Un altro interessante provvedimento del Garante privacy, n. 338 del 06.06.24 (doc. web. 10029500), che affronta il delicato e sempre più attuale tema dell’impiego di strumenti tecnologici nel contesto lavorativo.

Prima di descrivere il caso concreto è necessario ripercorrere, seppur sinteticamente, il rapporto tra normativa generale in tema di protezione dei dati personali e norme speciali lavoristiche.

Infatti, il datore di lavoro, in qualità di titolare del trattamento dei dati dei propri dipendenti è tenuto al rispetto delle condizioni per il lecito impiego di strumenti tecnologici in azienda, se e nella misura in cui tale uso impatti sui diritti e sulle libertà dei lavoratori.

Quanto all’inquadramento normativo: l’art.88 GDPR riconosce per gli Stati membri la possibilità di prevedere norme interne più specifiche, per meglio assicurare la protezione dei diritti e delle libertà dei lavoratori. Nel nostro ordinamento, sono gli artt.113 e 114 del Codice privacy a rappresentare le disposizioni di maggior garanzia, la cui osservanza integra le condizioni di liceità del trattamento poste dal GDPR.

Le norme del Codice da ultimo citate (artt. 113 e 114) a loro volta rinviano agli art.4 dello Statuto dei lavoratori, l’una, e agli art. 8 Statuto lavoratori e 10 d.lgs. n. 276/2003, l’altra, previsioni che riguardano i sistemi di monitoraggio, seppure indiretto, dell’attività lavorativa, nonché i divieti datoriali all’acquisizione o, comunque, al trattamento di informazioni non rilevanti per valutare l’attitudine professionale o afferenti alla sfera privata del dipendente.

È in tale quadro normativo che devono collocarsi le condotte datoriali, la cui conformità a legge rappresenta parametro di liceità, intesa in senso ampio, dei trattamenti di dati personali.

Tanto premesso, sotto il profilo fattuale, la vicenda muove dal reclamo proposto da un dipendente della concessionaria, che contestava l’illiceità del trattamento realizzato per mezzo di due diversi strumenti tecnologici:

1. un software gestionale che realizzava, in via indiretta, un monitoraggio dell’attività lavorativa, registrando le operazioni effettuate nell’ambito della giornata, comprensive di tempi e modalità di intervento, pause (con specificazione delle motivazioni) e attese;

2. un hardware volto a regolare l’accesso ai luoghi di lavoro attraverso un sistema di riconoscimento facciale, posto in essere per finalità di rilevazione delle presenze in servizio.

Ebbene, da quanto emerge nel provvedimento, l’azienda ha esposto una difesa alquanto generica, giustificando l’uso dei sistemi sulla base di asserite esigenze di efficientamento dell’attività lavorativa, peraltro, imposte dalla casa madre, nonché in considerazione del consenso raccolto dai lavoratori, a valere quale “nulla osta” ai trattamenti effettuati.

Pare, ciò non è di poco momento, che l’azienda fosse in possesso di documentazione “privacy”, quale il registro dei trattamenti, l’informativa ed anche una dpia ma, come emerge dall’istruttoria, tale documentazione era del tutto inidonea ad assolvere allo scopo cui il legislatore europeo l’ha preposta.

Nel provvedimento citato, l’Autorità ha l’occasione di ricordare che l’ordinamento vigente non ammette un trattamento di dati biometrici dei lavoratori, per le finalità addotte dall’azienda ingiunta. E, in ogni caso, nella vicenda che ci occupa, non sono state condotte le più basilari valutazioni in merito alla liceità del trattamento, in particolare, in punto di osservanza dei principi generali quali, tra tutti, i principi di liceità, in senso stretto, correttezza, trasparenza, minimizzazione e limitazione delle finalità.

Tra le difese del datore di lavoro, in merito all’uso del sistema di biometria, spicca per criticità l’aver considerato valida e, per ciò solo, sufficiente la dichiarazione di conformità del fornitore del dispositivo. Quando questa, chiaramente, non può valere a sostituire il dovere del titolare di verificare la sussistenza delle condizioni che rendono lecito il trattamento, alla luce del principio di accountability.

Avuto riguardo al software gestionale, l’Autorità non ha potuto scendere nel dettaglio del trattamento posto in essere, analizzando in modo granulare le caratteristiche essenziali del sistema utilizzato, onde verificare la sussistenza o meno di requisiti di conformità legale, ciò poiché la stessa concessionaria ha fornito riscontri generici ed evasivi sul punto.

E neanche i dipendenti hanno ricevuto, come impone non solo la normativa in materia di protezione dei dati personali, ma anche il fondante principio di correttezza contrattuale, informazioni dettagliate in merito al funzionamento dell’applicativo e alle caratteristiche dello stesso.

Tutto ciò ha portato l’Autorità a comminare una sanzione pecuniaria significativa, pari ad euro 120.000,00, e ciò tenendo conto, tra gli altri, del fatto che l’ingiunta non si sia conformata alla normativa relativamente ad una pluralità di disposizioni, che abbia scarsamente collaborato con l’Autorità ed abbia perpetrato le condotte segnalate, anche dopo l’avvio del procedimento.

Il Garante, oltre la sanzione pecuniaria, ha imposto alla società di conformare il trattamento effettuato mediante software gestionale alle disposizioni e ai principi generali in materia di data protection entro 90 giorni mentre ha vietato l’ulteriore trattamento di dati biometrici.

Ora, se il divieto da ultimo citato, almeno formalmente, sembra facilmente attuabile, visto che l’attività era svolta per la sola finalità di controllo accessi, facilmente perseguibile mediante l’adozione di più semplici e proporzionati strumenti tecnologici, viene da chiedersi se la società sia riuscita e, soprattutto, con quale sforzo economico ed organizzativo, a conformare il trattamento dei dati effettuato mediante il software gestionale. Strumento che, da quanto si può leggere, era destinato ad assolvere a plurime funzioni nell’ambito dei processi aziendali.

E pensare che, se la concessionaria avesse effettuato le valutazioni imposte dalla normativa ex ante, oltre ad evitare la sanzione pecuniaria comminata, non avrebbe subito il danno d’immagine provocato dalla pubblicazione del provvedimento sul sito dell’Autorità (ex art. 166, comma 7, del Codice privacy e dell’art.16 comma 1 del Regolamento del Garante n.1/2019) né le ripercussioni operative necessariamente provocate dalle misure volte a conformare i trattamenti realizzati mediante il gestionale.

Arianna Ciracò, avvocato in Prato

Visualizza il documento: Garante privacy, provvedimento 6 giugno 2024, n. 338

Scarica il commento in PDF

L'articolo L’Autorità Garante per la protezione dei dati personali sanziona una concessionaria di autovetture per illegittimo trattamento dei dati dei lavoratori sembra essere il primo su Rivista Labor - Pacini Giuridica.