Protezione dei dati nel rapporto di lavoro

Teresa Zappia
09 Settembre 2024

L'entrata in vigore in Italia il Regolamento UE 2016/679 (definito come GDPR) relativo alla protezione dei dati personali, nonché alla loro libera circolazione, ha comportato un notevole cambiamento in materia di Privacy e di trattamento dati. L'obiettivo della normativa sulla Privacy è quello di coordinare le norme vigenti a livello europeo e di uniformare il sistema sanzionatorio penale e amministrativo in materia, partendo da ciò che veniva previsto dal Codice della Privacy e dalle disposizioni in materia degli altri Paesi europei. 

Inquadramento

L'entrata in vigore del Regolamento 2016/679 (Regolamento GDPR - General Data Protection Regulation) ha comportato un notevole cambiamento in materia di Privacy e di trattamento dati.

Il Regolamento, infatti, introduce nuove norme finalizzate alla protezione dei diritti e delle libertà fondamentali delle persone fisiche relativamente ai dati personali.

Pur essendo tale provvedimento direttamente applicabile nei paesi dell'UE senza necessità di recepimento, il legislatore italiano è intervenuto con il D.lgs. n. 101/2018 al fin di agevolare l'aggiornamento della disciplina contenuta nel D.lgs. n. 196/2003 (Codice della privacy), eliminando, da un lato, quelle disposizioni del Codice che non potevano essere più considerate valide alla luce delle nuove disposizioni e, dall'altro, mantenendo applicabili quelle che invece venivano ancora riprese dallo stesso Regolamento.

In particolare, il decreto di adeguamento alla normativa europea ha previsto:

  • l'abrogazione delle norme incompatibili con il Regolamento o già presenti nello stesso;
  • l'introduzione di norme per le quali il Regolamento lascia spazio di intervento agli Stati membri.

Il Regolamento delinea le regole per il trattamento dei dati al fine di tutelare i soggetti interessati stabilendo l'ambito oggettivo e soggettivo, i diritti dei soggetti interessati, le norme per il trasferimento dei dati, nonché le sanzioni applicabili.

Ai nostri fini è importante rammentare alcuni principi ai quali devono attenersi gli utilizzatori dei dati personali al fine di non ledere la privacy di coloro da cui vengono reperite le informazioni. In base all'art. 6 del GDPR, infatti:

  • i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato;
  • devono essere raccolti per precise finalità esplicitate e legittimate e trattati in maniera compatibile con le stesse finalità;
  • tali dati devono essere adeguati, pertinenti e limitati, oltre che esatti e aggiornati;
  • devono essere conservati in maniera tale da consentirne l'identificazione degli interessati per un periodo non superiore a quello previsto per raggiungere le finalità;
  • gli stessi dati vanno trattati con adeguata sicurezza;
  • il titolare del trattamento deve essere in grado di comprovare il rispetto dei predetti principi (cd. responsabilizzazione o accountability del titolare del trattamento).

Il principio di responsabilizzazione è il punto cardine della riforma della normativa Privacy, considerando il passaggio da un sistema autorizzatorio ad uno basato sull'accountability (responsabilità) dei titolari e dei responsabili.

L'intervento delle autorità di controllo, pertanto, è principalmente “ex post”, ossia si colloca successivamente alle determinazioni assunte autonomamente dal titolare.

La privacy negli studi professionali

Anche i professionisti ricadono nell'ambito applicativo del Regolamento GDPR.

Pertanto, è necessario individuare le misure di sicurezza necessarie per garantire un'adeguata protezione dei dati personali trattati dal titolare del trattamento e da tutti i soggetti che a diverso titolo intervengono all'interno dello studio professionale.

Ambito soggettivo e oggettivo

Il GDPR dispone la protezione della tutela dei diritti e delle libertà fondamentali nei confronti delle persone fisiche.

In base all'art. 4 GDPR, per dati personali si intendono tutte quelle informazioni riferite direttamente o indirettamente ad una persona fisica (soggetto interessato) e che le permettono di poter essere identificata o resa identificabile.

