Con provvedimento del 1 giungo 2023 n. 9913830 il Garante per la protezione dei dati personali ha inflitto una sanzione di venti mila euro ad una Società per aver violato, a più battute, ora la disciplina volta a proteggere i dati personali dei lavoratori, ora le prescrizioni contenute nell'art. 4 St. Lav.
Si ricorda che l'art. 4 dello Statuto dei lavoratori, al terzo comma, richiama il necessario rispetto delle prescrizioni privacy, segnando il definitivo collegamento alla disciplina privacy.
Ulteriormente, il GDPR intensifica la tutela per la protezione dei dati dei lavoratori. Invero, all'art. 88 richiama espressamente la protezione dei dati come misura posta a tutela della dignità dei lavoratori, esprimendo, di per sé, l'esigenza di costruire specifiche garanzie e tutele contro l'invasività che può derivare dall'evoluzione della tecnica.
Il fatto
L'Azienda aveva installato un sistema di allarme basato sulla raccolta di dati biometrici di alcuni lavoratori che una volta raccolti dal sistema azionavano il sistema di allarme. Ancora, risultava essere stata installata una telecamera nell'area della reception priva delle adeguate garanzie previste dall'art. 4 St. Lav. e infine, l'Azienda aveva deciso di adottare un sistema di rilevazione geografica circa l'attività svolta dai tecnici che consentiva un collegamento al gestionale aziendale. Anche tale sistema risultava privo delle garanzie previste dal citato art. 4. St. Lav.
Ulteriormente, sul piano delle prescrizioni privacy la Società risultava carente da un punto di vista degli adempimenti. Alcuna informativa risultava essere stata consegnata ai lavoratori e secondo la difesa della Società questo era dovuto ai rapporti “famigliari” tipici del clima e delle relazioni che contraddistinguevano l'ambiente di lavoro. Nelle memorie presentate dall'Azienda, infatti, si legge che la Società risultava di aver peccato per ingenuità, ritenendo di aver correttamente adempiuto al proprio obbligo di trasparenza nei confronti degli interessati, mediante comunicazione orale (e pur sempre nel rispetto delle previsioni di cui all'art. 12 GDPR) - quando, invece, avrebbe dovuto predisporre una modalità di comunicazione intellegibile, trasparente e facilmente accessibile.
Sul trattamento di dati biometrici
La società ha deciso di installare un sistema di allarme che si attivava attraverso la raccolta del dato biometrico del lavoratore. Sulla base di quanto rilevato, in occasione dell'accesso al sistema, effettuato durante l'accertamento ispettivo, il sistema memorizzava i dati relativi alle impronte digitali di 21 soggetti abilitati e i log riferiti all'attivazione e disattivazione dell'allarme e di accesso al sistema. Nel corso dell'ispezione è stato anche accertato che per ogni utente veniva registrato il nome, l'ambiente per cui è abilitato all'accesso e l'indicazione del dato biometrico raccolto.
I dati biometrici rientrano nella categoria dei dati particolari di cui all'art. 9 del GDPR, e quindi, il loro trattamento risulta circoscritto a specifiche ipotesi, in ragione della capacità degli stessi di rilevare aspetti intimi della persona.
In particolare, secondo il dettato normativo, il trattamento dei dati biometrici è consentito solo nell'ipotesi di cui al paragrafo 2 del succitato art. 9, ovverosia solo quando il trattamento sia necessario ad assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale nella misura in cui sia autorizzato dal diritto dell'Unione o dagli Stati membri e in presenza di garanzie adeguate.
L'Autorità era da poco intervenuta sul trattamento dei dati biometrici nei rapporti di lavoro, con provvedimento del 10 novembre 2022, aveva sanzionato una Società per aver installato un sistema biometrico per la raccolta delle presenze. Già in quella occasione, l'Autorità aveva ricordato come nel quadro normativo vigente il trattamento dei dati biometrici deve avvenire nel rispetto delle condizioni di legge ivi comprese le limitazioni di cui all'art. 9 par 4 del GDPR. In tale quadro, affinché uno specifico trattamento avente a oggetto dati biometrici possa essere lecitamente iniziato è necessario che lo stesso trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell'intervento regolatorio rispetto alle finalità che si intendono perseguire.
