Come abbiamo più volte detto: l’analisi dei provvedimenti del Garante italiano (e dei Garanti europei) sono un importante strumento per evitare errori.
Quindi, l’analisi della Relazione delle attività del Garante dello scorso anno, recentemente presentata, è una occasione da non lasciarsi scappare.
In particolare, ci siamo soffermati sui provvedimenti legati ai rapporti di lavoro in cui le violazione riguardano spesso non solo il Regolamento Generale sulla protezione dei dati (RGPD), ma anche lo Statuto dei lavoratori richiamato dagli articolo 113 e 114 del Codice Privacy.
Ecco, 7 casi di trattamento illecito di dati sui luoghi di lavoro sanzionati dal Garante nel 2021 che ci regalano importanti lezioni.
Il filo conduttore di tutti è l’utilizzo di dispositivi elettronici, intesi sia quelli utilizzati tradizionalmente nel contesto lavorativo come i sistemi di videosorveglianza e la posta elettronica , ma anche sistemi più complessi (Work Force Management). Conformemente ad una posizione ormai consolidata, infatti, il Garante ha ribadito che la protezione della vita privata si estende anche all’ambito lavorativo, come più volte stabilito dalla Corte EDU che ritiene applicabile l’art. 8 della Convenzione europea dei diritti dell’uomo senza distinguere tra sfera privata e sfera professionale.
Indice
Sistema Work Force Management
In particolare, l’Azienda aveva infatti integrato un sistema informatico in grado di rilevare l’operatività (ad esempio stato di attività/inattività) della macchina in uso all’operatore. Il sistema veniva utilizzato dall’azienda per ragioni di sicurezza sul lavoro, tutela del patrimonio aziendale e motivi organizzativi.
All’esito dell’istruttoria è emerso che il sistema trattava una pluralità di dati, anche organizzati in registri, non menzionati nell’informativa resa ai dipendenti. L’informativa è inoltre risultata priva di riferimenti ai tempi di conservazione dei dati trattati, in violazione dei principi di trasparenza e correttezza del trattamento (artt. 13 e 5, par. 1, lett. a), del RGPD). Rispetto poi alla pluralità di finalità (tra loro eterogenee) indicate dal Datore di lavoro era assente l’indicazione contestuale di specifica e distinta base giuridica del trattamento.
L’illiceità del trattamento dati ha riguardato anche l’avvenuto successivo utilizzo da parte del datore di lavoro al fine di verificare la veridicità di quanto affermato da un dipendente nel corso di un procedimento disciplinare avviato a suo carico. Ciò contravvenendo non solo a quanto espressamente indicato nell’informativa relativa al funzionamento del sistema ma anche a alla specifica condizione contenuta nell’autorizzazione rilasciata dall’Ispettorato del lavoro competente ai sensi dell’art. 4, l. n. 300/1970. In base alla prescrizione dell’Ispettorato Territoriale del Lavoro, infatti, la società non avrebbe potuto utilizzare il sistema ai fini del controllo in via preventiva delle attività lavorative dei dipendenti.
La sanzione comminata ammonta a € 40.000. Cosa avrebbe dovuto fare il Datore di Lavoro per evitare la sanzione?
L’informativa per il trattamento dei dati è sicuramente il “tallone di Achille” di questo caso.
Indubbiamente, poi, l’installazione di un sistema di questo tipo presenta molti aspetti critici, anche sotto il profilo giuslavoristico che il Datore di Lavoro con l’autorizzazione dell’ITL riteneva di avere totalmente superato.
Non si parla nel provvedimento della presenza di una Valutazione di Impatto, che, forse, avrebbe aiutato a rilevare le criticità poi sanzionate dal Garante.
Videosorveglianza nelle “zone promiscue” che fare?
In caso di applicazione di un sistema di videosorveglianza, le Aziende hanno oramai chiara la necessità, prima di tutto, di sottoscrivere un accordo sindacale o di chiedere l’autorizzazione all’Ispettorato del Lavoro.
Il dubbio delle Aziende è sempre: “ma devo applicare tutti gli adempimenti anche se riprendo solo le così dette “zone promiscue”?”
Per rispondere a questa domanda riprendiamo un caso esaminato dal Garante nel 2021.
