Home

Dati personali in ambito lavorativo: rischi e cautele

05 Aprile 2023

Il trattamento dei dati personali in ambito lavorativo richiede un livello di attenzione particolarmente elevato, in considerazione dello speciale rapporto che lega tutti coloro che, indipendentemente dal tipo di ruolo e di contratto, svolgono le proprie attività a favore del datore di lavoro e quest’ultimo. Infatti, ogni realtà professionale è strutturalmente basata sull’autorità del datore di lavoro, sull’attribuzione di compiti ai lavoratori e sulla responsabilità di questi nell’esecuzione delle proprie mansioni. In tale ambiente, i trattamenti di dati personali sono molteplici, in alcuni casi anche a rischio elevato, e non solo devono essere svolti in modo lecito e sicuro, come in ogni altro contesto, ma richiedono anche l’adozione di opportune cautele a garanzia degli interessati, per tenere in debito conto la vulnerabilità di questi e il divario esistente sotto il profilo del potere. Questo contributo intende mettere in evidenza alcune fra le più significative sfide legali che, operativamente, devono essere affrontate in tale prospettiva dalle organizzazioni italiane – anche al fine di evitare le conseguenze negative di condotte illecite o, comunque, inadeguate – focalizzando i principali punti di attenzione e le cautele da osservare con riferimento alla liceità del trattamento, alla trasparenza e ai controlli a distanza.

Il quadro normativo

In Italia e negli altri Paesi membri dell'Unione europea la fonte principale della disciplina in materia di protezione dei dati personali è il Regolamento 679/2016 (“GDPR”). Nell'ordinamento italiano, sempre a livello di fonti primarie, trova applicazione anche il d.lgs. 196/2003, come modificato dal d.lgs. 101/2018, ossia il Codice in materia di protezione dei dati personali (“Codice Privacy”).

I diritti al rispetto della vita privata e alla protezione dei dati personali trovano peraltro spazio anche nella Carta dei diritti fondamentali dell'UE (rispettivamente, negli articoli 7 e 8), che si colloca al vertice dell'ordinamento europeo, godendo della stessa efficacia giuridica dei Trattati.

La disciplina del GDPR è molto completa e le norme ivi contenute trovano diretta applicazione in Italia. Tuttavia, il Regolamento stesso (all'art. 88 GDPR) dispone che il diritto dei Paesi membri possa prevedere norme specifiche per il trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro. L'ordinamento italiano include, quindi, una serie di disposizioni con riferimento ai trattamenti di dati personali svolti nell'ambito del rapporto di lavoro. Il Titolo VIII del Codice Privacy è a questi dedicato. Di particolare rilevanza è il richiamo nel Titolo suddetto (in particolare, negli articoli 113 e 114) della l. 300/1970, ossia lo Statuto dei Lavoratori. Di questa fondamentale fonte a tutela, in senso ampio, del lavoro vengono espressamente “importate” all'interno della disciplina privacy le disposizioni relative (i) agli impianti audiovisivi e altri strumenti di controllo (art. 4 St. lav.); e (ii) al divieto di indagini sulle opinioni dei lavoratori (art. 8 St. lav.).

L'ambito in oggetto è poi connotato da una pluralità di ulteriori fonti, che assumono rilevanza a seconda delle specifiche questioni da approfondire. Considerare la Giurisprudenza (in particolare le sentenze della Cassazione), ad esempio, è fondamentale per orientarsi nell'ambito della complessa questione dei controlli dei lavoratori. Le linee guida e i provvedimenti delle Autorità privacy, tra cui lo European Data Protection Board (“EDPB”) e il Garante per la protezione dei dati personali (“Garante”) sono invece essenziali per guidare l'operato dei titolari del trattamento con riferimento a temi come la videosorveglianza o l'uso della posta elettronica e degli strumenti aziendali.       

Le principali sfide delle organizzazioni italiane

Il trattamento dei dati personali di tutti coloro che svolgono le proprie mansioni sotto l'autorità del datore di lavoro – ossia il soggetto che, in ottica privacy, riveste il ruolo di titolare del trattamento – impone di considerare numerosi aspetti potenzialmente critici o, comunque, dotati di elementi di complessità. Infatti, il lavoratore è “strutturalmente” un soggetto debole rispetto al datore di lavoro, considerato il rapporto contrattuale – di qualunque tipo esso sia – che lega i due soggetti e il potere del secondo sul primo, sia sotto il profilo economico che sotto quello disciplinare. Il lavoratore è alle dipendenze dell'ente che si avvale delle sue prestazioni e tale situazione impone al datore una serie di doveri e di responsabilità rafforzati con riferimento alla gestione dei dati personali, proprio in considerazione del menzionato divario. In un diverso contesto, come quello che lega una società ai propri fornitori esterni o alla propria clientela business, ad esempio, il grado di pericolosità dei trattamenti cala drasticamente rispetto al perimetro qui considerato.

