L’obbligo imposto ai dipendenti di tenere medicinali e assorbenti in modo visibile sulla scrivania della propria postazione di lavoro costituisce violazione della privacy.

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

 

Garante per la protezione dei dati personali: Ordinanza ingiunzione n. 235 del 26 novembre 2020

Il fatto

Un’organizzazione sindacale aveva segnalato al garante privacy che un’azienda, svolgente attività di call center, aveva adottato nel giugno 2019 un regolamento aziendale interno, che prevedeva il divieto a carico dei propri dipendenti di tenere, durante l’attività lavorativa, alcuni oggetti e indumenti e soprattutto imponeva loro l’obbligo di tenere visibili sulla propria scrivania assorbenti e le scatole contenenti eventuali medicinali di cui avessero bisogno.

A seguito della suddetta segnalazione, il garante privacy apriva l’istruttoria chiedendo chiarimenti alla società interessata.

La società precisava che le finalità per cui era stato adottato il suddetto regolamento erano quelle di garantire la sicurezza delle informazioni personali rilasciate dai propri clienti ai dipendenti che lavoravano nel call center, evitando che questi ultimi durante lo svolgimento dell’attività lavorativa potessero portare con sé, all’interno di borse e borsette di dimensioni sufficienti a contenerli, telefoni cellulari o altri dispositivi elettronici con cui catturare dette informazioni personali rilasciate dai clienti, per poi poterle utilizzare per scopi illeciti. In secondo luogo, la società evidenziava come avesse anche dato delle linee guida ai propri dipendenti con cui prevedeva delle eccezioni al divieto di cui sopra, in presenza delle quali i farmaci o gli articoli relativi alla salute, potevano essere tenuti sulla scrivania del dipendente, ma non aveva previsto la possibilità che tali oggetti fossero conservati in un astuccio oscurato in modo da garantire la riservatezza delle informazioni personali e relative alla salute dei dipendenti.

La società aveva, poi, cura di precisare che dal 1 novembre 2019 i lavoratori potevano tenere gli oggetti di cui sopra all’interno di una piccola borsa, in modo da impedire la conoscibilità delle informazioni relative alla salute ricavabili dalla visione di detti oggetti, previa comunicazione all’ufficio risorse umane e successiva sua autorizzazione.

Il garante per la protezione dei dati personali, non soddisfatto dei chiarimenti resi dalla società, le notificava le violazioni riscontrate.

La società, quindi, presentava al garante le proprie note difensive nelle quali faceva presente che:

  • il regolamento aziendale non impediva ai dipendenti di conservare i farmaci all’interno di contenitori scuri, che rendessero non visibile il contenuto;
  • la stessa società aveva successivamente modificato il proprio regolamento aziendale, chiarendo che il dipendente poteva conservare i farmaci sulla propria scrivania all’interno di piccoli contenitori opachi;
  • comunque i lavoratori erano autorizzati a lasciare la postazione di lavoro per utilizzare i farmaci di cui hanno bisogno o assorbenti e altri dispositivi medici eventualmente conservati negli armadietti loro assegnati;
  • nel febbraio 2020, la società aveva effettuato una ulteriore modifica del regolamento aziendale, prevedendo che il dipendente che avesse necessità di utilizzare un dispositivo medico più grande di uno smartphone presso la postazione di lavoro, poteva utilizzare una borsa di dimensioni più grandi previa comunicazione scritta e approvazione da parte dell’ufficio risorse umane.

 

La decisione del Garante

Il garante per la protezione dei dati personali ha ritenuto che il comportamento posto in essere dalla società sostanziasse delle operazioni di trattamento di dati personali, anche relativi alla salute, riferite ai propri dipendenti, non conformi alla disciplina in materia di privacy e conseguentemente l’ha sanzionata.

In particolare, il garante ha ritenuto che il regolamento aziendale ha imposto ai dipendenti del call center di esporre sulla propria postazione di lavoro degli oggetti aventi carattere strettamente personale (come medicinali, presìdi medici, assorbenti, salviette umidificate), che i lavoratori utilizzavano nello svolgimento della propria prestazione lavorativa, anche senza recarsi presso l’armadietto personale. Inoltre, la società ha non ha garantito ai propri dipendenti la possibilità di mettere detti oggetti all’interno di contenitori di piccole dimensioni che impedissero alle altre persone ivi presenti di poter prendere conoscenza di detti oggetti. Tale comportamento posto in essere dalla società ha permesso agli altri soggetti presenti nel luogo di lavoro di acquisire, in maniera indiretta, informazioni, anche relativi allo stato di salute, dei lavoratori, determinando così una lesione della dignità e della riservatezza di questi ultimi.

Per quanto riguarda le memorie difensive della società, il garante ha ritenuto che la stessa non sia riuscita a dimostrare che i lavoratori potevano effettivamente mettere gli oggetti di cui sopra all’interno di contenitori oscurati. Inoltre, è stata la stessa società a dichiarare che la possibilità di conservare gli oggetti all’interno di piccole borse è stata prevista, a titolo di eccezione, soltanto in un secondo momento rispetto all’introduzione del regolamento aziendale; tra l’altro, prosegue il garante, tale eccezione prevedeva comunque la necessaria autorizzazione da parte della società.

Il comportamento posto in essere dalla società costituisce, quindi, un trattamento illecito di dati personali, anche relativi alla salute, dei dipendenti, in considerazione del fatto che il datore di lavoro, a norma di legge, può trattare le informazioni dei propri dipendenti che sono necessari e pertinenti rispetto alla gestione del rapporto di lavoro; per quanto riguarda, poi, i dati particolari (come quelli relativi alla salute,) possono essere trattati soltanto:

  • qualora il trattamento sia necessario per assolvere gli obblighi a carico del titolare del trattamento o per esercitare diritti riconosciuti a quest’ultimo o al lavoratore stesso,
  • nel caso in cui ciò sia autorizzato dal diritto dell’unione o degli Stati membri o da un contratto collettivo e
  • a condizione che il titolare del trattamento adotti delle garanzie idonee a tutelare i diritti fondamentali degli interessi dell’interessato.

Nel caso di specie, il garante ha evidenziato come i trattamenti posti in essere dalla società, relativi a dati particolari, sono stati effettuati senza che vi fosse stato il rispetto delle tre condizioni di cui sopra.

A tal proposito, secondo il garante, il regolamento aziendale non può essere considerato una base giuridica idonea a legittimare il trattamento.

Inoltre neanche l’accettazione scritta del regolamento aziendale da parte dei dipendenti può configurare una legittimazione del trattamento, in considerazione del fatto che sussiste una asimmetria di potere tra le parti del rapporto contrattuale (cioè tra il datore di lavoro e il lavoratore) e pertanto sarebbe necessario accertare di volta in volta che il consenso al trattamento espresso dal lavoratore sia stato effettivamente libero.

Infine, il garante ha evidenziato che la finalità perseguita dalla società con il regolamento aziendale di cui sopra, (cioè quella di prevenire possibili illeciti da parte dei propri dipendenti) non legittima mai il trattamento dei dati relativi alla salute e legittima il trattamento di dati comuni soltanto nel caso in cui il titolare effettui preventivamente una comparazione fra l’interesse perseguito con il trattamento e il rischio sui diritti e le libertà fondamentali dell’interessato e valuti la prevalenza della finalità perseguita col trattamento. Tuttavia, prosegue il garante, nel caso di specie non risulta che la società abbia effettuato la valutazione di cui sopra.

Infine, il garante ha evidenziato come il trattamento di cui sopra viola altresì i principi di liceità e minimizzazione dei dati, in quanto la finalità perseguita dalla società poteva essere realizzata anche senza trattare i dati personali dei lavoratori anche di natura particolare.

In considerazione di tutto quanto sopra, il garante per la protezione dei dati personali, accertata la illecita del trattamento, ha ingiunto alla società di conformare il proprio regolamento aziendale ai principi di liceità e minimizzazione dei dati previsti dal regolamento europeo (impedendo che vengano trattati i dati relativi agli oggetti di uso strettamente personale dei propri dipendenti che quest’ultimi chiedono di collocare all’interno di astucci o borse sulla propria postazione di lavoro) ed ha applicato alla stessa una sanzione amministrativa pecuniaria di euro 20.000.

Volume consigliato

Il nuovo codice della privacy

Il nuovo codice della privacy

Pier Paolo Muià, 2019, Maggioli Editore

Il 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica amministrazione,...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. 

Non abbandonare Diritto.it
senza iscriverti alle newsletter!