Privacy: riflessi ed aspetti pratico-operativi del nuovo GDPR nell'ambito del rapporto di lavoro - Parte II

Con l'introduzione del nuovo Regolamento sulla protezione dei dati personali, in base all'ormai noto principio di “accountability”, viene lasciata alla responsabilità del titolare del trattamento, quindi all'azienda, ogni decisione in merito a quali dati trattare, su quali basi giuridiche e come realizzare il trattamento nel rispetto dei principi definiti nel GDPR e dunque dei diritti dell'interessato.

La normativa, che ha lo scopo di fornire ai cittadini una maggiore tutela dei propri dati personali, porta con sé rilevanti ripercussioni all'interno delle organizzazioni, dall'area legale a quella amministrativa, dalle risorse umane al commerciale. Diventa quindi cruciale la corretta gestione delle informazioni e dei documenti, obbligando qualsiasi azienda, pubblica o privata, a rivedere l'organizzazione dei processi e l'utilizzo degli strumenti utilizzati, in particolar modo quelli informatici.

Il primo adempimento da porre in essere è senza dubbio l'adozione del Registro dei trattamenti dei dati personali ma, a monte, è necessario comprendere l'importanza ed il valore dei dati e dei danni, anche economici, scaturenti da una probabile perdita di informazioni.

Il Registro dei trattamenti, previsto dall'art. 30 del Regolamento, consente il monitoraggio degli adempimenti ed è previsto a garanzia dei diritti previsti dal medesimo Regolamento.

L'adozione di tale Registro non è obbligatoria per il titolare del trattamento che occupi meno di 250 dipendenti. L'obbligo tuttavia prescinde dal limite dimensionale qualora i dati oggetto del trattamento presentino un rischio per i diritti e le libertà degli interessati, il trattamento non sia occasionale o includa dati sensibili, genetici, biometrici, giudiziari, così come individuati dagli artt. 9 e 10 del Regolamento. Da una prospettiva diversa, detto Registro potrebbe essere inteso come uno strumento di ausilio ed un'opportunità di monitoraggio anziché come obbligo tout court.

Si noti infatti che nella gestione complessiva dei rapporti di lavoro, sotto il profilo della Privacy, le aziende che hanno introdotto una gestione in tutto o in parte digitale delle informazioni relative ai propri dipendenti, possono trovare nella gestione documentale informatizzata un importante supporto per organizzare con chiarezza il trattamento dei dati dei propri dipendenti.

Se pensiamo che la maggior parte dei dati raccolti sono aggregati o strutturati in documenti elettronici, l'introduzione in ambito HR di processi di gestione digitale dei documenti permetterebbe di associare a specifici workflow tutti i trattamenti dei dati personali che l'azienda attua nei confronti dei propri dipendenti. Le operazioni comunemente classificate come trattamento dei dati personali si possono brevemente elencare nelle fasi di raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, modifica, estrazione, consultazione, utilizzo, comunicazione, raffronto, interconnessione, limitazione, cancellazione e distruzione.

In caso di gestione documentale elettronica, l'azienda potrebbe associare una o più di queste operazioni a ciascun documento prodotto, modificato, inviato o eliminato. Un valido Document Management System (DMS) aziendale costituirebbe l'archivio corrente di tutti i fascicoli dei dipendenti e consentirebbe di attuare più adeguate politiche di protezione dai rischi di potenziale perdita o divulgazione, così come disporre degli elementi necessari per effettuare una valutazione del danno in caso di attacchi o di eventi accidentali che possono avere causato la perdita o il sospetto di perdita di informazioni.

L'uso della firma elettronica, nelle sue varianti a seconda degli effetti giuridici del documento, permette altresì di disporre dell'evidenza relativa sia all'utilizzo dei dati che l'azienda attua sia allo svolgimento dei corretti adempimenti informativi ed alla concreta messa a disposizione dei diretti interessati delle informazioni necessarie per esercitare i propri diritti individuali.

Sul piano squisitamente pratico-operativo, definire a monte un'attenta politica di Privacy Impact Assesment (PIA) con valutazione e gestione dei rischio del singolo trattamento, mediante una corretta configurazione dei processi aziendali, consente indubbiamente di individuare eventuali Data Breach e di comunicare agli utenti interessati, nonché inviare l'avviso all'Autorità competente (artt. 33 e 34 GDPR).

Da tali riflessioni emerge il fulcro del GDPR, ossia l'approccio concettuale come metodo organizzativo delle attività secondo una logica di processi invece di un mero adattamento burocratico.

A titolo esemplificativo, mediante l'utilizzo di gestionali ad hoc il datore di lavoro (ma anche il professionista che lo assiste) potrebbe classificare i documenti sulla base della tipologia di dati che essi contengono (sensibili, comuni, giudiziari ecc.) categorizzando gli stessi ed assegnando ad ogni utente uno o più profili di accesso documentale compatibile con il suo livello di autorizzazione.

Tra gli ulteriori aspetti da considerare vi sono quelli relativi alla minimizzazione del dato e della durata temporale del trattamento che pongono in capo agli operatori ed ai professionisti, l'onere di monitorare la scadenza dei documenti archiviati e rispettare, ove richiesto, il diritto all'oblio.

TABELLA RIEPILOGATIVA REGISTRO DEI TRATTAMENTI

FAC-SIMILE SEZIONE DI REGISTRO DEI TRATTAMENTI

Non è prescritta alcuna forma obbligatoria del Registro dei trattamenti che ha una funzione prevalentemente descrittiva; pertanto, il suo contenuto deve corrispondere alla realtà dei fatti.

L'autorizzazione al trattamento dei dati consiste in un atto con il quale il titolare del trattamento può abilitare i propri dipendenti a trattare dati nell'organizzazione aziendale per le finalità della stessa. Nell'atto di autorizzazione occorre indicare l'ambito del trattamento consentito, le istruzioni sulle operazioni da svolgere in relazione al trattamento e quelle relative alla misure di sicurezza.

Sono obbligati a redigere l'autorizzazione tutti i titolari di trattamento (imprese ed enti pubblici).

Si noti che il Regolamento non contempla la figura dell' “incaricato” del trattamento che invece l'ordinamento italiano prevedeva all'art. 30 del D.Lgs. n. 196/2003 (codice Privacy), ma non ne esclude neanche la presenza (si veda l'art. 4, n. 10 del Regolamento, che definisce la figura del “terzo” indicandolo come “le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile”).

