Comune e privacy- Commento a Garante per la protezione dei dati personali: Provvedimento n. 412 del 24-11-2022.
1. I fatti
Una educatrice dipendente di una società cooperativa, che svolgeva per il Comune di Torino servizi educativi a favore di persone disabili, presentava un reclamo al Garante per la protezione dei dati personali con cui lamentava che il Comune di Torino aveva illegittimamente inoltrato alla cooperativa per cui lavorava una sua email inviata allo stesso Comune.
In particolare, la reclamante sosteneva che durante i primi mesi del periodo pandemico legato alla diffusione del Covid, temendo che i provvedimenti governativi che avevano sospeso le attività didattiche potessero comportare la mancata erogazione del proprio stipendio da parte della cooperativa sua datrice di lavoro, aveva scritto una email al Comune di Torino, quale soggetto nei cui confronti veniva di fatto fornita la sua prestazione professionale di educatrice, chiedendo chiarimenti in ordine al pagamento delle proprie ore di lavoro. Inoltre, la reclamante rappresentava di aver inviato la suddetta email al Comune anche in rappresentanza di altri 7 lavoratori che si trovavano nella stessa situazione.
La reclamante sosteneva, poi, che il Comune fosse quindi risalito al suo nominativo e a quello della cooperativa dove la stessa lavorava ed avesse inoltrato l’email alla sua datrice di lavoro, interpretando il contenuto della email come una doglianza nei confronti della cooperativa.
Il Garante provvedeva ad aprire l’istruttoria nei confronti del Comune di Torino e lo invitava a fornire la propria versione sui fatti che gli erano stati addebitati.
Il Comune si difendeva sostenendo, in primo luogo, che l’email della reclamante era stata “irrituale”, in quanto il Comune non ha rapporti diretti con i dipendenti dei suoi fornitori (come era in questo caso la Cooperativa) per questioni che riguardano le singole posizioni lavorative. Ciò detto, il Comune sosteneva che, avendo preso atto della email in questione e di altre email di analogo tenore che gli erano pervenute, aveva deciso di chiedere chiarimenti ai propri fornitori (tra cui la cooperativa datrice di lavoro della reclamante) in ordine alle modalità con cui sarebbe stato erogato il servizio (a seguito delle Ordinanze governative di chiusura delle scuole) nonché in ordine a come i fornitori avessero deciso di recuperare con i propri dipendenti le ore di lavoro perse (in modo da garantire ai dipendenti medesimi l’erogazione del salario).
Il Comune sosteneva, quindi, che il proprio intento era stato quello di garantire la prosecuzione dei servizi educativi da parte dei suoi fornitori e la tutela del salario dei dipendenti dei fornitori medesimi.
Per perseguire tale obiettivo, il Comune, in una situazione emergenziale come quella esistente nei primi mesi della pandemia, aveva deciso di coinvolgere direttamente e immediatamente i fornitori, fra cui appunto la cooperativa dove lavorava la reclamante, prima, informandoli della situazione e chiedendo chiarimenti e successivamente inoltrando l’email inviata dal dipendente. Comunque, il Comune sosteneva di aver preventivamente informato la reclamante, che avrebbe preso contatti con il suo datore di lavoro.
Secondo il Comune, quindi, lo stesso aveva agito in assoluta buona fede, ritenendo che la comunicazione email della reclamante contenesse fatti già noti alla cooperativa datrice di lavoro e che il suo invio al Comune fosse un passaggio successivo rispetto ad interlocuzioni già avuta tra la reclamante medesima e il suo datore di lavoro. Inoltre, sempre secondo il Comune, la base giuridica del trattamento avrebbe dovuto rinvenirsi nell’interesse pubblico rilevante di garantire la continuità del servizio assistenziale a favore di persone disabili e insieme quello di garantire la tutela salariale della reclamante medesima.
Potrebbero interessarti anche:
2. Le valutazioni del Garante
Preliminarmente, il Garante ha ricordato che, in base alla disciplina di protezione dei dati, i soggetti pubblici possono trattare dati personali se il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento oppure per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. In particolare, l’operazione di comunicazione di dati personali a terzi, da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento. Ma anche in tal caso, il titolare del trattamento è tenuto, comunque, a rispettare i principi in materia di protezione dei dati, fra i quali quello di liceità, correttezza e trasparenza nonché di minimizzazione dei dati.
Nel caso di specie, il Garante ha ritenuto che l’email inviata dalla reclamante al Comune (e da quest’ultimo inoltrata alla cooperativa datrice di lavoro della reclamante) non conteneva un’istanza o una segnalazione, rispetto alla quale il Comune avrebbe dovuto avviare un procedimento amministrativo nei confronti del datore di lavoro e quindi avrebbe dovuto coinvolgere quest’ultimo in un’istruttoria finalizzata a dare una risposta all’istanza.
La email in questione, invece, conteneva soltanto una comunicazione della reclamante, in cui questa lamentava il proprio disagio per la perdita di ore lavorative a causa dell’interruzione dei servizi educativi dovuta alla pandemia.
Pertanto, l’invio di una email del genere, da parte del Comune destinatario, al datore di lavoro della reclamante non poteva ritenersi necessario al fine di informare detto datore di lavoro in ordine alla criticità lamentate dalla reclamante.
Analogo discorso, può farsi per le altre email di analogo tenore che lo stesso Comune ha confermato di aver inoltrato ad altri datori di lavoro.
Dall’istruttoria, infatti, è emerso che il Comune aveva già inviato ai vari propri fornitori una email generica, con la quale li informava del fatto che alcuni loro dipendenti avevano inviato al Comune delle email dove esprimono preoccupazione per la perdita delle ore lavorative e chiedeva loro di indicare le modalità con cui avrebbero fatto recuperare dette ore ai propri dipendenti.
Secondo il Garante, tale email informativa era stata formulata correttamente, in quanto non conteneva riferimenti ai dati personali dei singoli lavoratori coinvolti.
Pertanto, il Comune aveva così già raggiunto il fine di tutelare l’interesse alla prosecuzione del servizio e di garantire i salari dei dipendenti. Invece, il Comune non ha dimostrato quale sarebbe stata l’ulteriore utilità che avrebbe comportato l’inoltro ai datori di lavoro delle singole email inviate dai dipendenti (ivi compreso quella della reclamante).
Con l’inoltro della email in questione, il Comune ha quindi comunicato a ciascun datore di lavoro informazioni certamente prive di rilevanza ai fini della questione della perdita delle ore di lavoro, quali l’indirizzo di posta elettronica personale del lavoratore mittente e la data/ora di invio del messaggio; quindi ha dato luogo ad una comunicazione di dati personali della reclamante e degli altri 7 lavoratori in assenza di un base giuridica che legittimasse detto trattamento.
3. La decisione del Garante
In conclusione il Garante ha quindi ritenuto che la condotta del Comune abbia configurato una violazione della normativa in materia di privacy.
Tuttavia, dal punto di vista sanzionatorio, tenuto conto del fatto che la reclamante non aveva espressamente detto al Comune che l’email era confidenziale e che le sue esternazioni erano riservate, nonché del fatto che il Comune ha agito in buona fede nella convinzione che la cooperativa fosse già a conoscenza della problematica e che comunque il trattamento non ha riguardato particolari categorie di dati, ha considerato la violazione come “minore” e ha soltanto ammonito il Comune di Torino per la aver violato la normativa privacy.
>>>Per approfondire<<<
Grazie al D.Lgs. n. 101/2018 è avvenuto l’adeguamento del nostro Codice privacy (D.Lgs. n. 196/2003) alle numerose modifiche introdotte dal Regolamento europeo 2016/679, noto anche come GDPR – General Data Protection Regulation. Con il decreto di adeguamento – entrato in vigore dal 19 settembre 2018 – il quadro può pertanto ritenersi completo e tutti gli enti, i professionisti e le società devono operare nel rispetto del GDPR e della disciplina contenuta nel Codice privacy. L’obiettivo di questo breve manuale è quello di analizzare la legislazione, indicando, anche attraverso esempi pratici e schede di sintesi, i profili di maggior rilievo.
Come applicare il GDPR e il codice privacy
Grazie al D.Lgs. n. 101/2018 è avvenuto l’adeguamento del nostro Codice privacy (D.Lgs. n. 196/2003) alle numerose modifiche introdotte dal Regolamento europeo 2016/679, noto anche come GDPR – General Data Protection Regulation. Con il decreto di adeguamento – entrato in vigore dal 19 settembre 2018 – il quadro può pertanto ritenersi completo e tutti gli enti, i professionisti e le società dovranno operare nel rispetto del GDPR e della disciplina contenuta nel Codice privacy, così come appena modificato. Ma quali incombenze e adempimenti ne deriveranno, in concreto? L’obiettivo di questo breve manuale è appunto quello di analizzare la nuova legislazione, indicando, anche attraverso esempi pratici e schede di sintesi, i profili di maggior rilievo che professionisti e imprese devono considerare per adeguarsi alla normativa ed evitare di incorrere in gravose sanzioni.Roberta Rapicavoli Avvocato, Master di primo livello in “Diritto delle tecnologie informatiche” organizzato dall’Osservatorio CSIG di Messina, esercita l’attività professionale nel settore della privacy, del diritto informatico e del diritto applicato a internet e alle nuove tecnologie. In tali settori del diritto presta assistenza e consulenza a imprese e professionisti. Si dedica ad attività divulgativa e formativa, pubblicando articoli e approfondimenti in materia di privacy e di diritto informatico su riviste di settore e siti web e partecipando, quale relatrice e docente, a eventi e corsi, organizzati in tutto il territorio nazionale, su tematiche attinenti alla protezione dei dati personali e sulle questioni di maggior interesse riguardanti il rapporto tra diritto e mondo del web e delle nuove tecnologie.
Roberta Rapicavoli | Maggioli Editore 2018
Scrivi un commento
Accedi per poter inserire un commento