Il Tribunale di Udine (sezione lavoro, ordinanza 504 del 2 agosto 2024) ha ritenuto legittimo il provvedimento di sospensione dal servizio e dalla retribuzione che una società aveva comminato a una lavoratrice che si era rifiutata di sottoscrivere per accettazione la lettera a soggetto autorizzato al trattamento dei dati personali in base alla normativa in materia di privacy (si veda anche Ntpluslavoro del 26 settembre).

Secondo il Tribunale, per un fatto determinato dalla volontà della dipendente e comunque fuori dalla propria sfera di controllo, la società si è trovata nelle condizioni di dover necessariamente sospendere dal servizio e dalla retribuzione la ricorrente. Se così non avesse fatto, avrebbe di fatto violato le norme di garanzia previste dalla normativa in materia di protezione dei dati personali esponendosi inevitabilmente al rischio di incorrere nelle sanzioni perviste.

Le conseguenze del rifiuto

Il datore di lavoro affida al dipendente non solo risorse e strumenti adeguati a fare in modo che possa effettuare un corretto trattamento dei dati personali, ma anche la responsabilità di trattare tali dati con la dovuta riservatezza, correttezza e diligenza. Se dunque è vero che la nomina a persona designata ha natura unilaterale essendo un atto che promana dalla parte datoriale, è altrettanto vero che la mancata accettazione da parte del lavoratore porta a conseguenze nella gestione del rapporto di lavoro che producono su diversi piani:

– violazione del generale dovere di lealtà e correttezza nell’esecuzione del rapporto;

– inadempimento dei doveri contrattuali;

– integrazione di condotta disciplinarmente rilavante.

Anche sulla base di queste considerazioni, il Tribunale di Udine ha considerato il rifiuto di accettare la nomina come incaricato al trattamento dei dati elemento sufficiente a giustificare l’adozione del provvedimento disciplinare della sospensione dal servizio e dalla retribuzione.

Il caso specifico porta inevitabilmente a domandarsi quali siano, o possano essere, gli effetti e le conseguenze per il datore di lavoro che si trovi suo malgrado di fronte all’ipotesi in cui un lavoratore non accetti l’incarico a soggetto autorizzato al trattamento dei dati personali o, addirittura, manifesti l’intenzione di revocare una accettazione precedentemente fornita.

Logicamente, ma per completezza di ragionamento vale la pena soffermarsi brevemente anche su questo. Il tema non si pone qualora le mansioni assegnate a un lavoratore non presuppongano un trattamento di dati personali. Ad avviso di chi scrive, il tema non si pone per due ordini di ragioni. Da un lato, autorizzare e istruire un lavoratore che non tratta dati personali nell’espletamento delle attività lavorative sarebbe illogico e non necessario. L’articolo 29 del Regolamento Ue 2016/679 (il Gdpr) e l’articolo 2-quaterdecies del Dlgs 196/2003 dispongono, infatti, che a dover essere istruiti siano coloro che hanno “accesso a dati personali” e non coloro che non effettuano alcuna operazione di trattamento. Dall’altro lato, il rifiuto di chi, in ragione delle mansioni assegnate, non accede a informazioni personali non avrebbe alcun impatto nell’espletamento delle quotidiane attività lavorative. Pertanto, anche di fronte a tale ultima ipotesi, non si determinerebbe alcuna condotta potenzialmente rilevante dal punto di vista disciplinare.

Continua a leggere la versione integrale pubblica su Norme e Tributi Plus Lavoro del Il Sole 24 Ore.

Con l’ordinanza n. 15391 del 3 giugno 2024, la Corte di Cassazione chiarisce a quali condizioni il datore di lavoro, nell’ambito di un procedimento disciplinare nei confronti di un lavoratore, può utilizzare legittimamente i dati estratti dal Telepass (aziendale) installato sull’auto (aziendale). I giudici di legittimità, si legge nell’ordinanza, precisano che: “[…] a fronte di quanto specificamente previsto dal comma 3 dell’art. 4 L. n. 300/1970, è irrilevante la “consapevolezza del dipendente sulla presenza dell’apparato Telepass sull’autovettura e sulle corrette modalità di uso dello stesso”, essendo necessaria invece tale precipua informativa al lavoratore”. In altre parole, una adeguata informazione al lavoratore circa le modalità di utilizzo degli strumenti di lavoro e di effettuazione dei controlli datoriali rappresenta una discriminante tra una raccolta di dati lecita ed illecita e, ove mancante, rende inutilizzabili le informazioni raccolte “a tutti i fini connessi al rapporto di lavoro”, compresi quelli disciplinari.

Altri insights correlati:

• LO SAI CHE… L’INL ha fornito le proprie indicazioni operative per il rilascio di provvedimenti autorizzativi ai sensi dell’art. 4 dello Statuto dei lavoratori?
• Autorità Garante: il dipendente ha diritto di accedere ai dati raccolti tramite il sistema GPS installato dal datore

L’Autorità Garante per la protezione dei dati personali con un Provvedimento dello scorso 7 marzo 2024 [reso noto con la Newsletter del successivo 3 maggio 2024] ha accolto il reclamo presentato da una lavoratrice che aveva chiesto all’azienda di cui era stata dipendente di accedere al proprio fascicolo personale per conoscere quali informazioni potevano aver dato origine ad una sanzione disciplinare nei suoi confronti.

L’azienda non aveva dato un adeguato riscontro alla richiesta e aveva fornito solo un elenco incompleto della documentazione raccolta, omettendo delle informazioni sulla base delle quali era stata poi irrogata la sanzione disciplinare. Informazioni che venivano fornite alla lavoratrice solo a seguito dell’avvio dell’istruttoria da parte dell’Autorità Garante.

Nelle note di riscontro, la società sosteneva di non aver fornito alla lavoratrice la menzionata documentazione per tutelare il proprio diritto di difesa in giudizio nonché la riservatezza dei terzi coinvolti, rilevando anche una assenza di interesse all’accesso da parte della reclamante poiché la sua richiesta di accedere alle informazioni era intervenuta in un momento in cui il procedimento disciplinare non poteva più essere impugnato.

A fronte di tutto ciò, l’Autorità ha, innanzitutto, ribadito che il diritto di accesso riconosciuto dal Regolamento (UE) 2016/679 (il “GDPR”) ha lo scopo di consentire all’interessato di avere il controllo sui propri dati personali e di verificarne l’esattezza e non può quindi essere negato o limitato a seconda della finalità della richiesta. In base alle disposizioni del GDPR, infatti, non è chiesto agli interessati di indicare un motivo o una particolare esigenza per giustificare le proprie richieste di esercizio dei diritti, né il titolare del trattamento può verificare i motivi della richiesta.

Pertanto, l’accesso ai propri dati personali non può essere negato perché i dati richiesti potrebbero essere utilizzati dall’interessato per difendersi in giudizio in caso di licenziamento.

«La giurisprudenza ha in diverse occasioni ribadito che il diritto di accesso deriva, oltre che dalla normativa in materia di protezione dei dati personali, dal “rispetto dei canoni di buona fede e correttezza che incombe sulle parti del rapporto di lavoro ai sensi degli artt. 1175 e 1375 c.c., come del resto è confermato dal fatto che, da tempo, la contrattazione collettiva del settore in oggetto prevede che l’azienda datrice di lavoro debba conservare, in un apposito fascicolo personale, tutti gli atti e i documenti, prodotti dall’ente o dallo stesso dipendente, che attengono al percorso professionale, all’attività svolta ed ai fatti più significativi che lo riguardano e che il dipendente ha diritto di prendere visione liberamente degli atti e documenti inseriti nel proprio fascicolo personale” (Corte di Cass. 7 aprile 2016, n. 6775)».

In ragione dei suddetti elementi, l’Autorità ha comminato alla società una sanzione pecuniaria nella misura di euro 20.000,00.

◊◊◊◊

Il diritto di accesso in breve:

• Può esercitare il diritto di accesso il soggetto interessato (ossia la persona fisica cui i dati si riferiscono) oppure un suo delegato.
• La richiesta può essere presentata direttamente al Titolare del trattamento (alias, ad esempio, il datore di lavoro) oppure, se nominato, al DPO.
• Con una richiesta di accesso si può richiedere l’accesso ai propri dati personali, di conoscere le finalità del trattamento, le categorie di dati, i destinatari o le categorie di destinatari a cui i dati sono o saranno comunicati, il periodo di conservazione dei dati o i criteri utilizzati per determinarlo, l’origine dei dati, nonché di conoscere l’esistenza di un processo decisionale automatizzato, compresa la profilazione o trasferimenti dei propri dati fuori dall’Unione Europea.
• La richiesta di accesso non deve essere motivata da parte del richiedente.
• Il diritto di accedere ai dati personali non deve ledere i diritti e le libertà altrui.
• Deve essere fornita una risposta entro un tempo di 30 giorni (prolungabile di ulteriori 30 giorni in caso di particolare complessità della richiesta che, in ogni caso, deve essere motivata).

Altri insights correlati:

• Il diritto di accesso agli atti nel procedimento disciplinare
• Corte di Cassazione: diritto di accesso al fascicolo personale

Con Provvedimento del 14 settembre 2023 u.s., l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha rilevato l’illiceità del trattamento di dati effettuato da parte di una società incaricata della lettura dei contatori di gas, luce e acqua (la “Società”), confermando che il datore di lavoro ha l’obbligo di fornire un completo riscontro alle istanze di esercizio del diritto di accesso, anche comunicando i dati relativi alla geolocalizzazione.

I fatti

La vicenda trae origine dal reclamo presentato al Garante da tre dipendenti della Società che non avevano ricevuto un riscontro soddisfacente alla richiesta di accesso ai propri dati personali raccolti attraverso lo smartphone aziendale, sul quale era stato istallato un sistema di geolocalizzazione che permetteva ai lavoratori di individuare il tragitto da effettuare per raggiungere i contatori oggetto dell’intervento tecnico.

In particolare, i dipendenti chiedevano di conoscere le informazioni utilizzate per elaborare i rimborsi chilometrici e la retribuzione mensile oraria, nonché la procedura per stabilire il compenso dovuto per verificare la correttezza della propria busta paga.

Il Garante, nel corso dell’attività istruttoria, ha rilevato che la Società non aveva fornito un riscontro idoneo rispetto a quanto richiesto dai tre lavoratori, nonostante la richiesta risultasse chiara ed analitica. Infatti, non aveva provveduto a comunicare ai dipendenti i dati trattati attraverso il sistema GPS, ma si era limitata ad indicare le modalità e gli scopi per i quali venivano trattati e a fornire l’informativa già sottoscritta dagli interessati.

L’esito dell’attività istruttoria

All’esito dell’attività istruttoria, il Garante ha rilevato che la Società, nella sua qualità di Titolare del trattamento, ha effettuato il trattamento in violazione:

• dell’art. 15 del Regolamento (UE) 2016/679 (il “GDPR”), per non aver fornito, nemmeno attraverso la documentazione allegata, un riscontro completo ed esaustivo rispetto a quanto richiesto attraverso le istanze. L’esercizio del diritto di “accesso ai dati personali” deve, infatti, consentire un accesso effettivo ai dati personali eventualmente trattati, che non sia una descrizione generale degli stessi, né un semplice riferimento alle categorie di dati personali trattati dal titolare (così specificato anche nelle “Linee guida 01/2022” sui Diritti degli Interessati dell’EDPB, 28 marzo 2023).

La Società avrebbe dovuto fornire tutti i dati raccolti attraverso il sistema di geolocalizzazione, riscontrando le richieste puntualmente pervenute dai tre reclamanti;

• dell’art. 12 del GDPR, nella parte in cui dispone che il Titolare del trattamento, a fronte di una richiesta di esercizio dei diritti da parte di un interessato, deve agevolarne l’esercizio fornendo “le informazioni relative all’azione intrapresa […] senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta” e “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo […] dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”;

• dell’art. 5, par. 1, lett. (a) del GDPR, nella parte i cui prevede che i dati personali devono essere trattati in modo “lecito, corretto e trasparente nei confronti dell’interessato”. Il diritto riconosciuto all’interessato di accedere ai propri dati non può ritenersi soddisfatto attraverso il semplice rinvio a quanto contenuto nell’informativa, senza alcun riferimento al trattamento effettuato nel concreto.

La decisione del Garante

All’esito dell’attività istruttoria, il Garante chiarisce che, dal momento che la Società ha trattato, tra l’altro, dati relativi alla geolocalizzazione degli smartphone forniti ai dipendenti per lo svolgimento della prestazione lavorativa, da tale trattamento “è derivata indirettamente la geolocalizzazione dei reclamanti stessi”: per tale ragione, la Società avrebbe dovuto fornire un riscontro completo ed esaustivo alle istanze di esercizio del diritto di accesso, comunicando, in particolare, i dati relativi alla geolocalizzazione dei lavoratori oppure motivare una eventuale inottemperanza alle richieste ricevute.

Alla luce di tutto quanto sopra esposto, il Garante ha comminato alla Società datrice il pagamento di una sanzione amministrativa pecuniaria di 20mila euro disponendo, altresì, la pubblicazione del Provvedimento sul proprio sito web.

Altri insights correlati:

• Per la Corte Europea è legittimo il tracciamento del dipendente tramite il geolocalizzatore dell’auto di servizio (Norme e Tributi Plus Diritto, 23 gennaio 2023 – Alberto De Luca, Claudia Cerbone)
• Autorità Garante: il dipendente ha diritto di accedere alla relazione dell’agenzia investigativa incaricata dal datore di lavoro

In occasione del nostro Team Meeting di questa settimana, tra i vari argomenti, abbiamo approfondito il tema del diritto di un lavoratore ad accedere a tutti i propri dati personali trattati dal datore di lavoro, dovendosi intendere anche quelli contenuti nelle relazioni prodotte dall’agenzia investigativa incaricata dal datore di lavoro di raccogliere informazioni sul suo conto ed utilizzate per finalità disciplinari.

Lo scorso 10 luglio 2023 la Commissione Europea ha adottato una decisione di adeguatezza per il “EU-US Data Privacy Framework” che determina che gli Stati Uniti d’America garantiscono un livello di protezione dei dati personali adeguato e paragonabile a quello dell’Unione Europea.

La decisione di adeguatezza è uno degli strumenti previsti dal Regolamento (UE) 2016/679 (il “Regolamento”) per trasferire dati personali dall’Unione Europea a Paesi Terzi che, a fronte di una preventiva valutazione della Commissione Europea, offrono “un adeguato livello di protezione”, ossia un livello di protezione dei dati personali equivalente a quello garantito all’interno dell’UE.

La conseguenza è che i dati personali possono essere trasferiti in modo sicuro e possono essere gestiti allo stesso modo delle trasmissioni di dati che avvengono all’interno del territorio europeo.

Cosa prevede il nuovo EU-US Data Privacy Framework?

L’EU-US Data Privacy Framework si struttura su un meccanismo di autocertificazione in base al quale le aziende statunitensi si impegnano a rispettare una serie di obblighi in materia di protezione dei dati personali, tra cui, a titolo esemplificativo e non esaustivo, il rispetto dei principi di limitazione delle finalità, di minimizzazione e conservazione dei dati, nonché obblighi specifici in materia di sicurezza dei dati e condivisione dei dati con soggetti terzi.

L’impegno da parte delle organizzazioni sarà rinnovato su base annuale e soggetto al controllo e al monitoraggio del Dipartimento del Commercio degli Stati Uniti, il quale elaborerà le domande di certificazione e verificherà periodicamente il rispetto dei requisiti da parte delle aziende partecipanti.

I cittadini europei beneficeranno di diverse vie di ricorso indipendenti ed imparziali nel caso in cui i loro dati siano trattati in modo non conforme, e tra esse rientra il neo istituito Tribunale di Revisione sulla Protezione dei Dati (DPRC).

L’ordinamento statunitense prevederà una serie di garanzie, tra cui la limitazione dell’accesso ai dati personali da parte delle autorità pubbliche a quanto necessario e proporzionato al fine di proteggere la sicurezza nazionale o allo scopo di applicare la legge penale.

In ogni caso, il Data Privacy Framework sarà soggetto a revisioni periodicheda parte della Commissione Europea unitamente ai rappresentanti delle autorità europee per la protezione dei dati e alle competenti autorità statunitensi. Il primo riesame avrà luogo entro un anno dall’entrata in vigore della decisione di adeguatezza.

Gli altri strumenti previsti dal Regolamento

Con l’occasione, vale la pena ricordare che oltre alla decisione di adeguatezza, il Regolamento prevede anche altri strumenti utilizzabili per realizzare un corretto trasferimento di dati al di fuori dell’Unione Europea, tra cui:

• l’adozione di Clausole Contrattuali Standard;
• l’adozione di Norme Vincolanti d’Impresa (“BCR Binding Corporate Rules”) da parte dei grandi gruppi internazionali a seguito della negoziazione con le Autorità di controllo dei paesi coinvolti;
• l’adesione a specifici Codici di condotta o, comunque, a meccanismi di certificazione i quali devono essere contestualmente applicati dal soggetto al quale i dati vengono trasferiti;
• il consenso dell’interessato che deve essere adeguatamente informato così come previsto dal Regolamento stesso.

◊◊◊◊

Come da ultimo sottolineato nella nota informativa del Comitato Europeo per la Protezione dei Dati (EDPB) lo scorso 18 luglio 2023, tutte le tutele previste dal governo statunitense nell’ambito della sicurezza nazionale si applicano a tutti i trasferimenti di dati personali effettuati verso aziende negli Stati Uniti, indipendentemente dai meccanismi di trasferimento utilizzati. Pertanto, tali garanzie servono a facilitare anche il ricorso agli altri strumenti previsti dal Regolamento.

Altri insights correlati:

• LO SAI CHE… La Commissione europea e gli USA hanno raggiunto un accordo quadro sul trasferimento dei dati personali? – De Luca & Partners (delucapartners.it)
• Privacy Shield: la Corte di Giustizia Europea invalida l’Accordo UE – USA – De Luca & Partners (delucapartners.it)

Con un provvedimento dello scorso 10 novembre 2022, l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha comminato ad una società italiana una sanzione di 20.000 euro per aver rilevato le presenze dei propri dipendenti tramite la lettura delle impronte digitali. Il Garante ha ribadito che “il trattamento di dati biometrici sul posto di lavoro è consentito solo se necessario per adempiere gli obblighi ed esercitare i diritti del datore di lavoro previsti da una disposizione normativa e con adeguate garanzie”.

Il caso nasceva a seguito di una segnalazione effettuata al Garante da una organizzazione sindacale che lamentava l’introduzione da parte della società, datrice di lavoro, di un sistema di timbratura che si serviva di un terminale biometrico finalizzato a rilevare gli accessi e le presenze di dipendenti e collaboratori all’interno delle strutture della stessa. L’introduzione di tale sistema, lamentava inoltre il sindacato, era stata disposta nonostante alla società fosse stato richiesto di adottare “mezzi meno invasivi” che non prevedessero un trattamento di dati biometrici dei soggetti interessati.

La società si difendeva dichiarando che il sistema adottato aveva lo scopo di facilitare agli interessati la registrazione degli orari di entrata e di uscita e rappresentava uno strumento “più snello e veloce” rispetto a quello precedentemente utilizzato che rilevava le presenze tramite un cartellino identificativo personale (c.d. badge).