Sul punto va evidenziato che le disposizioni del D.Lgs. n. 196/2003 in materia di incaricati al trattamento erano già in linea con le disposizioni del GDPR, alla luce del principio di “responsabilizzazione” di titolari e responsabili, pertanto, anche alla luce di quanto prevede il Regolamento in materia di misure di sicurezza (art. 28, par. 3 del GDPR che impone la presenza di un atto che disciplini il trattamento da parte di un responsabile; art. 29 e art. 32, par. 4 ove si legge “chiunque agisca”) titolari e responsabili del trattamento potrebbero mantenere la struttura organizzativa e le modalità di designazione adottate in precedenza, salvo la necessaria verifica del grado di preparazione e della formazione del personale, alla luce del nuovo Regolamento.

Il GDPR prevede l'obbligo di fornire istruzioni ai soggetti autorizzati al trattamento (art. 32, par. 4) e pertanto si rende necessaria l'elaborazione di un manuale per la sicurezza da consegnare a tutti gli autorizzati, tenendo conto delle specificità e delle peculiarità dei compiti assegnati ad ognuno di essi.

Ai dipendenti “autorizzati” assunti dal 25 maggio 2018 deve essere prodotta una lettera di autorizzazione al trattamento, contenente l'ambito per cui sono autorizzati, il profilo utente rispetto alla rete aziendale e le attività di formazione sulla materia della protezione dei dati.

Considerato che il GDPR prevede l'autorizzazione del dipendente a svolgere il trattamento, si ritiene opportuno inserire nel contratto di lavoro una clausola del seguente tenore “il lavoratore è autorizzato al trattamento dei dati nei limiti delle istruzioni ricevute…” allo scopo di precostituirsi la possibilità di ricorso anche ad eventuali provvedimenti disciplinari nel caso in cui il lavoratore agisca violando le istruzioni ricevute.

L'art. 29 del Regolamento prevede che “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.”

A tale proposito la Sezione IV del Regolamento fornisce le indicazioni sulla necessità di formare il personale incaricato del trattamento dei dati personali degli interessati. Viene espressamente stabilito che sia designato un Data Protection Officer (DPO) “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e della capacità di assolvere i compiti di cui all'art. 39”.

Tra i compiti affidati al DPO l'art. 39, lett. b), prevede il compito di "formare il personale che partecipa ai trattamenti".

Dalla lettura delle disposizioni del Regolamento emerge che l'obbligo di formazione del personale è da intendersi come generalizzato ed esteso a tutti i soggetti che, all'interno di un'organizzazione complessa, trattano i dati personali degli interessati.

A questo punto diventa necessario garantire la periodicità della formazione e documentarne l'effettivo apprendimento attraverso appositi test. Ricordiamo infatti che il punto 19.6 dell'All. B) al D.Lgs n.196/2003 prevedeva l'obbligo di programmazione della formazione “già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali” e comunque in occasione dell'adozione del DPS entro il 31 marzo di ogni anno (obbligo poi venuto meno per effetto del D.L. n. 5/2012, convertito in L. n. 35/2012).

Su tale aspetto la nuova normativa non prevede nulla di specifico, ma appare coerente con la ratio dell'intera disciplina la previsione di un adeguato sistema di aggiornamento della formazione sia al momento dell'introduzione in azienda di nuove risorse o di mutamento di mansioni sia qualora si renda necessario ricorrere a nuovi strumenti, tecnologie o modalità di trattamento dei dati.

Sull'argomento è opportuno attendere ulteriori disposizioni che saranno introdotte dal singolo Stato membro.

È noto che le tecnologie alla base di mobile devices spesso consentono al datore di lavoro di gestire in remoto i dispositivi affidati ai lavoratori.

In tal senso il datore di lavoro dovrebbe dimostrare che il ricorso a tali strumenti esula dall'intento di mero controllo e di registrazione delle informazioni e che il ricorso a tale facoltà è previsto esclusivamente in casi eccezionali legati ad esempio alla sicurezza sul lavoro o allo smarrimento degli strumenti stessi.

Per favorire il corretto utilizzo degli strumenti e delle policies aziendali nel rispetto della Privacy dei lavoratori, il Gruppo di lavoro WP29 ha proposto ai datori di lavoro di offrire, ad esempio, connessioni WI-FI dedicate o spazi riservati, su computer e smartphone, cloud e posta elettronica, dove possono essere conservati documenti o inviate comunicazioni personali, non accessibili al datore di lavoro se non in casi assolutamente eccezionali.

Ricordiamo che l'art. 4, L. n. 300/1970 (Statuto dei Lavoratori) in materia di controlli a distanza, come novellato dal D.Lgs. n. 151/2015, ha legittimato il datore di lavoro all'utilizzo dei dati raccolti tramite gli "strumenti di lavoro" per tutti i fini connessi al rapporto, a condizione che sia fornita al lavoratore un'adeguata informativa sulle modalità d'uso e di effettuazione dei controlli, superando in tal modo la distinzione concettuale contenuta nella precedente formulazione dell'art. 4, tra strumenti di controllo e strumenti di lavoro.

In considerazione degli attuali sistemi di organizzazione del lavoro basati sempre più frequentemente sull'utilizzo di tecnologie e di strumentazioni utili ad effettuare la prestazione e al contempo di controllo costante dell'attività del lavoratore, il rispetto della normativa in tema di trattamento dati assume il connotato di conditio sine qua non, atta a stabilire il confine tra un comportamento legittimo del datore di lavoro in materia di controlli ed eventuali scelte arbitrarie poste in essere in violazione della normativa vigente e dei principi sanciti dagli artt. 2 e 15 della Costituzione, anche con eventuali riflessi penali (si pensi all'art. 616 c.p., comma 4).

Tra i principi a tutela della Privacy in materia di lavoro, il Garante aveva già precisato, in un vademecum pubblicato ad aprile 2015, che i dati possono essere trattati solo dal personale incaricato assicurando che gli stessi siano protetti da intrusioni e da illecita divulgazione attraverso idonee misure di sicurezza.

Il trattamento, secondo il Garante, deve rispettare due principi fondamentali: il principio di necessità, secondo cui i sistemi informatici vanno configurati riducendo al minimo l'utilizzo di informazioni personali e di identificazione, ed il principio di correttezza, che si caratterizza nel rendere noto ai lavoratori il carattere essenziale del trattamento.

In ogni caso, il trattamento deve essere effettuato per finalità determinate, rispettando i limiti di pertinenza e di non eccedenza.

La Corte di Cassazione si è espressa recentemente, a conferma di altre pronunce del passato (ex plurimis Cass. civ, sez. trib., 6 ottobre 2010, n. 20722; Cass. n. 34842/2011; Cass. sez. un., 13 febbraio 2015, n. 2890), stabilendo che i “controlli difensivi", posti in essere dal datore mediante l'installazione di apparecchiature nei luoghi di lavoro, possono essere effettuati solo se la videoripresa non è mirata a verificare l'espletamento dell'obbligazione derivante dal contratto di lavoro e avviene nel rispetto del principio di libertà e dignità del lavoratore, che costituisce un “limite oggettivo invalicabile all'esercizio incondizionato del diritto del datore di lavoro a tutelare il patrimonio aziendale”.

Oltre all'ipotesi classica della videosorveglianza, oggigiorno le possibilità di controllo dei lavoratori sono molteplici ed è possibile attuarle con modalità che fino a poco tempo fa erano inimmaginabili, basti pensare ai devices concessi in dotazione, alla presenza sui social network, all'utilizzo della posta elettronica o addirittura alla localizzazione geografica (geolocalizzazione).

Le violazioni connesse al controllo a distanza dei lavoratori sono oggetto di un numero sempre maggiore di segnalazioni inviate dal Garante all'autorità giudiziaria, e i precedenti giurisprudenziali non mancano in questo campo.

La riformulazione delle norme sul controllo a distanza dei lavoratori da parte dell'art. 23 del D.Lgs. n. 151/2015 ha però creato diverse difficoltà interpretative (in particolare rispetto all'uso dei moderni sistemi digitali di controllo), al punto da sollevare dubbi di compatibilità col principio di tassatività. A questo proposito, si sarebbe potuto pensare di intervenire ulteriormente sulle norme in questione proprio durante l'adeguamento del nostro ordinamento al GDPR, ma l'occasione non sembra essere stata colta dal legislatore italiano che, tra l'altro, ha mostrato di essere in netto ritardo nell'adozione di una norma di coordinamento rispetto alla data di applicazione del Regolamento.

L'Autorità Garante ha fornito una definizione di “strumenti di lavoro” ai sensi dell'art. 4, comma 2 dello Statuto dei lavoratori, con provvedimento del 13 luglio 2016, pubblicato nella Newsletter n. 419 del 15 settembre 2016, esaminando una fattispecie di trattamento dati relativa all'utilizzo della posta elettronica e di internet da parte dei dipendenti di un Ateneo.

A tale riguardo ricordiamo che, con Nota del 18 giugno 2015, il Ministero del Lavoro aveva affermato che la nuova versione dell'art. 4 non "liberalizza" i controlli da parte del datore di lavoro, ma si limita a chiarire che "non possono essere considerati strumenti di controllo a distanza" gli strumenti assegnati al lavoratore "per rendere la prestazione lavorativa" (anni addietro avremmo parlato di "attrezzi di lavoro"), come pc, tablet e cellulari.

Il Ministero ha quindi precisato che, ove tali strumenti vengano modificati (ad esempio, con l'aggiunta di appositi software di localizzazione o di filtraggio) per controllare il lavoratore, tali modifiche potrebbero essere apportate esclusivamente con l'accordo sindacale o con l'autorizzazione della Direzione territoriale del lavoro, pertanto si torna nel campo di applicazione del primo comma dello stesso art. 4.

Peraltro, è stato evidenziato che, stante la formulazione generica della norma, il Ministero avrebbe fornito un'interpretazione insufficiente, ignorando altri "strumenti" e tecnologie che potrebbero essere concretamente utilizzati nello svolgimento della prestazione lavorativa e, in ogni caso, non risolverebbe la questione inerente il discrimine tra strumento conferito al lavoratore per svolgere la prestazione (ad esempio un veicolo fornito al lavoratore dell'autotrasporto) e strumento indirettamente correlato alla prestazione lavorativa (con riferimento al precedente esempio, veicolo dotato di rilevatore GPS, la cui utilità è, tra l'altro, indubbia ai fini assicurativi e/o di sicurezza).

Ai fini della presente trattazione, basti osservare che il Garante ha precisato che nella nozione di "strumenti di lavoro" di cui all'art. 4 più volte citato, secondo comma, possono ricomprendersi solo "servizi, software o applicativi strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza".

Da tale prospettiva ed a titolo di mera esemplificazione, possono essere considerati "strumenti di lavoro" alla stregua della normativa sopra indicata il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale) e gli altri servizi della rete aziendale, fra cui il collegamento ai siti internet.

Costituiscono parte integrante di questi strumenti anche i sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta "envelope" del messaggio, per una breve durata; sistemi di filtraggio antivirus e antimalware che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l'erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso).

È facile comprendere che l'intervento del Garante non è risolutivo e non chiarisce in maniera definitiva la problematica, che necessita di una valutazione da effettuarsi caso per caso, atta a verificare la "stretta funzionalità" di un software o di un applicativo rispetto alla prestazione lavorativa (anche in termini di sicurezza) anche in relazione alla specifica attività svolta dal lavoratore e/o del settore nel quale egli opera.

La posta elettronica è ormai un sistema imprescindibile di comunicazione e di diffusione documentale e di dati talvolta anche personali.

La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili, questo si ricava innanzitutto dal principio ex art. 15 della nostra Carta costituzionale. Sotto gli aspetti giuslavoristici va rilevato che i programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi ad internet sono considerati strumenti di controllo quando consentono al datore di lavoro il controllo a distanza, anche in via continuativa, dell'attività lavorativa.

Il GDPR non tratta in modo esplicito l'argomento ma dall'analisi della giurisprudenza in materia e delle pronunce dell'Autorità Garante succedutesi negli anni, derivano alcuni importanti principi a cui attenersi nell'uso di tale strumento. In premessa è bene distinguere gli obblighi derivanti dalla normativa strettamente giuslavoristica, in particolare l'art. 4 e l'art. 8 della L. n. 300/1970, che disciplinano rispettivamente la materia dei controlli a distanza e delle indagini sulle opinioni dei lavoratori, dagli obblighi che invece attengono a principi stabiliti in materia di trattamento dati personali.

Le due discipline si intersecano, prova ne è lo stesso art. 4, comma 3, in cui viene precisato che tutte le informazioni raccolte con qualsivoglia mezzo di controllo devono essere utilizzate nel rispetto della disciplina sulla Privacy, subordinando l'utilizzo delle stesse ad una adeguata informativa circa le modalità d'uso degli strumenti nel rispetto di quanto disposto dal Codice Privacy e, adesso, dal Regolamento UE 679/2016.

Vi è infatti il rischio che in un eventuale procedimento disciplinare il lavoratore, pur nel rispetto da parte del datore di lavoro dei precetti di cui all'art. 4, potrebbe eccepire la violazione della normativa in materia di trattamento dati personali come causa di inammissibilità delle prove eventualmente raccolte dal datore.

Il mancato rispetto di detta disciplina non consente l'utilizzabilità dei dati acquisiti, ad esempio, per eventuali sanzioni disciplinari (in tal senso Cass. sez. lav., 23 febbraio 2010, n. 4375). Alcune pronunce giurisprudenziali, in verità di natura penalistica, hanno legittimato i controlli difensivi da cui derivi un'attività di vigilanza costante sull'attività del lavoratore, in ragione dell'esigenza di salvaguardare il diritto di difesa del datore di lavoro anche in sede giudiziale (ex plurimis Cass. n. 34842/2011 e Cass. sez. trib. n. 20722/2010).

La materia è da sempre dibattuta: un primo orientamento considera leciti i controlli effettuati dal datore di lavoro sulla posta elettronica aziendale, anche se utilizzata dai dipendenti, in considerazione del fatto che la mail ed internet sono strumenti di proprietà del datore di lavoro, messi a disposizione dei dipendenti per lo svolgimento delle loro prestazioni lavorative, (ordinanza Trib. Milano 10 maggio 2002).

L'eventuale attività di controllo, indirizzata all'accertamento di condotte illecite del dipendente, però non è esente da limitazioni legate al diritto di riservatezza ed al principio di inviolabilità delle comunicazioni. Anche il Tribunale di Torino (sentenza del 20 giugno 2006 - Sezione distaccata di Chivasso) ha ribadito che se il datore di lavoro legge la posta elettronica del dipendente non si configura un controllo sulle attività del lavoratore, atteso che la mail aziendale è un mezzo di comunicazione messo a disposizione del lavoratore al solo fine di consentirgli lo svolgimento della propria attività lavorativa.

In particolare, l'accesso alla posta elettronica è stato ritenuto possibile e legittimo, utilizzando una password la cui conoscenza sia stata in precedenza legittimamente acquisita dal soggetto preposto alla custodia delle parole chiave, pertanto un superiore gerarchico. L'archiviazione della password consentirebbe, in caso di necessità urgenti ed in assenza del lavoratore, l'accesso al suo computer e ai suoi contenuti, per esigenze esclusivamente aziendali.

Gli orientamenti più recenti e le ultime disposizioni dell'Autorità Garante tendono a vietare o comunque a limitare fortemente l'accesso alla posta elettronica dei lavoratori.

Nello specifico le Linee Guida prevedono espressamente che il datore di lavoro possa trattare i dati personali dei lavoratori, derivanti dall'uso di internet e dell'account aziendale, purché questi ultimi siano stati preventivamente informati sulle modalità e condizioni d'uso degli strumenti aziendali, sulle forme e sui casi di controllo da parte del datore di lavoro e sulle conseguenze, anche di natura disciplinare, applicabili qualora si verifichi un indebito utilizzo degli strumenti individuati (Corte Europea dei Diritti dell'Uomo n. 61496/2008).

L'informativa deve essere attuata mediante la redazione, adozione e diffusione di una policy interna, quindi il datore di lavoro è tenuto ad adottare ogni misura possibile per prevenire il rischio di utilizzi impropri, così da limitare i controlli sui dipendenti.

In media res dalle varie pronunce dell'Autorità Garante è possibile delineare il quadro dei principi applicabili al trattamento dei dati personali mediante l'utilizzo di posta elettronica aziendale; tra queste, il recente provvedimento n. 53 del 1° febbraio 2018 che trattando dell'effettuazione di controlli sul contenuto della corrispondenza elettronica dei dipendenti, riepiloga i principi a cui deve rispondere tale trattamento.

Nel caso di specie la società conservava sul server aziendale tuttele comunicazioni elettroniche spedite e ricevute sugli account assegnati ai propri dipendenti, a prescindere dalle mansioni, per l'intera durata del rapporto di lavoro ed anche successivamente all'interruzione dello stesso.

Ciò avveniva al fine di precostituire elementi utili alla difesa in giudizio da parte della società contro futuri ed eventuali contenziosi. Di detti trattamenti non risultava che la società avesse fornito informativa ai dipendenti circa le modalità né in merito alle finalità ed alla conservazione. A censura di tale comportamento del datore di lavoro, il Garante ha rilevato il contrasto con l'obbligo posto in capo al titolare del trattamento di fornire una preventiva informativa all'interessato in ordine alle caratteristiche essenziali dei trattamenti effettuati nonché con il principio di correttezza, anche in riferimento a quanto specificato nelle "Linee Guida per posta elettronica e internet" del 1 marzo 2017, nelle quali si legge che grava sul datore di lavoro "l'onere di indicare (…), chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli". L'informativa ai dipendenti deve altresì indicare le operazioni di trattamento che possono essere effettuate dall'amministratore di sistema per finalità connesse alla fornitura del servizio (cfr. Provv. dell'Autorità Garante 27 novembre 2008, in GU n. 300 del 24 dicembre 2008, modificato con Provvedimento del 25 giugno 2009, "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema").

Quali sono pertanto i principi desumibili dai Provvedimenti del Garante?

Dall'analisi della pronuncia in commento emerge che la conservazione dei dati e del contenuto di tutte le comunicazioni elettroniche scambiate dai dipendenti attraverso gli
account aziendali, allo scopo di poter ricostruire gli scambi di comunicazioni tra gli uffici interni nonché tutti i rapporti intrattenuti con interlocutori esterni (clienti, fornitori, enti assicurativi etc.), effettuata da soggetti diversi dal titolare della specifica casella di posta elettronica per l'intera durata del rapporto di lavoro e successivamente all'interruzione dello stesso, non risulta conforme ai principi di liceità, necessità e proporzionalità del trattamento. L'Autorità Garante ha affermato che "lo scopo di predisporre strumenti per l'ordinaria ed efficiente gestione dei flussi documentali aziendali può ben essere perseguito ˗ conformemente alle disposizioni vigenti oltre che più efficacemente con strumenti meno invasivi per il diritto alla riservatezza dei dipendenti e dei terzi, rispetto alla sopra descritta attività di sistematica ed estesa conservazione delle comunicazioni elettroniche, che risulta pertanto non necessaria né proporzionata rispetto allo scopo."

Pertanto, i primi principi da rispettare sono quelli di liceità, necessità (quindi non eccedenza) e proporzionalità e non sono ammessi trattamenti per finalità eterogenee; a monte però non dobbiamo dimenticare l'obbligo in capo al titolare del trattamento di fornire un'informativa preventiva all'interessato in ordine alle caratteristiche essenziali del trattamento, con riferimento a quelli effettuati sulla posta elettronica aziendale anche dopo la cessazione del rapporto di lavoro.

È sempre necessario analizzare l'esistenza di un bilanciamento tra interesse del titolare ad accedere alle informazioni necessarie ad una efficiente gestione della propria attività e le legittime aspettative di riservatezza della corrispondenza dei dipendenti. Di particolare interesse risulta poi la precisazione del Garante posta in relazione alle intenzioni del datore di lavoro di trattare e conservare i dati della posta elettronica al fine di precostituirsi utili strumenti di difesa in caso di eventuali contenziosi, laddove si legge che "il trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti, posto che tale estensiva interpretazione avanzata dalla società risulterebbe elusiva delle disposizioni sui criteri di legittimazione del trattamento". Resta vietata la raccolta sistematica e massiva di dati, per un periodo non predeterminato o comunque eccessivamente ampio, in quanto contrari altresì ai principi statuiti nell'art. 4 della L. n. 300/1970. Da ultimo il Garante ricorda che, nonostante le modifiche apportate al citato art. 4 dall'art. 23 del D.Lgs. n. 151/2015, qualora "siano attivate caselle di posta elettronica – protette da password personalizzate – a nome di uno specifico dipendente, quelle «caselle» rappresentano il domicilio informatico proprio del dipendente (…). La casella rappresenta uno «spazio» a disposizione – in via esclusiva – della persona, sicché la sua invasione costituisce, al contempo, lesione della riservatezza" (Cass. 31 marzo 2016, n. 13057) "tanto più che l'assenza di un'esplicita policy al riguardo può determinare una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione".

Per quel che concerne i trattamenti effettuati sulla posta elettronica aziendale dopo la cessazione del rapporto di lavoro, la disposizione del Garante fin qui esaminata ribadisce un concetto già esposto in precedenti pronunce (si veda tra gli altri il Provvedimento del 22 dicembre 2016, in cui l'Autorità afferma che risulta non conforme ai principi di necessità, pertinenza e non eccedenza, la conservazione per dieci anni su server aziendali sia dei dati esterni che dei contenuti delle comunicazioni elettroniche. Tale periodo di conservazione applicato indistintamente a tutte le e-mail scambiate non appare infatti commisurato alle ordinarie necessità di gestione dei servizi di posta elettronica, comprese le esigenze di sicurezza dei sistemi) riaffermando che gli account riconducibili a persone identificate o identificabili devono essere rimossi previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all'attività professionale del titolare del trattamento.

Oltre al caso operativo degli ex lavoratori, risultano meritevoli di attenzione le regole attinenti agli account dei lavoratori assenti temporaneamente dal servizio (si pensi ai casi di congedo, ferie, malattia, ecc.). Il Garante si è occupato del tema nelle Linee Guida per posta elettronica e internet suggerendo alcuni accorgimenti tecnici che possono risultare utili al datore di lavoro anche alla luce del nuovo Regolamento.

Lo scopo è sempre quello di contemperare le esigenze organizzative e produttive con la necessità di prevenire illecite intrusioni nella sfera personale dei lavoratori, tra gli accorgimenti:

• mettere a disposizione dei lavoratori, anche attraverso prescrizioni ad hoc che ne prevedano l'uso, apposite funzionalità di invio automatico, in caso di assenze programmate (ad esempio per ferie o lavoro fuori sede), di messaggi di risposta contenenti le coordinate di un altro soggetto o altre modalità di contatto della struttura;
• in caso di eventuali assenze non programmate (ad esempio per malattia), qualora il lavoratore non possa autonomamente attivare le predette procedure (anche avvalendosi di servizi webmail) prevedere la possibilità di intervento del titolare del trattamento mediante personale appositamente incaricato (ad esempio, l'amministratore di sistema).

È doveroso infine fornire qualche precisazione sull'utilizzo di internet da parte dei lavoratori. Brevemente, per quanto riguarda la navigazione web nelle Linee Guida per posta elettronica e internet il Garante ha affermato che il datore di lavoro, per ridurre il rischio di un uso improprio di internet da parte del lavoratore, può individuare delle categorie di siti non correlati con la prestazione lavorativa, può configurare un sistema di filtri per prevenire il download di determinati files o software o trattare i dati in forma anonima.

Resta inteso che un software che permetta il collegamento tra i dati relativi alla connessione e la persona utilizzatrice, consentendo di risalire anche indirettamente all'attività svolta, non può invece essere considerato uno “strumento utilizzato dal lavoratore per rendere la prestazione lavorativa” e si pone in contrasto con il principio di liceità e con la disciplina lavoristica sin qui delineata. (si veda Provvedimento del Garante del 13 luglio 2016).

La localizzazione geografica ha assunto sempre più importanza nella nostra società, grazie al rapido sviluppo tecnologico e all'ampia diffusione di dispositivi mobili intelligenti che permettono l'uso di tali tecnologie per scopi commerciali, informativi, di sicurezza e prevenzione contro gli atti illeciti.

Trattandosi di strumenti che consentono l'individuazione ed il controllo è chiaro che l'oggetto di tale individuazione non sono solo merci o veicoli ma potrebbe trattarsi anche di individui e in particolar modo di lavoratori.

L'INL, con Circolare n. 2/2016, ha chiarito che i sistemi di geolocalizzazione rappresentano ordinariamente un elemento aggiunto agli strumenti di lavoro, non considerabili essenziali per l'esecuzione dell'attività lavorativa, ma, per rispondere ad ulteriori esigenze, pertanto, per la loro istallazione è necessario un accordo sindacale.

La Circolare ha indicato quando i sistemi di geolocalizzazione sono vietati e quando, invece, in casi particolari, l'utilizzo degli stessi è considerato lecito.

Innanzitutto, l'Ispettorato ha chiarito che l'utilizzo del GPS è sempre vietato, sottolineando che l'art. 4 dello Statuto dei Lavoratori vieta ai datori di lavoro i controlli a distanza dei lavoratori con impianti e attrezzature che non sono considerate primarie ed essenziali per l'esecuzione dell'attività lavorativa ma per rispondere ad esigenze ulteriori di carattere assicurativo, organizzativo, produttivo o per garantire la sicurezza del lavoro.

In tali casi, l'installazione può avvenire solo previo accordo stipulato con la rappresentanza sindacale o previa autorizzazione da parte dell'Ispettorato del lavoro (art. 4, comma 1, L. n. 300/1970).

Tuttavia, qualora l'installazione del sistema GPS sia richiesta da specifiche normative di carattere legislativo o regolamentare (ad esempio l'uso dei sistemi GPS per il trasporto di portavalori), si può ritenere che si tratti di strumenti di lavoro e la loro istallazione è da ritenersi lecita.

Il Gruppo di lavoro WP 29, a livello europeo, ha evidenziato, nell'Opinion n. 2/2017, l'importanza di implementare il principio della cd. Privacy by design nella scelta della soluzione più “amichevole” quando sono coinvolte tecnologie di geolocalizzazione dei lavoratori e la necessità di verificare se l'uso di tecnologia volte al monitoraggio sistematico di dati dei dipendenti imponga una valutazione preventiva d'impatto ai sensi dell'art. 35 del GDPR.

In tale documento viene efficacemente descritta una serie di ipotesi di trattamento dei dati che possono verificarsi con riferimento alle nuove tecnologie. In particolare sono indicate le tecnologie che permettono al dipendente di lavorare da remoto o l'utilizzo dei cd. BYOD (“Bring your own devices”), ossia dei dispositivi personali a scopi lavorativi: in questi casi è necessario adottare delle misure che permettano di rendere inaccessibili al datore di lavoro quelle parti del dispositivo volte al solo uso personale.

Con particolare riguardo ai sistemi di geolocalizzazione utilizzati nell'ambito di un rapporto di lavoro, il WP29 afferma che qualora i datori di lavoro avessero un interesse legittimo a localizzare un veicolo, occorre innanzitutto valutare se il trattamento per tali scopi è necessario e se l'effettiva attuazione rispetta i principi di proporzionalità e sussidiarietà.

Laddove è invece consentito l'uso privato di un veicolo professionale, data la delicatezza dei dati sulla posizione, è improbabile che vi sia una base legale per monitorare le posizioni dei veicoli dei dipendenti al di fuori dell'orario di lavoro concordato. Tuttavia, se dovesse esistere una tale necessità, dovrebbe essere considerata un'implementazione proporzionata ai rischi e la misura più importante che un datore di lavoro può adottare per garantire la conformità a questi principi è l'offerta di una clausola di esclusione: in linea di massima il dipendente dovrebbe avere la possibilità di disattivare temporaneamente il rilevamento della posizione in circostanze particolari come ad esempio recarsi per visita personale da un medico.

In questo modo, il dipendente può proteggere di propria iniziativa determinati dati sulla posizione essendo essi privati. Il datore di lavoro deve garantire che i dati raccolti non vengano utilizzati per ulteriori elaborazioni illegittime, come il monitoraggio e la valutazione dei dipendenti e deve anche informare chiaramente questi ultimi che un dispositivo di localizzazione è stato installato su un veicolo aziendale che stanno guidando e che i loro movimenti vengono registrati mentre stanno usando il veicolo. Preferibilmente, tali informazioni dovrebbero essere fornite in ogni veicolo, alla vista del conducente.

Il WP 29 rimanda poi a quanto affermato nel Parere n. 13/2011 sui servizi di geolocalizzazione su dispositivi mobili intelligenti ribadendo che i dispositivi di tracciamento del veicolo non sono dispositivi di rilevamento del personale. La loro funzione è di tracciare o monitorare la posizione dei veicoli in cui sono installati.

I datori di lavoro non dovrebbero considerarli come dispositivi per tracciare o monitorare il comportamento o la sorte dei conducenti o altro personale, ad esempio inviando avvisi in relazione alla velocità del veicolo. Inoltre, come affermato nel Parere n. 5/2005 del WP29 sull'uso dei dati di localizzazione al fine di fornire servizi a valore aggiunto, l'elaborazione dei dati relativi all'ubicazione può essere giustificata laddove avviene come parte del monitoraggio del trasporto di persone o beni o del miglioramento della distribuzione di risorse per servizi in località sparse (ad esempio pianificazione delle operazioni in tempo reale) o laddove venga perseguito un obiettivo di sicurezza in relazione al dipendente stesso o ai beni o ai veicoli a suo carico.

Viceversa, il gruppo di lavoro ritiene che il trattamento dei dati sia eccessivo qualora i dipendenti siano liberi di organizzare le loro modalità di viaggio come desiderano o dove è fatto al solo scopo di monitorare le prestazioni di lavoro, laddove questo possa essere monitorato con altri mezzi, naturalmente leciti. Per ciò che concerne l'implementazione e gestione dei sistemi di localizzazione, verrà presumibilmente eliminato l'obbligo di notifica al Garante, ma contemporaneamente dovranno essere predisposte informative più precise e puntuali, proprio in attuazione del principio di “accountability” ritenuto il pilastro su cui poggia l'intera nuova disciplina e che comporta un atteggiamento di responsabilizzazione ed un obbligo di rendicontazione.

Con Provvedimento n. 247/2017, tra i più recenti, il Garante italiano si è pronunciato in relazione al trattamento, da parte di una società fornitrice di servizi di igiene urbana, dei dati relativi alla localizzazione geografica dei propri dispositivi mobili e dei propri lavoratori. La pronuncia è nata da una richiesta di verifica preliminare presentata dalla società e relativa ad un sistema GPS installato su automezzi e apparati mobili in dotazione ai dipendenti.

Il Garante ha ammesso il trattamento dei dati relativi alla ubicazione dei lavoratori, in quanto basato su un legittimo interesse della società, consistente nel perseguimento di esigenze organizzative di ottimizzazione dell'impiego delle risorse, di sicurezza del lavoro (tutela del personale impiegato in zone del territorio particolarmente pericolose) e di tutela del patrimonio aziendale (prevenzione di furti agli automezzi); ha però precisato che lo stesso, nel rispetto dei principi di necessità e proporzionalità del trattamento, non possa esplicarsi in una rilevazione in tempo reale dei dati di localizzazione dei dispositivi mobili (e dei lavoratori) addetti al servizio, dovendo invece consistere in una rilevazione “ad eventi”, volta a geolocalizzare il dispositivo mobile solo nel momento in cui lo stesso raggiunge un punto di raccolta rifiuti precedentemente georeferenziato.

Il Garante Privacy, inoltre, ha precisato che i dati raccolti dal sistema di geolocalizzazione (codice del dispositivo e posizione geografica) non sono dati “anonimi” in quanto, se incrociati a quelli degli operatori (nome operatore e turno assegnato) presenti nel sistema di predisposizione dei turni, permettono di definire l'identità e la posizione del dipendente cui è stato assegnato uno specifico dispositivo.

Dall'analisi dei provvedimenti del Garante in materia emerge che i datori di lavoro devono poter accedere alle funzioni di geolocalizzazione senza accedere ad altri dati come controllo della prestazione, traffico telefonico, SMS, posta elettronica o traffico voce, considerato che il trattamento dei dati legato tali tipologie di strumenti presenta rischi specifici per la libertà, i diritti e la dignità del dipendente.

Quali sono gli elementi utili per addivenire ad un accordo efficace?

In primo luogo va ricordato che, trattandosi di strumenti che implicano la possibilità del controllo dell'attività dei dipendenti, ai sensi dell'art. 4, comma 1 della L. n. 300/1970, l'accordo va concluso tra la parte datoriale e le rappresentanze sindacali o, in assenza, con l'intervento dell'Ispettorato del Lavoro. Considerato che gli strumenti in questione sono spesso visti con una certa ostilità, è opportuno predisporre un documento organico che affronti ogni aspetto, allineato alle indicazioni del Garante e redatto in aderenza alla situazione concreta dell'azienda e del business o servizio offerto.

A titolo esemplificativo: vanno individuate in maniera chiara e ben comprensibile le ragioni per le quali l'impresa ha deciso di utilizzare strumenti che permettono la geolocalizzazione, va identificato il software installato nei dispositivi mobili e deve consentire al lavoratore di essere attivato e disattivato per essere utilizzato solo in orario di lavoro (si pensi al caso degli smartphone); il software deve essere congegnato in modo da non attivarsi automaticamente e non deve interagire o registrare dati (neanche in background) con altre applicazioni del dispositivo, inoltre deve essere visibile quando è attivo; la trasmissione dei dati di localizzazione non deve essere continua e non deve essere possibile la storicizzazione dei trattamenti, pertanto i dati devono essere man mano eliminati all'arrivo degli aggiornamenti, preferibilmente attraverso un canale criptato di trasmissione; i soggetti che possono accedere ai dati che vengono trasmessi (compreso il personale tecnico che è autorizzato ad intervenire in caso di guasti o malfunzionamenti) devono essere previamente e specificatamente individuati ed autorizzati ed il loro elenco deve essere noto.

Deve essere noto l'elenco di questi addetti; pur non essendo necessario il consenso dei singoli lavoratori, l'azienda deve rendere nota ed comunicare efficacemente ai propri dipendenti un'opportuna e completa informativa e deve porre in essere tutte le opportune misure minime di sicurezza previste dal GDPR nonché quelle relative all'utilizzo di internet e posta elettronica.

Impronte digitali, riconoscimento facciale, scansione dell'iride oppure riconoscimento della struttura del palmo della mano sono i dati biometrici di cui si parla sempre più spesso, grazie ai continui sviluppi della tecnologia.

I dati biometrici rientrano indubbiamente nella categoria dei dati personali e, in quanto tali, sono sottoposti a regolamentazione normativa per quanto riguarda il loro utilizzo e la loro tutela.

La definizione di tali dati, è contenuta nell'art. 4 , par. 14 del GDPR, che li definisce come “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici”.

Come avviene in pratica il trattamento tecnico di tali dati?

Il trattamento si attua in due fasi: nella prima fase solitamente un apposito lettore acquisisce il dato (impronta digitale, scansione della retina, conformazione del palmo); nella seconda fase, una componente software confronta il dato appena analizzato con quelli raccolti in precedenza e verifica che corrisponda ad una determinata persona.

Per quanto concerne gli aspetti legati alla Privacy, va precisato che ciò che viene salvato dal lettore, per poi essere confrontato ad ogni successivo tentativo di accesso, non è una fotografia o una scansione, ad esempio, dell'impronta digitale, ma una rappresentazione matematica; pertanto, ciò rende più difficile la sottrazione o la riproduzione dei dati in essa contenuti. Un ulteriore aspetto di sicurezza consiste nella mancanza di registrazione del dato raccolto da parte del fornitore del servizio.

L'utilizzo dei dati biometrici come password di accesso ai propri dispositivi permette, quindi, agli utenti una maggiore sicurezza, in quanto risulta molto più difficile accedere senza permesso ad un telefono o computer protetto da riconoscimento facciale o scansione dell'impronta digitale rispetto allo stesso dispositivo protetto da una semplice password, dall'altro richiede anche una maggior tutela poiché si tratta di dati estremamente sensibili, unici, che possono essere utilizzati per identificare in maniera inequivocabile la persona fisica alla quale appartengono.

Proprio per la delicatezza e l'importanza che questi dati hanno, il GDPR (art. 9, par. 1) stabilisce che “È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.”

Al successivo par. 2 la norma, però, prevede una serie di deroghe al principio generale, ossia quando:

1. l'interessato stesso ha autorizzato il trattamento per una o più finalità specifiche (ad esempio nei casi dell'identificazione tramite impronta digitale), tranne nei casi in cui la legge non gli permette di disporre dei propri dati;
2. il trattamento è necessario in ambito lavorativo o della sicurezza sociale e collettiva;
3. l'utilizzo di questi dati è necessario per la protezione di un interesse considerato vitale dell'interessato o altra persona fisica, ovvero quando questi si trova nell'impossibilità materiale o giuridica di prestare il proprio consenso;
4. l'utilizzo si ritiene necessario in un procedimento giudiziario o per esercitare, accertare o difendere un proprio diritto;
5. esistano particolari motivi d'interesse pubblico, previsti normativamente. Tali motivi devono in ogni caso essere proporzionati alla finalità perseguita e devono essere presenti delle misure di sicurezza adeguate per la tutela dei diritti fondamentali del soggetto a cui i dati appartengono;
6. il trattamento è necessario per motivi di sicurezza sanitaria pubblica, controllo e prevenzione di malattie trasmissibili e per la tutela di gravi minacce per la salute delle persone fisiche;
7. il trattamento dei dati biometrici può portare ad una migliore efficienza della sanità pubblica, anche in situazione che non vengono ritenute gravi.

I dati biometrici, come tutti gli altri dati sensibili, sono poi tutelati in via indiretta anche dall'art. 30 (Registro dei trattamenti) e dall'art. 35 (Valutazione dell'impatto sul trattamento dei dati), in modo da prevedere, qualora si ricorra ad essi, una disciplina particolarmente stringente, attraverso il ricorso a strumenti che permettano di valutare la correttezza della mappatura e del loro utilizzo oltre all'impatto in termini di rischio dei cittadini dell'intera Unione Europea.

In materia ricordiamo l'importante chiarimento fornito dall'Ispettorato Nazionale del Lavoro con Circolare n. 5 del 19 febbraio 2018 in cui si precisa che il riconoscimento biometrico, installato sulle macchine con lo scopo di impedirne l'utilizzo a soggetti non autorizzati, necessario per avviarne il funzionamento, può essere considerato uno strumento indispensabile a “…rendere la prestazione lavorativa…” e pertanto si possa prescindere, ai sensi del comma 2 dell'art. 4 della L. n. 300/1970, sia dall'accordo con le rappresentanze sindacali sia dal procedimento amministrativo di carattere autorizzativo previsto dalla legge.

Dal Garante invece, in data 12 novembre 2014, è stato adottato un Provvedimento generale in tema di biometria, che, unitamente alle “Linee-Guida in materia di riconoscimento biometrico e firma grafometrica” ad esso allegate, fissava un quadro unitario di misure di carattere tecnico, organizzativo e procedurale per i trattamenti di particolari tipi di dati biometrici.

Il tema è stato affrontato anche in alcuni pareri del Gruppo WP29, in particolare nel documento di lavoro sulla biometria (WP80) del 1° agosto 2003, e nel Parere n. 3/2012 sugli sviluppi nelle tecnologie biometriche (WP193).

In ambito nazionale, il Garante Privacy è intervenuto più volte a seguito della presentazione di istanze di verifica preliminare ai sensi dell'art. 17 del Codice (D.Lgs. n. 196/2003), con provvedimenti che hanno in alcuni casi vietato e in altri ammesso, pur nel rispetto di specifiche prescrizioni, i trattamenti prefigurati. Ricordiamo che il Codice Privacy non forniva una definizione di “dati biometrici”.

Ai fini dei Provvedimenti emessi, infatti, il Garante ha richiamato la definizione fornita dal WP29 nel parere WP193 sugli sviluppi nelle tecnologie biometriche sopra citato, che definisce tali dati come “proprietà biologiche, aspetti comportamentali, caratteristiche fisiologiche, tratti biologici o azioni ripetibili laddove tali caratteristiche e/o azioni sono tanto proprie di un certo individuo quanto misurabili, anche se i metodi usati nella pratica per misurarli tecnicamente comportano un certo grado di probabilità”.

Il Gruppo di lavoro aveva già affermato, nel suo parere WP80, che nella maggior parte dei casi i dati biometrici sono dati personali. Essi possono essere oggetto di trattamento soltanto in presenza di una base giuridica e se il trattamento è adeguato, pertinente e non eccedente rispetto alle finalità per le quali vengono rilevati e/o successivamente trattati.

Un requisito fondamentale per il ricorso alla biometria consiste nella chiara definizione delle finalità per le quali vengono raccolti e trattati i dati, tenendo conto dei rischi per la protezione dei diritti fondamentali e delle libertà delle persone.

A titolo esemplificativo i dati biometrici possono essere raccolti per garantire o aumentare la sicurezza dei sistemi di trattamento attuando misure appropriate per proteggere i dati personali dall'accesso non autorizzato. Il principio di limitazione delle finalità dev'essere rispettato unitamente agli altri principi sulla protezione dei dati; nello specifico, occorre tenere presenti i principi della proporzionalità, della necessità e della minimizzazione dei dati.

Quando è possibile, l'interessato deve poter scegliere fra le varie finalità di un'applicazione con molteplici funzionalità, soprattutto se una o più di esse richiedono il trattamento di dati biometrici. L'uso dellabiometria pone il problema della proporzionalità di ogni categoria di dati trattati alla luce delle finalità del trattamento.

Il fatto che i dati biometrici possano essere usati soltanto se adeguati, pertinenti e non eccessivi comporta una rigorosa valutazione della necessità e della proporzionalità dei dati trattati e se sia possibile raggiungere la finalità perseguita in maniera meno invasiva. Nell'analisi della proporzionalità di un sistema biometrico, occorre considerare se il sistema sia inevitabile per soddisfare la necessità accertata, ossia il più conveniente o quello più efficace.

È inoltre necessario valutare se la conseguente perdita di riservatezza sia proporzionata al vantaggio previsto, tenendo conto dell'enorme impatto sulla dignità umana degli interessati e delle implicazioni di tali sistemi per i diritti fondamentali dell'individuo, alla luce della salvaguardia dei Diritti dell'uomo e delle sue libertà fondamentali, nonché della giurisprudenza della Corte Europea dei Diritti dell'uomo.

Sul piano pratico, in generale, potrebbe sorgere una difficoltà specifica, in quanto i dati biometrici contengono spesso più informazioni di quelle richieste, pertanto il responsabile del trattamento è tenuto all'applicazione del principio della minimizzazione dei dati e questo significa, in primo luogo, che soltanto le informazioni richieste devono essere trattate, trasmesse o conservate, non tutte quelle disponibili.

Il responsabile del trattamento è tenuto a determinare un periodo di conservazione per i dati biometrici che non deve essere superiore a quello necessario al conseguimento delle finalità per le quali essi sono rilevati o sono successivamente trattati. Il responsabile del trattamento deve garantire che i dati o i profili derivati da tali dati siano cancellati definitivamente al termine del suddetto periodo, a tal fine è indispensabile chiarire a priori la differenza fra dati personali generici, eventualmente necessari per un periodo di tempo più lungo e dati biometrici divenuti superflui.

Nel percorso verso la fatidica data del 25 maggio 2018 ci si aspettava che il Governo esercitasse la delega ex art. 13 della L. 25 ottobre 2017 n. 163, che prevedeva l'adozione, entro 6 mesi dalla pubblicazione della legge di delega, di un Decreto Legislativo di adeguamento della normativa italiana al GDPR, con riguardo unicamente alle materie in cui lo stesso GDPR prevede la competenza delle normative nazionali.

Purtroppo, come noto, la delega non è stata esercitata nei termini previsti.

A tale proposito, ricordiamo che lo stesso art. 13, al comma 3, prevede che il Governo eserciti la delega secondo le procedure previste dall'art. 32 della L. 24 dicembre 2012, n. 234, laddove è disposto che gli schemi dei Decreti delegati vengano inviati alle Commissioni parlamentari per il previsto parere quando manchino meno di 30 giorni alla scadenza della delega, così facendo tale scadenza viene automaticamente prorogata per la durata di 3 mesi.

In virtù di tale richiamo la delega al Governo scadrà il 22 agosto 2018. In considerazione di detta situazione, la soluzione che sembra essere in linea con il sistema delle fonti giuridiche italiane e comunitarie, è che il “vecchio” Codice Privacy (D.Lgs. n. 196/2003) non può essere applicato dal 25 maggio 2018, almeno nelle parti in contrasto con il GDPR che, in quanto Regolamento comunitario, è direttamente applicabile agli Stati membri.

Ad ulteriore specificazione di quanto sin qui esposto, ricordiamo infatti che le fonti normative emanate dalla UE sono indicate dall'art. 189 del Trattato CE, che così dispone: "Per l'assolvimento dei loro compiti (...) il consiglio e la commissione stabiliscono regolamenti e direttive...). Come si vede, l'art. 189 indica proprio come prima fonte i regolamenti ed il secondo comma dello stesso articolo dispone “il regolamento ha portata generale. Esso è obbligatorio in tutti i suoi elementi e direttamente applicabile in tutti gli Stati membri”.

Si attende, quindi, l'emanazione di una norma di adeguamento del quadro normativo nazionale alle disposizioni del GDPR, al fine di agevolare l'applicazione pratica di molteplici aspetti del Regolamento comunitario, stante che in mancanza della prima, lo stesso Regolamento è già immediatamente applicabile dal 25 maggio 2018.