Con il provvedimento n. 642 del 21 dicembre 2023, l’Autorità Garante per la protezione dei dati personali ha adottato un documento denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” avente lo scopo di fornire, ai datori di lavoro pubblici e privati, indicazioni di indirizzo sull’utilizzo dei programmi e servizi informatici per la gestione della posta elettronica aziendale.

Il documento viene adottato a seguito di accertamenti effettuati dal Garante in occasione dei quali è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud o as-a-service, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti conservandoli per un esteso arco temporale. Con “metadati” devono intendersi informazioni quali, ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail.

Per assicurare il rispetto della normativa in materia di protezione dei dati nonché la disciplina di settore in materia di controlli a distanza – come noto, disciplinata dall’art. 4, L. 300/1970 (“Statuto dei Lavoratori”), i datori di lavoro dovranno:

• verificare che i programmi e servizi informatici di gestione della posta elettronica consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di 7 giorni, estendibili di ulteriori 48 ore in presenza di condizioni specifiche;
• diversamente, espletare le procedure di garanzia previste dall’art. 4 dello Statuto dei Lavoratori, ossia sottoscrivere un accordo sindacale o ottenere una autorizzazione dell’Ispettorato, nazionale o territoriale, del Lavoro. Ciò poiché l’estensione del periodo di conservazione oltre l’arco temporale dei 7/9 giorni può comportare un indiretto controllo a distanza dell’attività del lavoratore;
• in ogni caso, deve essere assicurata la necessaria trasparenza nei confronti dei lavoratori, fornendo preventivamente agli stessi una specifica informativa sul trattamento dei dati personali.

In altre parole, se per rispondere a esigenze organizzative e produttive, di tutela del patrimonio aziendale e di sicurezza del lavoro, la conservazione dei dati non può essere limitata ai periodi indicati dal Garante, i datori di lavoro dovranno sottoscrivere un accordo sindacale o ottenere una autorizzazione dell’Ispettorato del Lavoro.

In assenza di ciò, si configura un controllo a distanza delle attività del lavoratore che può avere conseguenze anche penali al quale si aggiunge anche la violazione della normativa in materia di protezione dei dati personali avente, quale conseguenza, (i) l’illiceità del trattamento dei dati personali, (ii) la violazione del principio di limitazione della conservazione nonché (iii) la violazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita oltreché di responsabilizzazione.

In ogni caso, resta inteso che, nelle more dell’eventuale espletamento delle procedure di garanzia, i metadati non potranno comunque essere utilizzati. ​

Altri insights correlati:

• Controlli: utilizzabili le informazioni aziendali rinvenute nel pc aziendale dell’ex dipendente
• Corte di Cassazione: i controlli difensivi sulla posta elettronica aziendale del dipendente

In occasione del nostro Team Meeting di questa settimana, tra i vari argomenti, abbiamo approfondito il tema dei controlli datoriali effettuati tramite agenzia investigativa, analizzando la sentenza n. 28378 dell’11 ottobre 2023 della Corte di Cassazione in cui è stato dichiarato nullo il licenziamento basato su prove raccolte da un investigatore privato che non era stato indicato nominativamente nell’atto di incarico.

Se vuoi approfondire questo argomento, contattaci o richiedi qui le nostre slide.

Con Provvedimento del 14 settembre 2023 u.s., l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha rilevato l’illiceità del trattamento di dati effettuato da parte di una società incaricata della lettura dei contatori di gas, luce e acqua (la “Società”), confermando che il datore di lavoro ha l’obbligo di fornire un completo riscontro alle istanze di esercizio del diritto di accesso, anche comunicando i dati relativi alla geolocalizzazione.

I fatti

La vicenda trae origine dal reclamo presentato al Garante da tre dipendenti della Società che non avevano ricevuto un riscontro soddisfacente alla richiesta di accesso ai propri dati personali raccolti attraverso lo smartphone aziendale, sul quale era stato istallato un sistema di geolocalizzazione che permetteva ai lavoratori di individuare il tragitto da effettuare per raggiungere i contatori oggetto dell’intervento tecnico.

In particolare, i dipendenti chiedevano di conoscere le informazioni utilizzate per elaborare i rimborsi chilometrici e la retribuzione mensile oraria, nonché la procedura per stabilire il compenso dovuto per verificare la correttezza della propria busta paga.

Il Garante, nel corso dell’attività istruttoria, ha rilevato che la Società non aveva fornito un riscontro idoneo rispetto a quanto richiesto dai tre lavoratori, nonostante la richiesta risultasse chiara ed analitica. Infatti, non aveva provveduto a comunicare ai dipendenti i dati trattati attraverso il sistema GPS, ma si era limitata ad indicare le modalità e gli scopi per i quali venivano trattati e a fornire l’informativa già sottoscritta dagli interessati.

L’esito dell’attività istruttoria

All’esito dell’attività istruttoria, il Garante ha rilevato che la Società, nella sua qualità di Titolare del trattamento, ha effettuato il trattamento in violazione:

• dell’art. 15 del Regolamento (UE) 2016/679 (il “GDPR”), per non aver fornito, nemmeno attraverso la documentazione allegata, un riscontro completo ed esaustivo rispetto a quanto richiesto attraverso le istanze. L’esercizio del diritto di “accesso ai dati personali” deve, infatti, consentire un accesso effettivo ai dati personali eventualmente trattati, che non sia una descrizione generale degli stessi, né un semplice riferimento alle categorie di dati personali trattati dal titolare (così specificato anche nelle “Linee guida 01/2022” sui Diritti degli Interessati dell’EDPB, 28 marzo 2023).

La Società avrebbe dovuto fornire tutti i dati raccolti attraverso il sistema di geolocalizzazione, riscontrando le richieste puntualmente pervenute dai tre reclamanti;

• dell’art. 12 del GDPR, nella parte in cui dispone che il Titolare del trattamento, a fronte di una richiesta di esercizio dei diritti da parte di un interessato, deve agevolarne l’esercizio fornendo “le informazioni relative all’azione intrapresa […] senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta” e “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo […] dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”;

• dell’art. 5, par. 1, lett. (a) del GDPR, nella parte i cui prevede che i dati personali devono essere trattati in modo “lecito, corretto e trasparente nei confronti dell’interessato”. Il diritto riconosciuto all’interessato di accedere ai propri dati non può ritenersi soddisfatto attraverso il semplice rinvio a quanto contenuto nell’informativa, senza alcun riferimento al trattamento effettuato nel concreto.

La decisione del Garante

All’esito dell’attività istruttoria, il Garante chiarisce che, dal momento che la Società ha trattato, tra l’altro, dati relativi alla geolocalizzazione degli smartphone forniti ai dipendenti per lo svolgimento della prestazione lavorativa, da tale trattamento “è derivata indirettamente la geolocalizzazione dei reclamanti stessi”: per tale ragione, la Società avrebbe dovuto fornire un riscontro completo ed esaustivo alle istanze di esercizio del diritto di accesso, comunicando, in particolare, i dati relativi alla geolocalizzazione dei lavoratori oppure motivare una eventuale inottemperanza alle richieste ricevute.

Alla luce di tutto quanto sopra esposto, il Garante ha comminato alla Società datrice il pagamento di una sanzione amministrativa pecuniaria di 20mila euro disponendo, altresì, la pubblicazione del Provvedimento sul proprio sito web.

Altri insights correlati:

• Per la Corte Europea è legittimo il tracciamento del dipendente tramite il geolocalizzatore dell’auto di servizio (Norme e Tributi Plus Diritto, 23 gennaio 2023 – Alberto De Luca, Claudia Cerbone)
• Autorità Garante: il dipendente ha diritto di accedere alla relazione dell’agenzia investigativa incaricata dal datore di lavoro

Con Provvedimento del 6 luglio 2023 u.s., l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha rilevato l’illiceità del trattamento di dati effettuato da parte di un’azienda di servizi di pubblica utilità (la “Società”), stabilendo che il datore di lavoro ha l’obbligo di consentire ad un lavoratore di accedere a tutti i suoi dati personali, compresi quelli contenuti nella relazione prodotta dall’agenzia investigativa incaricata dal datore di lavoro di raccogliere informazioni sul suo conto ed utilizzate dalla Società per finalità disciplinari.

I fatti

La vicenda trae origine a seguito del reclamo presentato al Garante da un dipendente che non riceveva integrale riscontro alle molteplici richieste di accesso ai propri dati personali presentate alla Società datrice dopo aver ricevuto una contestazione disciplinare, cui faceva seguito il licenziamento del lavoratore, che conteneva dei “puntuali riferimenti” a condotte estranee all’attività  lavorativa vera e propria e che quindi denotavano un possibile controllo “contrario alle norme vigenti (condotta non iure) e lesivo di una situazione giuridica soggettiva altrui protetta dalla legge (condotta contra ius) e, conseguentemente l’inutilizzabilità dei dati raccolti”.

La Società motivava il diniego all’accesso dei dati personali trattati sostenendo che le richieste presentate dal lavoratore erano troppo generiche e che lo stesso avrebbe dovuto indicare nel dettaglio le informazioni cui voleva accedere.

Emergeva, inoltre, che solamente in occasione della costituzione della Società nel giudizio di impugnazione del licenziamento dinanzi alle competenti autorità giudiziarie, il dipendente aveva potuto conoscere dell’esistenza e del contenuto della relazione investigativa.

L’esito dell’attività istruttoria

All’esito dell’attività istruttoria, l’Autorità ha rilevato che la Società, nella sua qualità di Titolare del trattamento, ha effettuato il trattamento in violazione:

• dell’art. 15 del Regolamento (UE) 2016/679 (il “GDPR”), nella parte in cui ha subordinato il riscontro alla richiesta di accesso presentata dal lavoratore all’indicazione dettagliata dei documenti e delle informazioni cui voleva accedere. La richiesta di esercitare il diritto di accesso, diritto riconosciuto a tutti i soggetti interessati da un trattamento di dati personali dall’articolo in commento, deve essere intesa in termini generali, comprendendo tutti i dati personali riguardanti l’interessato, come specificato anche nelle “Linee guida 01/2022” sui Diritti degli Interessati (EDPB, 28 marzo 2023). Inoltre, ricorda il Garante, qualora i dati non siano raccolti direttamente presso l’interessato, il Titolare del trattamento deve indicare la loro origine.

Nel caso di specie, la Società avrebbe dovuto fornire tutti i dati raccolti con la relazione investigativa, considerato che la stessa conteneva anche informazioni relative al lavoratore ma che non erano state menzionate nella contestazione disciplinare;

• dell’art. 12 del GDPR, nella parte in cui il Titolare del trattamento, a fronte di una richiesta di esercizio dei diritti da parte di un interessato, deve agevolarne l’esercizio fornendo “le informazioni relative all’azione intrapresa […] senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta” e “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo […] dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”;

• dell’art. 5, par. 1, lett. (a) del GDPR, nella parte i cui dati personali devono essere trattati in modo “lecito, corretto e trasparente nei confronti dell’interessato”. La Società, nei riscontri forniti al lavoratore, non aveva infatti specificato l’origine dei dati personali utilizzati per la contestazione disciplinare.

La decisione del Garante

Per tutte le ragioni sopra esposte, il Garante ha rilevato l’illiceità del trattamento effettuato dalla Società in relazione agli artt. 5, par. 1, lett. a), 12 e 15 del GDPR; ha ribadito che “salvo diversa richiesta esplicita dell’interessato, la richiesta di esercitare il diritto di accesso è intesa in termini generali, comprendendo tutti i dati personali che li riguardano”; ha, pertanto, comminato alla Società datrice il pagamento di una sanzione amministrativa pecuniaria di 10mila euro ed ha disposto la pubblicazione del Provvedimento sul proprio sito web.