Di seguito, si metteranno in evidenza alcuni temi particolarmente rilevanti che si possono riscontrare nella maggior parte delle organizzazioni che trattano i dati personali della propria popolazione aziendale e a cui occorre prestare particolare attenzione, onde evitare di svolgere i trattamenti in modo illecito, nell'ottica del diritto italiano. Il focus è sui principi fondamentali di liceità e trasparenza del trattamento – anche alla luce delle recenti novità normative – e sulla questione dei controlli a distanza.  

      a) Liceità del trattamento

Qualsiasi trattamento, per essere lecito, deve poggiare su una valida base giuridica. L'art. 6 GDPR definisce l'elenco delle possibili condizioni di liceità. In un contesto di lavoro le basi giuridiche che assumono maggiore rilevanza sono “il contratto” e “la legge”. Infatti, il datore di lavoro deve poter trattare i dati del personale (i) per dare attuazione ai propri obblighi contrattuali nei confronti del dipendente (ad esempio, deve gestire i suoi dati per poter provvedere all'elaborazione della busta paga e al pagamento dello stipendio) e (ii) per assolvere ai numerosi adempimenti derivanti da varie fonti normative.

La base giuridica del consenso – a cui è necessario fare riferimento in via privilegiata in contesti come il marketing, tra altri – non è in linea di principio opportuna nel contesto di lavoro, proprio per la citata disparità sotto il profilo del potere delle parti, che determina il venir meno di un requisito essenziale del consenso, ossia la sua libertà. L'EDPB ha ribadito in diversi documenti (Cfr. parere 2/2017 sul trattamento dei dati sul posto di lavoro e linee guida 5/2020 sul consenso) che il ricorso al consenso nell'ambito del rapporto di lavoro è problematico e dovrebbe essere evitato.

Una possibile eccezione a questa generale impostazione riguarda il trattamento delle immagini dei dipendenti riprese nel contesto di eventi aziendali o da usare per la pubblicazione sul sito o sulle pagine social della società, ad esempio. In tali situazioni, il consenso diventa la base giuridica più opportuna, nella misura in cui il dipendente è comunque libero di fornirlo o meno (senza subire pregiudizi in conseguenza di un rifiuto) e può sempre revocarlo, come richiede l'art. 7 GDPR. Con riferimento all'uso dell'immagine, lo si ricorda solo incidentalmente, occorre tenere in considerazione non solo le norme in materia di protezione dei dati personali, ma anche alcune disposizioni specifiche del codice civile e della legge sul diritto d'autore, affinché la liberatoria risulti adeguata.

Infine, anche in un'organizzazione aziendale è possibile fare riferimento alla base giuridica del legittimo interesse per specifiche finalità di trattamento, a condizione che – all'esito di un'apposita valutazione (cd. legitimate interest assessment) – non risulti la prevalenza degli interessi o dei diritti e delle libertà fondamentali dell'interessato. Il GDPR (considerando 48) include fra le ipotesi di possibile uso del legittimo interesse anche la comunicazione dei dati dei dipendenti (e dei clienti) all'interno di gruppi imprenditoriali, per fini amministrativi interni. Un altro tipico trattamento aziendale che può basarsi su questa base giuridica è la rilevazione delle immagini tramite sistemi di videosorveglianza.

Uno strumento particolarmente utile a disposizione dei titolari del trattamento per mettere a fuoco non solo gli aspetti centrali della liceità del trattamento (anche con riferimento al possibile ricorso al legittimo interesse), ma anche ulteriori punti di attenzione, prima dell'inizio di uno o più trattamenti, è la valutazione d'impatto sulla protezione dei dati (data protection impact assessment, “DPIA”) prevista dall'art. 35 GDPR. Nell'ambito di questo assessment – obbligatorio quando il trattamento può presentare un rischio elevato (es. uso di sistemi di videosorveglianza), ma fortemente raccomandabile anche in altri casi – il datore di lavoro può valutare in modo approfondito anche la necessità e la proporzionalità dei trattamenti in relazione alle diverse finalità e i possibili rischi per i diritti e le libertà degli interessati, nonché le misure previste per gestire tali rischi e dimostrare la conformità al GDPR.   

      b) Trasparenza

Il principio della trasparenza, uno dei cardini del GDPR, impone che le informazioni destinate agli interessati siano concise, facilmente accessibili, di facile comprensione e che sia usato un linguaggio semplice e chiaro. Il titolare del trattamento, nella cosiddetta “informativa privacy”, deve fornire numerose indicazioni obbligatorie in merito ai trattamenti che svolge: affinché sia garantita la trasparenza di tali informazioni, il titolare deve tenere conto anche delle circostanze in cui i dati personali sono trattati. In un contesto come quello di lavoro, per rispettare questi requisiti, occorre considerare ancora la questione della disparità tra datore e lavoratore. Al momento dell'instaurazione del rapporto è generalmente richiesta la firma, oltre che del contratto di lavoro, di numerosi altri moduli, procedure aziendali, ecc.: includere in tale set documentale anche un'informativa privacy “chilometrica”, scritta in un linguaggio giuridico e con una quantità smodata di riferimenti ad articoli di legge non sarebbe certamente in linea con il principio di trasparenza. Occorre quindi uno sforzo particolare da parte del datore di lavoro per fornire tutte le necessarie informazioni in modo chiaro.

Posto tale quadro, recentemente per i datori di lavoro è intervenuta una nuova sfida, a seguito dell'entrata in vigore, il 13 agosto 2022, del cd. Decreto Trasparenza (il d.lgs. 27 giugno 2022, n. 104 in materia di condizioni di lavoro trasparenti e prevedibili, di attuazione della direttiva europea 1152/2019). Tale Decreto (applicabile sia nel pubblico che nel privato) ha introdotto ulteriori obblighi informativi qualora il datore di lavoro utilizzi “sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell'incarico, della gestione o della cessazione del rapporto di lavoro, dell'assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l'adempimento delle obbligazioni contrattuali dei lavoratori”. Nell'esemplificare i casi in cui possono trovare applicazione gli obblighi informativi oggetto del Decreto sono stati indicati strumenti e tecnologie particolarmente invasivi come “software per il riconoscimento emotivo”, “strumenti di data analytics o machine learning, rete neurali, deep-learning”, “sistemi per il riconoscimento facciale, sistemi di rating e ranking”, ecc. L'uso di questo genere di tool nel contesto lavorativo determina un livello di rischio molto alto per i diritti e le libertà degli interessati e impone di svolgere delle considerazioni anche sulla liceità dei trattamenti dei dati, alla luce di fondamentali norme giuslavoristiche (in particolare, gli artt. 4 e 8 St. lav.) che, lo si è rimarcato fin dalle premesse, sono intrinsecamente connesse alla disciplina privacy.

Il Garante, a gennaio 2023, ha avuto modo di fornire alcune indicazioni sulla disciplina introdotta dal Decreto Trasparenza, chiarendo innanzitutto che questa è più specifica e di maggior tutela per gli interessati rispetto a quella prevista dal GDPR e ciò e pienamente compatibile con quanto previsto dall'art. 88 GDPR, in quanto introduce, a livello nazionale, misure più appropriate e specifiche con riferimento all'attuazione, nel contesto lavorativo, del principio di trasparenza.

Tra le informazioni ulteriori che il datore di lavoro, in qualità di titolare del trattamento, deve fornire all'interessato in base a questa nuova normativa rientrano: gli aspetti del rapporto di lavoro sui quali incide l'utilizzo dei sistemi decisionali o di monitoraggio automatizzati; il funzionamento dei sistemi; i parametri principali utilizzati per programmare o addestrare i sistemi decisionali o di monitoraggio automatizzati, inclusi i meccanismi di valutazione delle prestazioni; le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità; il livello di accuratezza, robustezza e cybersicurezza dei sistemi decisionali o di monitoraggio automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse. Tra gli elementi che, invece, specificano la portata di quanto già compreso negli artt. 13 e 14 GDPR, rientrano: la logica dei sistemi decisionali o di monitoraggio automatizzati (la cui indicazione è espressamente richiesta nel caso di ricorso ai processi decisionali automatizzati) e l'indicazione delle categorie di dati trattati (specificamente prevista solo qualora i dati oggetto di trattamento non siano ottenuti presso l'interessato).