Non rientrano nella disciplina del Regolamento i dati anonimi, cioè le informazioni che riguardano una persona fisica che non è possibile identificare.

Per trattamento dei dati personali si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.

Titolare del trattamento e responsabile

La seguente tabella fornisce una sintesi dei soggetti che possono intervenire nel trattamento dei dati.

TITOLARE DEL TRATTAMENTO

È l'entità nel suo complesso, o l'unità od organismo periferico, che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza (una persona giuridica, una pubblica amministrazione o un qualsiasi altro ente, associazione od organismo).

Si tratta di una figura che è stata nuovamente ripresa nel GDPR, all'interno del quale sono stati definiti in maniera più precisa i relativi compiti.

Il titolare del trattamento è colui il quale, nel momento in cui effettua il trattamento presso l'interessato, è soggetto, ai sensi degli artt. 13 e 14, ad obbligo di informativa, in quanto deve fornire informazioni in merito a:

  • identità e dati di contatto;
  • dati di contatto del responsabile della protezione dei dati;
  • finalità del trattamento;
  • eventuali destinatari;
  • eventuale intenzione al trasferimento dei dati personali verso un Paese terzo.

Inoltre, per consentire un trattamento più chiaro, il Regolamento prevede ulteriori informazioni da fornire, tra cui:

  • il periodo di conservazione dei dati personali;
  • il diritto dell'interessato nel richiedere l'accesso, la rettifica o la cancellazione dei dati personali;
  • la revoca al consenso;
  • il diritto a proporre richiamo all'autorità di controllo;
  • l'esistenza di un processo decisionale automatizzato;
  • conclusione del contratto.

L'art. 26 del suddetto Regolamento prevede anche la presenza di più di un titolare, definito come contitolare.

I contitolari devono determinare in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal Regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato e le rispettive funzioni di comunicazione delle informazioni di cui agli artt. 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti.

Il contenuto essenziale dell'accordo è messo a disposizione dell'interessato. Indipendentemente da ciò, l'interessato può esercitare i propri diritti nei confronti di e contro ciascun titolare del trattamento.

RESPONSABILE DEL TRATTAMENTO

Si tratta di una figura ripresa all'interno del Regolamento, il quale viene designato facoltativamente dal titolare tra soggetti che per esperienza, capacità ed affidabilità assiste il titolare del trattamento con misure tecniche e organizzative adeguate e garantisce il rispetto degli obblighi disposti dagli artt. 32-36.

Tale soggetto viene designato attraverso un contratto, il quale deve rispettare le disposizioni di cui all'art. 28, par. 3.

Sia i titolari sia i responsabili (compreso il responsabile per la protezione dei dati), in virtù del principio di responsabilizzazione sancito dall'art. 25, sono tenuti ad adottare comportamenti idonei a dimostrare il rispetto del Regolamento.

L'art. 2-quaterdecies, D.lgs. n. 196/2003 consente al titolare o al responsabile del trattamento dei dati di delegare, fermo restando la loro responsabilità e nell'ambito del proprio assetto organizzativo, specifici compiti e funzioni connessi al trattamento di dati personali a persone fisiche, espressamente designate, che operano sotto la loro autorità.

RESPONSABILE PER LA PROTEZIONE DEI DATI (RPD o DPO)

Il responsabile per la protezione dei dati è una nuova figura introdotta dal GDPR (art. 37, Regolamento GDPR). Si tratta di un soggetto che viene nominato in specifici casi, ad esempio quando:

  • il trattamento dei dati viene svolto da un'autorità pubblica;
  • le attività del titolare sono finalizzate al monitoraggio degli interessati su larga scala;
  • le attività del titolare sono finalizzate al trattamento di dati particolari e viene svolto su larga scala dei dati sensibili di cui agli artt. 9 e 10 del Regolamento.

Nei confronti della Pubblica Amministrazione la presenza di tale soggetto è ritenuta sempre obbligatoria.

Tale ruolo può essere ricoperto da:

  • un dipendente del titolare;
  • un responsabile;
  • un soggetto esterno.

L'art. 2-sexiesdecies, D.lgs. n. 196/2003 prevede che tale soggetto sia designato anche in relazione ai trattamenti di dati personali effettuati dalle autorità giudiziarie nell'esercizio delle loro funzioni.

Si tratta di un soggetto professionale per la quale non sono ancora stati stabiliti i requisiti per poter ricoprire tale carica, anche se tuttavia si ritiene che debba trattarsi di un soggetto con professionalità e competenza.

Il DPO si occupa di intervenire assieme ai soggetti sopra citati affinché il trattamento dei dati venga realizzato conformemente rispetto a quanto previsto dal Regolamento.

Oltre a tale ruolo, il DPO possiede altri compiti definiti dall'art. 39, i quali dovranno esplicitamente essere descritti all'interno del contratto.

“I DPO non rispondono personalmente in caso di inosservanza del RGPD. Spetta al titolare del trattamento o al responsabile del trattamento garantire di essere in grado di dimostrare che le operazioni di trattamento sono conformi con le disposizioni del Regolamento stesso” (Linee Guida del gruppo di lavoro “Articolo 29”).

Anche perché nei confronti di tali soggetti può essere richiesta la prova della messa in conformità del Regolamento da parte dell'Autorità Garante.

Il Garante per la protezione dei dati personali

Il Garante è organo collegiale costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato della Repubblica con voto limitato, che opera in piena autonomia e con indipendenza di giudizio e di valutazione. Alle dipendenze del Garante è posto l'Ufficio del Garante.

Anche con il GDPR la figura del Garante assume un ruolo fondamentale in qualità di autorità di controllo che ogni Stato membro deve disporre, in merito alla valutazione della conformità dei trattamenti dei dati personali rispetto al Regolamento.

Consenso al trattamento e diritti dell'interessato

Il trattamento di dati personali da parte di persone fisiche, di età superiore ai 16 anni (prima di tale età il consenso deve essere raccolto dei genitori, o di chi ne fa le veci), è ammesso solo con il consenso espresso (in forma scritta quando il trattamento riguarda dati sensibili) dell'interessato, che può riguardare l'intero trattamento o una o più operazioni.

L'interessato ha sempre il diritto di ricevere una copia dei dati personali oggetto del trattamento.

Il Regolamento prevede, all'art. 16, che l'interessato abbia diritto di ottenere la rettifica dei propri dati inesatti, o l'integrazione di dati personali incompleti.

L'interessato ha inoltre diritto di opporsi, in qualsiasi momento:

  • per motivi legittimi legati al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
  • al trattamento di dati personali che lo riguardano a fini di marketing diretto.

I diritti appena descritti sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile (anche tramite un incaricato), della quale deve essere fornito apposito riscontro entro un mese, anche in caso negativo, estendibile fino a 3 mesi in casi di particolare complessità.

Regole generali per il trattamento dei dati

La seguente tabella riassume le regole valide per tutti i trattamenti.

In tale contesto si precisa che i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.

REQUISITI DEI DATI PERSONALI OGGETTO DI TRATTAMENTO

Raccolta e registrazione per scopi determinati, espliciti e legittimi, ed utilizzazione in altre operazioni del trattamento in termini compatibili con tali scopi.

Trattamento in modo lecito, e secondo correttezza e trasparenza.

Correttezza e, se necessario, aggiornamento dei dati

Adeguatezza, pertinenza e non eccedenza rispetto alle finalità per le quali sono raccolti o successivamente trattati.

Conservazione limitata nel tempo, in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

Disposizione di misure di sicurezza tali da garantire l'integrità e la sicurezza delle informazioni.

Registro dei trattamenti

Registro dei trattamenti

Tutti i titolari e i responsabili di trattamento di dati personali, fatta eccezione per gli organismi con meno di 250 dipendenti, sono soggetti ad obbligo di tenuta del “registro dei trattamenti”, ovvero del registro all'interno del quale sono iscritte le operazioni di trattamento, i cui contenuti sono previsti dall'art. 30.

Sono tenuti, tuttavia, alla tenuta di tale registro anche gli organismi con meno di 250 dipendenti, qualora il trattamento:

  • presenti un rischio per i diritti e le libertà dell'interessato;
  • non sia occasionale;
  • includa particolari categorie di dati.

Tale registro deve essere tenuto in forma scritta o elettronica e deve essere subito esibito qualora venga richiesto dal Garante (8 ottobre 2018, il Garante per la protezione dei dati personali ha divulgato le istruzioni sul Registro delle attività di trattamento).

Misure di sicurezza e informativa

Con il GDPR sono intervenuti importanti cambiamenti in merito al sistema di sicurezza relativo al trattamento dei dati personali.

Rispetto, infatti, a quanto veniva previsto nel Codice della Privacy non ci si sofferma più su una serie di strumenti di salvaguardia, ma si cerca di individuare misure di sicurezza tali da “garantire un livello di sicurezza adeguato al rischio” (art. 32), in maniera tale da:

  • evitare di incorrere in casi di violazione di dati;
  • eliminare il rischio quando è considerato rilevante;
  • tutelare i dati quando questi vengono trasmessi a terzi;
  • dimostrare che l'azienda in questione sia a norma.

Le misure che il legislatore ha ritenuto rilevanti sono quelle di:

  • natura tecnica, come ad esempio strumenti di protezione informatica;
  • natura organizzativa, come ad esempio le regole comportamentali che devono essere assunte dai dipendenti, i ruoli e le funzioni assegnati al personale.

L'elenco delle misure di sicurezza contenute all'art. 32 non è esaustiva. Infatti, la valutazione sull'adeguatezza delle misure di sicurezza deve essere valutata caso per caso al titolare del trattamento, o al responsabile in relazione a quelli che sono i rischi individuati.

Con il GDPR è stato ampliato il contenuto dell'informativa, prevedendo all'art. 13 che, in caso di raccolta dei dati presso l'interessato, il titolare del trattamento è tenuto a trasmette le seguenti informazioni:

  • identità e dati di contatto del titolare del trattamento e del suo rappresentante;
  • i dati di contatto del responsabile della protezione dei dati;
  • le finalità del trattamento e la base giuridica;
  • qualora il trattamento si basi sull'art. 6, par. 1 lett. f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
  • gli eventuali destinatari dei dati personali;
  • l'intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo o a un'organizzazione;
  • il periodo di conservazione dei dati;
  • l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati e la rettifica o la cancellazione degli stessi, o la limitazione al trattamento;
  • il diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
  • il diritto di proporre reclamo a un'autorità di controllo;
  • se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
  • l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'art. 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica.

Notificazione delle violazioni dei dati personali

I titolari di trattamenti sono tenuti a notificare al Garante le violazioni di dati personali di cui vengono a conoscenza, entro 72 ore e senza ingiustificato ritardo (art. 33, Regolamento GPDR).

Tale notificazione avviene soltanto qualora i titolari ritengano che da queste violazioni derivino dei rischi per i diritti e le libertà degli interessati.

Contenuto notifica (art. 33, Regolamento GPDR):

  • descrizione della natura della violazione e, se possibile, le categorie e il numero dei soggetti interessati, nonché delle registrazioni;
  • nome e contatti del responsabile della protezione dei dati o di un altro soggetto da cui reperire i dati;
  • le probabili conseguenze;
  • descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Cessazione del trattamento

In caso di cessazione (per qualsiasi causa) di un trattamento i dati sono:

  • distrutti;
  • ceduti ad altro titolare, purché destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti (altrimenti la cessione è priva di effetti);
  • conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione;
  • conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alle varie disposizioni vigenti.

Tutela dell'interessato 

In linea generale, l'interessato può rivolgersi al Garante in tre differenti maniere:

  • mediante reclamo, per presentare una violazione della disciplina rilevante in materia di trattamento di dati personali;
  • mediante segnalazione, se non è possibile presentare un reclamo, al fine di sollecitare un controllo da parte del Garante sulla disciplina medesima;
  • mediante ricorso.

Privacy e diritto del lavoro

Tenuto fermo quanto sopra sinteticamente indicato, nell'ambito del rapporto di lavoro è necessario fare riferimento anche ad altri testi normativi.

Videosorveglianza

L'attenzione deve essere rivolta innanzitutto all'art. 4 St.  Lav., ossia all'impego di impianti audiovisivi e di altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori, i quali possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato le rappresentanze sindacali presso le aziende. In mancanza di accordo, l'installazione deve essere preceduta dall'autorizzazione dell'ITL competente. Tali limiti si applicano anche agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (es. pc aziendale) e agli strumenti di registrazione degli accessi e delle presenze.

Le informazioni raccolte mediante gli impianti o gli strumenti de quibus sono utilizzabili a tutti i fini connessi al rapporto di lavoro, ma è necessario che al lavoratore sia stata data adeguata informazione circa le modalità d'uso e di effettuazione dei controlli, nel rispetto della normativa a tutela della privacy.

Posta elettronica

I datori di lavoro pubblici e privati, i quali per la gestione della posta elettronica utilizzano programmi forniti anche in modalità cloud, seguono le indicazioni del Garante per la protezione dei dati personali al fine di prevenire trattamenti di dati in contrasto con la disciplina sula privacy e con le norme che tutelano la libertà e la dignità dei lavoratori.

Il Garante ha da ultimo adottato il Provvedimento del 21/12/2023 (“Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”). Tale documento ha rappresentato il prodotto di alcuni accertamenti effettuati dall'Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati anche in modalità cloud, sono configurati in modo da raccogliere e conservare - per impostazione predefinita, in modo preventivo e generalizzato - i metadati relativi all'utilizzo degli account di posta elettronica dei dipendenti. In alcuni casi, inoltre, i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.

Con il prefato provvedimento il Garante ha chiesto ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore.

Nel caso in cui sussistessero esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (es. sicurezza dei sistemi) e il datore di lavoro avesse la necessità di trattare i metadati per un periodo di tempo più esteso, dovrà espletare le procedure di garanzia previste dalla L. n. 300/1970, i.e. accordo sindacale o autorizzazione dell'ITL. L'estensione del periodo di conservazione oltre l'arco temporale fissato dal Garante può comportare, infatti, un indiretto controllo a distanza dell'attività del lavoratore.

Il Garante ha, altresì, precisato che l'impiego dei predetti programmi e servizi di gestione della posta elettronica, in assenza dell'espletamento delle procedure di garanzia di cui all'art. 4 St. Lav. prima di dare avvio alla preventiva e sistematica raccolta dei metadati relativi all'utilizzo della posta elettronica da parte dei dipendenti, e alla conservazione degli stessi per un ampio arco temporale, si pone in contrasto con la normativa in materia di protezione dei dati personali e con la richiamata disciplina di settore, in violazione degli artt. 5, par. 1, lett. a), 6 e 88, par. 1, del Regolamento, nonché dell'art. 114 del Codice sulla privacy, in relazione all'art. 4 prefato.

Altri profili di illiceità sono stati individuati nell'utilizzo ulteriore dei dati personali, raccolti in assenza delle predette garanzie. Ciò in quanto l'art. 4, co. 3, St. Lav., consente di utilizzare, per le finalità connesse alla gestione del rapporto di lavoro, solo le informazioni già lecitamente raccolte. Inoltre, dagli elementi ricavabili dai dati esteriori della corrispondenza (es. oggetto, destinatario, data e ora di invio/ricezione), nonché dagli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto, è possibile acquisire informazioni riferite alla sfera personale o alle opinioni dell'interessato, il che si pone in contrasto con il divieto di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore (art. 8 St. Lav., e art. 10 D.lgs. n. 276/2003). Si veda anche: Corte EDU, sentenza Barbulescu c. Romania del 12/1/2016 (ric. 61496/08).

Nel caso di cessazione del rapporto di lavoro, il Garante ha ritenuto integrante un illecito la condotta del datore, il quale aveva mantenuto attivo l'account di posta aziendale del dipendente, accedendo alle mail contenute nella sua casella di posta elettronica. L'ex dipendente contestava, in particolare, la mancata disattivazione della e-mail aziendale e l'accesso ai messaggi ricevuti sul suo account. Il Garante ha evidenziato che le modalità adottate dal datore non potevano ritenersi conformi ai principi sulla protezione dei dati, che impongono la tutela della riservatezza anche dell'ex lavoratore. Subito dopo la cessazione del rapporto di lavoro, un'azienda deve, infatti, rimuovere gli account di posta elettronica riconducibili a un dipendente, adottare sistemi automatici con indirizzi alternativi a chi contatta la casella di posta e introdurre accorgimenti tecnici per impedire la visualizzazione dei messaggi in arrivo. L'adozione di tali misure tecnologiche consente di contemperare l'interesse del datore di lavoro di accedere alle informazioni necessarie alla gestione della propria attività con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori oltre che di terzi. Lo scambio di e-mail con altri dipendenti o con persone esterne all'azienda consente, infatti, di conoscere informazioni personali relative al lavoratore, anche solamente dalla visualizzazione dei dati esterni delle comunicazioni, come la data, i nominativi di mittenti e dei destinatari (Provvedimento del 4 dicembre 2019).

Dati di navigazione

L'uso di internet sui luoghi di lavoro può costituire anche una “minaccia alla produttività” del lavoratore qualora finalizzato a scopi che esulano dall'esecuzione della prestazione (c.d. cyberslacking o cyberloafing).

La Corte di Cassazione ha ritenuto non applicabile la disciplina sul controllo a distanza dell'attività lavorativa di cui all' art. 4 St. Lav. quando il datore di lavoro si sia limitato a stampare la cronologia registrata sul browser di navigazione, in quanto in tal caso i dati non sono raccolti attraverso un dispositivo di monitoraggio installato ad hoc, tenuto anche conto che il prefato articolo trova applicazione soltanto a quei controlli che rilevano dati sulla produttività ed efficienza nello svolgimento dell'attività lavorativa e non, viceversa, a quelli che riguardano condotte illecite estranee alla prestazione di lavoro (Cass., sez. lav., n. 3133/2019).

Pertanto, sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all'insorgere del sospetto (Cass., sez. lav., n. 25732/2021)

Si segnala, altresì, che il Garante della privacy può sanzionare il datore di lavoro per violazione delle disposizioni sul controllo a distanza, anche se i sistemi installati di controllo della navigazione in Internet sono stati concordati con le organizzazioni sindacali (Provvedimento n. 190 del 13 maggio 2021: caso in cui il datore di lavoro aveva installato e utilizzato un sistema di registrazione degli accessi ad internet, tale da registrare la cronologia dei siti internet visitati e il tempo di navigazione per ciascun sito, nonché la memorizzazione e la conservazione di tali dati associati a ciascun dipendente per un lungo periodo di tempo).

Sistemi di geolocalizzazione

Anche i trattamenti di dati effettuati tramite dispositivi di geolocalizzazione impiegati nel contesto lavorativo sono suscettibili di determinare un trattamento illecito dei dati personali del lavoratore (Cass., sez. lav., n. 15391/2024).

La geolocalizzazione può essere anche effettuata da un soggetto separato che fornisce dispositivi e accesso a un'applicazione web, consentendo tali applicazioni la localizzazione tramite sistema GPS e il controllo sulla mappa della distanza percorsa, il calcolo dei chilometri, del tempo di viaggio e della velocità media di guida per ciascun veicolo (si vd.: Garante privacy - Provvedimento del 15 dicembre 2022).

In ogni caso, i dipendenti devono essere resi edotti, attraverso un'informativa adeguata, sulle caratteristiche del sistema di localizzazione installato a bordo dei veicoli, dovendosi procedere anche ad una preliminare valutazione di impatto degli stessi sulla protezione dei dati (art. 35 del GDPR).

Recentemente, con il Provvedimento del 14 settembre 2023, il Garante della Privacy ha ritenuto illecita la condotta del datore di lavoro che nega ai propri dipendenti l'accesso ai dati inerenti alla loro geolocalizzazione tramite sistema GPS.

Sul punto, si rinvia anche al caso Florindo De Almeida Vasconcelos Gramaxo c. Portogallo, in occasione del quale la Corte Europea dei Diritti dell'Uomo (13/12/2022, ric. n. 26968/16), pronunciandosi su un caso in cui si discuteva della legittimità del licenziamento intimato ad un informatore farmaceutico, sulla base dei dati registrati dal GPS installato sull'auto aziendale, ha escluso la sussistenza di una violazione dell'art. 8 (diritto al rispetto della vita privata e familiare) e dell'art. 6 CEDU (diritto al giusto processo). Ad avviso della Corte, prendendo in considerazione solo i dati di geolocalizzazione relativi alle distanze percorse, l'ingerenza nella vita privata del ricorrente era stata limitata e, in ogni caso, proporzionata rispetto allo scopo perseguito ossia il monitoraggio delle spese aziendali.

Sistemi decisionali o di monitoraggio integralmente automatizzati

Il D.lgs. n. 104/2022 ha introdotto l'art. 1-bis nel D.lgs. n. 152/1957. In base a tale nuova disposizione, il datore di lavoro (o il committente pubblico e privato) è tenuto a informare il lavoratore dell'utilizzo di sistemi decisionali o di monitoraggio integralmente automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell'incarico, della gestione o della cessazione del rapporto di lavoro, dell'assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l'adempimento delle obbligazioni contrattuali dei lavoratori.

Facendo salvo quanto disposto dall'art. 4 St. Lav., con riferimento a tali sistemi, il legislatore ha precisato che il datore di lavoro deve fornire le seguenti informazioni:

a) gli aspetti del rapporto di lavoro sui quali incide il loro utilizzo;

b) gli scopi e le finalità;

c) la logica ed il funzionamento;

d) le categorie di dati e i parametri principali utilizzati per programmare o addestrare tali sistemi, inclusi i meccanismi di valutazione delle prestazioni;

e) le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;

f) il livello di accuratezza, robustezza e cybersicurezza e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal GDPR il datore di lavoro deve effettuare un'analisi dei rischi e una valutazione d'impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all'articolo 36 del Regolamento medesimo.

I lavoratori, almeno 24 ore prima, devono essere informati per iscritto di ogni modifica incidente sulle informazioni fornite.

Dati biometrici – riconoscimento facciale per il controllo delle presenze

Il Garante per la protezione dei dati personali ha individuato una violazione della privacy nel riconoscimento facciale per controllare le presenze sul posto di lavoro, non esistendo una norma che consenta l'uso di dati biometrici (Provvedimento del 22 febbraio 2024). L'Autorità, intervenuta a seguito dei reclami di diversi dipendenti, ha anche evidenziato i particolari rischi per i diritti dei lavoratori connessi all'uso dei sistemi di riconoscimento facciale, alla luce delle norme e delle garanzie previste sia nell'ordinamento nazionale che in quello europeo. Le aziende, ad avviso del Garante, avrebbero dovuto più opportunamente utilizzare sistemi meno invasivi per controllare la presenza dei propri dipendenti e collaboratori sul luogo di lavoro (es. il badge).

Riferimenti

Normativi:

  • D.lgs. n. 104/2022
  • D.Lgs. 10 agosto 2018, n. 101
  • D.Lgs. 18 maggio 2018, n. 51
  • Regolamento UE 2016/679
  • Direttiva UE 2016/680
  • art. 10 D.lgs. n. 276/2003
  • D.Lgs. 30 giugno 2003, n. 196
  • Direttiva 95/46/CE
  • Legge n. 300/1970
  • art. 1-bis D.lgs. n. 152/1957

Giurisprudenza:

  • Cass., sez. lav., n. 15391/2024
  • Cass., sez. lav., n. 25732/2021
  • Corte EDU, 13/12/2022, ric. n. 26968/16
  • Cass., sez. lav., n. 3133/2019
  • Corte EDU, 12/1/2016 ric. n. 61496/08

Prassi:

  • Provvedimento del 22 febbraio 2024
  • Provvedimento del 21/12/2023
  • Provvedimento del 15 dicembre 2022
  • Provvedimento n. 190 del 13 maggio 2021
  • Provvedimento del 4 dicembre 2019

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario