Il Garante Privacy ha irrogato una sanzione di 420 mila euro ad Autostrade per l’Italia per aver trattato in maniera illecita i dati personali di una lavoratrice, poi utilizzati per giustificarne il licenziamento.

La lavoratrice aveva presentato reclamo al Garante, lamentando, appunto il trattamento illecito dei dati, anche con riguardo all’utilizzo ritenuto “improprio” di dati personali tratti da messaggi scambiati su account di WhatsApp e Messenger e dal profilo Facebook, per fini connessi al rapporto di lavoro.

Nel riassumere il quadro normativo applicabile, il Garante ha rammentato che il datore di lavoro privato può trattare i dati personali dei lavoratori (art. 4, n. 1, del Regolamento), anche relativi a “categorie particolari”, di regola, se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure se è necessario “all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso” (artt. 6, par. 1, lett. b) e c), e 2 e 3, e art. 9, parr. 2, lett. b) e 4; 88 del Regolamento).

In caso di trattamento di dati “comuni” il titolare del trattamento/datore di lavoro può effettuare operazioni di trattamento qualora ciò sia necessario per il perseguimento di un legittimo interesse “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali” (art. 6, par. 1, lett. f) del Regolamento).

Il titolare del trattamento è altresì tenuto ad osservare i principi generali della materia, in particolare quello di “liceità, correttezza e trasparenza”, di “limitazione delle finalità” e di “minimizzazione dei dati” (art. 5, par. 1, lett. a), b) e c) del Regolamento).

Nel caso di specie, dall’istruttoria era emerso che la Società aveva elaborato due contestazioni disciplinari utilizzando, in aggiunta al riferimento ad ulteriori fatti contestati, il contenuto di comunicazioni effettuate dalla reclamante attraverso il proprio profilo Facebook e i canali di messaggistica Messenger e WhatsApp.

In particolare, la Società, dopo aver ricevuto, tramite comunicazione WhatsApp, alcuni screenshot tratti dal profilo Facebook e dagli account Messenger e WhatsApp della reclamante estratti da alcuni partecipanti alle comunicazioni, aveva ritenuto di utilizzarli nel procedimento disciplinare, pur senza essersi direttamente attivata per effettuare ricerche presso il profilo social o i canali di messaggistica istantanea.

Secondo il Garante, l’assenza di un “ruolo attivo” della Società nella ricerca delle informazioni non ha alcun rilievo ai fini della identificazione dell’attività consistente nel successivo utilizzo nel procedimento disciplinare quale “trattamento”, in quanto ne costituisce solo una delle possibili manifestazioni.

Come si legge nel provvedimento (qui il testo integrale), i contenuti erano stati utilizzati dal datore di lavoro senza una base giuridica valida.

Nel motivare la propria decisione, il Garante ha precisato che i dati personali pubblicati sui social network o, più in generale, disponibili in rete, non possono essere utilizzati indiscriminatamente e a ogni fine, solo perché accessibili a un numero più o meno esteso di persone.

La condotta tenuta dalla Società – secondo il Garante - ha violato i principi di liceità, finalità e minimizzazione di cui all’art. 5, par. 1, lett. a), b) e c) e 6 del Regolamento, vista anche l’inutilizzabilità dei dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali (v. art. 2-decies del Codice), posto che, una volta venuta a conoscenza che i dati trasmessi riguardavano comunicazioni private e commenti sul profilo Facebook chiuso, la Società avrebbe dovuto astenersi dall’utilizzarli.

Il trattamento di dati biometrici in ambito lavorativo è consentito solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. pure, art. 88, par. 1 e cons. 51-53 del Regolamento).

Il quadro normativo vigente prevede inoltre che il trattamento di dati biometrici, per poter essere lecitamente posto in essere, avvenga nel rispetto di “ulteriori condizioni, comprese limitazioni” (cfr. art. 9, par. 4, del Regolamento.

Il datore di lavoro, titolare del trattamento, è tenuto a rispettare, in ogni caso, i principi di protezione dei dati personali, tra i quali quelli di “liceità, correttezza e trasparenza”, “minimizzazione” e protezione dei dati “fin dalla progettazione” e “per impostazione predefinita” (artt. 5 e 25 del Regolamento).

Questi sono i principi che ha ribadito il Garante privacy nell’ambito del provvedimento (qui il testo) mediante il quale ha sanzionato un istituto di istruzione per aver impiegato un sistema di riconoscimento biometrico che richiedeva l’uso delle impronte digitali del personale amministrativo al fine di rilevarne la presenza e prevenire danneggiamenti ed atti vandalici.

Secondo il Garante, il trattamento dei dati personali biometrici dei dipendenti effettuato dall’Istituto al fine di identificarli in modo univoco per rilevarne la presenza in servizio era stato posto in essere in maniera non conforme al principio di “liceità, correttezza e trasparenza” nonché in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento.

Nel richiamare alcuni precedenti provvedimenti, il Garante ha avuto modo di chiarire che il difetto di base giuridica, in merito al trattamento dei dati biometrici, non può essere colmato neppure dal consenso dei dipendenti, che l’Istituto aveva dichiarato di aver acquisito, assicurando altresì ai dipendenti che non lo avessero rilasciato la possibilità di attestare la propria presenza in servizio senza conferire a tal fine dati biometrici. Ciò in quanto – secondo il Garante - alla luce della asimmetria tra le parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare, di volta in volta e in concreto, l’effettiva libertà della manifestazione di volontà del dipendente, “il consenso non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro”. 

Si precisa che, nel definire la sanzione (quantificata in € 4.000,00), il Garante ha tenuto conto sia della collaborazione offerta dall’Istituto nell’ambito dell’istruttoria sia l’assenza di precedenti violazioni analoghe commesse dal medesimo istituto.

In argomento si veda anche Riconoscimento facciale dei lavoratori: no del Garante Privacy.

Il datore di lavoro può trattare i log di navigazione e i metadati delle e-mail dei lavoratori solo a determinate condizioni. Lo ha ricordato il Garante Privacy riferendo di aver sanzionato la Regione Lombardia con una multa di 50 mila euro.

In base alla disciplina in materia di protezione dei dati personali, il datore di lavoro può trattare i dati personali dei lavoratori, anche relativi a categorie particolari di dati, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti derivanti dalla disciplina di settore.

In tale quadro – ricorda il Garante - ai trattamenti di dati personali effettuati nell’ambito dell’esecuzione del contratto di lavoro subordinato in modalità agile (regolato da una disciplina volta a favorire l’adozione di nuove modalità di organizzazione del lavoro basate sulla flessibilità spazio-temporale, sulla valutazione per obiettivi e sulla conciliazione della vita lavorativa con quella privata) trovano applicazione le medesime basi giuridiche che ricorrono tipicamente in ambito lavorativo.

Il datore di lavoro deve poi rispettare le norme nazionali, che “includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati in particolare per quanto riguarda la trasparenza del trattamento […] e i sistemi di monitoraggio sul posto di lavoro”.

Il titolare del trattamento è altresì tenuto a rispettare i principi in materia di protezione dei dati ed è responsabile dell’attuazione di misure tecniche e organizzative adeguate in ragione degli specifici rischi derivanti dal trattamento, dovendo essere in grado di dimostrare che lo stesso è effettuato in conformità al Regolamento.

Da una serie di verifiche ispettive era emerso che la Regione raccoglieva i log di navigazione in Internet, consistenti in informazioni relative ai siti web visitati dai dipendenti, inclusi quelli relativi ai tentativi falliti di accesso ai siti censiti in una apposita black list, senza aver stipulato un accordo collettivo con le rappresentanze sindacali e aver adottato adeguate garanzie a tutela dei lavoratori. Tale trattamento consentiva, tra l’altro, al datore di lavoro di entrare in possesso di informazioni non attinenti all’attività lavorativa e relative alla sfera privata dei dipendenti.

Nessun accordo, inoltre, era stato inizialmente siglato per il trattamento dei metadati di posta elettronica dei lavoratori.

Oltre alla sanzione amministrativa, il Garante ha ingiunto una serie di misure correttive, tra le quali l’anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web censiti nella black list, la cifratura del dato concernente i nomi dei lavoratori assegnatari dei pc portatili, la riduzione del termine di conservazione di tali dati.

In argomento si veda anche Posta elettronica del dipendente: no del Garante Privacy al backup della casella di posta, nonché Garante Privacy: un altro no al controllo dei lavoratori a distanza e Il datore di lavoro può geolocalizzare il lavoratore in smart working?