Compiuta l’attività istruttoria, il Garante ha rilevato, tra le altre, l’illiceità del trattamento di dati personali biometrici effettuato dalla società per (i) aver posto in essere un trattamento in assenza di una idonea base giuridica: il Garante, infatti, ribadisce che il trattamento di dati biometrici in ambito lavorativo è consentito esclusivamente nell’ipotesi in cui sia previsto da una norma, sia essa nazionale o europea; (ii) non aver fornito agli interessati un’adeguata informativa violando, in tal modo, i principi fondamentali in materia quali quelli di liceità, correttezza e trasparenza; (iii) non aver aggiornato il Registro delle attività di trattamento che, nella versione esibita al Garante, non riportava alcun trattamento di dati biometrici dei dipendenti, violando in tal modo anche il principio di accountability; (iv) aver trattato una categoria di dati particolari per una sola finalità di semplificazione delle attività di gestione del rapporto di lavoro.

Per tutte queste ragioni, pertanto, il Garante ha adottato il provvedimento sanzionatorio nei confronti della società ordinando alla stessa non solo di pagare la summenzionata sanzione pecuniaria amministrativa per le indicate violazioni ma disponendo, altresì, la pubblicazione del provvedimento sul proprio sito istituzionale.

In conclusione, sebbene nel contesto lavorativo rilevare le presenze dei dipendenti anche al fine di verificarne il rispetto dell’orario di lavoro rappresenti una attività necessaria per assolvere gli obblighi ed esercitare diritti specifici del datore di lavoro, affinché un trattamento di dati biometrici dei lavoratori sia lecito dovrà trovare il proprio fondamento in una disposizione normativa e tale trattamento non potrà fondarsi sulla raccolta del consenso degli interessati “ciò alla luce della asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare di volta in volta e in concreto l’effettiva libertà della manifestazione di volontà del dipendente”.

Altri insights correlati:

• Emanate le prescrizioni relative al trattamento di categorie particolari di dati
• Registro dei Trattamenti e Valutazione d’Impatto: le precisazioni del nostro Garante

Poiché sono stati considerati solo i dati di geolocalizzazione riferiti ai chilometri percorsi, l’ingerenza nella vita privata del ricorrente è stata limitata e proporzionale rispetto allo scopo perseguito.

Il licenziamento intimato dal datore di lavoro basato sulle risultanze del sistema di
geolocalizzazione dell’auto aziendale del dipendente è legittimo e la raccolta e il trattamento dei
relativi dati non comportano una violazione dei diritti del lavoratore come sanciti dalla Convenzione
dei Diritti dell’Uomo.
A stabilirlo, segnando un importante precedente su questa dibattuta tematica, è stata la sentenza
della Corte Europea dei Diritti dell’Uomo n. 26968/1616 emessa a conclusione del procedimento
Gramaxo contro Portogallo. È la prima volta che la Corte Europea si pronuncia su un caso di
sorveglianza sul lavoro attraverso il sistema di geolocalizzazione e fissa i criteri per il giusto
bilanciamento tra il diritto del lavoratore al rispetto della sua vita privata e le prerogative datoriali in
termini di controllo sul corretto impiego dei beni strumentali.
Il caso sul quale è stata chiamata a pronunciarsi la Corte è relativo al licenziamento di un dipendente
informatore scientifico del farmaco di un’azienda farmaceutica portoghese al quale, in ragione della
mobilità associata al lavoro svolto, l’azienda aveva assegnato un’auto ad uso promiscuo, lavorativo e
privato.
A distanza di tempo, la società aveva installato un sistema di posizionamento globale via satellite
(GPS) su tutti i veicoli aziendali.
A seguito di un controllo dei dati raccolti attraverso i sistemi installati era emerso che il dipendente
in questione aveva manomesso il funzionamento del sistema di controllo per far risultare un
impiego del mezzo per motivi di lavoro superiore a quello effettivo e così un impiego del mezzo per
motivi privati inferiore anche al fine di ridurrei i costi a proprio carico.

Continua a leggere la versione integrale pubblicata su Norme e Tributi Plus Diritto de Il Sole 24 Ore.