Nel caso in esame e alla luce del richiamato quadro normativo il trattamento di dati biometrici realizzato dalla Società risulta quindi essere stato effettuato in assenza di un'idonea base giuridica. Ulteriormente, è stata rilevata la violazione di cui all'art. 13 del GDPR, la Società non aveva fornito idonea informativa ai lavoratori. Si ricorda, che la trasparenza assurge a criterio cardine nelle operazioni di trattamento, anche e soprattutto nei contesti lavoratori. Gli obblighi di trasparenza vengono peraltro rafforzati dal Decreto Trasparenza che ribadisce l'importanza delle prescrizioni di cui al Reg. Eu. 679/2016.
Posizione geografica e videosorveglianza
Come anzidetto, la Società risultava titolare del trattamento dei dati derivanti dall'uso di un applicativo collegato al gestionale aziendale che consentiva la geolocalizzazione dei tecnici. Attraverso il predetto applicativo risultava tracciata, tramite GPS, la posizione del dispositivo mobile del personale tecnico. Oltre al dato relativo alla posizione geografica, risultavano essere stati raccolti anche il dato relativo all'ora e alla data della rilevazione della posizione stessa. Alcuni tra questi dati erano risalenti a più di dieci anni fa. In violazione, pertanto, al principio di limitazione della conservazione di cui all'art. 5 del GDPR. In tal modo, quando l'applicativo era in uso, risultava tracciata, in modo continuativo, la posizione del lavoratore nello svolgimento della propria attività lavorativa.
Nelle sue difese, la Società ha dichiarato di non essere a conoscenza del monitoraggio costante. Le uniche informazioni consultate erano quelle relative all'atto di chiusura dell'intervento da parte del tecnico. Tale azione risultava necessaria a fini organizzativi per consentire all'impresa di far fronte ad eventuali lamentele o contestazione da parte dei clienti.
Come per la geolocalizzazione, anche il sistema di videosorveglianza era stato installato senza la previa sottoscrizione di specifici accordi con le rappresentanze sindacali o le autorità amministrative indicate dalla norma.
Il Garante per la protezione dei dati personali ha ricordato che la disciplina di cui all'art. 4 St. Lav. costituisce una delle norme del diritto nazionale più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro individuate dall'art. 88 del Regolamento.
Non conta se, la Società non aveva intenzione di venire a conoscenza dei dati del GPS o se la videosorveglianza era stata installata al solo scopo di controllare gli accessi. Il rispetto delle prescrizioni di cui all'art. 4 dello Statuto dei lavoratori costituisce il presupposto normativo necessario per iniziare il trattamento. La condotta tenuta dalla Società ha configurato, pertanto, la violazione del principio di liceità del trattamento (art. 5, par. 1, lett. a) del Regolamento in relazione all'art. 114 del Codice) e dell'art. 88 del Regolamento quanto alla disciplina applicabile in materia.
Ulteriormente, la Società risultava essere in violazione delle prescrizioni di cui all'art. 13 del GDPR che obbligano il titolare del trattamento a fornire ai lavoratori specifica informativa relativa ai trattamenti dei dati personali che li riguardano. L'onere informativo, soprattutto nel contesto lavorativo, e in considerazione dei possibili controlli tecnologici, assurge ad onere principale nel rapporto di lavoro. Si ricorda, infatti, che l'art. 4 dello St. Lav. condiziona l'uso dei dati raccolti ad una previa informazione circa la natura dello strumento, e quindi la sua funzionalità, e i possibili controlli che possono scaturire dagli stessi. Un doppio obbligo informativo che si inserisce nel più ampio contesto delle relazioni di lavoro, in cui il datore di lavoro è tenuto al rispetto delle prescrizioni privacy ai fini della tutela della dignità del lavoratore che potrebbe essere circoscritta a fronte del contesto tecnologico attuale, sempre più pervasivo e costante.