Il Garante ritiene auspicabile, per evitare la frammentazione delle informazioni destinate agli interessati e nella prospettiva di una semplificazione degli adempimenti richiesti al datore di lavoro, che tutte le necessarie informazioni siano complessivamente fornite al lavoratore prima dell'inizio del trattamento, congiuntamente alle altre informazioni obbligatorie di cui agli artt. 13 e 14 GDPR. Sotto il profilo operativo, per poter rendere in modo intellegibile agli interessati tutte le informazioni richieste dal Decreto Trasparenza con riferimento a uno o più sistemi decisionali o di monitoraggio automatizzati si potrebbe fare ricorso anche a un apposito allegato dell'informativa privacy.

Il trattamento dei dati personali dei dipendenti mediante l'uso di strumenti tecnologici particolarmente invasivi determina l'applicazione, oltre che dei suddetti obblighi in materia di trasparenza, anche di ulteriori norme previste tanto dallo Statuto dei Lavoratori (come l'eventuale raggiungimento di un accordo sindacale) quanto dal GDPR. Si potrebbe rendere necessario, tra l'altro, svolgere una DPIA e mettere in atto misure per garantire l'attuazione pratica dei principi di privacy by design e by default, che potrebbero consistere anche nel ridurre al minimo indispensabile i trattamenti, nello pseudonimizzare i dati, nel migliorare le caratteristiche di sicurezza, ecc.

    c) Controlli a distanza

La questione della legittimità dei controlli a distanza da parte del datore di lavoro e dei limiti di questi richiederebbe un approfondimento molto ampio. In materia occorre infatti considerare, da un lato, l'evoluzione costante della tecnologia (che consente forme nuove e sempre più evolute di analisi e monitoraggio) e delle modalità di svolgimento del lavoro (si pensi alla diffusione sempre maggiore dello smart working) e, dall'altro, la pluralità delle fonti, visto che assumono rilevanza non solo la normativa privacy e quella giuslavoristica ma anche le linee guida e i provvedimenti del Garante e la Giurisprudenza di merito e di legittimità, trattandosi di un ambito nel quale le controversie sono assai frequenti. Capita spesso, infatti, che in caso di deterioramento del rapporto di lavoro – o, addirittura, in caso di contenzioso – fra i vari temi sollevati dal dipendente vi sia anche il mancato rispetto da parte della società dei “diritti privacy” o, comunque, delle regole in materia di trattamento dei dati, anche rispetto alle modalità di svolgimento dei controlli (magari anche sulla casella mail del dipendente prossimo all'uscita o non più in forze all'azienda).

Il citato art. 4 St. lav. prevede che gli strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori (inclusi i sistemi di videosorveglianza ed esclusi invece gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e gli strumenti di registrazione degli accessi e delle presenze, come i badge) possano essere:

  • impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale;
  • installati solo previo accordo sindacale.

Lo stesso articolo precisa che le informazioni raccolte mediante i suddetti strumenti siano utilizzabili “a tutti i fini connessi al rapporto di lavoro” (i.e. una ulteriore precisazione della limitazione delle possibili finalità) a condizione che:

  • sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli;
  • vengano rispettate le altre disposizioni della normativa in materia di protezione dei dati personali.

Con riferimento a tali ultimi punti, occorre fare riferimento anche agli aspetti evidenziati supra, rispetto alla liceità e alla trasparenza dei trattamenti. Sotto il profilo operativo, è anche necessario disciplinare mediante appositi regolamenti l'uso degli strumenti e l'effettuazione dei controlli, dando adeguata pubblicità di tale documento al personale, al momento dell'inizio del rapporto e poi ogni volta che sia necessario (e.g. quando vengano apportati aggiornamenti rilevanti). Per orientarsi in tale ambito, occorre fare riferimento innanzitutto alle Linee guida del Garante per posta elettronica e internet del 2007, nonostante siano state adottate prima dell'entrata in vigore del GDPR e in una fase in cui la tecnologia era molto meno avanzata di quanto è oggi.

Un aspetto su cui possono tipicamente incidere i controlli è l'uso della posta elettronica e di internet. In tale caso, il datore di lavoro dovrà senz'altro chiarire:

  • se, e in quale misura, si riserva di effettuare controlli, saltuari o occasionali, indicando le specifiche ragioni per cui verrebbero effettuati (es. di sicurezza) e le modalità per svolgerli, comunque in modo graduale;
  • se, in caso di violazioni, vengono inviati preventivi avvisi e effettuati controlli, per esempio sui dispositivi in uso ai dipendenti;
  • le possibili conseguenze, anche disciplinari, in caso di utilizzi indebiti.

