Garante per la protezione dei dati personali: Ordinanza ingiunzione n. 235 del 26 novembre 2020
Il fatto
Un’organizzazione sindacale aveva segnalato al garante privacy che un’azienda, svolgente attività di call center, aveva adottato nel giugno 2019 un regolamento aziendale interno, che prevedeva il divieto a carico dei propri dipendenti di tenere, durante l’attività lavorativa, alcuni oggetti e indumenti e soprattutto imponeva loro l’obbligo di tenere visibili sulla propria scrivania assorbenti e le scatole contenenti eventuali medicinali di cui avessero bisogno.
A seguito della suddetta segnalazione, il garante privacy apriva l’istruttoria chiedendo chiarimenti alla società interessata.
La società precisava che le finalità per cui era stato adottato il suddetto regolamento erano quelle di garantire la sicurezza delle informazioni personali rilasciate dai propri clienti ai dipendenti che lavoravano nel call center, evitando che questi ultimi durante lo svolgimento dell’attività lavorativa potessero portare con sé, all’interno di borse e borsette di dimensioni sufficienti a contenerli, telefoni cellulari o altri dispositivi elettronici con cui catturare dette informazioni personali rilasciate dai clienti, per poi poterle utilizzare per scopi illeciti. In secondo luogo, la società evidenziava come avesse anche dato delle linee guida ai propri dipendenti con cui prevedeva delle eccezioni al divieto di cui sopra, in presenza delle quali i farmaci o gli articoli relativi alla salute, potevano essere tenuti sulla scrivania del dipendente, ma non aveva previsto la possibilità che tali oggetti fossero conservati in un astuccio oscurato in modo da garantire la riservatezza delle informazioni personali e relative alla salute dei dipendenti.
La società aveva, poi, cura di precisare che dal 1 novembre 2019 i lavoratori potevano tenere gli oggetti di cui sopra all’interno di una piccola borsa, in modo da impedire la conoscibilità delle informazioni relative alla salute ricavabili dalla visione di detti oggetti, previa comunicazione all’ufficio risorse umane e successiva sua autorizzazione.
Il garante per la protezione dei dati personali, non soddisfatto dei chiarimenti resi dalla società, le notificava le violazioni riscontrate.
La società, quindi, presentava al garante le proprie note difensive nelle quali faceva presente che:
- il regolamento aziendale non impediva ai dipendenti di conservare i farmaci all’interno di contenitori scuri, che rendessero non visibile il contenuto;
- la stessa società aveva successivamente modificato il proprio regolamento aziendale, chiarendo che il dipendente poteva conservare i farmaci sulla propria scrivania all’interno di piccoli contenitori opachi;
- comunque i lavoratori erano autorizzati a lasciare la postazione di lavoro per utilizzare i farmaci di cui hanno bisogno o assorbenti e altri dispositivi medici eventualmente conservati negli armadietti loro assegnati;
- nel febbraio 2020, la società aveva effettuato una ulteriore modifica del regolamento aziendale, prevedendo che il dipendente che avesse necessità di utilizzare un dispositivo medico più grande di uno smartphone presso la postazione di lavoro, poteva utilizzare una borsa di dimensioni più grandi previa comunicazione scritta e approvazione da parte dell’ufficio risorse umane.
La decisione del Garante
Il garante per la protezione dei dati personali ha ritenuto che il comportamento posto in essere dalla società sostanziasse delle operazioni di trattamento di dati personali, anche relativi alla salute, riferite ai propri dipendenti, non conformi alla disciplina in materia di privacy e conseguentemente l’ha sanzionata.
In particolare, il garante ha ritenuto che il regolamento aziendale ha imposto ai dipendenti del call center di esporre sulla propria postazione di lavoro degli oggetti aventi carattere strettamente personale (come medicinali, presìdi medici, assorbenti, salviette umidificate), che i lavoratori utilizzavano nello svolgimento della propria prestazione lavorativa, anche senza recarsi presso l’armadietto personale. Inoltre, la società ha non ha garantito ai propri dipendenti la possibilità di mettere detti oggetti all’interno di contenitori di piccole dimensioni che impedissero alle altre persone ivi presenti di poter prendere conoscenza di detti oggetti. Tale comportamento posto in essere dalla società ha permesso agli altri soggetti presenti nel luogo di lavoro di acquisire, in maniera indiretta, informazioni, anche relativi allo stato di salute, dei lavoratori, determinando così una lesione della dignità e della riservatezza di questi ultimi.
Per quanto riguarda le memorie difensive della società, il garante ha ritenuto che la stessa non sia riuscita a dimostrare che i lavoratori potevano effettivamente mettere gli oggetti di cui sopra all’interno di contenitori oscurati. Inoltre, è stata la stessa società a dichiarare che la possibilità di conservare gli oggetti all’interno di piccole borse è stata prevista, a titolo di eccezione, soltanto in un secondo momento rispetto all’introduzione del regolamento aziendale; tra l’altro, prosegue il garante, tale eccezione prevedeva comunque la necessaria autorizzazione da parte della società.
Il comportamento posto in essere dalla società costituisce, quindi, un trattamento illecito di dati personali, anche relativi alla salute, dei dipendenti, in considerazione del fatto che il datore di lavoro, a norma di legge, può trattare le informazioni dei propri dipendenti che sono necessari e pertinenti rispetto alla gestione del rapporto di lavoro; per quanto riguarda, poi, i dati particolari (come quelli relativi alla salute,) possono essere trattati soltanto:
- qualora il trattamento sia necessario per assolvere gli obblighi a carico del titolare del trattamento o per esercitare diritti riconosciuti a quest’ultimo o al lavoratore stesso,
- nel caso in cui ciò sia autorizzato dal diritto dell’unione o degli Stati membri o da un contratto collettivo e
- a condizione che il titolare del trattamento adotti delle garanzie idonee a tutelare i diritti fondamentali degli interessi dell’interessato.
Nel caso di specie, il garante ha evidenziato come i trattamenti posti in essere dalla società, relativi a dati particolari, sono stati effettuati senza che vi fosse stato il rispetto delle tre condizioni di cui sopra.
A tal proposito, secondo il garante, il regolamento aziendale non può essere considerato una base giuridica idonea a legittimare il trattamento.
Inoltre neanche l’accettazione scritta del regolamento aziendale da parte dei dipendenti può configurare una legittimazione del trattamento, in considerazione del fatto che sussiste una asimmetria di potere tra le parti del rapporto contrattuale (cioè tra il datore di lavoro e il lavoratore) e pertanto sarebbe necessario accertare di volta in volta che il consenso al trattamento espresso dal lavoratore sia stato effettivamente libero.
Infine, il garante ha evidenziato che la finalità perseguita dalla società con il regolamento aziendale di cui sopra, (cioè quella di prevenire possibili illeciti da parte dei propri dipendenti) non legittima mai il trattamento dei dati relativi alla salute e legittima il trattamento di dati comuni soltanto nel caso in cui il titolare effettui preventivamente una comparazione fra l’interesse perseguito con il trattamento e il rischio sui diritti e le libertà fondamentali dell’interessato e valuti la prevalenza della finalità perseguita col trattamento. Tuttavia, prosegue il garante, nel caso di specie non risulta che la società abbia effettuato la valutazione di cui sopra.
Infine, il garante ha evidenziato come il trattamento di cui sopra viola altresì i principi di liceità e minimizzazione dei dati, in quanto la finalità perseguita dalla società poteva essere realizzata anche senza trattare i dati personali dei lavoratori anche di natura particolare.
In considerazione di tutto quanto sopra, il garante per la protezione dei dati personali, accertata la illecita del trattamento, ha ingiunto alla società di conformare il proprio regolamento aziendale ai principi di liceità e minimizzazione dei dati previsti dal regolamento europeo (impedendo che vengano trattati i dati relativi agli oggetti di uso strettamente personale dei propri dipendenti che quest’ultimi chiedono di collocare all’interno di astucci o borse sulla propria postazione di lavoro) ed ha applicato alla stessa una sanzione amministrativa pecuniaria di euro 20.000.
Volume consigliato
Il nuovo codice della privacy
Il 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica amministrazione, ente o società, impresa o professionista sono tenuti a dare piena e integrale applicazione alla disciplina. Agile e completa, quest’opera fornisce a tutti gli operatori, pubblici e privati, gli strumenti per comprendere in modo chiaro e semplice le novitàintrodotte dal decreto attuativo, attraverso una lettura integrata con i relativi riferimenti alle disposizioni del GDPR, per consentire al Professionista di adempiere ai vari obblighi relativi alla protezione dei dati personali.Con un linguaggio semplice e chiaro, l’autore analizza i singoli articoli del decreto attuativo corredati da un primo commento esplicativo in combinato con l’esame delle disposizioni del codice privacy ancora in vigore, attraverso i necessari richiami alle disposizioni del GDPR che la nuova disciplina va ad attuare.PIER PAOLO MUIÀ Dopo aver conseguito la maturità classica, si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di diritto di internet, pri- vacy e IP, nonché responsabilità medica. È autore di diverse monografie sulle materie di sua competenza nonché di numerose pubblicazioni sulle principali riviste giuridiche nazionali ed è referente di dette materie per il portale telematico giuridico Diritto.it. È stato relatore in diversi convegni.
Pier Paolo Muià | 2019 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento