Archivio per Categoria Privacy

DiMarco Strada

La Corte di Cassazione (sentenza n. 4670/19) si pronuncia sul licenziamento di un lavoratore che aveva richiesto i permessi previsti dalla L. 104/92 per assistenza a un proprio familiare ma era stato sorpreso a utilizzarli per altri fini.

Nel merito, la Corte ha ritenuto che il lavoratore, “abusando” del diritto concessogli, avesse posto in essere un comportamento tale da rendere legittimo il licenziamento. Per alcune nozioni generali sul licenziamento disciplinare del lavoratore è possibile fare riferimento a questo articolo.

Il datore di lavoro era venuto a conoscenza del comportamento del lavoratore attraverso l’opera di un’agenzia investigativa, incaricata di sorvegliarlo per verificare la corretta fruizione dei permessi. Il lavoratore, ricorrendo in cassazione, lamentava che tale sorveglianza fosse illegittima e i suoi risultati non potessero quindi essere utilizzati nel giudizio.

La sorveglianza nello Statuto dei Lavoratori

Il datore di lavoro non ha poteri illimitati nella sorveglianza dei propri lavoratori. Lo Statuto dei Lavoratori (L. 300/70) ha limitato fortemente le sue facoltà, anche in risposta ad alcuni eccessi verificatisi nel periodo precedente.

La legge dedica alla tutela del lavoratore dalla sorveglianza del datore i suoi primi articoli.

Raffrontando l’articolo 2 (Guardie Giurate), l’articolo 3 (Personale di vigilanza), l’articolo 4 (Impianti audiovisivi e altri strumenti di controllo), l’articolo 8 (Divieto di indagini sulle opinioni) e la giurisprudenza consolidatasi nei decenni sulla loro interpretazioni, si ricavano alcuni principi in materia.

1) Il lavoratore dev’essere informato dei modi, luoghi e persone da cui può essere sorvegliato nello svolgimento della propria attività lavorativa: è precluso al datore ogni controllo dell’attività lavorativa effettuato all’insaputa del dipendente e con caratteri di “segretezza”, ad esempio utilizzando telecamere nascoste.

2) Il datore non può servirsi di terzi per controllare l’adempimento delle prestazioni lavorative (e quindi le mancanze dei dipendenti): questa sorveglianza è lecita solo se svolta direttamente dal datore o dalla sua organizzazione gerarchica.

Sarebbe quindi certamente illegittimo l’utilizzo di agenzie investigative per sorvegliare il lavoratore a sua insaputa mentre svolge la sua attività lavorativa, al fine diverificare il digilente adempimento delle sue mansioni.

Lo spazio di legittimità delle agenzie di vigilanza

La Corte ha ritenuto legittima la sorveglianza effettuata dal datore mediante l’agenzia, evidenziando la differenza tra il caso in esame e quelli in cui il controllo è vietato.

Infatti, per definizione, il lavoratore che fruisce di un permesso non sta svolgendo la propria attività lavorativa. In questo caso, il rapporto si trova in una fase di sospensione: alcuni comportamenti del dipendente (per esempio svolgere attività in concorrenza con la sua impresa o, come nel caso trattato, abusare di un permesso richiesto per assistere un familiare disabile) hanno comunque rilevanza disciplinare, anche al fine di un licenziamento, ma il lavoratore non può avvalersi della stessa tutela concessagli dallo Statuto quando svolge le proprie mansioni.

Non è quindi vietato sorvegliare il lavoratore in permesso, anche servendosi di un’agenzia investigativa privata, per verificare eventuali abusi. Rimangono ovviamente validi tutti gli altri limiti previsti dall’ordinamento (per esempio sulle intercettazioni) e il divieto generale posto dallo Statuto a qualsiasi indagine che riguardi le “opinioni politiche, religiose o sindacali del lavoratore”.

DiMarco Strada

Normalmente il problema della “privacy” sul luogo di lavoro riguarda i limiti entro cui il datore può accedere a informazioni del dipendente, soprattutto per quanto riguarda e-mail, contenuto dei terminali utilizzati e casi di sorveglianza.

Esiste una domanda speculare: fino a che punto il lavoratore può accedere a informazioni del proprio datore, in particolare quando si tratta di comunicazioni scambiate in via “riservata” all’interno dell’amministrazione aziendale ma riguardanti il dipendente e la sua condotta?

Il diritto di accesso

Ogni persona ha il diritto di accedere ai propri dati personali accessibili a terzi che ne stiano effettuando un “trattamento”.

Nel concetto di “trattamento” – che indica qualsiasi operazione sui dati, comprese raccolta, esame e semplice conservazione – potrebbe rientrare anche una comunicazione, scambiata tra amministrazione aziendale e ufficio delle risorse umane e di natura riservata, nella quale si discutano i comportamenti del dipendente, a fini disciplinari.

Secondo la Corte di Cassazione (ordinanza n. 32533/18), anche in questo caso il lavoratore ha diritto di accedere ai dati che lo riguardano, nonostante le prevedibili conseguenze negative per il datore.

Il caso

Va precisato che la vicenda oggetto dell’ordinanza era peculiare.

Il lavoratore, che intendeva impugnare una sanzione disciplinare irrogatagli, era dipendente di un istituto bancario. La banca datrice di lavoro aveva regolamentato in modo rigido, attraverso apposita “circolare”, l’azione disciplinare verso i propri dipendenti: era previsto espressamente, tra l’altro, che l’ufficio risorse umane inviasse alla direzione una relazione scritta prima di sanzionare un lavoratore.

Il dipendente aveva chiesto di poter visionare tale relazione e, di fronte al rifiuto della banca, si era rivolto all’Autorità Garante per la protezione dei dati personali. Il Garante aveva dato ragione al lavoratore e la Corte di Cassazione ha confermato questa valutazione.

Riflessi e conseguenze

La portata della decisione si estende ben oltre la particolarità del caso concreto e pone principi applicabili anche alla nuova disciplina in materia di Privacy.

Attribuendo natura di “dato personale” accessibile anche a documenti e comunicazioni aziendali “interne” e “valutative” riguardanti un lavoratore, esistono pochi argini per frenare il suo diritto di accesso: essenzialmente la tutela della privacy di terzi o il diritto di difesa del datore di lavoro in un giudizio. Entrambi i limiti, nella sentenza della Corte, risultano insufficienti allo scopo.

L’azione disciplinare, nello specifico, è inoltre costruita come procedimento “quasi processuale”: il datore di lavoro deve “giudicare”, con oggettività, sulla base degli elementi raccolti, se il lavoratore meriti di essere sanzionato e con quanta gravità. La ragionevolezza di tale valutazione verrà verificata dagli organi giudiziari in caso di impugnazione. Appare quindi dubbio che il datore possa vantare un “diritto” a mantenere riservati i documenti interni utilizzati a fondamento della sua decisione.

È evidente che, ove documenti acquisiti dal lavoratore in questo modo presentino contenuto ingiurioso o sintomatico di condotte “mobbistiche“, le conseguenze per il datore risulterebbero molto più gravi. Tutti i soggetti operanti della gestione del personale dovranno sempre esprimersi con asetticità e professionalità, consapevoli che ogni comunicazione riguardante uno specifico lavoratore potrebbe -su sua richiesta- essergli legittimamente accessibile.

DiMarco Strada

Una volta effettuata adeguata analisi della propria organizzazione e dei vari tipi di trattamento effettuati, alla quale è dedicato questo articolo, l’operatore economico dovrà adempiere a una serie di obblighi, in parte già previsti e in parte introdotti dalla riforma del Regolamento Europeo 2016/679 (c.d. GDPR).

Tra gli obblighi, cui l’operatore economico potrebbe essere tenuto a seconda della propria struttura, dei tipi di dati trattati e delle modalità di trattamento, si ricordano -in estrema sintesi e con il solo obiettivo di fornire un primo prospetto per chi si affaccia al problema- i seguenti.

1) Obbligo di fornire informativa in materia di privacy.

È necessario informare previamente l’interessato dei suoi diritti e delle modalità del trattamento, nonché del tempo di conservazione dei dati trattati e della base giuridica che rende lecito il trattamento. È inoltre necessario acquisire il consenso scritto dell’interessato nei casi in cui lo stesso sia necessario.

Nel caso di utilizzo di siti web, l’acquisizione del consenso ha caratteristiche peculiari con riguardo alla presenza dei c.d. “cookies”, con obbligo di adattare il proprio sito e prevedere -tra l’altro-  apposito banner.

2) Obbligo di adottare idonee misure di protezione dei dati

La riforma della privacy ha come principio fondamentale la “responsabilizzazione” del Titolare del trattamento: è lui, in primo luogo, a dover valutare quale sia la migliore protezione per la sua organizzazione e ad essere responsabile qualora tale valutazione sia inadeguata. Il titolare dovrà adottare tutte le misure di protezione più adatte al caso concreto, provando la loro adeguatezza in caso di controlli.

Nonostante la loro abrogazione, è consigliabile che il titolare, soprattutto se i dati trattati richiedano particolare protezione, rispetti almeno quelle che fino al 2018 erano le misure “minime” previste dalla normativa.

I dati non archiviati su supporto informatico (es. cartacei) dovranno quindi essere adeguatamente protetti da accessi non autorizzati, ad esempio chiudendoli a chiave in specifiche stanze o idonei schedari.

Deve inoltre essere prevista un’adeguata modalità di distruzione dei supporti contenenti dati personali al termine del trattamento, tale da prevenirne la diffusione.

Quanto ai dati archiviati su supporti informatici , dovrebbero essere accessibili solo attraverso password complesse e cambiate periodicamente, protetti da firewall e antivirus aggiornati. Devono inoltre essere presenti procedure di ripristino in caso di perdita accidentale.

Sarebbe opportuno -anche se non è espressamente richiesto- che un tecnico informatico verifichi periodiamente il sistema informatico adottato e ne dichiari l’adeguata protezione.

L’amministratore di sistema

Un capitolo a parte è quello dell’ “amministratore di sistema”: il tecnico informatico di fiducia che cura direttamente la protezione informatica dell’organizzazione, la sicurezza e il ripristino dei dati. Per una piccola organizzazione non è una presenza obbligatoria: può però diventarlo, anche in ottica di delega delle responsabilità, se il titolare non abbia le conoscenze informatiche necessarie per organizzare le misure di adeguata protezione della struttura informatica e decida di affidarsi completamente a un professionista.

Anche in questo caso la nomina va formalizzata con apposito contratto che indichi gli obblighi e responsabilità dell’amministratore.

3) Obbligo di acquisire impegni vincolanti dai responsabili del trattamento.

Come anticipato, i responsabili del trattamento gli stessi vanno nominati per iscritto con impegno espresso dei responsabili al rispetto della normativa privacy.

Nei casi in cui un contratto “personalizzato” con idonea dichiarazione di impegno sia particolarmente arduo da ottenere (ad esempio per i fornitori di maggiori dimensioni, come microsoft o apple) è necessario valutare se l’impegno (come normalmente avviene) sia fornito con altre modalità ugualmente vincolante (ad esempio con dichiarazione sottoscritta digitalmente e resa disponibile al pubblico).

4) Obbligo di adottare un registro delle attività di trattamento

Ogni titolare è obbligato a tenere un registro in cui vengono elencati i tipi di trattamenti effettuati e le loro modalità.

Nonostante la formula equivoca “attività di trattamento”, appare -anche considerando i modelli redatti dall’autorità garante- che non si tratti di un registro in cui vada annotato ogni singolo trattamento di dati effettuato giorno per giorno ma piuttosto di una lista dei “tipi” di trattamento effettuati dal titolare e delle loro modalità (soggetti a cui vengono comunicati i dati, misure di protezione..). È quindi una “fotografia” della struttura organizzativa in materia di privacy, finalizzata soprattutto a valutarne l’adeguatezza in caso di controlli.

Esiste un’eccezione per i titolari di piccola dimensione (meno di 250 dipendenti) ma l’esenzione non si applica se vengono trattati dati di categorie “particolari”.

5) Obbligo di effettuare una valutazione di impatto

La valutazione di impatto consiste in una “descrizione sistematica” dei trattamenti svolti, raffrontati con le loro finalità, i rischi per gli interessati e le misure per prevenirli.

È necessaria quando un trattamento prevede un “rischio elevato” per diritti e libertà delle persone fisiche.

La valutazione sulla presenza di un “rischio elevato”, coerentemente con il principio di responsabilizzazione, spetta al titolare.

Ne viene previsto espressamente l’obbligo solo per valutazioni sistematiche-svolte in modo automatizzato, trattamento su larga scala di dati appartenenti a categorie particolari e sorveglianza sistematica su larga scala di luogo aperto al pubblico.

6) Obbligo di nominare un “data protection officer”

Anche in questo caso l’obbligo è legato a casi di trattamento “su larga scala” di dati appartenenti a categorie particolari o con monitoraggio regolare e sistematico degli interessati.

Il DPO, o “responsabile della protezione dei dati”, è uno specialista in materia di privacy che dev’essere coinvolto in tutte le questioni attinenti alla protezione dei dati, con ruolo di particolare coinvolgimento e responsabilità.

Si tratta di un consulente che funge anche da figura di garanzia del rispetto della normativa privacy e il titolare deve, tra l’altro, attribuirgli la disponibilità di risorse economiche sufficienti per eseguire i propri compiti.

DiMarco Strada

Ogni operatore economico deve verificare la propria conformità alla c.d. “Riforma Privacy” entrata in vigore nel 2018 (Regolamento Europeo 2016/679 e decreto legislativo n. 101/2018).

Per adempiere agli obblighi di legge è però necessario innanzitutto analizzare profondamente la propria organizzazione e il modo in cui questa acquisisce e conserva i dati dei terzi.

Di seguito, con la massima sintesi possibile e cercando di evitare tecnicismi per favorire la comprensione, si riassumono i tratti fondamentali per programmare un intervento in materia di privacy.

Concetti fondamentali

La tutela della privacy riguarda principalmente il rapporto tra un interessato, la persona fisica i cui dati personali (qualsiasi informazione che riguardi una persona identificabile) vanno tutelati, e un titolare del trattamento, l’operatore economico che gestisce questi dati.

Ogni attività riguardante i dati personali, dall’acquisizione alla semplice conservazione in archivio, è detta trattamento.

I dati personali godono di una tutela particolarmente forte quando appartengono a categorie particolari (dati idonei a rivelare l’origine razziale o etnica, le proprie convinzioni, opinioni di politiche, stato di salute e vita sessuale o dati biometrici che possano identificare una persona) o riguardano la materia penale.

I – Individuare i trattamenti effettuati nell’ambito dell’attività svolta.

È il primo passo per analizzare le propria organizzazione. Vanno valutati tutti i casi di acquisizione o conservazione di dati personali e le ragioni per cui i dati vengono trattati.

Va ricordato che il trattamento è lecito solo se avviene per una ragione autorizzata dalla normativa europea, chiamata base giuridica, che va individuata. Ad esempio perché il trattamento è necessario all’esecuzione dell’incarico (si pensi all’indirizzo del cliente che richiede una consegna) o all’adempimento di obblighi di legge (ad esempio contabili e fiscali), oppure perché l’interessato ha espresso il suo consenso.

Va anche evidenziato che normalmente un operatore economico non effettua un solo tipo di trattamento. Accanto al trattamento dei dati dei clienti per fornire i propri servizi e per i correlati obblighi contabili-fiscali, si affiancano ad esempio l’acquisizione e conservazione dei dati dei dipendenti, le informazioni dei visitatori del proprio sito web acquisite attraverso l’uso dei cosiddetti “cookies”, le immagini riprese da telecamere ad uso di sorveglianza, e così via dicendo.

II – Individuazione degli eventuali responsabili del trattamento.

A volte il trattamento può avvenire da parte di un soggetto delegato dal titolare, esterno alla sua organizzazione. Questo delegato, chiamato responsabile del trattamento, deve -tra l’altro- essere nominato per iscritto e impegnarsi a trattare i dati ricevuti in modo conforme alla disciplina privacy.

È quindi necessario individuare i casi in cui dati acquisiti o conservati dalla propria organizzazione vengano trattati da terzi. Le ragioni sono le più varie.

Esempi di responsabile del trattamento:

-il soggetto che si occupa della tenuta della contabilità, con riguardo ai dati dei clienti presenti nei documenti fiscali;

-il soggetto che si occupa dell’assistenza informatica, quando abbia accesso (almeno potenziale) ai dati personali di interessati archiviati sui supporti informatici;

-il fornitore di servizi che comportano l’archiviazione di dati al di fuori dell’organizzazione.

Quanto all’archiviazione dei dati al di fuori dell’organizzazione, i casi più frequenti sono:

-l’utilizzo di posta elettronica, quando i messaggi vengano archiviati sui server del gestore (come accade ogni volta in cui un’organizzazione non scelga di dotarsi di un server di posta aziendale interno);

-l’archiviazione di dati dell’interessato su spazi “in cloud” (onedrive, dropbox, google drive, icloud e simili);

-l’utilizzo di calendari (ad esempio outlook, google calendar, icloud) accessibili da più dispositivi, i cui dati siano conservati su server esterni del fornitore.

III – Individuazione degli adempimenti previsti dalla normativa privacy e applicabili all’organizzazione.

Solo dopo le fasi precedenti è possibile valutare in concreto a quali adempimenti sia tenuto l’operatore economico nel rispetto della normativa privacy.

Sulla loro individuazione pesano altri elementi relativi alla propria organizzazione e alle modalità del trattamento: ad esempio se il trattamento comprenda dati soggetti a particolare protezione, se venga effettuato “su larga scala”, quali siano le dimensioni dell’organizzazione, se nel trattamento vengano utilizzate tecnologie innovative o procedure automatizzate.

Per un sintetico elenco dei possibili adempimenti previsti per il titolare, si rimanda, per ragioni di spazio, a questo articolo.