Il caso riguarda una società che aveva attivato presso la propria sede operativa, in assenza di autorizzazione rilasciata dall’Ispettorato del lavoro o di un accordo con le rappresentanze sindacali, un sistema di videosorveglianza che riprendeva anche le zone in cui transitano i dipendenti per lo svolgimento dell’attività lavorativa (ingressi, cortili prospicienti l’officina, parcheggio) o per recarsi all’interno o presso aree a loro dedicate (spogliatoi, area ristoro, area fumatori).
Il trattamento è stato ritenuto illecito, fino all’avvenuta stipulazione dell’accordo ai sensi dell’art. 4 della l. n. 300/1970, per violazione degli artt. 5, par. 1, lett. a ); 88 del RGPD e 114 del Codice.
Né è stata ritenuta idonea a far venir meno l’obbligo di conformarsi a tale disciplina la circostanza che i rappresentanti sindacali aziendali e il rappresentante dei lavoratori per la sicurezza fossero stati informati della presenza dell’impianto e, secondo quanto dichiarato dalla società, ne condividessero la necessità in relazione alle finalità perseguite con acquisizione di consenso.
Infatti, sul punto, la giurisprudenza ha più volte ritenuto che il consenso, eventualmente prestato dai singoli lavoratori all’installazione di impianti, non è equivalente alla necessaria attivazione della procedura con le rappresentanze dei dipendenti o, in mancanza, sotto il controllo dell’autorità pubblica. Lo stesso Garante ha più volte ribadito che in ambito lavorativo il consenso non costituisce base giuridica idonea per il trattamento dei dati personali dei dipendenti.
Pertanto, anche la videosorveglianza delle sole “zone promiscue” deve essere autorizzata da accordo sindaca o autorizzazione dell’ITL.
Un’omissione che è costata al titolare del trattamento una sanzione di €75.000 e che sarebbe stata in modo semplice con la richiesta di autorizzazione all’IDL.
Videosorveglianza: posso posizionare le telecamere in maniera differente da quanto autorizzato dall’ITL?
La risposta alla domanda sembra scontata: no.
Ma il principio è stato ribadito dal Garante intervenuto, sanzionando, un caso di sistema di videosorveglianza installato presso strutture socio-assistenziali non conforme a quanto prescritto nell’autorizzazione rilasciata dall’Ispettorato del lavoro e, più in generale, alla disciplina in materia di protezione dei dati personali.
In particolare, le telecamere del sistema di videosorveglianza erano state posizionate in modo differente rispetto a quanto autorizzato dall’Ispettorato e non era stato correttamente adempiuto l’obbligo di informativa nei confronti degli interessati (tra i quali anche lavoratori). Inoltre era collegata la registrazione dell’audio, sebbene all’interno dell’autorizzazione rilasciata dall’Ispettorato del lavoro fosse stato precisato che “non sono consentite intercettazioni e/o registrazioni audio”.
Pertanto, il titolare del trattamento deve rispettare quanto autorizzato dall’ITL.
Interessante è anche la quantificazione della sanzione, di soli €1.000, condizionata in modo particolare dall’atteggiamento collaborativo del titolare del trattamento.
La conservazione della posta elettronica aziendale, un tema sempre rischioso
Il persistente utilizzo da parte del datore di lavoro degli account dei dipendenti anche dopo che il rapporto di lavoro si è interrotto resta un comportamento ancora troppo diffuso e sistematicamente sanzionato dal Garante.
Per esempio, l’Autorità ha ritenuto non conforme alla disciplina di protezione dei dati il trattamento posto in essere da una società che, dopo la cessazione del rapporto di lavoro con il dipendente, ha mantenuto attivi i due account di posta elettronica aziendale assegnatigli ed ha conservato, tramite server, i messaggi di posta elettronica relativi a uno dei due account disponendone la conservazione per dieci anni dalla cessazione del rapporto. La società ha inoltre conservato i messaggi in entrata e in uscita relativi al secondo account fino alla loro cancellazione.
La società poi non aveva fornito un’adeguata informativa al segnalante in merito al trattamento dei dati con riferimento all’utilizzo dell’account di posta elettronica aziendale e ai possibili controlli esercitati su quest’ultimo dal datore di lavoro.
In merito alla persistente attività degli account di posta elettronica aziendale a seguito della cessazione del rapporto di lavoro e considerato che lo scambio di corrispondenza elettronica estranea o meno all’attività lavorativa su un account aziendale di tipo individualizzato configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato, in conformità ai principi in materia di protezione dei dati personali, dopo la cessazione del rapporto di lavoro il titolare del trattamento deve provvedere alla rimozione dell’account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi e a fornire a questi ultimi indirizzi e-mail alternativi riferiti alla sua attività professionale.
La conservazione, tramite server, delle comunicazioni relative agli account di posta elettronica aziendale per asserite ragioni di tutela in giudizio è risultata non conforme ai principi di minimizzazione dei dati e di limitazione della conservazione in quanto “il trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti”.
Il Garante ha inoltre ribadito che la conservazione di documentazione necessaria per l’ordinario svolgimento e la continuità dell’attività aziendale, è assicurata, in primo luogo, dalla predisposizione di sistemi di gestione documentale idonei ad individuare i documenti archiviabili nel corso dell’attività lavorativa con modalità idonee a garantire le prescritte caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità. I sistemi di posta elettronica, per loro stessa natura, non consentono di assicurare tali caratteristiche.
In sintesi, terminato il rapporto di lavoro gli account nominativi vanno cancellati e non possono essere utilizzati come sistema di archiviazione della documentazione aziendale (si veda anche il nostro approfondimento sul tema).
Il Garante sottolinea un altro rischio collegato alla conservazione tramite server delle comunicazione: il controllo dell’attività lavorativa dei dipendenti.
Per il Garante, accertato la violazione degli artt. 113 e 114 del Codice Privacy ha precisato che “la conservazione preventiva e sistematica dei dati esterni e del contenuto delle e-mail inviate e ricevute in occasione dello svolgimento dell’attività lavorativa è idonea a consentire di ricostruire l’attività del dipendente e di effettuare un controllo sulla stessa, anche indirettamente, al di là delle finalità tassativamente ammesse dall’art. 4, l. n. 300/1970 e comunque in assenza delle garanzie procedurali ivi previste” nonché in quanto, attraverso la sistematica conservazione delle e-mail, la società può, inoltre, conoscere informazioni relative alla vita privata del lavoratore non rilevanti ai fini della valutazione dell’attitudine professionale dello stesso.
Sulla conservazione della posta elettronica, tuttavia, i rilievi più volte segnalati dal Garante non collimano con le esigenze delle aziende che, tuttavia, dovrebbero rivedere le proprie procedure interne.
Il controllo della navigazione internet dei dipendenti
Il caso ha riguardato un sistema di filtraggio del traffico di rete di un Comune.
Nel corso dell’istruttoria è emerso che le caratteristiche originarie del sistema di filtraggio del traffico di rete e le conseguenti operazioni di trattamento (raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web dei singoli dipendenti, memorizzazione per trenta giorni e possibilità di estrazione di reportistica relativa alla loro navigazione) non fossero necessarie e proporzionate rispetto alla finalità di protezione e sicurezza della rete interna invocata dal comune, avendo riguardato, peraltro, dati non “adeguati, pertinenti e limitati” a quanto necessario a garantire la sicurezza della rete.
Il sistema impiegato dall’ente consentiva di registrare dati di dettaglio in ordine alla risorsa internet visitata (Url), che proprio in ragione del collegamento univoco con il nominativo del dipendente dava luogo alla raccolta sistematica di numerosi dati personali, anche non attinenti allo svolgimento della prestazione lavorativa, e informazioni potenzialmente relative alla vita privata dell’interessato, in contrasto con il divieto per il datore di lavoro di trattare dati “non attinenti alla valutazione dell’attitudine professionale del lavoratore” (art. 113 del Codice Privacy).
L’illiceità di questo sistema è stato asserito dal Garante nonostante l’accordo con le organizzazioni sindacali come richiesto dalla normativa.
Sono stati accertati, tra gli altri profili, la violazione del principio di limitazione della finalità e il mancato rispetto delle condizioni previste dalla disciplina di settore con riguardo all’utilizzo dei dati raccolti per altri fini connessi alla gestione del rapporto di lavoro. Al riguardo, è stato evidenziato che solo dal 2015 il quadro normativo vigente consente che i dati raccolti ai sensi dell’art. 4, commi 1 e 2, della l. n. 300/1970 possano essere utilizzati dal datore di lavoro “a tutti i fini connessi al rapporto di lavoro” a condizione che “sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n.196” (art. 4, comma 3, l. n. 300/1970).
Diversamente, l’amministrazione effettuava fin dal 2000 tali trattamenti e i dati relativi alla navigazione web del reclamante, originariamente raccolti e trattati in maniera non conforme alla disciplina in materia di protezione dei dati (anche con riguardo all’obbligo di rendere l’informativa), sono stati successivamente impiegati per contestare addebiti disciplinari al personale, non rispettando quindi i presupposti e le condizioni previste dalla richiamata disciplina di settore all’art. 4, comma 3, l. n. 300/1970.
Oltre poi alla mancanza di idonea informativa, il Garante ha rilevato che il trattamento dei dati personali è stato effettuato in assenza di una preliminare valutazione d’impatto sulla protezione dei dati.
Un caso sicuramente molto complesso che ha risentito nella quantificazione della sanzione, di ben € 84.000, della durata dell’illiceità iniziata nel 2000, ma che ha anche portato il Garante a ingiungere l’adozione di e talune misure correttive.
Controllo presenze con strumenti biometrici
Al di là degli aspetti tecnici è importante ribadire quanto dichiarato dal Garante sul presupposto della liceità del trattamento: che non si rinviene nell’ordinamento un’idonea base giuridica che possa soddisfare i requisiti richiesti dal RGPD e dal Codice per legittimare le amministrazioni pubbliche a porre in essere il trattamento dei dati biometrici per finalità di rilevazione delle presenze dei dipendenti ai sensi dell’art. 9, par. 2, lett. b), del RGPD. Il caso ha riguardato un Ente pubblico, ma il principio vale anche per gli Enti privati.
Pertanto, il trattamento dei dati biometrici per il controllo delle presenze dei dipendenti per scoraggiare l’assenteismo non è di per sé lecito.
L’uso dei sistemi di whistleblowing
Le procedure di acquisizione e gestione delle segnalazioni di illeciti da parte dei dipendenti e di soggetti terzi, come previsto dalla disciplina nazionale del cd. whistleblowing devono proteggere la divulgazione dell’identità del segnalante e prevenire l’adozione di misure discriminatorie nei confronti dello stesso.
In tale quadro, nell’ambito di un ciclo di attività ispettive, avente a oggetto le principali funzionalità di alcuni tra gli applicativi per l’acquisizione e gestione delle segnalazioni di illeciti più diffusamente impiegati dai datori di lavoro pubblici e privati, sono stati effettuati specifici accertamenti nei confronti di una società di gestione di un aeroporto e dell’azienda fornitrice dell’applicativo utilizzato per l’acquisizione e gestione delle segnalazioni di illeciti dei dipendenti.
Il Garante ha rilevato che la società di gestione dell’aeroporto, titolare del trattamento, non aveva utilizzato tecniche crittografiche per il trasporto e la conservazione dei dati, tenuto conto che l’accesso all’applicativo avveniva mediante il protocollo HTTP (Hyper Text Transfer Protocol ), ossia un protocollo di rete che, anche in ragione della natura dei dati e degli elevati rischi derivanti dalla loro possibile acquisizione da parte di terzi, non garantiva l’integrità e la riservatezza dei dati scambiati tra il browser dell’utente e il server che ospitava l’applicativo.
Inoltre la configurazione del dispositivo consentiva la tracciabilità dei soggetti che utilizzavano l’applicativo, ivi inclusi i segnalanti, in maniera non conforme anche ai principi di Privacy by Design e Privacy by Default.
Il Garante ha ricordato che il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare la conformità del trattamento ai principi applicabili al trattamento dei dati, adottando le opportune misure tecniche e organizzative e impartendo le necessarie istruzioni al fornitore del servizio.
Non ci sono dubbi per il Garante: il titolare doveva realizzare una Valutazione di Impatto.
Con riguardo, invece, al fornitore dell’applicativo, il Garante, con separato provvedimento, ha rilevato che lo stesso aveva fatto ricorso a sub-responsabili del trattamento senza aver previamente informato il titolare ed aver concesso allo stesso la possibilità di opporsi, omettendo anche di stipulare accordi per la protezione dei dati con i sub-responsabili, in violazione dell’art. 28 del RGPD.
Un ulteriore punto merita di essere sottolineato: nel corso dell’istruttoria è stato accertato che due soggetti autorizzati utilizzavano un’unica utenza non nominale, con profilo di amministratore di sistema, per l’accesso all’applicativo, in maniera non adeguata sotto il profilo della sicurezza, insieme a ulteriori carenze di misure di sicurezza.
In tale caso la sanzione per il titolare del trattamento è stata quantificata in € 40.000, dimezzata, ma non assente, la sanzione per il responsabile.