Con Ordinanza di ingiunzione dello scorso 11 gennaio 2023, il Garante per la Protezione dei dati Personali (il “Garante” o l’”Autorità”) ha comminato ad una società il pagamento di una sanzione amministrativa pari a euro 5.000 per aver mantenuto attivo l’account di posta elettronica di una collaboratrice e aver preso visione del contenuto dello stesso.
Una società, nel corso di alcune trattative volte a definire l’acquisizione di una società cooperativa, concordava che una esponente di quest’ultima collaborasse, spendendo il nome della società acquirente, alla promozione di un fornitore comune in occasione di un evento fieristico.
Alla collaboratrice veniva quindi attivato un account di posta elettronica aziendale al fine di consentirle di relazionarsi con i potenziali clienti conosciuti in occasione dell’evento.
A distanza di qualche mese, le trattative tra le due società venivano interrotte e la reclamante richiedeva la disattivazione dell’account di posta elettronica assegnatole. La società, al fine di non perdere i contatti di potenziali nuovi clienti raccolti durante l’evento, manteneva attivo l’account e impostava un sistema di inoltro delle comunicazioni in entrata alla mail del direttore commerciale, disattivando l’indirizzo di posta della reclamante solamente trascorsi (circa) sei mesi dall’attivazione.
Il Garante ha innanzitutto rilevato che la società non ha adempiuto all’obbligo di informare la reclamante circa il trattamento dei dati effettuato sul suo account di posta così come invece prescritto dall’articolo 13 del Regolamento (UE) 2016/679 (il “Regolamento“). Tale obbligo, ricorda l’Autorità, vige anche nell’ambito di eventuali trattative precontrattuali quale espressione dei principi di correttezza e trasparenza (cfr. art. 5, Regolamento).
Nel caso di specie, la società:
◊◊◊◊
Ciò detto, il Garante ricorda che: “[…] il legittimo interesse a trattare dati personali per difendere un proprio diritto in giudizio non [può] comportare un aprioristico annullamento del diritto alla protezione dei dati personali riconosciuto agli interessati […]”.
Con il provvedimento in oggetto viene, altresì, richiamato un consolidato orientamento dell’Autorità secondo cui un adeguato bilanciamento degli interessi come menzionati alla precedente lett. b) si realizza attivando un sistema di risposta automatico con il quale vengono forniti al mittente degli indirizzi alternativi attraverso cui contattare la società, titolare del trattamento, senza accedere alle comunicazioni in entrata, come invece fatto nel caso di specie in violazione, tra le altre, del principio di minimizzazione (cfr. art. 5 del Regolamento).
Con sentenza n. 28398 del 29 settembre 2022, la Corte di Cassazione, sezione Lavoro, si è espressa circa l’utilizzabilità, a fini difensivi, di registrazioni di colloqui tra il dipendente ed i colleghi sul luogo di lavoro.
Nel caso sottoposto all’attenzione della Suprema Corte, una dipendente era stata licenziata per giusta causa per avere violato alcune procedure aziendali di conservazione dei dati. Il licenziamento era stato ritenuto illegittimo dai giudici di merito sul presupposto che gli addebiti contestati alla lavoratrice fossero privi del carattere di gravità e non giustificassero l’irrogazione della sanzione espulsiva, essendo al più sanzionabili con una misura conservativa, secondo le previsioni del contratto collettivo applicato.
La Corte d’Appello di Salerno aveva tuttavia escluso il carattere ritorsivo del licenziamento (invocato dalla lavoratrice), ritenendo che, il carattere ritorsivo non potesse ritenersi provato in base alle deposizioni testimoniali raccolte né attraverso le “abusive, illegittimamente captate e registrate conversazioni” tra la lavoratrice e alcuni propri colleghi.
Nell’ambito del ricorso per la cassazione della sentenza proposto dalla società datrice di lavoro, la lavoratrice proponeva ricorso incidentale, censurando la sentenza impugnata per avere escluso la ritorsività del licenziamento sulla base di un presupposto errato e cioè la non utilizzabilità delle registrazioni dei colloqui tra presenti, in contrasto con l’orientamento di legittimità e sebbene controparte non avesse in alcun modo contestato lo svolgimento dei colloqui registrati e il relativo contenuto.
Nell’accogliere il ricorso incidentale proposto dalla lavoratrice, la Suprema Corte coglie l’occasione per fare il punto sui limiti e le condizioni di utilizzabilità delle registrazioni come mezzi di prova in sede giudiziale.
In primo luogo, si legge nella sentenza in commento, la registrazione su nastro magnetico di una conversazione può costituire fonte di prova, ex articolo 2712 c.c., se colui contro il quale la registrazione è prodotta non contesti che la conversazione sia realmente avvenuta, né che abbia avuto il tenore risultante dal nastro, e sempre che almeno uno dei soggetti, tra cui la conversazione si svolge, sia parte in causa.
L’art. 24 del Codice della Privacy prevede inoltre la legittimità delle registrazioni effettuate all’insaputa dell’interlocutore e la possibilità di un loro utilizzo in sede giudiziale, quando il loro utilizzo sia necessario per far valere o difendere un diritto e a condizione che, i dati raccolti siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento.
Pertanto, prosegue la Corte, l’utilizzo a fini difensivi di registrazioni di colloqui tra il dipendente e i colleghi sul luogo di lavoro non necessita del consenso dei presenti, in ragione dell’imprescindibile necessità di bilanciare le contrapposte istanze della riservatezza da una parte e della tutela giurisdizionale del diritto dall’altra e pertanto di contemperare la norma sul consenso al trattamento dei dati con le formalità previste dal codice di procedura civile per la tutela dei diritti in giudizio.
È dunque legittima la condotta del lavoratore che abbia effettuato tali registrazioni per tutelare la propria posizione all’interno dell’azienda e per precostituirsi un mezzo di prova, rispondendo la stessa, se pertinente alla tesi difensiva e non eccedente le sue finalità, alle necessità conseguenti al legittimo esercizio di un diritto.
Sulla base di tali premesse, la Corte di Cassazione, accoglie il ricorso incidentale proposto dalla lavoratrice, rinviando la causa alla Corte d’appello di Salerno con invito a provvedere ad un nuovo esame della fattispecie alla luce dei principi di diritto richiamati.
Con un provvedimento dello scorso 10 novembre 2022, l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha comminato ad una società italiana una sanzione di 20.000 euro per aver rilevato le presenze dei propri dipendenti tramite la lettura delle impronte digitali. Il Garante ha ribadito che “il trattamento di dati biometrici sul posto di lavoro è consentito solo se necessario per adempiere gli obblighi ed esercitare i diritti del datore di lavoro previsti da una disposizione normativa e con adeguate garanzie”.
Il caso nasceva a seguito di una segnalazione effettuata al Garante da una organizzazione sindacale che lamentava l’introduzione da parte della società, datrice di lavoro, di un sistema di timbratura che si serviva di un terminale biometrico finalizzato a rilevare gli accessi e le presenze di dipendenti e collaboratori all’interno delle strutture della stessa. L’introduzione di tale sistema, lamentava inoltre il sindacato, era stata disposta nonostante alla società fosse stato richiesto di adottare “mezzi meno invasivi” che non prevedessero un trattamento di dati biometrici dei soggetti interessati.
La società si difendeva dichiarando che il sistema adottato aveva lo scopo di facilitare agli interessati la registrazione degli orari di entrata e di uscita e rappresentava uno strumento “più snello e veloce” rispetto a quello precedentemente utilizzato che rilevava le presenze tramite un cartellino identificativo personale (c.d. badge).
Compiuta l’attività istruttoria, il Garante ha rilevato, tra le altre, l’illiceità del trattamento di dati personali biometrici effettuato dalla società per (i) aver posto in essere un trattamento in assenza di una idonea base giuridica: il Garante, infatti, ribadisce che il trattamento di dati biometrici in ambito lavorativo è consentito esclusivamente nell’ipotesi in cui sia previsto da una norma, sia essa nazionale o europea; (ii) non aver fornito agli interessati un’adeguata informativa violando, in tal modo, i principi fondamentali in materia quali quelli di liceità, correttezza e trasparenza; (iii) non aver aggiornato il Registro delle attività di trattamento che, nella versione esibita al Garante, non riportava alcun trattamento di dati biometrici dei dipendenti, violando in tal modo anche il principio di accountability; (iv) aver trattato una categoria di dati particolari per una sola finalità di semplificazione delle attività di gestione del rapporto di lavoro.
Per tutte queste ragioni, pertanto, il Garante ha adottato il provvedimento sanzionatorio nei confronti della società ordinando alla stessa non solo di pagare la summenzionata sanzione pecuniaria amministrativa per le indicate violazioni ma disponendo, altresì, la pubblicazione del provvedimento sul proprio sito istituzionale.
In conclusione, sebbene nel contesto lavorativo rilevare le presenze dei dipendenti anche al fine di verificarne il rispetto dell’orario di lavoro rappresenti una attività necessaria per assolvere gli obblighi ed esercitare diritti specifici del datore di lavoro, affinché un trattamento di dati biometrici dei lavoratori sia lecito dovrà trovare il proprio fondamento in una disposizione normativa e tale trattamento non potrà fondarsi sulla raccolta del consenso degli interessati “ciò alla luce della asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare di volta in volta e in concreto l’effettiva libertà della manifestazione di volontà del dipendente”.
Altri insights correlati:
Approvato lo schema di decreto legislativo per il recepimento della direttiva Ue sul cosiddetto “whistleblowing” Come funziona il contrasto della corruzione e la protezione degli informatori del corso di quest’anno chi deciderà di segnalare illeciti, sia nel settore pubblico che in quello privato, potrà farlo contando su maggiori tutele. A inizio dicembre, infatti, il governo ha approvato lo schema di decreto legislativo di recepimento della direttiva Ue (2019/1937) in materia di segnalazioni di illeciti, il cosiddetto whistleblowing. Manca ora sola la pubblicazione in Gazzetta Ufficiale, dopo di che le aziende con più di 250 dipendenti avranno quattro mesi per adeguarsi alle nuove regole, mentre per quelle con un numero di dipendenti compreso fra 50 e 250 ci sarà tempo fino al 17 dicembre 2023. Si tratta di un recepimento tardivo, visto che il termine ultimo era stato fissato per il 17 dicembre 2021, ma l’Italia non è l’unico Paese a essersi mosso con ritardo. La direttiva Ue introduce importanti misure per quanto riguarda la prevenzione e il contrasto della corruzione e predispone standard minimi di protezione degli informatori; si applica sia al settore pubblico che a quello privato e fornisce tutela legale a un ampio numero di potenziali whistleblower. Essa stabilisce inoltre misure idonee a garantire la protezione degli informatori dalle ritorsioni e impone la creazione di meccanismi che favoriscano le segnalazioni. «Dal 2017, in Italia, la disciplina in materia di segnalazione di illeciti nel settore privato è stata regolamentata esclusivamente dalla legge numero 179 del 2017, con la quale si è introdotta la possibilità di istituire specifici sistemi di tutela per coloro che operassero una segnalazione di illecito, meglio noti con il termine inglese “whistleblowers” (letteralmente “soffiatori di fischietto”) — spiega Vittorio De Luca, Managing Partner dello studio De Luca&Partners — Rispetto al quadro normativo nazionale delineato dalla legge del 2017, la nuova normativa estende l’obbligo di attivare un canale per la segnalazione degli illeciti a tutte le aziende del settore privato con più di cinquanta dipendenti. L’attivazione potrà avvenire dopo aver sentito le rappresentanze o le organizzazioni sindacali». Il decreto (e prima di esso la direttiva Ue) è espressamente finalizzato a proteggere chi rivela violazioni del diritto comunitario in settori quali ad esempio appalti pubblici, servizi, prodotti e mercati finanziari, riciclaggio, tutela dell’ambiente, salute pubblica e protezione dei consumatori. Esso impone di individuare modalità adeguate affinché siano garantiti il rispetto della tutela e riservatezza dei segnalatori, nonché, per i lavoratori, la protezione da qualsiasi forma di ritorsione. «Ai sensi del decreto, costituiscono ritorsione, a titolo esemplificativo, il mutamento di funzioni, il licenziamento, il cambiamento del luogo di lavoro, la riduzione dello stipendio, la modifica dell’orario di lavoro, il mancato rinnovo e la risoluzione anticipata di un contratto di lavoro a termine — conclude De Luca — Le aziende dovranno quindi istituire canali di segnalazione interni ed esterni implementando delle procedure di gestione che assicurino la riservatezza tanto dei segnalanti quanto dei dati personali, compresa la conservazione, che dovrà essere effettuata in conformità alla normativa in materia di protezione dei dati personali oggi rappresentata dal Regolamento (Ue) 2016/679, meglio noto come Gdpr».
Fonte: Repubblica Album Speciale Lavoro
È illecito il monitoraggio dei metadati della posta elettronica aziendale assegnata ai dipendenti che non garantisce adeguate tutele per la riservatezza ed è effettuato in violazione delle norme che limitano il controllo a distanza dei lavoratori. Lo ha stabilito l’Autorità Garante per la protezione dei dati personali (il “Garante”) che, con una Ordinanza di ingiunzione del 1° dicembre 2022, ha comminato alla Regione Lazio una sanzione di euro 100.000.
Il caso nasceva da una segnalazione effettuata al Garante da una organizzazione sindacale autonoma che lamentava il monitoraggio da parte dell’amministrazione, titolare del trattamento, della posta elettronica del personale in servizio presso gli uffici dell’avvocatura regionale.
Oggetto del monitoraggio, avviato nell’ambito di una indagine interna finalizzata a verificare una sospetta divulgazione di notizie protette dal segreto d’ufficio, risultavano essere le informazionirelative ad orari, destinatari, oggetto delle comunicazioni e dimensione degli allegati, i cosiddetti “metadati”, di alcuni dipendenti che erano soliti inviare messaggi ad una specifica sigla sindacale. Stando a quanto emerso nel corso dell’istruttoria, era stato possibile monitorare tali informazioni poiché, “per prassi”, i dati relativi al traffico delle e-mail venivano conservati “per generiche finalità di sicurezza informatica per 180 giorni” prima di essere definitivamente cancellati.
Sulla base di quanto emerso nel corso dell’istruttoria, il Garante ha chiarito, tra le altre, che:
Sulla base di tutto ciò, il Garante, oltre al pagamento della predetta sanzione amministrativa, ha vietato al datore di lavoro, titolare del trattamento, qualsiasi ulteriore operazione di trattamento applicata ai (meta)dati relativi all’utilizzo della posta elettronica dei dipendenti conservati per un periodo eccedente i sette giorni dalla data della loro raccolta, ha disposto la cancellazione dei dati già raccolti e conservati oltre quest’ultimo termine ed ha altresì disposto la pubblicazione dell’ordinanza sul proprio sito istituzionale.
Altri insights correlati:
