con un atto contenente le istruzioni e le caratteristiche principali del trattamento e delle attività delegate.
È proprio tale atto che è risultato mancante in questo caso, avendo la Pioneer reso disponibili a determinati soggetti esterni i dati personali dei propri dipendenti senza aver proceduto alla comunicazione delle istruzioni da seguire mediante la nomina formale come responsabili del trattamento.
conclusioni e consigli utili
Il punto centrale di questa vicenda, partendo dall’inizio, consiste nella corretta individuazione dei ruoli ai sensi del GDPR all’interno dei rapporti di Gruppo in relazione a specifici trattamenti di dati. La puntuale definizione dei ruoli al momento della progettazione del trattamento avrebbe probabilmente permesso alla Pioneer di accorgersi della necessità di valutare e adempiere tutta una serie di disposizioni che erroneamente riteneva fossero in capo alla sola holding.
La scarsa trasparenza rinvenuta nell’informativa, l‘assenza del legittimo interesse e la mancata nomina a responsabili del trattamento dei soggetti esterni, denotano una mancanza di consapevolezza comune all’interno dei rapporti di Gruppo, laddove quest’ultimi sono diffusamente improntati alla standardizzazione ed a considerare la holding come l’esclusivo soggetto responsabile per tutte le attività che riguardano il Gruppo.
Ciò che abbiamo imparato da tale precedente, è che queste prassi di Gruppo sono incompatibili con GDPR, dal momento che solo lo specifico titolare del trattamento può conoscere le reali finalità, i destinatari, i periodi di conservazione e le modalità tecnico-organizzative adeguate per il trattamento dei dati, ed è proprio sulla base di questi elementi specifici che il titolare dovrà redigere l’informativa privacy, nominare i soggetti responsabili del trattamento e se del caso valutare il legittimo interesse.
Stesse considerazioni valgono anche con riguardo agli obblighi di natura lavoristica:
per evitare di incorrere nella violazione degli artt. 4 e 8 dello Statuto dei Lavoratori è necessario che il datore proceda ad una valutazione documentata dei dispositivi tecnologici che vorrebbe introdurre in azienda, ciò al fine non solo di comprendere la necessità o meno di attivare le procedure di garanzie previste, ma anche per scongiurare la possibilità di raccogliere una serie di informazioni non attinenti alla sfera professionale del dipendente in violazione dell’art. 8 dello Statuto.
[/vc_column_text][/vc_column][/vc_row]