Alcuni controlli a distanza dei lavoratori sono invece vietati, in particolare quelli tesi a verificare l'attività lavorativa in senso stretto e altre condotte personali poste in essere nel luogo di lavoro. Deve senz'altro essere evitata un'interferenza ingiustificata nella sfera personale dei lavoratori ma anche dei soggetti terzi che ricevono o inviano mail di natura personale o privata. In generale, è esclusa l'ammissibilità di controlli prolungati, costanti o indiscriminati.

Aldilà di eventuali responsabilità civili e penali del datore di lavoro in caso di simili condotte, i dati trattati illecitamente non sono utilizzabili. Non possono ad esempio ritenersi consentiti i trattamenti effettuati mediante sistemi per la lettura sistematica delle mail o delle pagine web visualizzate dal lavoratore.

In applicazione del principio di necessità, il datore di lavoro deve promuovere ogni opportuna misura, organizzativa e tecnologica, volta a prevenire il rischio di utilizzi impropri dei sistemi da cui può derivare un controllo, anche indiretto, dei lavoratori. Sotto il profilo operativo è quindi fondamentale anche lo svolgimento di accurate DPIA, per valutare quali misure approntare per annullare o mitigare i possibili rischi, e l'adozione di tutte le misure tecnologiche per minimizzare l'uso di dati identificativi (cd. privacy enhancing technologies). Ove possibile, è preferibile svolgere controlli preliminari su dati aggregati, riferiti all'intera struttura lavorativa o a sue aree più che al singolo interessato. Un controllo anonimo potrebbe concludersi con un avviso generalizzato relativo ad un rilevato utilizzo anomalo degli strumenti aziendali, con l'invito al personale ad attenersi scrupolosamente ai compiti assegnati e alle istruzioni impartite.

In conclusione, secondo un recente indirizzo giurisprudenziale (cfr. anche Cass. civ., sez. lav., 22 settembre 2021, n. 25732) esulerebbero dall'ambito di applicazione dell'art. 4 St. lav. i cd. controlli difensivi in senso stretto, ossia quelli diretti ad accertare specificamente condotte illecite ascrivibili, in base a concreti indizi, a singoli dipendenti, anche se questo si verifica durante la prestazione di lavoro. La Cassazione è tendenzialmente incline a considerare legittimi questo tipo di controlli. Occorre però assicurare un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, con un contemperamento che non può prescindere dalle circostanze del caso concreto (Cass. 26682/2017). Il controllo difensivo dovrebbe quindi essere mirato e attuato ex post, ossia a seguito del comportamento illecito di uno o più lavoratori del cui avvenuto compimento il datore abbia avuto il fondato sospetto. Se non dovessero ricorrere le suddette condizioni, la verifica della utilizzabilità a fini disciplinari dei dati raccolti dal datore dovrebbe essere condotta alla stregua dell'art. 4 St. lav.

In conclusione

Il livello di rischio collegato ai diversi trattamenti di dati personali dipende da molteplici fattori, tra cui anche la categoria di interessati coinvolti. Si è visto come il trattamento dei dati dei lavoratori ricada in una delle situazioni che il Legislatore, le Autorità di controllo privacy e le Corti hanno ritenuto essere meritevoli di tutele rafforzate, considerata la vulnerabilità di tali soggetti in un contesto in cui il datore di lavoro detiene un potere molto incisivo nei loro confronti. Tutti i profili qui analizzati – dall’utilizzo delle basi giuridiche, alle regole sulla trasparenza, ai limiti da rispettare nello svolgimento di controlli a distanza – dimostrano l’alta rischiosità che caratterizza tale ambito e la necessità, quindi, di adottare cautele specifiche per evitare di commettere violazioni potenzialmente gravi e di subire danni significativi in conseguenza di condotte illecite. Il datore di lavoro, in tale ottica, deve porre in essere tutte le misure necessarie per garantire ai propri dipendenti di godere di un livello di protezione dei dati adeguato. Le sfide per mantenere un alto livello di conformità sono considerevoli, in particolare alla luce della rapida evoluzione della tecnologia da cui derivano, oltre che innumerevoli opportunità, rischi sempre nuovi, che richiedono l’adozione di soluzioni altrettanto innovative per la loro gestione.   

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.