“L’uso di dati personali non è soggetto all’obbligo di informazione ed alla previa acquisizione del consenso del titolare quando i dati stessi vengano raccolti e gestiti nell’ambito di un processo”. Ciò “purché i dati siano inerenti al campo degli affari e delle controversie giudiziarie che ne scrimina la raccolta, non siano utilizzati per finalità estranee a quelle di giustizia in ragione delle quali ne è avvenuta l’acquisizione e sussista il provvedimento autorizzatorio”.
Lo ha ribadito la Corte di Cassazione, ordinanza n. 24797/2024, del 16 settembre 2024.
Nel caso di specie, alcuni dipendenti avevano – ciascuno nell’ambito del proprio contenzioso avente ad oggetto questioni inerenti alle loro posizioni lavorative – depositato in giudizio la registrazione di una conversazione avvenuta diversi anni prima tra un loro collega ed alcuni dirigenti della società datrice di lavoro. Registrazione che era stata effettuata all’insaputa, e senza il consenso, dei partecipanti. I dirigenti coinvolti proponevano reclamo all’Autorità Garante per la protezione dei dati personali che respingeva la richiesta constatando che la registrazione, e quindi la connessa attività di trattamento dei dati personali, era stata effettuata per finalità connesse alla contestazione di addebiti nell’ambito del rapporto di lavoro. A questo punto, i dirigenti si rivolgevano al giudice ordinario.
Oltre alla consolidata giurisprudenza nazionale formatasi sul tema, la Cassazione richiama anche la Corte di giustizia (UE) che, con sentenza del 2 marzo 2023, C-268/21 – Norra Stockholm Bygg AB contro Per Nycander AB, chiariva che“qualora dati personali di terzi vengano utilizzati in un giudizio è il giudice nazionale che deve ponderare, con piena cognizione di causa e nel rispetto del principio di proporzionalità, gli interessi in gioco e che “tale valutazione può, se del caso, indurlo ad autorizzare la divulgazione completa o parziale alla controparte dei dati personali che gli sono stati così comunicati, qualora ritenga che una siffatta divulgazione non ecceda quanto necessario al fine di garantire l’effettivo godimento dei diritti che i soggetti dell’ordinamento traggono dall’articolo 47 della Carta“.
E, ricorda la Corte di Cassazione nella pronuncia in commento, gli “artt. 17 e 21 del GDPR rendono palese che nel bilanciamento degli interessi in gioco il diritto a difendersi in giudizio può essere ritenuto prevalente sui diritti dell’interessato al trattamento dei dati personali”.
Recentemente, l’Autorità Garante per la protezione dei dati personali è tornata sul tema dell’utilizzo dei dati biometrici nell’ambito della gestione del rapporto di lavoro. “Ad oggi, l’ordinamento vigente non consente il trattamento dei dati biometrici dei dipendenti, per finalità di rilevazione della presenza in servizio”. Lo ribadisce l’Autorità in un provvedimento dello scorso 6 giugno 2024, con il quale ha comminato ad una concessionaria, datrice di lavoro, una sanzione di euro 120 mila (anche) per aver trattato illecitamente i dati biometrici dei propri dipendenti.
L’Autorità è intervenuta a seguito del reclamo di un dipendente, che lamentava:
il trattamento illecito di dati personali, attraverso un sistema biometrico installato presso le due unità produttive della società datrice di lavoro e
l’utilizzo di un software gestionale con cui ciascun dipendente era tenuto a registrare gli interventi di riparazione svolti sui veicoli assegnati, i tempi e le modalità di esecuzione dei lavori, nonché i tempi di inattività con le specifiche causali.
Con riferimento al primo motivo del reclamo, ossia la segnalazione inerente al trattamento dei dati biometrici, l’Autorità ha nuovamente, chiarito che l’utilizzo dei dati biometrici da parte del datore di lavoro non è consentito. Ad oggi, non esiste infatti nessuna norma di legge che preveda l’utilizzo del dato biometrico per la rilevazione delle presenze e con l’occasione, viene ricordato che neanche il consenso manifestato dai dipendenti può essere considerato un idoneo presupposto di liceità. Ciò per l’asimmetria tra le rispettive parti del rapporto di lavoro.
Con riferimento, invece, al secondo motivo del reclamo, l’Autorità ha accertato che la società da più di sei anni, mediante un software gestionale, raccoglieva dati personali relativi alle attività dei dipendenti per redigere report mensili da inviare a casa madre, contenenti dati aggregati sui tempi impiegati dalle officine per le lavorazioni effettuate. Tale attività era stata da sempre effettuata in assenza di un’idonea base giuridica e di un’adeguata informativa che, nel contesto del rapporto di lavoro, sono espressione dei principi di correttezza e trasparenza.
Vale la pena ricordare che quest’ultima attività potrebbe, tra le altre, comportare un indiretto controllo a distanza dell’attività dei lavoratori che, in quanto tale, richiederebbe che siano esperite le garanzie previste dall’art. 4 dello Statuto dei Lavoratori: sottoscrizione di un accordo sindacale o, in mancanza, ottenimento di una autorizzazione da parte dell’Ispettorato Nazionale o Territoriale del Lavoro.
I dati sono diventati il nuovo petrolio e il loro ruolo verosimilmente crescerà ancora man mano che il digitale diventerà più centrale nelle nostre vite. Con implicazioni non banali in tema di privacy, come sottolinea Vittorio De Luca, fondatore dello studio legale De Luca & Partners. “Il legislatore comunitario è intervenuto in maniera importante su questo ambito nel corso degli ultimi anni, ma a livello aziendale il quadro è ancora diversificato tra realtà che hanno implementato e strutturato veri e propri modelli di compliance interni e nel tempo sono riuscite a mutare la cultura e la sensibilità di tutti coloro che compongono l’organizzazione, mentre altre continuano a considerare la data protection come un costo azienda piuttosto che un investimento”, sottolinea.
La normativa in materia di protezione dei dati personali e quella giuslavoristica sono ormai strettamente legate tra loro non solo per quel che concerne il trattamento dei dati relativi alle risorse umane. “Sempre più spesso ci capita di assistere aziende nella corretta gestione di richieste di accesso ai documenti e ai fascicoli personali che vengono – legittimamente – presentate dai lavoratori nell’ambito di procedimenti disciplinari nei loro confronti”, sottolinea. Con i rischi che possono derivare da una gestione scorretta di queste richieste “Oltre alle conseguenze sul fronte giuslavoristico, un soggetto interessato (in questo caso, il lavoratore) ha sempre la possibilità di effettuare una segnalazione all’Autorità Garante per la protezione dei dati”, spiega De Luca.
Continua a leggere la versione integrale pubblicata su La Repubblica.
Con l’ordinanza n. 15391 del 3 giugno 2024, la Corte di Cassazione chiarisce a quali condizioni il datore di lavoro, nell’ambito di un procedimento disciplinare nei confronti di un lavoratore, può utilizzare legittimamente i dati estratti dal Telepass (aziendale) installato sull’auto (aziendale). I giudici di legittimità, si legge nell’ordinanza, precisano che: “[…] a fronte di quanto specificamente previsto dal comma 3 dell’art. 4 L. n. 300/1970, è irrilevante la “consapevolezza del dipendente sulla presenza dell’apparato Telepass sull’autovettura e sulle corrette modalità di uso dello stesso”, essendo necessaria invece tale precipua informativa al lavoratore”. In altre parole, una adeguata informazione al lavoratore circa le modalità di utilizzo degli strumenti di lavoro e di effettuazione dei controlli datoriali rappresenta una discriminante tra una raccolta di dati lecita ed illecita e, ove mancante, rende inutilizzabili le informazioni raccolte “a tutti i fini connessi al rapporto di lavoro”, compresi quelli disciplinari.
L’Autorità Garante per la protezione dei dati personali con un Provvedimento dello scorso 7 marzo 2024 [reso noto con la Newsletter del successivo 3 maggio 2024] ha accolto il reclamo presentato da una lavoratrice che aveva chiesto all’azienda di cui era stata dipendente di accedere al proprio fascicolo personale per conoscere quali informazioni potevano aver dato origine ad una sanzione disciplinare nei suoi confronti.
L’azienda non aveva dato un adeguato riscontro alla richiesta e aveva fornito solo un elenco incompleto della documentazione raccolta, omettendo delle informazioni sulla base delle quali era stata poi irrogata la sanzione disciplinare. Informazioni che venivano fornite alla lavoratrice solo a seguito dell’avvio dell’istruttoria da parte dell’Autorità Garante.
Nelle note di riscontro, la società sosteneva di non aver fornito alla lavoratrice la menzionata documentazione per tutelare il proprio diritto di difesa in giudizio nonché la riservatezza dei terzi coinvolti, rilevando anche una assenza di interesse all’accesso da parte della reclamante poiché la sua richiesta di accedere alle informazioni era intervenuta in un momento in cui il procedimento disciplinare non poteva più essere impugnato.
A fronte di tutto ciò, l’Autorità ha, innanzitutto, ribadito che il diritto di accesso riconosciuto dal Regolamento (UE) 2016/679 (il “GDPR”) ha lo scopo di consentire all’interessato di avere il controllo sui propri dati personali e di verificarne l’esattezza e non può quindi essere negato o limitato a seconda della finalità della richiesta. In base alle disposizioni del GDPR, infatti, non è chiesto agli interessati di indicare un motivo o una particolare esigenza per giustificare le proprie richieste di esercizio dei diritti, né il titolare del trattamento può verificare i motivi della richiesta.
Pertanto, l’accesso ai propri dati personali non può essere negato perché i dati richiesti potrebbero essere utilizzati dall’interessato per difendersi in giudizio in caso di licenziamento.
«La giurisprudenza ha in diverse occasioni ribadito che il diritto di accesso deriva, oltre che dalla normativa in materia di protezione dei dati personali, dal “rispetto dei canoni di buona fede e correttezza che incombe sulle parti del rapporto di lavoro ai sensi degli artt. 1175 e 1375 c.c., come del resto è confermato dal fatto che, da tempo, la contrattazione collettiva del settore in oggetto prevede che l’azienda datrice di lavoro debba conservare, in un apposito fascicolo personale, tutti gli atti e i documenti, prodotti dall’ente o dallo stesso dipendente, che attengono al percorso professionale, all’attività svolta ed ai fatti più significativi che lo riguardano e che il dipendente ha diritto di prendere visione liberamente degli atti e documenti inseriti nel proprio fascicolo personale” (Corte di Cass. 7 aprile 2016, n. 6775)».
In ragione dei suddetti elementi, l’Autorità ha comminato alla società una sanzione pecuniaria nella misura di euro 20.000,00.
◊◊◊◊
Il diritto di accesso in breve:
Può esercitare il diritto di accesso il soggetto interessato (ossia la persona fisica cui i dati si riferiscono) oppure un suo delegato.
La richiesta può essere presentata direttamente al Titolare del trattamento (alias, ad esempio, il datore di lavoro) oppure, se nominato, al DPO.
Con una richiesta di accesso si può richiedere l’accesso ai propri dati personali, di conoscere le finalità del trattamento, le categorie di dati, i destinatari o le categorie di destinatari a cui i dati sono o saranno comunicati, il periodo di conservazione dei dati o i criteri utilizzati per determinarlo, l’origine dei dati, nonché di conoscere l’esistenza di un processo decisionale automatizzato, compresa la profilazione o trasferimenti dei propri dati fuori dall’Unione Europea.
La richiesta di accesso non deve essere motivata da parte del richiedente.
Il diritto di accedere ai dati personali non deve ledere i diritti e le libertà altrui.
Deve essere fornita una risposta entro un tempo di 30 giorni (prolungabile di ulteriori 30 giorni in caso di particolare complessità della richiesta che, in ogni caso, deve essere motivata).
