L’Autorità Garante per la protezione dei dati personali con un Provvedimento dello scorso 7 marzo 2024 [reso noto con la Newsletter del successivo 3 maggio 2024] ha accolto il reclamo presentato da una lavoratrice che aveva chiesto all’azienda di cui era stata dipendente di accedere al proprio fascicolo personale per conoscere quali informazioni potevano aver dato origine ad una sanzione disciplinare nei suoi confronti.

L’azienda non aveva dato un adeguato riscontro alla richiesta e aveva fornito solo un elenco incompleto della documentazione raccolta, omettendo delle informazioni sulla base delle quali era stata poi irrogata la sanzione disciplinare. Informazioni che venivano fornite alla lavoratrice solo a seguito dell’avvio dell’istruttoria da parte dell’Autorità Garante.

Nelle note di riscontro, la società sosteneva di non aver fornito alla lavoratrice la menzionata documentazione per tutelare il proprio diritto di difesa in giudizio nonché la riservatezza dei terzi coinvolti, rilevando anche una assenza di interesse all’accesso da parte della reclamante poiché la sua richiesta di accedere alle informazioni era intervenuta in un momento in cui il procedimento disciplinare non poteva più essere impugnato.

A fronte di tutto ciò, l’Autorità ha, innanzitutto, ribadito che il diritto di accesso riconosciuto dal Regolamento (UE) 2016/679 (il “GDPR”) ha lo scopo di consentire all’interessato di avere il controllo sui propri dati personali e di verificarne l’esattezza e non può quindi essere negato o limitato a seconda della finalità della richiesta. In base alle disposizioni del GDPR, infatti, non è chiesto agli interessati di indicare un motivo o una particolare esigenza per giustificare le proprie richieste di esercizio dei diritti, né il titolare del trattamento può verificare i motivi della richiesta.

Pertanto, l’accesso ai propri dati personali non può essere negato perché i dati richiesti potrebbero essere utilizzati dall’interessato per difendersi in giudizio in caso di licenziamento.

«La giurisprudenza ha in diverse occasioni ribadito che il diritto di accesso deriva, oltre che dalla normativa in materia di protezione dei dati personali, dal “rispetto dei canoni di buona fede e correttezza che incombe sulle parti del rapporto di lavoro ai sensi degli artt. 1175 e 1375 c.c., come del resto è confermato dal fatto che, da tempo, la contrattazione collettiva del settore in oggetto prevede che l’azienda datrice di lavoro debba conservare, in un apposito fascicolo personale, tutti gli atti e i documenti, prodotti dall’ente o dallo stesso dipendente, che attengono al percorso professionale, all’attività svolta ed ai fatti più significativi che lo riguardano e che il dipendente ha diritto di prendere visione liberamente degli atti e documenti inseriti nel proprio fascicolo personale” (Corte di Cass. 7 aprile 2016, n. 6775)».

In ragione dei suddetti elementi, l’Autorità ha comminato alla società una sanzione pecuniaria nella misura di euro 20.000,00.

◊◊◊◊

Il diritto di accesso in breve:

• Può esercitare il diritto di accesso il soggetto interessato (ossia la persona fisica cui i dati si riferiscono) oppure un suo delegato.
• La richiesta può essere presentata direttamente al Titolare del trattamento (alias, ad esempio, il datore di lavoro) oppure, se nominato, al DPO.
• Con una richiesta di accesso si può richiedere l’accesso ai propri dati personali, di conoscere le finalità del trattamento, le categorie di dati, i destinatari o le categorie di destinatari a cui i dati sono o saranno comunicati, il periodo di conservazione dei dati o i criteri utilizzati per determinarlo, l’origine dei dati, nonché di conoscere l’esistenza di un processo decisionale automatizzato, compresa la profilazione o trasferimenti dei propri dati fuori dall’Unione Europea.
• La richiesta di accesso non deve essere motivata da parte del richiedente.
• Il diritto di accedere ai dati personali non deve ledere i diritti e le libertà altrui.
• Deve essere fornita una risposta entro un tempo di 30 giorni (prolungabile di ulteriori 30 giorni in caso di particolare complessità della richiesta che, in ogni caso, deve essere motivata).

Altri insights correlati:

• Il diritto di accesso agli atti nel procedimento disciplinare
• Corte di Cassazione: diritto di accesso al fascicolo personale

L’installazione di telecamere nei luoghi di lavoro deve rispettare gli obblighi previsti dallo Statuto dei lavoratori e le garanzie assicurate ai dipendenti dalla normativa sulla privacy. Così si è espresso il Garante della privacy con un provvedimento dell’11 aprile 2024 pubblicato sulla newsletter del 21 maggio 2024. Non avendo assicurato il rispetto delle procedure di garanzia previste dalla disciplina di settore in materia di controlli a distanza e avendo peraltro utilizzato le immagini di videosorveglianza per adottare un provvedimento disciplinare nei confronti della lavoratrice, la condotta si pone di fuori del quadro di liceità delineato dalle disposizioni di settore e dalla disciplina in materia di protezione dei dati. Lo stesso utilizzo dei dati raccolti illecitamente non è consentito, tanto meno per sanzionare disciplinarmente la dipendente.

Leggi qui il provvedimento dell’Autorità Garante per la protezione dei dati personali pubblicato con la newsletter dell’11 aprile 2024.

Lo scorso mercoledì 24 aprile 2024, i deputati del Parlamento europeo hanno adottato il testo della nuova Direttiva sulle condizioni di lavoro dei lavoratori delle piattaforme digitali. Come si apprende dal comunicato stampa pubblicato sul sito istituzionale del Parlamento, la Direttiva “mira a garantire che i lavoratori delle piattaforme digitali dispongano di una classificazione corretta della loro posizione lavorativa e a correggere il lavoro autonomo fittizio” introducendo “una presunzione di rapporto di lavoro subordinato (rispetto al lavoro autonomo) quando sono presenti fatti che indicano il controllo e la direzione, conformemente al diritto nazionale e ai contratti collettivi […]”.

Tra le novità introdotte dalla Direttiva, per quanto qui di interesse, sono previste limitazioni del trattamento di dati personali effettuato mediante sistemi decisionali o di monitoraggio automatizzati. Non potranno, ad esempio, essere oggetto di alcuna operazione di trattamento (i) i dati relativi allo stato emotivo o psicologico della persona che svolge un lavoro mediante piattaforme digitali; (ii) i dati personali relativi a conversazioni private; (iii) i dati appartenenti alla categoria dei dati particolari (ex dati sensibili) o i dati biometrici o, ancora, (iv) non potranno essere raccolti i dati del lavoratore che svolge attività tramite una piattaforma digitale quando non sta svolgendo la propria attività mediante la piattaforma stessa.

Tutto ciò, sarà valido e dovrà essere applicato sin dall’inizio delle procedure di assunzione e selezione e per tutta la durata del rapporto. Resta inteso che, considerata la tipologia di trattamento e l’elevato rischio che lo stesso può comportare per i diritti e le libertà delle persone fisiche, i trattamenti di dati effettuati tramite una piattaforma di lavoro digitale dovranno essere oggetto di apposite valutazioni di impatto ai sensi dell’articolo 35 del Regolamento (UE) 2016/679. Le valutazioni di impatto svolte dal datore di lavoro dovranno poi essere condivise con i rappresentanti dei lavoratori.

Un altro elemento fondamentale inerisce agli obblighi di trasparenza. Coloro che svolgono attività lavorative tramite piattaforme digitali dovranno essere puntualmente resi edotti, in maniera trasparente, intelligibile e facilmente accessibile con un linguaggio semplice e chiaro, su tutti i tipi di decisioni sostenute o prese da sistemi decisionali o di monitoraggio automatizzati. Aspetto questo che l’ordinamento nazionale italiano ha già avuto modo di “conoscere” tanto a seguito dell’introduzione delle disposizioni di cui al Regolamento (UE) 2016/679 quanto a seguito dell’adozione del c.d. Decreto Trasparenza.

Resta da ultimo inteso, che gli Stati membri dovranno imporre alle piattaforme di lavoro digitali di garantire risorse umane sufficienti per sorvegliare e valutare in modo efficace l’impatto delle decisioni individuali prese o sostenute dai sistemi decisionali o di monitoraggio automatizzati.

◊◊◊◊

Le prossime fasi

Il testo approvato dal Parlamento europeo dovrà ora essere adottato formalmente anche dal Consiglio per poi essere pubblicato nella Gazzetta Ufficiale dell’Unione Europea. Dopo la pubblicazione, ciascuno Stato Membro avrà due anni di tempo per integrare le nuove disposizioni nel proprio ordinamento nazionale.

Altri insights correlati:

• I sistemi integralmente automatizzati mantengono gli obblighi del Decreto Trasparenza (Norme e Tributi Plus Lavoro de Il Sole 24 Ore, 7 agosto 2023 – Vittorio De Luca, Alessandra Zilla, Martina De Angeli)

Mercoledì 13 marzo 2024, il Parlamento europeo ha approvato la proposta di testo del c.d. “A.I. Act”, il primo testo normativo, un Regolamento, in materia di intelligenza artificiale, che – stabilendo obblighi per l’A.I. sulla base dei possibili rischi e del livello d’impatto – si pone l’obiettivo di proteggere il rispetto dei diritti fondamentali degli individui, della democrazia e della sostenibilità ambientale dai sistemi “ad alto rischio”. 

Sono “ad alto rischio” i sistemi di A.I. destinati a essere utilizzati per:  

1. l’assunzione o la selezione di persone fisiche, per pubblicare annunci di lavoro mirati, analizzare o filtrare le candidature e valutare i candidati; 

2. adottare decisioni riguardanti le condizioni dei rapporti di lavoro, la promozione o cessazione dei rapporti contrattuali di lavoro, per assegnare compiti sulla base del comportamento individuale o dei tratti e delle caratteristiche personali o per monitorare e valutare le prestazioni e il comportamento delle persone nell’ambito di tali rapporti di lavoro.  

Per avere maggiori informazioni sull’argomento, contattaci a info@delucapartners.it

Con il provvedimento n. 642 del 21 dicembre 2023, l’Autorità Garante per la protezione dei dati personali ha adottato un documento denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” avente lo scopo di fornire, ai datori di lavoro pubblici e privati, indicazioni di indirizzo sull’utilizzo dei programmi e servizi informatici per la gestione della posta elettronica aziendale.

Il documento viene adottato a seguito di accertamenti effettuati dal Garante in occasione dei quali è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud o as-a-service, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti conservandoli per un esteso arco temporale. Con “metadati” devono intendersi informazioni quali, ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail.

Per assicurare il rispetto della normativa in materia di protezione dei dati nonché la disciplina di settore in materia di controlli a distanza – come noto, disciplinata dall’art. 4, L. 300/1970 (“Statuto dei Lavoratori”), i datori di lavoro dovranno:

• verificare che i programmi e servizi informatici di gestione della posta elettronica consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di 7 giorni, estendibili di ulteriori 48 ore in presenza di condizioni specifiche;
• diversamente, espletare le procedure di garanzia previste dall’art. 4 dello Statuto dei Lavoratori, ossia sottoscrivere un accordo sindacale o ottenere una autorizzazione dell’Ispettorato, nazionale o territoriale, del Lavoro. Ciò poiché l’estensione del periodo di conservazione oltre l’arco temporale dei 7/9 giorni può comportare un indiretto controllo a distanza dell’attività del lavoratore;
• in ogni caso, deve essere assicurata la necessaria trasparenza nei confronti dei lavoratori, fornendo preventivamente agli stessi una specifica informativa sul trattamento dei dati personali.

In altre parole, se per rispondere a esigenze organizzative e produttive, di tutela del patrimonio aziendale e di sicurezza del lavoro, la conservazione dei dati non può essere limitata ai periodi indicati dal Garante, i datori di lavoro dovranno sottoscrivere un accordo sindacale o ottenere una autorizzazione dell’Ispettorato del Lavoro.

In assenza di ciò, si configura un controllo a distanza delle attività del lavoratore che può avere conseguenze anche penali al quale si aggiunge anche la violazione della normativa in materia di protezione dei dati personali avente, quale conseguenza, (i) l’illiceità del trattamento dei dati personali, (ii) la violazione del principio di limitazione della conservazione nonché (iii) la violazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita oltreché di responsabilizzazione.

In ogni caso, resta inteso che, nelle more dell’eventuale espletamento delle procedure di garanzia, i metadati non potranno comunque essere utilizzati. ​

Altri insights correlati:

• Controlli: utilizzabili le informazioni aziendali rinvenute nel pc aziendale dell’ex dipendente
• Corte di Cassazione: i controlli difensivi sulla posta elettronica aziendale del dipendente