Altri insights correlati:

• Attività investigativa: accertamento atti illeciti non riconducibili alla prestazione lavorativa – De Luca & Partners (delucapartners.it)
• Il diritto di accesso agli atti nel procedimento disciplinare – De Luca & Partners (delucapartners.it)

L’Ispettorato Nazionale del Lavoro (“INL”), con la nota n. 2572 del 14 aprile 2023, ha fornito indicazioni operative per il rilascio di provvedimenti autorizzativi dei sistemi di videosorveglianza e degli strumenti dai quali deriva la possibilità di controllo a distanza dei lavoratori ai sensi dell’articolo 4 dello Statuto dei Lavoratori (L. 300/1970). Le indicazioni – si legge nella nota operativa – traggono spunto dall’esperienza applicativa e dalle problematiche operative emerse nel tempo anche alla luce dell’evoluzione tecnologica degli strumenti adottabili tenendo, altresì, conto degli orientamenti dell’Autorità Garante per la protezione dei dati personali.

L’INL ha, tra le altre, precisato che:

• l’installazione di un impianto audiovisivo o di altri strumenti da cui possa derivare un controllo a distanza dei lavoratori deve necessariamente e prioritariamente essere preceduta dall’accordo collettivo con le RSA/RSU. La procedura autorizzatoria, infatti, risulta essere solo eventuale e successiva al mancato accordo con i sindacati ed è condizionata alla dimostrazione dell’assenza della RSA/RSU;
• l’installazione di tale strumentazione non può essere giustificata da un eventuale consenso, seppur informato, dei singoli lavoratori interessati. In questo caso l’installazione non solo sarebbe illegittima ma anche penalmente sanzionata;
• le imprese con più unità produttive ubicate nell’ambito di competenza della medesima sede territoriale dell’INL possono presentare una sola istanza di autorizzazione;
• le imprese ubicate in diverse province, in alternativa alla stipulazione di singoli accordi con le RSA/RSU, possono stipulare un unico accordo con le associazioni sindacali comparativamente più rappresentative sul piano nazionale;
• l’art. 4 della L. n. 300/1970 si applica alle aziende in cui sono presenti lavoratori: (i) nell’ipotesi di costituzione di una nuova azienda che al momento dell’istanza non ha in forza lavoratori ma che prevede di avvalersi di personale non appena avviata l’attività, può presentare l’istanza per l’autorizzazione indicando il numero dei lavoratori che risulteranno in forza all’avvio dell’attività medesima; (ii) nell’ipotesi in cui l’azienda già in esercizio con un impianto legittimamente installato e funzionante ma senza lavoratori, intenda assumere del personale può presentare istanza ma deve – contestualmente – attestare la disattivazione dell’impianto che sarà messo in funzione solo successivamente all’eventuale provvedimento autorizzativo.

La nota in commento chiarisce anche le modalità di utilizzo dei sistemi di geolocalizzazione. L’INL, riferendosi espressamente alle conclusioni che l’Autorità Garante per la protezione dei dati personali ha nel tempo condiviso sul tema, richiama le prescrizioni fornite dall’Autorità circa le modalità di configurazione dei sistemi. Questi ultimi, infatti, devono:

• escludere il monitoraggio continuo del lavoratore;
• consentire la visualizzazione della posizione geografica da parte di soggetti autorizzati solo quando strettamente necessario rispetto alle finalità perseguite;
• consentire la disattivazione del dispositivo durante le pause e al di fuori dell’orario di lavoro;
• effettuare i trattamenti mediante pseudonimizzazione dei dati personali;
• prevedere la memorizzazione dei dati raccolti solo se necessario e con tempi di conservazione proporzionati rispetto alle finalità perseguite.

L’INL chiarisce, altresì, che la procedura imposta dall’art. 4 della L. 300/1970 si applica anche alle tipologie di lavoro in relazione alle quali sono normativamente estese le medesime tutele del lavoro subordinato tra cui rientrano le collaborazioni che si concretano in prestazioni prevalentemente personali, continuative ed eseguite secondo modalità etero organizzate anche qualora organizzate mediante piattaforme anche digitali.

Altri insights correlati:

Videosorveglianza: non occorre rinnovare la procedura per modifica degli assetti proprietari

Videosorveglianza: nota del Ministero del Lavoro n. 1241 del 1° giugno 2016