Con Provvedimento del 14 settembre 2023 u.s., l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha rilevato l’illiceità del trattamento di dati effettuato da parte di una società incaricata della lettura dei contatori di gas, luce e acqua (la “Società”), confermando che il datore di lavoro ha l’obbligo di fornire un completo riscontro alle istanze di esercizio del diritto di accesso, anche comunicando i dati relativi alla geolocalizzazione.

I fatti

La vicenda trae origine dal reclamo presentato al Garante da tre dipendenti della Società che non avevano ricevuto un riscontro soddisfacente alla richiesta di accesso ai propri dati personali raccolti attraverso lo smartphone aziendale, sul quale era stato istallato un sistema di geolocalizzazione che permetteva ai lavoratori di individuare il tragitto da effettuare per raggiungere i contatori oggetto dell’intervento tecnico.

In particolare, i dipendenti chiedevano di conoscere le informazioni utilizzate per elaborare i rimborsi chilometrici e la retribuzione mensile oraria, nonché la procedura per stabilire il compenso dovuto per verificare la correttezza della propria busta paga.

Il Garante, nel corso dell’attività istruttoria, ha rilevato che la Società non aveva fornito un riscontro idoneo rispetto a quanto richiesto dai tre lavoratori, nonostante la richiesta risultasse chiara ed analitica. Infatti, non aveva provveduto a comunicare ai dipendenti i dati trattati attraverso il sistema GPS, ma si era limitata ad indicare le modalità e gli scopi per i quali venivano trattati e a fornire l’informativa già sottoscritta dagli interessati.

L’esito dell’attività istruttoria

All’esito dell’attività istruttoria, il Garante ha rilevato che la Società, nella sua qualità di Titolare del trattamento, ha effettuato il trattamento in violazione:

• dell’art. 15 del Regolamento (UE) 2016/679 (il “GDPR”), per non aver fornito, nemmeno attraverso la documentazione allegata, un riscontro completo ed esaustivo rispetto a quanto richiesto attraverso le istanze. L’esercizio del diritto di “accesso ai dati personali” deve, infatti, consentire un accesso effettivo ai dati personali eventualmente trattati, che non sia una descrizione generale degli stessi, né un semplice riferimento alle categorie di dati personali trattati dal titolare (così specificato anche nelle “Linee guida 01/2022” sui Diritti degli Interessati dell’EDPB, 28 marzo 2023).

La Società avrebbe dovuto fornire tutti i dati raccolti attraverso il sistema di geolocalizzazione, riscontrando le richieste puntualmente pervenute dai tre reclamanti;

• dell’art. 12 del GDPR, nella parte in cui dispone che il Titolare del trattamento, a fronte di una richiesta di esercizio dei diritti da parte di un interessato, deve agevolarne l’esercizio fornendo “le informazioni relative all’azione intrapresa […] senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta” e “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo […] dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”;

• dell’art. 5, par. 1, lett. (a) del GDPR, nella parte i cui prevede che i dati personali devono essere trattati in modo “lecito, corretto e trasparente nei confronti dell’interessato”. Il diritto riconosciuto all’interessato di accedere ai propri dati non può ritenersi soddisfatto attraverso il semplice rinvio a quanto contenuto nell’informativa, senza alcun riferimento al trattamento effettuato nel concreto.

La decisione del Garante

All’esito dell’attività istruttoria, il Garante chiarisce che, dal momento che la Società ha trattato, tra l’altro, dati relativi alla geolocalizzazione degli smartphone forniti ai dipendenti per lo svolgimento della prestazione lavorativa, da tale trattamento “è derivata indirettamente la geolocalizzazione dei reclamanti stessi”: per tale ragione, la Società avrebbe dovuto fornire un riscontro completo ed esaustivo alle istanze di esercizio del diritto di accesso, comunicando, in particolare, i dati relativi alla geolocalizzazione dei lavoratori oppure motivare una eventuale inottemperanza alle richieste ricevute.

Alla luce di tutto quanto sopra esposto, il Garante ha comminato alla Società datrice il pagamento di una sanzione amministrativa pecuniaria di 20mila euro disponendo, altresì, la pubblicazione del Provvedimento sul proprio sito web.

Altri insights correlati:

• Per la Corte Europea è legittimo il tracciamento del dipendente tramite il geolocalizzatore dell’auto di servizio (Norme e Tributi Plus Diritto, 23 gennaio 2023 – Alberto De Luca, Claudia Cerbone)
• Autorità Garante: il dipendente ha diritto di accedere alla relazione dell’agenzia investigativa incaricata dal datore di lavoro

Con Provvedimento del 6 luglio 2023 u.s., l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha rilevato l’illiceità del trattamento di dati effettuato da parte di un’azienda di servizi di pubblica utilità (la “Società”), stabilendo che il datore di lavoro ha l’obbligo di consentire ad un lavoratore di accedere a tutti i suoi dati personali, compresi quelli contenuti nella relazione prodotta dall’agenzia investigativa incaricata dal datore di lavoro di raccogliere informazioni sul suo conto ed utilizzate dalla Società per finalità disciplinari.

I fatti

La vicenda trae origine a seguito del reclamo presentato al Garante da un dipendente che non riceveva integrale riscontro alle molteplici richieste di accesso ai propri dati personali presentate alla Società datrice dopo aver ricevuto una contestazione disciplinare, cui faceva seguito il licenziamento del lavoratore, che conteneva dei “puntuali riferimenti” a condotte estranee all’attività  lavorativa vera e propria e che quindi denotavano un possibile controllo “contrario alle norme vigenti (condotta non iure) e lesivo di una situazione giuridica soggettiva altrui protetta dalla legge (condotta contra ius) e, conseguentemente l’inutilizzabilità dei dati raccolti”.

La Società motivava il diniego all’accesso dei dati personali trattati sostenendo che le richieste presentate dal lavoratore erano troppo generiche e che lo stesso avrebbe dovuto indicare nel dettaglio le informazioni cui voleva accedere.

Emergeva, inoltre, che solamente in occasione della costituzione della Società nel giudizio di impugnazione del licenziamento dinanzi alle competenti autorità giudiziarie, il dipendente aveva potuto conoscere dell’esistenza e del contenuto della relazione investigativa.

L’esito dell’attività istruttoria

All’esito dell’attività istruttoria, l’Autorità ha rilevato che la Società, nella sua qualità di Titolare del trattamento, ha effettuato il trattamento in violazione:

• dell’art. 15 del Regolamento (UE) 2016/679 (il “GDPR”), nella parte in cui ha subordinato il riscontro alla richiesta di accesso presentata dal lavoratore all’indicazione dettagliata dei documenti e delle informazioni cui voleva accedere. La richiesta di esercitare il diritto di accesso, diritto riconosciuto a tutti i soggetti interessati da un trattamento di dati personali dall’articolo in commento, deve essere intesa in termini generali, comprendendo tutti i dati personali riguardanti l’interessato, come specificato anche nelle “Linee guida 01/2022” sui Diritti degli Interessati (EDPB, 28 marzo 2023). Inoltre, ricorda il Garante, qualora i dati non siano raccolti direttamente presso l’interessato, il Titolare del trattamento deve indicare la loro origine.

Nel caso di specie, la Società avrebbe dovuto fornire tutti i dati raccolti con la relazione investigativa, considerato che la stessa conteneva anche informazioni relative al lavoratore ma che non erano state menzionate nella contestazione disciplinare;

• dell’art. 12 del GDPR, nella parte in cui il Titolare del trattamento, a fronte di una richiesta di esercizio dei diritti da parte di un interessato, deve agevolarne l’esercizio fornendo “le informazioni relative all’azione intrapresa […] senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta” e “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo […] dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”;

• dell’art. 5, par. 1, lett. (a) del GDPR, nella parte i cui dati personali devono essere trattati in modo “lecito, corretto e trasparente nei confronti dell’interessato”. La Società, nei riscontri forniti al lavoratore, non aveva infatti specificato l’origine dei dati personali utilizzati per la contestazione disciplinare.

La decisione del Garante

Per tutte le ragioni sopra esposte, il Garante ha rilevato l’illiceità del trattamento effettuato dalla Società in relazione agli artt. 5, par. 1, lett. a), 12 e 15 del GDPR; ha ribadito che “salvo diversa richiesta esplicita dell’interessato, la richiesta di esercitare il diritto di accesso è intesa in termini generali, comprendendo tutti i dati personali che li riguardano”; ha, pertanto, comminato alla Società datrice il pagamento di una sanzione amministrativa pecuniaria di 10mila euro ed ha disposto la pubblicazione del Provvedimento sul proprio sito web.

Altri insights correlati:

• Attività investigativa: accertamento atti illeciti non riconducibili alla prestazione lavorativa – De Luca & Partners (delucapartners.it)
• Il diritto di accesso agli atti nel procedimento disciplinare – De Luca & Partners (delucapartners.it)

L’Ispettorato Nazionale del Lavoro (“INL”), con la nota n. 2572 del 14 aprile 2023, ha fornito indicazioni operative per il rilascio di provvedimenti autorizzativi dei sistemi di videosorveglianza e degli strumenti dai quali deriva la possibilità di controllo a distanza dei lavoratori ai sensi dell’articolo 4 dello Statuto dei Lavoratori (L. 300/1970). Le indicazioni – si legge nella nota operativa – traggono spunto dall’esperienza applicativa e dalle problematiche operative emerse nel tempo anche alla luce dell’evoluzione tecnologica degli strumenti adottabili tenendo, altresì, conto degli orientamenti dell’Autorità Garante per la protezione dei dati personali.

L’INL ha, tra le altre, precisato che:

• l’installazione di un impianto audiovisivo o di altri strumenti da cui possa derivare un controllo a distanza dei lavoratori deve necessariamente e prioritariamente essere preceduta dall’accordo collettivo con le RSA/RSU. La procedura autorizzatoria, infatti, risulta essere solo eventuale e successiva al mancato accordo con i sindacati ed è condizionata alla dimostrazione dell’assenza della RSA/RSU;
• l’installazione di tale strumentazione non può essere giustificata da un eventuale consenso, seppur informato, dei singoli lavoratori interessati. In questo caso l’installazione non solo sarebbe illegittima ma anche penalmente sanzionata;
• le imprese con più unità produttive ubicate nell’ambito di competenza della medesima sede territoriale dell’INL possono presentare una sola istanza di autorizzazione;
• le imprese ubicate in diverse province, in alternativa alla stipulazione di singoli accordi con le RSA/RSU, possono stipulare un unico accordo con le associazioni sindacali comparativamente più rappresentative sul piano nazionale;
• l’art. 4 della L. n. 300/1970 si applica alle aziende in cui sono presenti lavoratori: (i) nell’ipotesi di costituzione di una nuova azienda che al momento dell’istanza non ha in forza lavoratori ma che prevede di avvalersi di personale non appena avviata l’attività, può presentare l’istanza per l’autorizzazione indicando il numero dei lavoratori che risulteranno in forza all’avvio dell’attività medesima; (ii) nell’ipotesi in cui l’azienda già in esercizio con un impianto legittimamente installato e funzionante ma senza lavoratori, intenda assumere del personale può presentare istanza ma deve – contestualmente – attestare la disattivazione dell’impianto che sarà messo in funzione solo successivamente all’eventuale provvedimento autorizzativo.

La nota in commento chiarisce anche le modalità di utilizzo dei sistemi di geolocalizzazione. L’INL, riferendosi espressamente alle conclusioni che l’Autorità Garante per la protezione dei dati personali ha nel tempo condiviso sul tema, richiama le prescrizioni fornite dall’Autorità circa le modalità di configurazione dei sistemi. Questi ultimi, infatti, devono:

• escludere il monitoraggio continuo del lavoratore;
• consentire la visualizzazione della posizione geografica da parte di soggetti autorizzati solo quando strettamente necessario rispetto alle finalità perseguite;
• consentire la disattivazione del dispositivo durante le pause e al di fuori dell’orario di lavoro;
• effettuare i trattamenti mediante pseudonimizzazione dei dati personali;
• prevedere la memorizzazione dei dati raccolti solo se necessario e con tempi di conservazione proporzionati rispetto alle finalità perseguite.

L’INL chiarisce, altresì, che la procedura imposta dall’art. 4 della L. 300/1970 si applica anche alle tipologie di lavoro in relazione alle quali sono normativamente estese le medesime tutele del lavoro subordinato tra cui rientrano le collaborazioni che si concretano in prestazioni prevalentemente personali, continuative ed eseguite secondo modalità etero organizzate anche qualora organizzate mediante piattaforme anche digitali.

Altri insights correlati:

Videosorveglianza: non occorre rinnovare la procedura per modifica degli assetti proprietari

Videosorveglianza: nota del Ministero del Lavoro n. 1241 del 1° giugno 2016

Con Ordinanza di ingiunzione dello scorso 11 gennaio 2023, il Garante per la Protezione dei dati Personali (il “Garante” o l’”Autorità”) ha comminato ad una società il pagamento di una sanzione amministrativa pari a euro 5.000 per aver mantenuto attivo l’account di posta elettronica di una collaboratrice e aver preso visione del contenuto dello stesso.  

I fatti 

Una società, nel corso di alcune trattative volte a definire l’acquisizione di una società cooperativa, concordava che una esponente di quest’ultima collaborasse, spendendo il nome della società acquirente, alla promozione di un fornitore comune in occasione di un evento fieristico. 

Alla collaboratrice veniva quindi attivato un account di posta elettronica aziendale al fine di consentirle di relazionarsi con i potenziali clienti conosciuti in occasione dell’evento.  

A distanza di qualche mese, le trattative tra le due società venivano interrotte e la reclamante richiedeva la disattivazione dell’account di posta elettronica assegnatole. La società, al fine di non perdere i contatti di potenziali nuovi clienti raccolti durante l’evento, manteneva attivo l’account e impostava un sistema di inoltro delle comunicazioni in entrata alla mail del direttore commerciale, disattivando l’indirizzo di posta della reclamante solamente trascorsi (circa) sei mesi dall’attivazione. 

L’esito dell’istruttoria del Garante 

Il Garante ha innanzitutto rilevato che la società non ha adempiuto all’obbligo di informare la reclamante circa il trattamento dei dati effettuato sul suo account di posta così come invece prescritto dall’articolo 13 del Regolamento (UE) 2016/679 (il “Regolamento“). Tale obbligo, ricorda l’Autorità, vige anche nell’ambito di eventuali trattative precontrattuali quale espressione dei principi di correttezza e trasparenza (cfr. art. 5, Regolamento). 

Nel caso di specie, la società: 

1. ha effettuato un trattamento di dati personali in assenza di un criterio di legittimazione nella parte in cui ha (i) visionato, senza una idonea base giuridica, la corrispondenza ricevuta ed inviata sull’account durante la collaborazione con la reclamante e (ii) impostato, al termine della collaborazione, un sistema automatico di inoltro delle mail ad un diverso account aziendale; 

2. non ha realizzato un adeguato bilanciamento “degli interessi in gioco”: da un lato, infatti, si riconosce la necessità per la società di proseguire le proprie attività economiche e dall’altro il diritto alla riservatezza dell’interessato (alias la reclamante). Al riguardo, si legge nel provvedimento, “la finalità (legittima) di non perdere contatti utili per la propria attività commerciale, […], si sarebbe potuta perseguire con trattamenti meno invasivi e, quindi, conformi alla disciplina di protezione dei dati, rispetto a quello posto in essere nel caso di specie”; 

3. non ha ottemperato all’obbligo di agevolare l’esercizio dei diritti dell’interessato nella parte in cui non ha fornito un idoneo riscontro all’istanza di cancellazione – c.d. «diritto all’oblio» – presentata più volte dalla reclamante. 

◊◊◊◊ 

Ciò detto, il Garante ricorda che: “[…] il legittimo interesse a trattare dati personali per difendere un proprio diritto in giudizio non [può] comportare un aprioristico annullamento del diritto alla protezione dei dati personali riconosciuto agli interessati […]”. 

Con il provvedimento in oggetto viene, altresì, richiamato un consolidato orientamento dell’Autorità secondo cui un adeguato bilanciamento degli interessi come menzionati alla precedente lett. b) si realizza attivando un sistema di risposta automatico con il quale vengono forniti al mittente degli indirizzi alternativi attraverso cui contattare la società, titolare del trattamento, senza accedere alle comunicazioni in entrata, come invece fatto nel caso di specie in violazione, tra le altre, del principio di minimizzazione (cfr. art. 5 del Regolamento). 

Con sentenza n. 28398 del 29 settembre 2022, la Corte di Cassazione, sezione Lavoro, si è espressa circa l’utilizzabilità, a fini difensivi, di registrazioni di colloqui tra il dipendente ed i colleghi sul luogo di lavoro. 

Nel caso sottoposto all’attenzione della Suprema Corte, una dipendente era stata licenziata per giusta causa per avere violato alcune procedure aziendali di conservazione dei dati. Il licenziamento era stato ritenuto illegittimo dai giudici di merito sul presupposto che gli addebiti contestati alla lavoratrice fossero privi del carattere di gravità e non giustificassero l’irrogazione della sanzione espulsiva, essendo al più sanzionabili con una misura conservativa, secondo le previsioni del contratto collettivo applicato.  

La Corte d’Appello di Salerno aveva tuttavia escluso il carattere ritorsivo del licenziamento (invocato dalla lavoratrice), ritenendo che, il carattere ritorsivo non potesse ritenersi provato in base alle deposizioni testimoniali raccolte né attraverso le “abusive, illegittimamente captate e registrate conversazioni” tra la lavoratrice e alcuni propri colleghi. 

Nell’ambito del ricorso per la cassazione della sentenza proposto dalla società datrice di lavoro, la lavoratrice proponeva ricorso incidentale, censurando la sentenza impugnata per avere escluso la ritorsività del licenziamento sulla base di un presupposto errato e cioè la non utilizzabilità delle registrazioni dei colloqui tra presenti, in contrasto con l’orientamento di legittimità e sebbene controparte non avesse in alcun modo contestato lo svolgimento dei colloqui registrati e il relativo contenuto. 

Nell’accogliere il ricorso incidentale proposto dalla lavoratrice, la Suprema Corte coglie l’occasione per fare il punto sui limiti e le condizioni di utilizzabilità delle registrazioni come mezzi di prova in sede giudiziale. 

In primo luogo, si legge nella sentenza in commento, la registrazione su nastro magnetico di una conversazione può costituire fonte di prova, ex articolo 2712 c.c., se colui contro il quale la registrazione è prodotta non contesti che la conversazione sia realmente avvenuta, né che abbia avuto il tenore risultante dal nastro, e sempre che almeno uno dei soggetti, tra cui la conversazione si svolge, sia parte in causa. 

L’art. 24 del Codice della Privacy prevede inoltre la legittimità delle registrazioni effettuate all’insaputa dell’interlocutore e la possibilità di un loro utilizzo in sede giudiziale, quando il loro utilizzo sia necessario per far valere o difendere un diritto e a condizione che, i dati raccolti siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. 

Pertanto, prosegue la Corte, l’utilizzo a fini difensivi di registrazioni di colloqui tra il dipendente e i colleghi sul luogo di lavoro non necessita del consenso dei presenti, in ragione dell’imprescindibile necessità di bilanciare le contrapposte istanze della riservatezza da una parte e della tutela giurisdizionale del diritto dall’altra e pertanto di contemperare la norma sul consenso al trattamento dei dati con le formalità previste dal codice di procedura civile per la tutela dei diritti in giudizio.  

È dunque legittima la condotta del lavoratore che abbia effettuato tali registrazioni per tutelare la propria posizione all’interno dell’azienda e per precostituirsi un mezzo di prova, rispondendo la stessa, se pertinente alla tesi difensiva e non eccedente le sue finalità, alle necessità conseguenti al legittimo esercizio di un diritto. 

Sulla base di tali premesse, la Corte di Cassazione, accoglie il ricorso incidentale proposto dalla lavoratrice, rinviando la causa alla Corte d’appello di Salerno con invito a provvedere ad un nuovo esame della fattispecie alla luce dei principi di diritto richiamati.