È illecito il monitoraggio dei metadati della posta elettronica aziendale assegnata ai dipendenti che non garantisce adeguate tutele per la riservatezza ed è effettuato in violazione delle norme che limitano il controllo a distanza dei lavoratori. Lo ha stabilito l’Autorità Garante per la protezione dei dati personali (il “Garante”) che, con una Ordinanza di ingiunzione del 1° dicembre 2022, ha comminato alla Regione Lazio una sanzione di euro 100.000.

L’attività istruttoria

Il caso nasceva da una segnalazione effettuata al Garante da una organizzazione sindacale autonoma che lamentava il monitoraggio da parte dell’amministrazione, titolare del trattamento, della posta elettronica del personale in servizio presso gli uffici dell’avvocatura regionale.

Oggetto del monitoraggio, avviato nell’ambito di una indagine interna finalizzata a verificare una sospetta divulgazione di notizie protette dal segreto d’ufficio, risultavano essere le informazionirelative ad orari, destinatari, oggetto delle comunicazioni e dimensione degli allegati, i cosiddetti “metadati”, di alcuni dipendenti che erano soliti inviare messaggi ad una specifica sigla sindacale. Stando a quanto emerso nel corso dell’istruttoria, era stato possibile monitorare tali informazioni poiché, “per prassi”, i dati relativi al traffico delle e-mail venivano conservati “per generiche finalità di sicurezza informatica per 180 giorni” prima di essere definitivamente cancellati.

Il provvedimento del Garante

Sulla base di quanto emerso nel corso dell’istruttoria, il Garante ha chiarito, tra le altre, che:

• in violazione dei principi di “liceità, correttezza e trasparenza” non era stata fornita ai dipendenti un’informativa sul trattamento dei dati personali conforme a quanto disposto dagli articoli 12 e 13 del GDPR. E, come ricorda il Garante, l’adempimento degli obblighi informativi “costituisce una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro, anche a tutti i fini connessi al rapporto di lavoro (art. 4, co. 3, della l. n. 300/1970)”;
• premesso che “la generalizzata raccolta e l’estesa conservazione dei metadati della posta elettronica […] non sono strumentali allo “svolgimento della prestazione” del dipendente”, tali trattamenti di dati possono comportare un – seppur indiretto – controllo a distanza dell’attività dei lavoratori. Pertanto, il datore di lavoro ha violato non solo la vigente normativa in materia di protezione dei dati ma anche la disciplina in materia di controlli a distanza dei lavoratori;
• il trattamento ed il monitoraggio effettuati hanno permesso al datore di lavoro di acquisire informazioni sulla vita privata dei dipendenti o su fatti comunque non rilevanti ai fini della valutazione dell’attitudine professionale degli stessi;
• i trattamenti dei metadati sono stati effettuati in violazione di principi propri della normativa in materia di protezione dei dati personali ossia i principi di limitazione della conservazione, di protezione dei dati fin dalla progettazione (by design) e per impostazione predefinita (by default) nonché del principio di accountability (c.d. principio “di responsabilizzazione”);
• il trattamento dei metadati è stato effettuato in assenza di una preventiva valutazione d’impatto sulla protezione dei dati.

Sulla base di tutto ciò, il Garante, oltre al pagamento della predetta sanzione amministrativa, ha vietato al datore di lavoro, titolare del trattamento, qualsiasi ulteriore operazione di trattamento applicata ai (meta)dati relativi all’utilizzo della posta elettronica dei dipendenti conservati per un periodo eccedente i sette giorni dalla data della loro raccolta, ha disposto la cancellazione dei dati già raccolti e conservati oltre quest’ultimo termine ed ha altresì disposto la pubblicazione dell’ordinanza sul proprio sito istituzionale.

Altri insights correlati:

• Il datore di lavoro può controllare la mail aziendale del dipendente
• Licenziamento per giusta causa: illegittimo il controllo della chat aziendale in assenza di adeguata informazione

Con un comunicato stampa del 9 dicembre 2022, il Consiglio dei ministri ha reso nota l’approvazione dello schema di decreto legislativo di recepimento della Direttiva (UE) 2019/1937 sulla protezione delle persone che segnalano violazioni del diritto dell’Unione. La nuova normativa estende l’obbligo di istituire canali di segnalazione a tutte le aziende del settore privato con più di 50 dipendenti.

Le principali misure introdotte prevedono, tra le altre, che:

le segnalazioni delle violazioni devono avere ad oggetto disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’ente privato;

oltre ai lavoratori subordinati che segnalano illeciti è stata confermata l’estensione della tutela anche a collaboratori, consulenti, volontari o tirocinanti, azionisti e coloro che ricoprono funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza oltreché ai lavoratori “in prova” o ex lavoratori, se le informazioni sulle violazioni sono state acquisite nel corso del rapporto di lavoro;

le aziende del settore privato dovranno garantire dei canali di segnalazione interni ed esterni che assicurino la riservatezza dei segnalanti e ogni trattamento di dati personali dovrà essere conforme al Regolamento (UE) 2016/679 (il “GDPR”);

tra le fattispecie che costituiscono ritorsioni rientrano, a titolo esemplificativo, il mutamento di funzioni, il licenziamento, il cambiamento del luogo di lavoro, la riduzione dello stipendio, la modifica dell’orario di lavoro, il mancato rinnovo o la risoluzione anticipata di un contratto di lavoro a termine;

l’applicazione da parte dell’ANAC di sanzioni amministrative pecuniarie fino a 50.000 euro.

Altri insights correlati:

Whistleblowing: la nuova scadenza per il Governo italiano

Il commento di Vittorio De Luca sul tema Whistleblowing e tutela della privacy

I siti web che utilizzano il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento (UE) 2016/679 (il “Regolamento“), violano la normativa sulla protezione dei dati perché trasferiscono negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti. Lo ha stabilito il Garante per la protezione dei dati personali (il “Garante”) con il provvedimento del 9 giugno 2022, adottato all’esito di una istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre Autorità Privacy Europee e pubblicato il successivo 23 giugno.

GA è uno strumento web fornito da Google ai gestori di siti internet che permette di analizzare dettagliate statistiche sugli utenti al fine di ottimizzare i servizi offerti e monitorare le campagne di marketing.

Per quanto concerne il trattamento effettuato tramite questo strumento, dalle verifiche effettuate dall’Autorità è emerso che i gestori dei siti web (quale la società sanzionata) raccolgono, mediante cookies trasmessi al browser dell’utente, informazioni in ordine alle modalità di interazione di questi ultimi con il sito web, nonché con le singole pagine e con i servizi proposti. Nello specifico, i dati raccolti consistono in: identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web, sia del gestore stesso del sito (attraverso l’ID account Google); indirizzo, nome del sito web e dati di navigazione; indirizzo IP del dispositivo utilizzato dall’utente; informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web.

Tali informazioni vengono trasferite negli Stati Uniti d’America, Paese che ad oggi, come già ribadito più volte dal Garante stesso, non garantisce un sistema di protezione dei dati personali equivalente a quello previsto all’interno dell’Unione Europea. In questo contesto, il Garante ha evidenziato che il sistema normativo vigente negli USA consente alle Autorità governative e di intelligence statunitensi di accedere alle informazioni personali per fini di sicurezza nazionale senza le garanzie previste dalla normativa europea.

Il Garante ha anche ribadito che l’indirizzo IP è un dato personale a tutti gli effetti nella misura in cui consente di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l’interessato in qualità di utente. E questo dato, quand’anche venisse troncato, non diverrebbe un dato anonimo, vista la capacità di Google di associarlo ad altri dati in suo possesso, rendendo quindi possibile una re-identificazione dell’utente.

Per tutti questi motivi, il Garante ha adottato il primo di una serie di provvedimenti con cui ha ammonito la società che gestiva il sito oggetto dell’istruttoria ingiungendole di conformarsi al Regolamento entro novanta giorni. Il tempo indicato è stato ritenuto dal Garante congruo per consentirle di adottare misure adeguate al trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti.

Allo scadere dei novanti giorni, si legge nel provvedimento in esame, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento dei trasferimenti effettuati dai titolari.

◊◊◊◊

In attesa che l’Unione Europea e gli Stati Uniti d’America raggiungano un accordo giuridicamente vincolate che garantisca un trasferimento internazionale con protezioni equivalente a quanto richiesto in Europa, i gestori dei siti web sono chiamati a conformarsi ai requisiti richiesti dalla normativa in vigore. Ciò anche valutando di affidarsi eventualmente a provider europei che trattino i dati personali degli utenti all’interno del territorio UE.

Altri insights correlati:

• Cookie e altri strumenti di tracciamento: le nuove Linee Guida del Garante Privacy
• Cookies e altri strumenti di tracciamento: il Garante avvia una consultazione pubblica

L’Autorità Garante per la protezione dei dati personali (il “Garante”), con ordinanza di ingiunzione
del 28 aprile 2022, ha comminato ad una società incaricata di gestire il servizio di raccolta dei rifiuti
urbani per il Comune di Taranto (il “Comune”), una sanzione di 200.000 euro, per aver affidato ad un
proprio sub-responsabile alcuni trattamenti di dati personali senza aver richiesto ed ottenuto
preventivamente una autorizzazione scritta, specifica o generale, dal Comune, titolare del
trattamento.
Nello specifico, il Comune a seguito di un diffuso abbandono dei rifiuti all’interno del territorio di
propria competenza aveva conferito ad una società – totalmente partecipata dallo stesso – funzioni
di accertamento e contestazione immediata di eventuali illeciti derivanti dalla violazione delle
norme comunali in materia di smaltimento dei rifiuti. Sia il Comune che la società concordavano
sull’opportunità di installare sistemi di videosorveglianza in corrispondenza di siti considerati
particolarmente sensibili in quanto luoghi in cui l’abbandono illecito dei rifiuti si ripeteva con
maggior frequenza.
Da una segnalazione pervenuta al Garante emergeva che la società aveva diffuso tramite la
pubblicazione sul proprio profilo Facebook, alcuni video e immagini, raccolti attraverso i predetti
sistemi di videosorveglianza, da cui risultavano identificati, o comunque identificabili, i cittadini
trasgressori.

A seguito della segnalazione ricevuta, il Garante avviava un’istruttoria da cui risultava che la società
incaricata aveva iniziato le attività di trattamento nel mese di marzo 2012 ai sensi di una ordinanza
comunale senza che, alla luce della normativa previgente, il rapporto con il Comune fosse
regolamentato, dal mese di novembre 2020, si era avvalsa per la raccolta delle immagini di videosorveglianza di un fornitore (regolarmente designato come responsabile del trattamento) senza la ” previa autorizzazione scritta, specifica o generale, del titolare del trattamento (ndr il Comune)” così come
previsto dall’articolo 28 del GDPR e solo nel gennaio 2022 tra essa e il Comune era stato sottoscritto, ai sensi dell’art. 28 del GDPR, un “accordo per la protezione dei dati personali e nomina a responsabile esterno del trattamento”. E solo in tale accordo il Comune aveva esplicitato che “la società, previa autorizzazione scritta del Comune, potrebbe dover comunicare o rendere disponibili i dati personali di titolarità di quest’ultimo ad uno o più soggetti terzi (quali sub responsabili), al fine di affidare a tali soggetti parte delle attività di trattamento”.

Continua a leggere la versione integrale pubblicata su Norme & Tributi Plus Diritto de Il Sole 24 Ore.

Su segnalazione di un gruppo di soci lavoratori di una società cooperativa, l’Autorità Garante per la protezione dei dati personali (il “Garante”) accertava l’illiceità di alcuni trattamenti effettuati mediante la pubblicazione, nella bacheca aziendale, di informazioni relative alle valutazioni sul loro operato.

In particolare, nell’ambito di un “concorso a premi per i soci lavoratori, dal titolo «Guardiamoci in faccia…soci!» con l’intento di incentivare i soci più meritevoli e […] disincentivare i disservizi” la società cooperativa era solita condividere settimanalmente le valutazioni dei destinatari utilizzando faccine (c.d. “emoticon”) accompagnate da giudizi di sintesi (quali a titolo esemplificativo, “assenteismo”, “simulazione malattia”) posti accanto all’immagine e al nominativo di ciascuno. Tali informazioni erano visibili non solo dal lavoratore interessato ma da chiunque accedesse ai locali all’interno dei quali era posta la bacheca aziendale, ivi inclusi i soggetti esterni occasionalmente presenti in sede, ed erano finalizzate a premiare, in denaro, i primi tre classificati.

Gli accertamenti effettuati dal Garante appuravano l’illiceità dei trattamenti per violazione dei principi fondamentali di liceità, correttezza e trasparenza nonché di minimizzazione dei dati. L’Autorità, infatti, se da un lato confermava che il datore di lavoro può trattare lecitamente le informazioni necessarie e pertinenti per la gestione del rapporto di lavoro – ivi compresi i dati necessari ad effettuare una valutazione sul corretto adempimento della prestazione lavorativa e/o ad esercitare il potere disciplinare (nei modi e con i limiti previsti dalla disciplina di settore) – dall’altro rilevava che la sistematica messa a disposizione di tali informazioni mediante affissione sulla bacheca permetteva un trattamento di dati a soggetti (quali altri colleghi o terzi) non legittimati a conoscere informazioni inerenti a valutazioni e rilievi disciplinari.

Inoltre, il Garante confermava che la raccolta del consenso, in circostanze come quelle oggetto di verifiche, non può essere considerata una base giuridica idonea a legittimare il trattamento di dati personali. Ciò in quanto l’asimmetria tra le rispettive parti del rapporto di lavoro non può presupporre un consenso prestato in maniera espressa, libera e specifica e riferito ad un trattamento specificatamente individuato. Il consenso prestato al momento dell’approvazione del deliberato assembleare, come invece sostenuto dalla società, è “funzionalmente diverso” dal consenso ai trattamenti effettuati dalla società in relazione alle valutazioni sull’operato dei soci.

Per tutti questi motivi, il Garante confermava che “[…] sottoporre costantemente all’osservazione dei colleghi le valutazioni sulla qualità del lavoro effettuato o sulla correttezza della prestazione, anche nell’ambito di una pubblica competizione premiale” lede aspetti quali quelli della dignità personale, della libertà e della riservatezza dei lavoratori.

◊◊◊◊

Avverso il provvedimento del Garante, la società ha proposto ricorso prima innanzi al competente Tribunale e poi innanzi alla Corte di Cassazione. Quest’ultima, con sentenza 17911/2022, pubblicata lo scorso 1° giugno, ha rigettato il ricorso – confermando quanto sostenuto dal Garante – e riaffermato il principio secondo cui “la legittimità del trattamento presuppone un consenso validamente prestato in modo espresso, libero e specifico, in riferimento a un trattamento chiaramente individuato; tale principio di portata generale rileva e prevale in ogni rapporto”.

Altri insights correlati:

• Tutela dei dati e misurazione dei risultati: l’altra faccia del digitale
• Il diritto del lavoro si connette agli Esg