I dati sono diventati il nuovo petrolio e il loro ruolo verosimilmente crescerà ancora man mano che il digitale diventerà più centrale nelle nostre vite. Con implicazioni non banali in tema di privacy, come sottolinea Vittorio De Luca, fondatore dello studio legale De Luca & Partners. “Il legislatore comunitario è intervenuto in maniera importante su questo ambito nel corso degli ultimi anni, ma a livello aziendale il quadro è ancora diversificato tra realtà che hanno implementato e strutturato veri e propri modelli di compliance interni e nel tempo sono riuscite a mutare la cultura e la sensibilità di tutti coloro che compongono l’organizzazione, mentre altre continuano a considerare la data protection come un costo azienda piuttosto che un investimento”, sottolinea.
La normativa in materia di protezione dei dati personali e quella giuslavoristica sono ormai strettamente legate tra loro non solo per quel che concerne il trattamento dei dati relativi alle risorse umane. “Sempre più spesso ci capita di assistere aziende nella corretta gestione di richieste di accesso ai documenti e ai fascicoli personali che vengono – legittimamente – presentate dai lavoratori nell’ambito di procedimenti disciplinari nei loro confronti”, sottolinea. Con i rischi che possono derivare da una gestione scorretta di queste richieste “Oltre alle conseguenze sul fronte giuslavoristico, un soggetto interessato (in questo caso, il lavoratore) ha sempre la possibilità di effettuare una segnalazione all’Autorità Garante per la protezione dei dati”, spiega De Luca.
Continua a leggere la versione integrale pubblicata su La Repubblica.
Altri insights correlati:
Con l’ordinanza n. 15391 del 3 giugno 2024, la Corte di Cassazione chiarisce a quali condizioni il datore di lavoro, nell’ambito di un procedimento disciplinare nei confronti di un lavoratore, può utilizzare legittimamente i dati estratti dal Telepass (aziendale) installato sull’auto (aziendale). I giudici di legittimità, si legge nell’ordinanza, precisano che: “[…] a fronte di quanto specificamente previsto dal comma 3 dell’art. 4 L. n. 300/1970, è irrilevante la “consapevolezza del dipendente sulla presenza dell’apparato Telepass sull’autovettura e sulle corrette modalità di uso dello stesso”, essendo necessaria invece tale precipua informativa al lavoratore”. In altre parole, una adeguata informazione al lavoratore circa le modalità di utilizzo degli strumenti di lavoro e di effettuazione dei controlli datoriali rappresenta una discriminante tra una raccolta di dati lecita ed illecita e, ove mancante, rende inutilizzabili le informazioni raccolte “a tutti i fini connessi al rapporto di lavoro”, compresi quelli disciplinari.
Altri insights correlati:
L’Autorità Garante per la protezione dei dati personali con un Provvedimento dello scorso 7 marzo 2024 [reso noto con la Newsletter del successivo 3 maggio 2024] ha accolto il reclamo presentato da una lavoratrice che aveva chiesto all’azienda di cui era stata dipendente di accedere al proprio fascicolo personale per conoscere quali informazioni potevano aver dato origine ad una sanzione disciplinare nei suoi confronti.
L’azienda non aveva dato un adeguato riscontro alla richiesta e aveva fornito solo un elenco incompleto della documentazione raccolta, omettendo delle informazioni sulla base delle quali era stata poi irrogata la sanzione disciplinare. Informazioni che venivano fornite alla lavoratrice solo a seguito dell’avvio dell’istruttoria da parte dell’Autorità Garante.
Nelle note di riscontro, la società sosteneva di non aver fornito alla lavoratrice la menzionata documentazione per tutelare il proprio diritto di difesa in giudizio nonché la riservatezza dei terzi coinvolti, rilevando anche una assenza di interesse all’accesso da parte della reclamante poiché la sua richiesta di accedere alle informazioni era intervenuta in un momento in cui il procedimento disciplinare non poteva più essere impugnato.
A fronte di tutto ciò, l’Autorità ha, innanzitutto, ribadito che il diritto di accesso riconosciuto dal Regolamento (UE) 2016/679 (il “GDPR”) ha lo scopo di consentire all’interessato di avere il controllo sui propri dati personali e di verificarne l’esattezza e non può quindi essere negato o limitato a seconda della finalità della richiesta. In base alle disposizioni del GDPR, infatti, non è chiesto agli interessati di indicare un motivo o una particolare esigenza per giustificare le proprie richieste di esercizio dei diritti, né il titolare del trattamento può verificare i motivi della richiesta.
Pertanto, l’accesso ai propri dati personali non può essere negato perché i dati richiesti potrebbero essere utilizzati dall’interessato per difendersi in giudizio in caso di licenziamento.
«La giurisprudenza ha in diverse occasioni ribadito che il diritto di accesso deriva, oltre che dalla normativa in materia di protezione dei dati personali, dal “rispetto dei canoni di buona fede e correttezza che incombe sulle parti del rapporto di lavoro ai sensi degli artt. 1175 e 1375 c.c., come del resto è confermato dal fatto che, da tempo, la contrattazione collettiva del settore in oggetto prevede che l’azienda datrice di lavoro debba conservare, in un apposito fascicolo personale, tutti gli atti e i documenti, prodotti dall’ente o dallo stesso dipendente, che attengono al percorso professionale, all’attività svolta ed ai fatti più significativi che lo riguardano e che il dipendente ha diritto di prendere visione liberamente degli atti e documenti inseriti nel proprio fascicolo personale” (Corte di Cass. 7 aprile 2016, n. 6775)».
In ragione dei suddetti elementi, l’Autorità ha comminato alla società una sanzione pecuniaria nella misura di euro 20.000,00.
◊◊◊◊
Il diritto di accesso in breve:
Altri insights correlati:
L’installazione di telecamere nei luoghi di lavoro deve rispettare gli obblighi previsti dallo Statuto dei lavoratori e le garanzie assicurate ai dipendenti dalla normativa sulla privacy. Così si è espresso il Garante della privacy con un provvedimento dell’11 aprile 2024 pubblicato sulla newsletter del 21 maggio 2024. Non avendo assicurato il rispetto delle procedure di garanzia previste dalla disciplina di settore in materia di controlli a distanza e avendo peraltro utilizzato le immagini di videosorveglianza per adottare un provvedimento disciplinare nei confronti della lavoratrice, la condotta si pone di fuori del quadro di liceità delineato dalle disposizioni di settore e dalla disciplina in materia di protezione dei dati. Lo stesso utilizzo dei dati raccolti illecitamente non è consentito, tanto meno per sanzionare disciplinarmente la dipendente.
Leggi qui il provvedimento dell’Autorità Garante per la protezione dei dati personali pubblicato con la newsletter dell’11 aprile 2024.
Lo scorso mercoledì 24 aprile 2024, i deputati del Parlamento europeo hanno adottato il testo della nuova Direttiva sulle condizioni di lavoro dei lavoratori delle piattaforme digitali. Come si apprende dal comunicato stampa pubblicato sul sito istituzionale del Parlamento, la Direttiva “mira a garantire che i lavoratori delle piattaforme digitali dispongano di una classificazione corretta della loro posizione lavorativa e a correggere il lavoro autonomo fittizio” introducendo “una presunzione di rapporto di lavoro subordinato (rispetto al lavoro autonomo) quando sono presenti fatti che indicano il controllo e la direzione, conformemente al diritto nazionale e ai contratti collettivi […]”.
Tra le novità introdotte dalla Direttiva, per quanto qui di interesse, sono previste limitazioni del trattamento di dati personali effettuato mediante sistemi decisionali o di monitoraggio automatizzati. Non potranno, ad esempio, essere oggetto di alcuna operazione di trattamento (i) i dati relativi allo stato emotivo o psicologico della persona che svolge un lavoro mediante piattaforme digitali; (ii) i dati personali relativi a conversazioni private; (iii) i dati appartenenti alla categoria dei dati particolari (ex dati sensibili) o i dati biometrici o, ancora, (iv) non potranno essere raccolti i dati del lavoratore che svolge attività tramite una piattaforma digitale quando non sta svolgendo la propria attività mediante la piattaforma stessa.
Tutto ciò, sarà valido e dovrà essere applicato sin dall’inizio delle procedure di assunzione e selezione e per tutta la durata del rapporto. Resta inteso che, considerata la tipologia di trattamento e l’elevato rischio che lo stesso può comportare per i diritti e le libertà delle persone fisiche, i trattamenti di dati effettuati tramite una piattaforma di lavoro digitale dovranno essere oggetto di apposite valutazioni di impatto ai sensi dell’articolo 35 del Regolamento (UE) 2016/679. Le valutazioni di impatto svolte dal datore di lavoro dovranno poi essere condivise con i rappresentanti dei lavoratori.
Un altro elemento fondamentale inerisce agli obblighi di trasparenza. Coloro che svolgono attività lavorative tramite piattaforme digitali dovranno essere puntualmente resi edotti, in maniera trasparente, intelligibile e facilmente accessibile con un linguaggio semplice e chiaro, su tutti i tipi di decisioni sostenute o prese da sistemi decisionali o di monitoraggio automatizzati. Aspetto questo che l’ordinamento nazionale italiano ha già avuto modo di “conoscere” tanto a seguito dell’introduzione delle disposizioni di cui al Regolamento (UE) 2016/679 quanto a seguito dell’adozione del c.d. Decreto Trasparenza.
Resta da ultimo inteso, che gli Stati membri dovranno imporre alle piattaforme di lavoro digitali di garantire risorse umane sufficienti per sorvegliare e valutare in modo efficace l’impatto delle decisioni individuali prese o sostenute dai sistemi decisionali o di monitoraggio automatizzati.
◊◊◊◊
Il testo approvato dal Parlamento europeo dovrà ora essere adottato formalmente anche dal Consiglio per poi essere pubblicato nella Gazzetta Ufficiale dell’Unione Europea. Dopo la pubblicazione, ciascuno Stato Membro avrà due anni di tempo per integrare le nuove disposizioni nel proprio ordinamento nazionale.
Altri insights correlati:
