Lo scorso 5 dicembre, l’Autorità Garante per la protezione dei dati personali (l’“Autorità”) ha messo a punto delle FAQ (“Frequently Asked Questions”) riguardanti i trattamenti di dati personali effettuati da soggetti pubblici e privati mediante l’uso di impianti di videosorveglianza.

I chiarimenti dell’Autorità tengono conto di quanto introdotto dal Regolamento (UE) 2016/679 in materia di protezione dei dati personali (c.d. “GDPR”) e dalle Linee Guida adottate dal Comitato Europeo per la protezione dei dati (“EDPB”) sul punto.

Le FAQ chiariscono, innanzitutto, che (i) i trattamenti svolti mediante l’uso di sistemi di videosorveglianza devono essere effettuati nel rispetto del principio di minimizzazione, ciò in relazione alla scelta delle modalità di ripresa e alla dislocazione dell’impianto, e (ii) i dati trattati devono essere pertinenti e non eccedenti rispetto alle finalità perseguite.

Sulla base del principio di accountability (c.d. “principio di responsabilizzazione”), è compito di ciascun Titolare del trattamento effettuare delle valutazioni circa la liceità e la proporzionalità del trattamento, tenendo conto del contesto e delle relative finalità, nonché del rischio per i diritti e le libertà degli interessati.

A parere dell’Autorità, ciascun Titolare del trattamento deve valutare se sussistono i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati (“DPIA”) prima di iniziare il trattamento.

In merito all’informativa da fornire agli interessati, le FAQ precisano che può essere adottato il modello semplificato (c.d. cartello) messo a punto dall’EDPB e diffuso con le sue Linee Guida. Il cartello deve contenere (i) i dati di contatto del Titolare del Trattamento e, qualora presente, del Responsabile della protezione dei dati (DPO); (ii) il periodo di conservazione delle informazioni raccolte nonché (iii) le finalità dei trattamenti effettuati. Il cartello deve essere collocato prima dell’area sorvegliata, in modo che gli interessati possano capire quale zona sia coperta da una telecamera, e deve rinviare ad una informativa completa recante tutte le informazioni di cui all’articolo 13 del GDPR, comprese le indicazioni circa le modalità di presa visione.

L’Autorità ribadisce, altresì, che le immagini registrate dovrebbero essere cancellate dopo pochi giorni (24/48 ore) e che quanto più prolungato è il periodo di conservazione previsto, maggiormente argomentata dovrà essere l’analisi sulla legittimità dello scopo e sulla effettiva necessità di una conservazione più lunga.

Infine, viene ribadito che nei luoghi di lavoro è possibile installare sistemi di videosorveglianza esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, nel rispetto delle garanzie previste dall’ articolo 4 della legge n. 300/1970.

◊◊◊◊

In conclusione, le FAQ, disponibili sul sito dell’Autorità (www.garanteprivacy.it), contengono indicazioni sui requisiti necessari affinché il trattamento di dati personali effettuato attraverso l’utilizzo di sistemi di videosorveglianza sia lecito.

Le FAQ superano, seppur parzialmente, il precedente “Provvedimento in materia di videosorveglianza dell’8 aprile 2010”, adeguando le previsioni ivi contenute a quanto introdotto dal GDPR e dalle Linee Guida dell’EDPB.

Altri insights correlati:

EDPB: versione preliminare delle linee guida n. 3/2019 sulla videosorveglianza

Lo scorso 16 luglio 2020, la Corte di Giustizia dell’Unione Europea (“CGUE” o “Corte”) con la sentenza “Data Protection Commisioner v Facebook Ireland Limited, Maximilian Schrems C-311/18”, ha dichiarato  invalida la Decisione n. 2016/1250 e, di conseguenza, l’accordo siglato tra l’Unione Europea e gli Stati Uniti d’America avente l’obiettivo di tutelare e disciplinare il trasferimento dei dati personali dei cittadini europei verso soggetti destinatari allocati nel territorio americano (“Privacy Shield”)“.

Sul punto il Comitato Europeo per la Protezione dei Dati (“European Data Protection Board” o “EDPB”) ha predisposto delle “Frequently Asked Questions” (“FAQ”) che l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha provveduto a tradurre nella lingua italiana.

Con esse si sottolinea espressamente che possono essere ancora considerati strumenti adeguati a rendere legittimo il trasferimento dei dati personali verso destinatari stabiliti al di fuori del territorio dell’Unione Europea gli altri strumenti previsti dal Regolamento UE 2016/679 in materia di protezione dei dati personali (“Regolamento”), citando le Clausole Contrattuali Standard (“Standard Contractual Clauses” o “SCC”) e le Norme Vincolanti d’Impresa (“Binding Corporate Rules” o “BCR”). Viene evidenziato, inoltre, che è responsabilità delle parti valutare caso per caso i trasferimenti effettuati con la precisazione che: “Al momento il Comitato europeo per la protezione dei dati sta analizzando la sentenza della Corte per stabilire quali misure supplementari potrebbero essere fornite in aggiunta alle SCC o alle BCR, siano esse misure giuridiche, tecniche o organizzative, per trasferire dati verso paesi terzi in cui le SCC o le BCR non potranno assicurare isolatamente un livello sufficiente di garanzie”.

Ciò detto, le FAQ richiamano un ulteriore strumento quale base giuridica che legittima tali trasferimenti, ossia il consenso degli interessati. In particolare, si ribadisce che il linguaggio del consenso deve essere semplice e chiaro e deve informare in modo trasparente gli interessati sui possibili rischi che un trasferimento verso gli Stati Uniti, o comunque altre giurisdizioni estere, potrebbe comportare.

Per completezza di esposizione, si segnala che ulteriori strumenti previsti dal Regolamento quali basi giuridiche atte a legittimare i trasferimenti all’estero sono: (i) la presenza di una decisione di adeguatezza ai requisiti europei in materia di protezione dei dati personali e (ii) l’adesione a specifici Codici di condotta o, comunque, a meccanismi di certificazione i quali devono essere contestualmente applicati dal soggetto a cui i dati vengono trasferiti.

◊◊◊◊

In ogni caso, alla luce di quanto espresso dalla Corte con la sentenza in esame nonché dalle FAQ dell’EDPB, sarà compito di ciascuna organizzazione che effettua trasferimenti di dati verso destinatari stabiliti fuori dal territorio dell’Unione effettuare specifiche valutazioni dei trattamenti nonché dei rischi relativi individuando di volta in volta lo strumento adeguato a legittimazione del trasferimento svolto.

Altri Insights correlati:

Privacy Shield: la Corte di Giustizia Europea invalida l’Accordo UE – USA

L’Autorità Garante per la Protezione dei Dati Personali, con il “Provvedimento n. 216 del 4 dicembre 2019”, ha confermato una già consolidata posizione secondo cui, il datore di lavoro che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e accede alle mail contenute nella casella di posta, commette un illecito.

Il caso

Una società ricorreva al giudice del lavoro avverso un ex dipendente poiché questi proponeva prodotti in diretta concorrenza con i suoi. Le informazioni a suffragio del ricorso erano state raccolte dalla società ricorrente accendendo all’indirizzo di posta elettronica dell’ex dipendente anche successivamente all’interruzione del rapporto di lavoro.

Il lavoratore presentava così reclamo al Garante per la protezione dei dati personali, eccependo che la società sua ex datrice di lavoro non aveva disattivato il suo account di posta ed aveva acceduto ai messaggi ricevuti.

La società, nel resistere al reclamo presentato dal lavoratore, ha affermato che la mancata disattivazione dell’account e il contestuale inoltro delle mail sull’indirizzo del responsabile della funzione di Information Technology, erano state disposte poiché (i) l’ex dipendente non aveva provveduto ad inviare ai clienti una comunicazione con i nuovi riferimenti aziendali. Aggiungendo, inoltre, che (ii) era stata aperta solo la corrispondenza contente messaggi di lavoro e non anche quelli personali e che (iii) l’ex dipendente fosse a conoscenza della “prassi aziendale” secondo cui il datore di lavoro, dopo la cessazione del rapporto, avrebbe controllato la corrispondenza a lui diretta.

Preso atto che i fatti oggetto del reclamo sono antecedenti all’entrata in vigore del Regolamento UE 2016/679 e che le informazioni venivano rese ai dipendenti in forma orale, il Garante ha comunque dichiarato illecito il reiterato utilizzo dell’account individuale aziendale di un soggetto non facente più parte di quella organizzazione aziendale.

Il Garante, infatti, ha affermato che il datore di lavoro deve agire in conformità ai principi di liceità, necessità e proporzionalità, i quali rappresentano le fondamenta della materia della protezione dei dati personali, disponendo la rimozione degli account di posta elettronica aziendali riconducibili a persone identificate o identificabili. Contestualmente alla chiusura dell’account, secondo l’Autorità, il datore di lavoro è tenuto, se necessario, a dotarsi di sistemi automatici volti ad informare i terzi e a fornire a questi ultimi indirizzi alternativi a cui rivolgersi. Inoltre, il datore di lavoro deve adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante tutto il periodo in cui il sistema automatico è attivo.

Secondo quanto disposto nel Provvedimento, è l’implementazione di adeguate misure tecniche ed organizzative che consente di contemperare, da un lato, l’interesse del titolare (alias il datore di lavoro) ad accedere alle informazioni a lui necessarie per proseguire la gestione dell’attività lavorativa e, dall’altro, assicurare il rispetto della legittima aspettativa del lavoratore alla riservatezza sulla corrispondenza. E, a parere del Garante, proprio l’adozione di un regolamento interno in base al quale vengono condivise con dipendenti le informazioni sulla gestione tecnica ed organizzativa adottate, rientra tra le corrette misure da implementare.

La Corte di Cassazione, con ordinanza n. 32533 depositata lo scorso 14 dicembre, ha sancito il diritto del dipendente, sottoposto a provvedimento disciplinare, di accedere agli atti che lo riguardano. La Corte ha così confermato l’ampiezza del raggio d’azione di cui gode il “diritto di accesso”, come disciplinato dall’art. 7 del Codice Privacy, operante all’epoca dei fatti sotto descritti, nonché come previsto dall’art. 15 del Regolamento UE 679/2016 (“GDPR”), attualmente applicabile.

 

I fatti

 

La vicenda trae origine dal ricorso presentato da una Banca dapprima avverso il provvedimento del Garante per la protezione dei dati personali (il “Garante”), e successivamente contro la sentenza del Tribunale territorialmente competente, che aveva confermato la posizione del Garante.

Nella specie, il dipendente della Banca, a seguito della comminazione a suo carico di una sanzione disciplinare (sospensione dal servizio e relativo trattamento economico per un giorno), aveva chiesto di visionare gli atti antecedenti propedeutici alla sanzione, nei quali erano incluse le valutazioni che lo riguardavano.

I documenti richiesti erano previsti da una circolare interna risalente al 2009 e specificamente la (i) “Segnalazione in forma di relazione scritta inviata a «Disciplina» eseguita dal Responsabile HR Centrale e Territoriale”, nonché la (ii) “Lettera accompagnatoria in cui il Responsabile HR formula le valutazioni congiunte con il Responsabile della struttura territoriale o centrale”.

La Banca, invitata dal Garante a fornire riscontro alle richieste del dipendente, aveva replicato che i summenzionati documenti

–       contenevano dati aziendali – “di uso strettamente interno” – anch’essi protetti dalla normativa privacy, in quanto espressione del diritto di organizzare e gestire la propria attività (art. 41 Cost.), e

–       erano “atti endo-procedimentali”, attinenti al solo momento formativo della volontà datoriale. Secondo la Banca nessuna rilevanza potevano assumere rispetto al contrapposto diritto di difesa del lavoratore. Diritto che, a parere della stessa, era stato già garantito essendo state riportate nelle lettere di contestazione tutte le informazioni necessarie.

Il Tribunale, nel confermare il Provvedimento del Garante, rigettava il ricorso della Banca, ritendo che

(i)            non erano assolutamente stati rispettati i principi in tema di difesa nel procedimento disciplinare e in giudizio, e

(ii)           la Banca avrebbe semplicemente potuto limitarsi ad estrapolare eventuali passaggi della documentazione richiesta non conferenti rispetto alle esigenze del lavoratore, qualora pregiudizievoli del diritto di riservatezza di terzi.

In sostanza il Tribunale dichiarava illegittima la datoriale di mantenere riservati alcuni aspetti delle proprie scelte organizzative, “non potendo essere in facoltà della parte decidere discrezionalmente ciò che può essere reso manifesto e ciò che può non esserlo, poiché una tale impostazione rimetterebbe alla società ricorrente ogni determinazione anche sugli spazi di difesa della controparte”.

La Banca avverso la decisione del Tribunale ricorreva in Cassazione, chiedendo peraltro di rinviare la trattazione della controversia alla pubblica udienza, data la rilevanza della questione.

 

La decisione della Corte

 

La decisione della Corte si concentra su tre punti focali che di seguito si illustrano.

  1. Il bilanciamento degli interessi coinvolti

Sul punto, la Suprema Corte ha ripercorso le valutazioni operate dal giudice di merito, come sopra accennate, ritenendo che – a seguito del bilanciamento di contrapposti interessi – il diritto di accesso del lavoratore prevale rispetto alle esigenze di riservatezza prospettate dalla Banca.

La Banca, a parere della Corte, avrebbe potuto consentire l’accesso dei documenti valutativi del dipendente, tutelando ad ogni modo i terzi, ad esempio, attraverso l’oscuramento delle informazioni che potessero risultare per gli stessi pregiudizievoli.

  1. L’interpretazione estensiva del diritto di accesso

Inoltre, la Corte di Cassazione, nel confermare le statuizioni del Giudice di merito, ha precisato che il diritto di accesso non può essere inteso – in senso restrittivo – quale mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza dell’interessato: la portata del diritto in analisi è ben più ampia.

Secondo la Corte la finalità del diritto di accesso è quella di garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis (i) dell’avvenuto inserimento, (ii) della permanenza, ovvero (iii) della rimozione di dati personali. Ciò indipendentemente dal fatto che ciò possa essere stato portato a conoscenza dell’interessato attraverso altri modi e tempi (vedasi il riferimento alle contestazioni sopra menzionate). Tale verifica, dunque, deve essere garantita mediante l’accesso da parte dell’interessato ai propri dati personali, in ogni momento del rapporto di lavoro.

  1. Il diritto di accesso, con specifico riferimento ai documenti relativi al rapporto lavorativo

Infine, la Corte di Cassazione ha confermato e ribadito il proprio precedente orientamento, teso a garantire il diritto di accesso alla documentazione riferita alle vicende connesse al rapporto di lavoro. E ciò, tanto nel caso in cui tale documentazione sia imposta dalla legge quanto nel caso in cui la documentazione sia prevista dall’organizzazione aziendale, ad esempio tramite circolari interne (inter alia, cfr. Cass. n. 9961 del 2007), come nel caso de quo.

 

Conclusioni

 

In sostanza la Corte di Cassazione ritiene che dal disposto normativo in tema di “diritto di accesso” non si evince alcuna specifica limitazione in merito alle concrete finalità per le quali lo stesso possa o meno essere esercitato. Pertanto, il diritto in questione ben può essere esercitato dal dipendente per proprie finalità difensive.

 

Notizie correlate:

 

Il diritto di accesso agli atti nel procedimento disciplinare

Il Garante per la protezione dei dati personali, lo scorso ottobre ha fornito alcune importanti precisazioni relativamente a due dei principali adempimenti –rilevantissimi elementi di accountability – introdotti dal Regolamento Europeo 679/2016 in materia di protezione dei dati personali (il “Regolamento”):

(i)            il Registro dei Trattamenti, come da risposta alle FAQ pubblicate l’8 ottobre sul sito del Garante, nonché

(ii)           la Valutazione d’Impatto Privacy (anche conosciuta come “DPIA” – Data Protection Impact Assessment), come da Provvedimento del Garante, n. 467, dell’11 ottobre.

 

Il Registro dei trattamenti

In primis, ad avviso del Garante, il “Registro della attività di trattamento” (il “Registro”) – previsto dall’art. 30 del Regolamento – deve riportare tutte le principali informazioni relative alle operazioni di trattamento svolte dal Titolare. Questo documento deve essere redatto in forma scritta oppure elettronica, ed è in ogni caso il primo documento che, su richiesta del Garante stesso o in fase d’ispezioni, deve essere prontamente esibito.

Il Garante ha allargato la platea dei soggetti tenuti a tenere il Registro, includendovi tutte le aziende che effettuano “trattamenti non occasionali” (indipendentemente dal numero dei dipendenti impiegati); gli  esercizi commerciali o artigiani con almeno un dipendente; i liberi professionisti, le associazioni e le fondazioni ed, infine, i condomini, ove trattino “categorie particolari” di dati.

Infine, il Garante ricorda quali sono le “informazioni minime” che il Registro deve obbligatoriamente contenere, ossia:

–       le finalità di ciascun trattamento. Al riguardo viene precisato che, oltre alla precipua indicazione delle stesse, distinta per tipologie di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini), sarebbe opportuno indicare anche la base giuridica dello stesso. Sempre con riferimento alla base giuridica, sarebbe parimenti opportuno: in caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni di cui all’art. 9, par. 2, del Regolamento; in caso di trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’art. 10 del Regolamento;

–       le categorie di interessati (ad es. clienti, fornitori e dipendenti) e le categorie di dati personali (ad es. dati anagrafici, dati sanitari, dati biometrici);

–       le categorie di destinatari a cui i dati vengono comunicati (gli altri titolari, per categorie di appartenenza, a cui i dati vengono comunicati, come gli enti previdenziali a cui devono trasmessi per adempiere agli obblighi contributivi). Secondo il Garante è opportuno, altresì, indicare gli eventuali altri soggetti a cui – in qualità di responsabili del trattamento o sub responsabili – i dati vengono trasmessi (ad es. società di elaborazione paga). Ciò al fine di consentire al Titolare di avere contezza del novero e della tipologia di soggetti esterni a cui sono affidate le operazioni di trattamento dei dati;

–       gli eventuali trasferimenti verso paesi terzi, con indicazione del Paese/i Terzo/i a cui i dati sono trasferiti e le garanzie adottate ai sensi del Regolamento;

–       il periodo di conservazione dei dati (ad es. in caso di rapporto contrattuale i dati saranno conservati per 10 anni dall’ultima registrazione) e, infine,

–       una generale descrizione delle misure di sicurezza (tecniche e organizzative) adottate per ciascun trattamento, con possibilità di far rinvio per una valutazione più completa a documenti esterni di carattere generale (ad es. procedure interne).

 

Il Garante ribadisce che il Registro deve essere costantemente aggiornato poiché il suo contenuto deve corrispondere all’effettività dei trattamenti posti in essere. In sostanza qualsiasi cambiamento deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.

Anche il Responsabile del Trattamento è tenuto a tenere un Registro del trattamento, in merito alle cui modalità di compilazione, il Garante ha precisato che:

–       nel caso in cui agisca per conto di più clienti quali autonomi e distinti titolari (es. società di software house), le informazioni di cui all’art. 30, par. 2, del Regolamento dovranno essere riportate nel Registro con riferimento a ciascuno dei suddetti titolari. In questi casi il Responsabile dovrà suddividere il Registro in tante sezioni quanti sono i titolari per conto dei quali agisce o potrebbe riportare il rinvio, ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi. Ciò, ferma restando la necessità che tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2 del Regolamento;

–       con riferimento alla “descrizione delle categorie di trattamenti effettuati è possibile far riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell’art. 28 del Regolamento, deve individuare, in particolare, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati oggetto del trattamento, nonché la durata di quest’ultimo

–       in caso di sub-responsabili, parimenti, il Registro delle attività di trattamento svolte da quest’ultimo potrà specificatamente far riferimento ai contenuti del contratto stipulato tra lo stesso e il Responsabile ai sensi dell’art. 28 del Regolamento.

La Valutazione di impatto

Il provvedimento n. 467 del Garante fornisce una lista di 12 tipi di trattamenti che richiedono l’obbligatoria redazione di una Valutazione d’Impatto. Tali indicazioni, dunque, si aggiungono a quelle disposte dall’art. 35 del Regolamento nonché dalle linee guida del c.d. WP29 (ora Comitato Europeo per la Protezione dei Dati), già fornite nel corso del 2017.

La redazione di una DPIA rappresenta un adempimento particolarmente delicato e rilevante, in termini di “privacy compliance”, richiedendosi di fatto, alla società Titolare del trattamento dei dati, di valutare e soppesare con attenzione le misure tecniche e organizzative, le quali devono essere idonee ad impedire che le persone fisiche interessate al trattamento possano subire danni.

Dopo i tre esempi di cui all’art. 35 del Regolamento – profilazione, sorveglianza sistematica su larga scala di zona accessibile al pubblico e trattamento su larga scala dei dati “particolari” (già “sensibili”) – ed in aggiunta ai nove casi elencati dal WP29 nelle proprie linee guida, in forza dei quali la DPIA sarebbe obbligatoria, il nostro Garante ha dunque ulteriormente chiarito la materia.

Nello specifico, a parere del Garante richiedono la preventiva DPIA i trattamenti:

–       valutativi, di scoring su larga scala e di profilazione;

–       automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” o che comunque incidono significativamente sugli interessati (ad esempio, lo screening di clienti di una banca attraverso l’utilizzo di dati registrati in una centrale di rischi);

–       che consentono l’utilizzo sistematico di dati per osservazione e monitoraggio (ad esempio via app od online);

–       su larga scala di dati aventi carattere estremamente personale (ad es. mail) o che incidono su un diritto fondamentale (ubicazione, la cui raccolta può impattare sulla libera circolazione);

–       svolti nell’ambito del rapporto di lavoro mediante sistemi tecnologici (ad es.: videosorveglianza o geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti;

–       di soggetti vulnerabili (minori, disabili, etc.);

–       effettuati attraverso l’uso di tecnologie innovative (IoT o AI);

–       che comportano lo scambio di dati tra diversi titolari, su larga scala;

–       effettuati mediante interconnessione e simili (ad es.: mobile payment);

–       di categorie “’particolari” di dati o comunque relativi a condanne penali;

–       sistematici di dati biometrici ed infine di dati genetici.

A livello “comparatistico”, si rileva come, rispetto al “collega” francese (il CNIL), il Garante italiano non abbia fatto espresso riferimento al trattamento relativo ai “sistemi di whistleblowing”.

Resta inteso che l’elenco dei 12 trattamenti fornito – ed in corso di pubblicazione in Gazzetta Ufficiale – non è da intendersi esaustivo: ben potranno (e dovranno) essere effettuate le DPIA, oltre che in presenza di almeno uno dei 9 casi elencati nelle sopra citate dal WP29 nelle citate Linee guida, ogni qualvolta il Titolare lo ritenga doveroso.

 

Link correlati:

https://www.delucapartners.it/news/2018/il-comitato-europeo-per-la-protezione-dei-dati-dialoga-con-il-garante-privacy-italiano-in-tema-di-dpia/

https://www.delucapartners.it/news/2018/dal-25-maggio-e-diventato-pienamente-operativo-il-regolamento-europeo-in-materia-di-protezione-dei-dati-personali/