Guida CNIL sulle obbligazioni relative al trattamento dei dati per le organizzazioni sindacali dei dipendenti

La Guida della CNIL

L'operazione condotta dalla CNIL è di interesse e dà conto di una posizione sostanzialmente collaborativa con quegli enti, come le OO.SS. dei lavoratori (e non di parte datoriale), che hanno una funzione sociale spiccata e che per il conseguimento dei propri fini istituzionali devono raccogliere e trattare dati personali (come illustra nella prefazione).

La Guida (Guide de sensibilisation au RGPD), affronta poi concetti istituzionali della disciplina del trattamento dei dati derivante dalla normativa Europea (GDPR), per i quali rinviamo al testo non essendo informazione di valore ripeterli in questa sede, sempre illustrati con esempi concreti e/o semplificazioni grafiche funzionali ad una comunicazione chiara e connessi ad una mappa (informatica di link) delle fonti e delle illustrazioni dei concetti.

Gli esempi sono concretamente riferiti a casi pratici della specificità dell'attività sindacale (per es. sulla nozione di dati personali, a p. 7: ad esempio, un questionario presso i membri può, anche quando non  sono indicati cognomi e nomi, contenere  risposte che,  in combinazione tra  loro,  possono consentire di trovare l'identità del membro interessato. Pertanto, la raccolta di dati relativi all'età, al sesso, al ramo sindacale è suscettibile di rivelare l'identità di una persona).

L'analisi segue istituzionalmente la normativa, con alcuni aspetti di interesse su cui vale la pena spendere qualche parola in più.

       a) Le finalità del trattamento

​ Quanto alle finalità la Guida esemplifica:

• Gestione dei membri  e dei  potenziali  membri:
  • gestione  amministrativa  dei soci;
  • gestione dei  contributi;
  • gestione dei file di appartenenza e  potenziali membri.
• Gestione delle attività organizzate e dei servizi offerti dal sindacato:
  • gestione dei  dati relativi alle attività   e agli eventi dell'Unione;
  • newsletter;
  • gestione  della formazione;
  • assistenza legale.
• Gestione del  funzionamento  amministrativo del sindacato: gestione degli organi statutari.
• Gestione dei fornitori di servizi  : gestione e  monitoraggio dei contratti per la fornitura   di   beni e servizi.

Si sofferma poi sul concetto di trattamento diverso e di compatibilità (p. 11, con mappa attiva di riferimenti normativi: artt. 5 e 6.4 GDPR e art. L 1133-1, Codice del Lavoro).

         b) Titolarità del trattamento (e figure connesse)

Inutile ripeterne i concetti (con la precisazione che la Guida fa un giusto punto sulla natura di contitolarità di OOSS che trattino congiuntamente dati in relazione al proprio collegamento).

Ciò che invece è qui utile segnalare è la tabella (ben fatta) di analisi di ruolo soggettivo ed adempimenti, analitica e con adeguato riferimento normativo (a pp.14 e 15).

Analogamente utile segnalare l'esemplificazione pratica (a p. 16: esempi “Se due strutture  locali  decidono insieme di  adottare una piattaforma di gestione dei membri , queste  strutture   fungono  da  gestori congiunti. Allo stesso modo, se le informazioni dei membri sono scambiate tra diverse strutture dell'organizzazione sindacale (ndr. ad esempio strutture territoriali di diverso livello) a causa di obblighi di legge, queste strutture agiscono come contitolari del trattamento. Allo  stesso modo, se le strutture sindacali rendono comune l'attuazione di un  trattamento con altre  strutture  sindacali  nell'ambito dello stesso sito,  tutti assumono il ruolo di contitolari”).

Utile anche la spiegazione esemplificata di “subappalto” ai fini della normativa privacy (e la distinzione dalla mera fornitura di servizi: cfr. p. 17 e la chiara tabella riassuntiva di p. 18). 

     c) Condizioni di legittimità del trattamento

Uno dei messaggi chiave della guida (scheda 3) è che i sindacati dei dipendenti devono garantire di disporre di una base giuridica per il trattamento dei dati personali. Ciò significa che devono avere un motivo specifico e legittimo per trattare i dati personali, come ad esempio per adempiere ai loro obblighi come sindacato o per proteggere gli interessi dei loro membri.

Anche qui di interesse che può eccedere i confini nazionali francesi lo schema di possibili basi giuridiche per il trattamento dei dati a seconda dei diversi casi (p. 23), nonché la mappa (sempre attiva) dei riferimenti normativi (a p. 24).

      d) Quali dati raccogliere e dati particolari

Le schede 4 e 5 si riferiscono invece ai principi di raccolta e trattamento dei dati. A parte informazioni di base note, la solita mappa normativa (attiva) è utile (anche qui oltre i limiti dei confini specifici) la tabella esemplificativa di correlazione tra finalità e trattamenti possibili di dati sensibili (pp. 30 e 31 per i dati che semplifichiamo con il termine “giudiziari”). La scheda 6 invece si riferisce alla comunicazione di dati relativi agli iscritti ed esemplifica in linea pratica i casi con un utile diagramma di ragionamento (p. 33).

Analogamente utile la scheda 7, che termina con una tabella di orientamento relativa ai tempi di conservazione dei dati in relazione a gestioni e finalità. Anche qui utile a prescindere dalla geografia (pp. da 36 a 38).

      e) L'informativa sul trattamento ed i diritti degli interessati

La guida sottolinea (scheda 8), inoltre, l'importanza della trasparenza nel trattamento dei dati. I sindacati dei dipendenti devono  informare i propri membri sui dati personali che stanno raccogliendo, su come verranno utilizzati e con chi saranno condivisi. Devono inoltre ottenere il consenso esplicito dei loro membri prima di elaborare qualsiasi dato personale sensibile.

Anche qui oltrepassa la geografia l'utilità della tabella di orientamento sulle informazioni che dovrebbero essere fornite in relazione ai casi (p. 41), la scheda pratica (p. 42) e l'esempio di informativa (con la solita mappa: pp. 43 e 44).

Ugualmente utile lo schema della tabella riassuntiva dei diritti degli interessati (scheda 9, pp. 47 a 49).

      f) Il registro dei trattamenti e le valutazioni di impatto

La scheda 10 è dedicata al registro e ai criteri per determinare la necessità di fare una DPIA. Anche qui particolarmente utili e chiare la tabella esemplificativa a pp. 52 e 53), nonché la mappa dei criteri di determinazione, in relazione all'attività sindacale per una DPI (pp. 54 e 55).

      g) Misure di sicurezza e cautele nel scegliere gli strumenti di lavoro

Infine, la guida ricorda ai sindacati l'importanza della sicurezza dei dati. Devono garantire che i dati personali siano archiviati in modo sicuro e che siano in atto misure appropriate per impedire l'accesso non autorizzato, il furto o la perdita. Anche qui utile la casistica pratica esemplificata in mappe logiche per sicurezza fisica, organizzativa e logica (da pp. 56 a 58).

In conclusione

In sintesi, la guida CNIL sull'applicazione del GDPR da parte dei sindacati dei dipendenti fornisce una guida preziosa per queste organizzazioni, per aiutarli a garantire il rispetto delle normative sulla protezione dei dati. Seguendo i principi delineati nella guida, i sindacati dei dipendenti possono rafforzare quel vincolo di trust con i loro membri che ne caratterizza attività e funzione, e dimostrare il loro impegno a proteggere i dati personali.

La Guida si chiude con un Glossario, anche qui utile e chiaro (p. 61)  e due appendici (una sulle buone pratiche ed una esemplificativa della scheda di un registro).

La lettura (e la traduzione del testo per semplificarne l’accesso anche se oggi l’NLP e il Machine Learning sopperiscono significativamente) è consigliabile anche a quanti nelle OOSS siano stati designati alla responsabilità dei trattamenti dati (e non ultimi anche ai colleghi, specie quelli che assistono le OOSS).