TUTELA DELLA RISERVATEZZA DEL LAVORATORE E LIMITI ALL’ESERCIZIO DEL POTERE DI CONTROLLO I. TUTELA DELLA RISERVATEZZA DEL LAVORATORE NEL CODICE PRIVACY E NEL REGOLAMENTO EUROPEO di PAOLA BORGHI
SOMMARIO
1. Regolamento europeo n. 2016/679 e rapporti di lavoro: 1.1. Premessa; 1.2. Il Regolamento europeo. —
2. Codice in materia di dati personali e rapporto di lavoro. — 3. I principi fondamentali del trattamento.
— 4. Le figure “privacy”: 4.1. Il Titolare: 4.1.1. Accountability e valutazione di impatto; 4.1.2. Tutela della
riservatezza e art. 2087 c.c.; 4.2. Il Responsabile della protezione dei dati; 4.3. Gli autorizzati al trattamento.
— 5. L’informativa: 5.1. Premessa; 5.2. Conferimento dei dati e finalità; 5.3. Le basi giuridiche:
5.3.1. Il consenso; 5.3.2. Il legittimo interesse; 5.3.3. Le altre basi giuridiche; 5.4. Diritti degli interessati:
5.4.1. Principi generali; 5.4.2. Diritto di accesso; 5.4.3. Diritto di rettifica; 5.4.4. Diritto all’oblio; 5.4.5. Diritto
alla portabilità dei dati; 5.4.6. Diritto a non essere sottoposto a un processo decisionale automatizzato:
5.4.6.1. La profilazione attuata attraverso l’utilizzo di algoritmi: il caso delle società di food delivery;
5.5. Conservazione dei dati; 5.6. La limitazione dei diritti. — 6. Dati particolari: 6.1. Princìpi generali;
6.2. Il provvedimento del Garante n. 146 del 2019: 6.2.1. Affissione dei dati in bacheca. — 7. Dati relativi
alla salute: 7.1. Certificazione e controllo di malattia; 7.2. Dati sanitari nell’emergenza sanitaria Covid-19:
7.2.1. Trattamento dei dati sanitari per la gestione e il contenimento dell’emergenza epidemiologica;
7.2.2. Trattamento di dati e vaccinazioni; 7.2.3. Trattamento dei dati e certificazione verde Covid-19 (c.d.
Green Pass). — 8. Dati di carattere giudiziario. — 9. Dati biometrici: 9.1. Il quadro normativo; 9.2. I sistemi
di rilevazione delle presenze.
1. Regolamento europeo n. 2016/679 e rapporti di lavoro.
1.1. Premessa. L’entrata in vigore nel nostro ordinamento del Regolamento
generale sulla protezione dei dati personali 2016/679 (GDPR) non solo ha
consolidato ed ampliato il novero dei diritti delle persone fisiche con riguardo al
trattamento dei dati personali, ma ha definito un quadro normativo « più solido e
coerente in materia di protezione dei dati nell’Unione » (considerando n. 7). La rapidità
dell’evoluzione tecnologica e della globalizzazione, che hanno aumentato la
portata della condivisione e della raccolta dei dati, e reso i dati stessi un bene giuridico
economicamente valutabile, hanno imposto, infatti, nuove sfide sul fronte della
protezione dei dati personali, imponendo l’adozione di misure ulteriori rispetto al
passato, nella logica del contemperamento tra il diritto alla protezione dei dati
personali e gli altri diritti e libertà riconosciuti dalla Carta dei diritti fondamentali
dell’Unione europea (considerando n. 4). È del resto agevole rilevare che la consapevolezza
della connessione tra l’innovazione tecnologica e la necessità di adeguare le
forme di tutela della sfera individuale del singolo, ha caratterizzato la riflessione
giuridica europea dell’ultimo decennio e ha riguardato anche il trattamento dei dati
personali nei rapporti di lavoro. In proposito, va segnalato che il Gruppo di lavoro
articolo 29 per la protezione dei dati (organo consultivo indipendente dell’UE isti-
TUTELA DEL LAVORATORE E LIMITI AL POTERE DI CONTROLLO VII.10.I.1.1.
tuito dall’art. 29 direttiva 95/46/CE, sostituito ora dal Comitato europeo per la
protezione dei dati ex artt. 68 e ss. Regolamento), con il Parere 2/2017 sul trattamento
dei dati sul posto di lavoro, adottato l’8 giugno 2017, prendendo atto dell’adozione
di nuove tecnologie che consentono un trattamento più sistematico dei dati personali
dei lavoratori sul posto di lavoro, ha effettuato una nuova valutazione dell’equilibrio
tra gli interessi legittimi dei datori di lavori e le ragionevoli aspettative dei dipendenti
in materia di tutela della vita privata, descrivendo i rischi posti dalle nuove tecnologie
e valutando l’adozione di specifici comportamenti e accortezze (v. infra Parte II, sub
art. 4 St. lav., § 1.3). Il parere assume una particolare rilevanza ai fini interpretativi e
di indirizzo dei principi generali dettati: sebbene l’analisi sia stata condotta in relazione
al quadro giuridico definito dalla direttiva 95/46/CE (abrogata dal Regolamento)
il parere esamina, infatti — come testualmente esplicitato — anche gli obblighi
derivanti dal Regolamento UE 2016/679, entrato in vigore nel momento dell’emanazione
del parere (8 giugno 2017), ma non ancora applicabile (il Regolamento
è stato applicabile dal 25 maggio 2018), tanto che una parte della dottrina ha ritenuto
che svolga l’espressa funzione di fornire linee guida per l’attuazione della delega di
cui all’art. 88 del Regolamento (SITZIA, 2018). Pur rinviando l’esame del parere alla
trattazione degli istituti che verranno nel prosieguo esaminati, preme rilevare che lo
stesso evidenzia la specificità del diritto del lavoro e la conseguente necessità di
declinare i principi fondamentali in una logica particolare, che trova fondamento nel
coinvolgimento della persona umana nel sinallagma contrattuale e che, proprio per
questo, necessita di una disciplina ad hoc.
1.2. Il Regolamento europeo. La specialità della materia lavoristica trova
riscontro nel Regolamento europeo: l’art. 88 — inserito nel capo IX sulle “Disposizioni
relative a specifiche situazioni di trattamento” — rubricato “Trattamento dei
dati nell’ambito dei rapporti di lavoro”, prevede che « Gli Stati membri possono
prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare
la protezione dei diritti e delle libertà con riguardo al trattamento dei dati
personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità
di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli
obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e
organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul
lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio
e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al
lavoro, nonché per finalità di cessazione del rapporto di lavoro ». Nella fase di
elaborazione del Regolamento, la norma è stata oggetto di varie modifiche e la sua
peculiarità nella versione definitiva è stata individuata nella volontà di sganciare la
disciplina del trattamento dei dati nell’ambito del rapporto di lavoro dal sistema di
gerarchia di valori individuati nell’art. 1, al fine di « riconsegnare la materia ad un
criterio di bilanciamento mobile da operarsi rispettando i criteri di proporzionalità,
necessità e finalità ricostruiti dalla giurisprudenza della Corte di giustizia e della
Corte europea dei diritti dell’uomo » (SITZIA, 2018). La norma abbraccia tutti i profili
connessi al rapporto di lavoro, dalla costituzione, allo svolgimento, alla cessazione, in
una logica di tutela complessiva delle posizioni coinvolte, riguardando non solo i
diritti di tutela e protezione dei lavoratori, ma anche le esigenze organizzative e di
VII.10.I.1.2. SVOLGIMENTO DEL RAPPORTO: DIRITTI E DOVERI
gestione degli interessi del datore di lavoro, e, con riguardo a questo complesso
nucleo di diritti e interessi, consente agli Stati membri di apportare modifiche e
adeguamenti alla disciplina del Regolamento. Come rilevato in dottrina, « gli interessi
peculiari di cui sono portatrici entrambe le parti del rapporto di lavoro giustificano
la possibilità di filtrare la diretta applicazione del Regolamento attraverso
opportuni interventi di adattamento delle regole » (MARESCA-CIUCCIOVINO-ALVINO,
2017, 312), idonei comunque a garantire la protezione dei diritti e delle libertà con
riguardo al trattamento dei dati personali dei lavoratori. In altre parole, le eventuali
previsioni specifiche non potranno tradursi in un indebolimento e/o riduzione delle
tutele previste dal Regolamento, né tanto meno in una deroga ai principi fondamentali,
non essendo ammissibili in ogni caso “interventi derogatori delle fonti nazionali
rispetto alle disposizioni regolamentari europee, volti ad introdurre nei rispettivi
ordinamenti nazionali un’attenuazione delle garanzie previste dal Regolamento”
(COLAPIETRO, 2018, 28) Rispetto alla previsione in considerazione, va poi rilevato che
il demando alla contrattazione collettiva, quale fonte alternativa o concorrente alla
legge circa la definizione di discipline specifiche, non sembra poter aver sèguito, se
non in contesti settoriali e/o particolari, nel nostro ordinamento, dove i contratti
collettivi sono privi di efficacia soggettiva erga omnes (MARESCA-CIUCCIOVINO-ALVINO,
2017, 313).
2. Codice in materia di dati personali e rapporto di lavoro. Ai fini dell’adeguamento
della normativa nazionale al Regolamento europeo, il legislatore,
utilizzando la tecnica normativa della novella, ha emanato il d.lgs. 101/2018, che ha
determinato una revisione del Codice per la protezione dei dati personali di cui al
d.lgs. 196/2003, eliminando, da un lato, quanto ritenuto incompatibile con le previsioni
del Regolamento e introducendo, dall’altro, nuove disposizioni integrative.
Rispetto alla delega di cui all’art. 88 del Regolamento, la soluzione prescelta dal
legislatore italiano è stata quella di intervenire non tramite legge — così come testualmente
previsto — ma attraverso un demando al Garante per la protezione dei dati
personali, al quale è stato attribuito il compito di realizzare la normativa di settore
tramite i c.d. Codici di deontologia e buona condotta. Si tratta di una opzione che si
pone in continuità con il quadro normativo italiano disegnato ante Regolamento,
verosimilmente basato sulla volontà di evitare interventi “frettolosi” in materia (BELLAVISTA,
2005, 39) e che a tutt’oggi potrebbe ritenersi fondata, considerata la particolare
congiuntura politica caratterizzata da elevata instabilità che rende scarsamente
realistica la possibilità che il nostro Paese si avvalga in tempi brevi della facoltà,
ipotizzata dal Regolamento, di adottare una disciplina legislativa ad hoc in materia di
lavoro (MARESCA-CIUCCIOVINO-ALVINO, 2017, 314; nel senso che la scelta operata è
criticabile « sia con riferimento alla normativa precedente al Regolamento europeo
sia, a maggior ragione, oggi », v. SITZIA, 2018). L’impostazione prescelta dal legislatore
italiano, si rinviene, a livello generale, nell’art. 2-quater del nuovo Codice in
materia di protezione dei dati personali (d.lgs. 196 del 2003, come modificato ed
integrato dal d.lgs. 101 del 2018), a norma del quale il Garante promuove, « nell’osservanza
del principio di rappresentatività e tenendo conto delle raccomandazioni
TUTELA DEL LAVORATORE E LIMITI AL POTERE DI CONTROLLO VII.10.I.2.
del Consiglio d’Europa sul trattamento dei dati personali, l’adozione di regole deontologiche
per i trattamenti previsti », tra l’altro, al capo IX del Regolamento, relativo
a “ Disposizioni relative a specifiche situazioni di trattamento” e che include l’art. 88.
Tale previsione viene declinata nel Titolo VIII del nuovo Codice in materia di
protezione di dati personali, rubricato “Trattamenti nell’ambito del rapporto di
lavoro”, che si compone di un Capo I, “Profili generali”, di un Capo II, rubricato
“Trattamenti di dati riguardanti i prestatori di lavoro”, di un Capo III relativo a
“Controllo a distanza, lavoro agile e telelavoro” e un Capo IV, rubricato “Istituti di
patronato e di assistenza sociale”. In particolare, nel Capo I, l’art. 111 prevede che « il
Garante promuove, ai sensi dell’articolo 2-quater, l’adozione di regole deontologiche
per i soggetti pubblici e privati interessati al trattamento dei dati personali effettuato
nell’ambito del rapporto di lavoro per le finalità di cui all’articolo 88 del Regolamento,
prevedendo anche specifiche modalità per le informazioni da rendere all’interessato
». Nel medesimo Capo I si rinviene poi l’art. 111-bis concernente il trattamento
delle informazioni in caso di ricezione di curriculum, che contiene previsioni
specifiche per quanto attiene all’informativa e al rilascio del consenso con riferimento
ai curricula spontaneamente trasmessi dagli interessati al fine dell’instaurazione di un
rapporto di lavoro (v. infra). Il Capo II del nuovo Codice, comprende l’art. 113 su
“Raccolta di dati e pertinenza”, a norma del quale « resta fermo quanto disposto
dall’articolo 8 della legge 20 maggio 1970, n. 300 nonché dall’articolo 10 del decreto
legislativo 10 settembre 2003, n. 276 ». Il Capo III, in tema di “controllo a distanza,
lavoro agile e telelavoro”, è composto dall’art. 114 “garanzie in materia di controllo a
distanza” che stabilisce che “resta fermo quanto disposto dell’articolo 4 della legge 20
maggio 1970, n. 300” e dall’art. 115 in tema di “ telelavoro, lavoro agile e lavoro
domestico”, in cui è previsto che nell’ambito del rapporto di lavoro domestico, del
telelavoro e del lavoro agile il datore di lavoro è tenuto a garantire al lavoratore il
rispetto della sua personalità e della sua libertà morale e che il lavoratore domestico
è tenuto a mantenere la necessaria riservatezza per tutto quanto si riferisce alla vita
familiare. Prima di affrontare nel dettaglio le varie questioni connesse al trattamento
ai dati personali nell’ambito dei rapporti del lavoro, occorre evidenziare che, a
differenza dell’impianto normativo che caratterizzava il d.lgs. 196 del 2003 ante
Regolamento, nel nuovo contesto normativo, i trattamenti effettuati dai datori di
lavoro pubblici e da quelli privati sono equiparati, così come evidenziato dal Garante
per la protezione dei dati personali nel Provvedimento n. 146 del 5 giugno 2019.
3. I principi fondamentali del trattamento. L’art. 5 del Regolamento,
relativo ai principi applicabili al trattamento, riproduce il contenuto dell’art. 6 della
Direttiva 95/46/CE (ora abrogata) i cui principi erano già stati enunciati nell’art. 5
della Convenzione n. 108/1981 e, sostanzialmente trasfusi nell’art. 11 del d.lgs. 196
del 2003, ora abrogato dal d.lgs. 101 del 2018. Ne risulta, che devono considerarsi
ribaditi i principi di: liceità, correttezza e trasparenza: i dati devono essere trattati in
modo lecito, corretto e trasparente nei confronti dell’interessato(§ 1, lett. a); limitazione
della finalità: i dati devono essere raccolti per finalità determinate, esplicite e
legittime e successivamente trattati in modo che non siano incompatibili con tali
VII.10.I.3. SVOLGIMENTO DEL RAPPORTO: DIRITTI E DOVERI
finalità (§ 1, lett. b); minimizzazione: i dati devono essere adeguati, pertinenti e
limitati a quanto necessario rispetto alle finalità per le quali sono trattati (§ 1, lett. c);
esattezza: i dati devono essere esatti e, se necessario, aggiornati (§ 1, lett. d); limitazione
della conservazione: i dati devono essere conservati in una forma che consenta
l’identificazione degli interessati per un arco di tempo non superiore al conseguimento
delle finalità per le quali sono trattati (§ 1, lett. e); integrità e riservatezza: i dati
devono essere trattati mediante misure tecniche ed organizzative adeguate a garantirne
la sicurezza (§ 1, lett. f). Rispetto alla tematica lavoristica, va rilevato che, ante
Regolamento, il Garante aveva declinato tali principi nelle Linee guida in materia di
trattamento di dati personali dei lavoratori per finalità di gestione del rapporto di
lavoro alle dipendenze dei datori di lavoro privati (Provv. Garante 23 novembre
2006) e nelle analoghe Linee guida in materia di trattamento dei dati personali dei
lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico (Provv.
Garante 14 giugno 2007), specificando che le informazioni di carattere personale
relative ai lavoratori possono essere trattate dal datore di lavoro nella misura in cui
siano necessarie per dare corretta esecuzione al rapporto di lavoro, dovendosi, in
ogni caso, trattare di informazioni pertinenti e non eccedenti, e nel rispetto dei
principi di necessità, liceità, trasparenza, previa adozione delle misure di sicurezza
idonee a preservare i dati da alcuni eventi, quali accessi e/o utilizzazioni indebite (sulla
perdurante efficacia di tali Provvedimenti anche successivamente all’entrata in vigore
del Regolamento, v. MARESCA-CIUCCIOVINO-ALVINO, 2017, 344). Le predette Linee
guida vennero emanate sulla base delle indicazioni rivenienti dalla Raccomandazione
n. R(89) 2 del consiglio di Europa relativa alla protezione dei dati a carattere personale
utilizzati ai fini dell’occupazione, nonché del Parere 8/2001 sul trattamento dei
dati personali nel contesto dell’occupazione, reso il 13 settembre 2001 dal Gruppo
dei Garanti europei ex art. 29 e del Code of practive, “Protection of Workers” personal data,
pubblicato dall’Organizzazione internazionale del lavoro (ILO). Successivamente, il
predetto Parere 8/2001 è stato integrato dal Gruppo ex art. 29 con il cit. Parere 2/2017
sul trattamento dei dati sul posto di lavoro, la cui emanazione trae origine dalla
constatazione che l’adozione delle nuove tecnologie consente un trattamento più
sistematico dei dati personali dei lavoratori sul posto di lavoro, creando sfide impegnative
in materia di protezione dei dati personali e della vita privata. In tale
contesto, il Gruppo ha espressamente evidenziato che l’obbligo dei datori di lavoro di
tener conto dei principi fondamentali in materia di protezione dei dati personali non
è stato modificato dallo sviluppo delle nuove tecnologie e dai nuovi metodi di
trattamento, sottolineando altresì “che tali sviluppi hanno reso più importante per i
datori di lavoro procedere in tal senso”. Pertanto, i datori di lavoro devono: garantire
che i dati siano trattati per finalità specifiche e legittime, che siano proporzionate e
necessarie; tenere conto del principio della limitazione delle finalità, assicurandosi
nel contempo che i dati siano adeguati, pertinenti e non eccessivi per la finalità
legittima prevista; applicare i principi di proporzionalità e sussidiarietà indipendentemente
dal fondamento giuridico applicabile; essere trasparenti con i dipendenti in
merito all’uso e alle finalità delle tecnologie di monitoraggio; consentire l’esercizio
dei diritti degli interessati; mantenere i dati esatti e non conservarli più a lungo del
necessario; adottare tutte le misure necessarie per proteggere i dati dagli accessi non
TUTELA DEL LAVORATORE E LIMITI AL POTERE DI CONTROLLO VII.10.I.3.
autorizzati, oltre a garantire che il personale sia sufficientemente consapevole degli
obblighi in materia di protezione dei dati. Considerato tale quadro di riferimento, si
ritiene che, con riferimento alla tutela della privacy del lavoratore, i principi che
ricevono una particolare valorizzazione, sono quelli di trasparenza e di minimizzazione
(MARESCA-CIUCCIOVINO-ALVINO, 2017, 338), che rispondono alla logica di assicurare
al lavoratore il controllo sull’acquisizione dei propri dati, con riferimento a
specifiche finalità e che impongono ai datori di lavoro di avvalersi ed installare gli
strumenti tecnologici all’interno della propria organizzazione compatibilmente al
loro rispetto. Accanto a questi principi, l’art. 5 del Regolamento introduce poi un
nuovo principio che in realtà assorbe e comprende tutti gli altri, tanto da essere
definito “super principio” (MARESCA-CIUCCIOVINO-ALVINO, 2017, 321): la responsabilizzazione
(accountability) del Titolare, tenuto a rispettare i principi e a comprovarne il
rispetto. Si tratta di un principio di grande rilevanza che, come evidenziato nel
considerando 74, sancisce la responsabilità generale del Titolare per qualsiasi trattamento
di dati personali da questi effettuato direttamente o per suo conto e che si
sostanzia nella messa in atto di misure adeguate ed efficaci per la protezione dei dati
e nella prova della conformità delle attività di trattamento alle previsioni del Regolamento,
ivi inclusa l’efficacia delle misure adottate (v. infra). Si realizza in tal modo
una vera e propria rivoluzione dell’approccio sostanziale alla tematica della riservatezza,
che comporta l’esigenza di rivedere costantemente i modelli e le scelte organizzative
adottate alla luce dei predetti principi fondamentali e delle altre prescrizioni,
in una logica dinamica e proattiva, che caratterizza tutta la tematica privacy.
4. Le figure “privacy”.
4.1. Il Titolare. Il Titolare del trattamento — persona fisica o giuridica
che determina le finalità e i mezzi di trattamento dei dati personali (art. 4, § 1, n. 7,
Regolamento) — deve essere individuato con riferimento al contesto di riferimento e
previo esame, attento e circostanziato, delle funzioni concretamente svolte, attraverso
un’analisi fattuale dell’influenza effettiva esercitata dal soggetto sul trattamento dei
dati personali. Come sottolineato nelle “Linee Guida n. 7/2020 sui concetti di
titolare del trattamento e responsabile del trattamento nel GDPR”, emanate dall’European
Data Protection Board (EDPB) nell’ottobre del 2020, i predetti concetti “sono
funzionali”, mirano cioè a ripartire le responsabilità in base “ai ruoli effettivi delle
parti”. Ciò implica — proseguono le Linee guida — che lo status giuridico del titolare
o del responsabile deve essere determinato dalle sue attività effettive in una situazione
specifica, piuttosto che da una designazione formale. Non è possibile, dunque,
diventare un titolare, né sottrarsi agli obblighi del titolare, semplicemente “dando
forma al contratto in un certo modo, quando le circostanze dei fatti prevedono
qualcos’altro”. Generalmente, ma non necessariamente, il titolare coincide con il
datore di lavoro, il che comporta un ampliamento delle obbligazioni datoriali di
protezione dei dati dei lavoratori, come di seguito specificato.
4.1.1. Accountability e valutazione di impatto. Come accennato, il titolare,
in base al principio di accountability, deve adottare autonomamente le modalità,
le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni
VII.10.I.4. SVOLGIMENTO DEL RAPPORTO: DIRITTI E DOVERI
normative e alla luce di alcuni criteri specifici indicati nel Regolamento. Il primo fra
tali criteri è sintetizzato dall’espressione data protection by default and by design (art.
25), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le
garanzie indispensabili al fine di soddisfare i requisiti del Regolamento e tutelare i
diritti degli interessati, tenendo conto del contesto complessivo in cui si realizza il
trattamento e dei rischi per i diritti e le libertà degli interessati. Tale processo deve
avvenire a monte, prima di procedere al trattamento dei dati vero e proprio e
richiede, pertanto, un’analisi preventiva e un impegno attivo e proattivo da parte dei
titolari, che si sostanzia in una serie di attività specifiche e dimostrabili. Fondamentali
fra tali attività sono quelle connesse al secondo criterio individuato nel Regolamento
rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al
trattamento, da intendersi come rischio di impatti negativi sulle libertà e i diritti degli
interessati. In particolare, l’art. 35 del Regolamento prevede che quando un tipo di
trattamento che prevede l’uso di nuove tecnologie può presentare, considerati la
natura, l’oggetto, il contesto e le finalità del trattamento, un rischio elevato per i diritti
e le libertà delle persone fisiche, il titolare effettua, prima di procedere al trattamento,
una valutazione di impatto dei trattamenti previsti sulla protezione dei dati personali
(DPIA). In argomento, va rilevato che le “Linee guida in materia di valutazione
di impatto sulla protezione dei dati e determinazione della possibilità che il trattamento
possa presentare un rischio elevato ai fini del Regolamento (UE) 2016/679”,
(adottate dal Gruppo articolo 29 il 4 aprile 2017, fatte proprie dal Comitato europeo
per la protezione dei dati e modificate da ultimo il 4 ottobre 2017), offrono una valida
guida per i titolari, precisando, tra l’altro, quando una valutazione di impatto è
obbligatoria, oltre i casi evidenziati dall’art. 35, come vada strutturata e condotta,
oltre a porre il principio per cui tale valutazione deve essere interpretata come un
processo soggetto a revisione continua, piuttosto che come un adempimento una
tantum. Appare evidente la centralità di tale adempimento nel trattamento dei dati dei
lavoratori, considerata l’indiscussa diffusione di nuove tecnologie che consentono un
trattamento sempre più sistematico dei dati nel contesto lavorativo e il fatto, altrettanto
evidente, che i confini tra l’ambito domestico e quello lavorativo sono diventati
sempre più inestricabili e labili, considerato anche lo svolgimento da remoto dell’attività
lavorativa, che soprattutto nei tempi della pandemia è stato largamente diffuso.
Ne risulta che il titolare/datore di lavoro dovrà attivarsi per attuare una valutazione
che, così come previsto (art. 35, § 7, Regolamento), contenga, almeno, una descrizione
dei trattamenti previsti e delle finalità del trattamento; una valutazione della
necessità e proporzionalità dei trattamenti in relazione alle finalità; una valutazione
dei rischi per i diritti e le libertà degli interessati; l’individuazione delle misure
previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i
meccanismi per garantire la protezione dei dati e dimostrare la conformità alle
norme del Regolamento. Va evidenziato che la valutazione è obbligatoria rispetto
alle tipologie di trattamento individuate dal Garante nell’Allegato 1 al Provvedimento
n. 467 dell’11 ottobre 2018 che, con riferimento all’area tematica qui indagata,
riguardano: trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi
tecnologici, anche con riguardo ai sistemi di videosorveglianza e geolocalizzazione,
dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività
TUTELA DEL LAVORATORE E LIMITI AL POTERE DI CONTROLLO VII.10.I.4.1.1.
dei dipendenti (punto 5); trattamenti di categorie particolari di dati ai sensi dell’art.
9 (ovvero dati che rilevino l’origine razziale o etnica, le opinioni politiche, le convinzioni
religiose o filosofiche, o l’appartenenza sindacale, lo stato di salute, la vita
sessuale o l’orientamento sessuale) oppure di dati relativi a condanne penali e a reati
di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse
(punto 10); trattamenti sistematici di dati biometrici, tenendo conto, in particolare,
del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento
(punto 11). Le considerazioni sin qui esposte, consentono di effettuare un rilievo che
impatta sulla determinazione delle finalità e dei mezzi del trattamento da parte del
titolare e, conseguentemente, caratterizza e sostanzia il principio di accountability.
Rilievo che può riassumersi nella configurazione di un modello dinamico di protezione
dei dati. Come rilevato in dottrina, il legislatore europeo ha disegnato un
quadro normativo “volutamente aperto al futuro”, in ragione del quale i principi e le
regole poste devono adattarsi alle realtà operative e alle strutture organizzative
considerate, accompagnando i cambiamenti e l’evoluzione delle stesse, secondo una
logica rimessa alla valutazione concreta delle situazioni in essere (PIZZETTI, 2017, 55
ss.). Ne risulta che il titolare/datore di lavoro dovrà continuativamente riesaminare
ed aggiornare, ove necessario, le misure adottate “in un processo circolare e continuo
che rinnova continuamente la responsabilità del titolare e dei vertici aziendali”
(MARESCA-CIUCCIOVINO-ALVINO, 2017, 323), in una logica organizzativa e procedurale
della tutela della riservatezza.
4.1.2. Tutela della riservatezza e art. 2087 c.c. L’art. 2087 c.c. pone a
carico del datore di lavoro un obbligo di protezione generale che si sostanzia non solo
nella tutela dell’integrità fisica del lavoratore, ma anche in quella della personalità
morale, e quindi della dignità personale. In base a tale previsione, il datore di lavoro
deve adottare tutte le misure che, in ragione della specificità del lavoro e dell’organizzazione,
consentano di assicurare un’adeguata tutela del lavoratore, inteso quale
persona umana coinvolta nell’esecuzione della prestazione di lavoro. Deve ritenersi,
pertanto, che la norma civilistica contempla al suo interno anche un obbligo di
garanzia della riservatezza del lavoratore, incidendo tale riservatezza sull’integrità
della personalità morale del lavoratore (MARESCA-CIUCCIOVINO-ALVINO, 2017, 325). Ne
risulta che, sotto il profilo del lecito trattamento dei dati personali dei lavoratori, può
ritenersi che l’art. 2087 costituisce la norma di carattere generale e la normativa
privacy, una lex specialis che sostanzialmente declina la portata della norma generale
rispetto alla tutela della riservatezza. Le due previsioni possono pertanto trovare
concorrente applicazione e dare luogo ad una doppia responsabilità, a maggior
ragione nell’ipotesi in cui la figura del titolare non coincide con quella del datore di
lavoro. È interessante evidenziare, infine, le analogie che caratterizzano il principio
di responsabilizzazione con il sistema delineato dall’art. 2087. In entrambi i casi ci
troviamo di fronte a scenari indefiniti, in cui i comportamenti da adottare sono
strettamente connessi alle fattispecie concrete esaminate e mutevoli nel tempo. Analogamente,
entrambe le normative si basano su una valutazione preventiva delle
situazioni, sull’adozione di modelli organizzativi e gestionali dinamici e in evoluzione,
su un approccio finalizzato alla prevenzione, piuttosto che al risarcimento.
4.2. Il Responsabile della protezione dei dati. Il Responsabile per la protezione
dei dati personali (RPD), denominato anche data protection officer (DPO),
VII.10.I.4.1.2. SVOLGIMENTO DEL RAPPORTO: DIRITTI E DOVERI
rappresenta una novità nell’ambito della normativa in materia di protezione dei dati
personali. Si tratta di una figura prevista dall’art. 37 del Regolamento, designata dal
titolare o dal responsabile per assolvere funzioni di supporto e di controllo, consultive,
formative ed informative relativamente all’applicazione della disciplina del Regolamento.
La nomina, in ogni caso, non comporta una delega delle responsabilità
in ordine all’osservanza della normativa in materia di protezione dei dati, rimanendo
il titolare (o il responsabile) pienamente responsabile, sotto tutti i profili, del rispetto
della legge. La norma individua i soggetti che, in ragione delle attività svolte, sono
tenuti obbligatoriamente alla nomina del RPD, ma, considerata la centralità di tale
figura nel contesto privacy, la nomina “è comunque raccomandata”, come si evince
dalle Linee guida sui responsabili della protezione dei dati (WP243, adottate dal
Gruppo di lavoro articolo 29 il 13 dicembre 2016 ed emendate il 5 aprile 2017),
nonché dalle FAQ sul Responsabile della protezione dei dati in ambito privato e
pubblico predisposte dal Garante (www.garanteprivacy.it, Doc-Web 9665886). Preliminarmente,
va evidenziato che la figura del RPD coincide con una persona fisica.
Qualora il RPD sia individuato in un soggetto esterno, questo potrà anche essere una
persona giuridica, ma dovrà in ogni caso essere indicata la persona fisica che funge da
punto di contatto con gli interessati e con l’Autorità garante. Per quanto riguarda la
sua individuazione, il Regolamento prevede che può trattarsi di un dipendente del
titolare (o del responsabile), oppure di un soggetto esterno che svolge il proprio ruolo
in base ad un contratto di servizi. In argomento, le cit. FAQ del Garante hanno
chiarito che il ruolo di Responsabile per la protezione dei dati può essere affidato ad
un dipendente del titolare (non in conflitto di interessi),che conosca la realtà operativa
in cui avvengono i trattamenti, o a un soggetto esterno, a condizione che si
tratti di soggetti in grado di garantire l’effettivo assolvimento dei compiti che il
Regolamento assegna a tale figura. Il RPD scelto all’interno andrà nominato mediante
specifico atto di designazione (ad es. lettera d’incarico), mentre quello scelto
all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà
operare in base a un contratto. Tali atti, da redigere in forma scritta, dovranno
contenere la designazione del RPD e indicare espressamente i compiti ad esso attribuiti,
le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione
in rapporto al contesto di riferimento. Nell’esecuzione dei propri compiti, il
RPD (interno o esterno) deve ricevere supporto adeguato in termini di risorse
finanziarie, infrastrutturali e, ove opportuno, di personale, deve svolgere le proprie
funzioni in autonomia e indipendenza e in collaborazione diretta con i vertici aziendali.
Ne risulta che nella designazione, ciò che rileva non è tipologia di rapporto
giuridico che lega il RPD al titolare, ma la posizione concreta dello stesso nell’ambito
della struttura aziendale, posizione che si caratterizza per l’assenza di una subordinazione
gerarchica con specifico riferimento alla tutela dei dati personali e, quindi,
nell’assenza di un assoggettamento al potere altrui nell’espletamento dei propri
compiti. Al RPD, infatti, deve essere garantita un’assoluta indipendenza nei confronti
del titolare, così come testualmente previsto dall’art. 38 del Regolamento e dal
considerando 97. In proposito, le FAQ del Garante hanno chiarito che qualora il RPD
sia individuato in un soggetto interno all’organizzazione, appare incompatibile l’assegnazione
di tale ruolo a soggetti con incarichi di alta direzione o aventi specifiche
TUTELA DEL LAVORATORE E LIMITI AL POTERE DI CONTROLLO VII.10.I.4.2.
funzioni (es. amministratore delegato; membro del consiglio di amministrazione;
direttore generale; responsabile IT, responsabile audit e/o gestione del rischio, responsabile
del servizio prevenzione e protezione ecc.), ovvero nell’ambito di strutture
aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (es.
direzione risorse umane, direzione marketing, direzione finanziaria, ecc.). Pertanto,
potrebbe essere valutata — proseguono le FAQ — l’assegnazione di tale incarico ai
responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale),
previa verifica, in base al contesto di riferimento, dell’assenza di un conflitto di
interessi. In particolare, le FAQ più volte citate stabiliscono che, nel caso in cui si opti
per un RPD interno, sarebbe in linea di massima preferibile che, ove la struttura
organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione
sia conferita a un dirigente ovvero a un funzionario di alta professionalità,
che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in
collaborazione diretta con il vertice dell’organizzazione Qualora poi, il RPD sia una
figura esterna all’organizzazione, non appare compatibile con i requisiti di indipendenza
previsti dall’art. 38 del Regolamento, l’assegnazione di tale incarico a soggetti
che, nel rendere servizi nell’interesse del titolare, potrebbero trovarsi in una posizione
di conflitto di interessi (es. fornitore di servizi IT, software-house, ecc.)rispetto
all’autorità pubblica o alla funzione pubblica. Sempre con riferimento alla tematica
della designazione, si ricorda, per completezza, che il Regolamento prende in considerazione
anche la fattispecie del gruppo imprenditoriale, stabilendo, in questo caso
che può essere nominato un unico RPD “a condizione che sia facilmente raggiungibile
da ciascun stabilimento” (art. 38, § 2, Regolamento). In proposito, si evidenzia
che ai sensi delle citate Linee guida sui responsabili del trattamento dei dati (§ 2.3) “Il
concetto di raggiungibilità si riferisce ai compiti del DPO in quanto punto di contatto
per gli interessati, l’autorità di controllo e i soggetti interni all’organismo o all’ente”.
Potrebbe, pertanto, configurarsi come buona prassi nei gruppi di impresa — si legge
nelle FAQ — quella di prevedere che il RPD di gruppo sia assistito da specifici
referenti locali individuati presso ciascuna entità, in grado di fornire adeguato supporto
allo stesso e di fungere da punto di contatto nei confronti dei soggetti interessati
e dell’Autorità di controllo competente. Viceversa, ove non si opti per un unico
RPD ma, all’interno del gruppo imprenditoriale, vengano nominati singoli RPD per
ciascuna entità, al fine di assicurare un efficace coordinamento dei compiti loro
assegnati, potrebbe essere valutata l’opportunità di costituire un network dei medesimi,
individuando, se del caso, anche una figura di riferimento (ad es. il RPD della
società capogruppo) con funzioni volte a garantire un adeguato raccordo tra gli stessi.
Venendo all’esame dei requisiti soggettivi, è previsto che il RPD sia designato in
funzione delle qualità professionali e, in particolare della conoscenza specialistica
della normativa e delle prassi in materia di protezione dei dati (art. 38, § 5). Sul
punto, il Garante ha chiarito che non sono richieste specifiche attestazioni formali o
l’iscrizione in appositi albi, essendo necessaria un’approfondita conoscenza della
normativa e delle prassi, nonché delle procedure amministrative che caratterizzano
lo specifico settore. Considerati i compiti attribuiti al RPD, quali, tra gli altri, il
supporto del titolare nell’adozione di misure organizzative e di sicurezza adeguate al
contesto in cui viene ad operare, deve ritenersi che le competenze vanno valutate in
VII.10.I.4.2. SVOLGIMENTO DEL RAPPORTO: DIRITTI E DOVERI
chiave “sostanziale” e continuativa, dovendo nel tempo rimanere costanti gli standard
di professionalità richiesti. Va altresì evidenziato che il RPD non deve ricevere
nessuna istruzione per quanto riguarda l’esecuzione dei propri compiti e che non
può essere rimosso o penalizzato dal titolare per ragioni connesse al suo incarico.
Tuttavia, occorre anche considerare che non è pensabile ipotizzare che al titolare non
sia lasciata la possibilità di verificare la correttezza dell’operato del Responsabile o il
permanere della sua idoneità allo svolgimento del ruolo, rimanendo di sua pertinenza
la possibilità (potere) di revocare l’incarico. Analogamente, rimane impregiudicata
la possibilità di modificare e/o estinguere il rapporto di lavoro con il RPD, nel
rispetto della normativa giuslavorista e per questioni diverse e del tutto indipendenti
dal suo ruolo. Per quanto riguarda i compiti, va considerato in primis il rapporto tra
il RPD e i dipendenti dell’impresa, che richiede e giustifica una presenza attiva dello
stesso, anche se non necessariamente fisica. Spetta, infatti, al Responsabile informare
e fornire consulenza ai dipendenti che eseguono il trattamento in merito agli obblighi
derivanti dalla normativa europea e nazionale, sorvegliare le politiche e le misure
adottate dal titolare, sensibilizzare e formare il personale che partecipa ai trattamenti,
nonché rispondere agli interessati sulle questioni relative al trattamento dei loro dati
personali e all’esercizio dei loro diritti. Il titolare (o il responsabile) è tenuto a
pubblicare i dati di contatto del RPD e a darne specifica comunicazione all’Autorità
Garante: non è necessario pubblicare il nominativo , purché i relativi dati di contatto
consentano che lo stesso sia direttamente ed agevolmente raggiungibile, ad es. per il
tramite un indirizzo email dedicato. Viceversa il nominativo e gli altri dati personali
e di contatto del RPD dovranno essere comunicati all’Autorità garante e ciò in
ragione dei compiti specifici attribuiti allo stesso, quali, tra gli altri, cooperare con
l’Autorità di controllo (art. 39, § 1, lett. d, Regolamento) o fungere da punto di
contatto per l’autorità di controllo per questioni connesse al trattamento dei dati, tra
cui la consultazione per qualsiasi questione ritenuta rilevante o la consultazione
preventiva, qualora la valutazione d’impatto effettuata indichi che il trattamento
presenterebbe un rischio elevato in assenza di misure adottate dal titolare per attenuare
il rischio (art. 39, § 1, lett. e, Regolamento).
4.3. Gli autorizzati al trattamento. Nel Regolamento non si rinviene più
la nozione di incaricati del trattamento (definiti dal d.lgs. n. 196 del 2003, nel testo
antecedente alle modifiche apportate dal d.lgs. 101 del 208, come “le persone fisiche
autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile”),
prevedendosi la figura degli autorizzati al trattamento, figura che tuttavia coincide
sostanzialmente con quella degli incaricati. Da ciò la possibilità di mutuare, nel nuovo
contesto normativo, talune indicazioni anche operative fornite con riferimento alla
precedente definizione. L’art. 29 del Regolamento stabilisce che chiunque agisca
sotto l’autorità del titolare o del responsabile, che abbia accesso ai dati personali, non
può trattare tali dati se non è istruito in tal senso dal titolare. Questa disposizione è
stata declinata nella normativa italiana: l’art. 2-quaterdecies del d.lgs. n. 196 del 2003,
rubricato “Attribuzione di funzioni e compiti a soggetti designati” stabilisce che il
titolare o il responsabile possono prevedere, sotto la propria responsabilità e nell’ambito
del proprio assetto organizzativo, che specifici compiti e funzioni siano attribuiti
a personale fisiche, espressamente designate, che operino sotto la loro autorità. Il
TUTELA DEL LAVORATORE E LIMITI AL POTERE DI CONTROLLO VII.10.I.4.3.
titolare o il responsabile individuano le modalità più opportune per autorizzare al
trattamento dei dati personali le persone che operano sotto la propria autorità”. La
previsione riveste particolare rilevanza e merita specifica attenzione, giacché è indubitabile
che la figura dell’autorizzato coincide con quella dei dipendenti e di tutti
coloro che, a vario titolo, sono chiamati a trattare dati personali. È pertanto necessario
soffermare l’attenzione su alcuni concetti chiave che consentono di delineare le
caratteristiche di una corretta designazione. In primo luogo, vanno considerate le
modalità che, sebbene lasciate alla discrezionalità del titolare, devono ragionevolmente
garantire di assolvere l’onere probatorio della designazioneche, secondo il
dettato della legge, deve essere espressa. Secondo prassi consolidata, l’autorizzazione
al trattamento avviene tramite un atto formale, sottoscritto dal titolare o dal responsabile,
che può essere trasmesso in formato cartaceo o elettronico. L’atto in questione
si configura come un atto unilaterale del titolare e non richiede alcuna accettazione
da parte del soggetto nominato, in quale attraverso la nomina prende solo contezza
dei trattamenti e, conseguentemente delle tipologie di dati che può trattare. La
nomina, infatti, come legislativamente previsto, deve riguardare specifici compiti e
funzioni: non è possibile, quindi, effettuare una nomina onnicomprensiva, relativa a
tutte le attività svolte in azienda o riferita alla generalità dei trattamenti. L’autorizzazione,
per essere conforme alla legge, deve riguardare trattamenti determinati,
verosimilmente connessi e strumentali alle attività/mansioni/funzioni svolte dalla
persona. In altre parole, occorre creare un link tra autorizzazione e attività svolte, e
ciò con riferimento a tutti i compiti svolti dall’incaricato, in qualsiasi forma, sia
cartacea che informatica: ne deriva che anche gli accessi alla rete informatica dovranno
essere circoscritti all’autorizzazione fornita. Ciò non comporta che necessariamente
nella designazione si faccia riferimento alle mansioni/compiti/funzioni
svolte dalla persona incaricata, comportando una simile impostazione la necessità di
procedere a nuove autorizzazioni ogni qual volta si verifichi un mutamento di mansioni,
un trasferimento, un distacco o qualunque altra vicenda che comporti un
mutamento organizzativo. Al fine di evitare un tale aggravio organizzativo, si potrà
allora procedere ad autorizzazioni relative alle mansioni/funzioni/compiti indicati
nell’organigramma aziendale che consente, in tempo reale di verificare lo status
occupazionale/organizzativo dell’azienda. Nella descrizione dell’autorizzazione al
trattamento non può poi non essere considerato un ulteriore elemento esplicitamente
evidenziato dal Regolamento: le istruzioni che devono essere fornite all’autorizzato.
In altre parole, il titolare deve fornire all’autorizzato le indicazioni operative
e di sicurezza da seguire nel trattamento. Tali istruzioni, predisposte dal titolare,
solitamente si sostanziano in circolari/regolamenti/prescrizioni e hanno generalmente
valenza di ordini di servizio, il cui inadempimento, da parte dell’autorizzato,
determina l’applicazione di sanzioni disciplinari. Va, infine, sottolineato che, proprio
in ragione della centralità del ruolo degli autorizzati nel trattamento dei dati personali,
gli stessi devono essere adeguatamente formati, così come già evidenziato dal
Garante, ante Regolamento, con riferimento alla figura degli incaricati (V. Linee
guida 2006, cit.).
VII.10.I.4.3. SVOLGIMENTO DEL RAPPORTO: DIRITTI E DOVERI
5. L’informativa.
5.1. Premessa. Ai sensi degli artt. 13 e 14 del Regolamento — che disciplinano
l’informativa da fornire, rispettivamente, nel caso in cui i dati siano raccolti
presso l’interessato, o nel caso in cui i dati non siano stati ottenuti presso l’interessato
— il titolare è tenuto a fornire all’interessato una serie di informazioni normativamente
specificate. In particolare, devono essere indicate: l’identità e i dati di contatto
del titolare; i dati di contatto del responsabile per la protezione dei dati, ove nominato;
le finalità del trattamento cui sono destinati i dati; le basi giuridiche; le categorie
dei dati trattati; i destinatari o le eventuali categorie di destinatari dei dati; l’eventuale
intenzione di trasferire i dati personali a un destinatario situato in un Paese terzo; il
periodo di conservazione dei dati oppure, se non è possibile, i criteri utilizzati per
determinare tale periodo; l’eventuale interesse legittimo del titolare; i diritti degli
interessati; il diritto di proporre reclamo all’Autorità garante; l’obbligo, o meno, di
comunicare i dati, nonché le possibili conseguenze della mancata comunicazione.
L’elencazione tassativa dei contenuti dell’informativa, concretizza ed esprime il principio
di trasparenza che, oltre a permeare tutta la nuova normativa, si traduce
sostanzialmente nell’obbligo del titolare di fornire agli interessati/lavoratori un’informativa
chiara, completa, facilmente accessibile e comprensibile sui dati personali
oggetto del trattamento. Occorre evidenziare che con riferimento ai rapporti di
lavoro, l’informativa riveste una particolare rilevanza, tanto che nell’art. 111 d.lgs.
196 del 2003, come modificato dal d.lgs. 101 del 2018, relativo all’adozione di regole
deontologiche, è previsto che tali regole prevederanno “anche specifiche modalità
per le informazioni da rendere all’interessato”. Del resto, l’Autorità garante ha
specificato che, nell’ambito dei rapporti di lavoro, l’obbligo di informare i dipendenti,
oltre ad esprimere il principio di trasparenza, richiamato nell’art. 88 del Regolamento,
è altresì espressione del principio generale di correttezza dei trattamenti,
contenuto nell’art. 5, § 1, lett. a del Regolamento stesso (Provvedimento Garante, n.
136 del 15 aprile 2021). In particolare, con riferimento al caso oggetto del Provvedimento
n. 136 del 2021 citato, è stata rilevata la violazione del principio di correttezza,
trasparenza e liceità del trattamento, in quanto risultava che non erano state
fornite ai lavoratori informazioni sui tempi di conservazione, non avendo la società
informato i lavoratori che i dati raccolti e archiviati in forma aggregata attraverso
l’utilizzo di ulteriori informazioni presenti nel sistema erano comunque riconducibili
al dipendente per un periodo significativo (due anni) di tempo; non erano state
indicate nello specifico le finalità del trattamento; i dati erano stati utilizzati per
adottare una sanzione disciplinare, in contrasto con quanto esplicitamente riportato
nell’informativa, in cui si escludeva un trattamento dei dati ai fini disciplinari.
5.2. Conferimento dei dati e finalità. Nell’ambito del rapporto di lavoro,
l’informativa presenta talune peculiarità che, evidentemente, derivano dalla specialità
della relazione che lega datore di lavoro e lavoratore e dalla normativa di riferimento.
Ne risulta che l’informativa data ai lavoratori si inserisce in un contesto
normativo complesso, che già definisce diritti e doveri reciproci. I dati personali dei
lavoratori devono, dunque, in primis, essere trattati nel rispetto delle previsioni di
legge e di contratto collettivo, per finalità specifiche che, nel nostro caso, saranno
strettamente connesse e strumentali alla gestione del rapporto di lavoro, ivi comprese
TUTELA DEL LAVORATORE E LIMITI AL POTERE DI CONTROLLO VII.10.I.5.2.
le finalità previdenziali e assistenziali e di sicurezza del lavoro. In altre parole, il
trattamento deve essere circoscritto a quelle determinate finalità e, in ragione di ciò,
i dati devono essere obbligatoriamente forniti dal lavoratore, il quale pertanto non è
libero di esprimere un consenso al trattamento dei suoi dati (v. infra). La natura
obbligatoria del conferimento è chiara: in assenza dei dati del lavoratore, il datore di
lavoro non potrà assolvere ai compiti e agli obblighi derivanti dalla disciplina in
materia. Ne consegue che qualora i dati richiesti non vengano forniti, il datore di
lavoro non potrà dare esecuzione al contratto di lavoro.
5.3. Le basi giuridiche. Come accennato, nell’ambito dell’informativa
devono essere indicate le condizioni che rendono legittimo il trattamento dei dati dei
lavoratori. L’art. 6 del Regolamento stabilisce, infatti, che il trattamento dei dati
personali (c.d. comuni) è lecito solo e nella misura in cui sussista almeno una delle basi
giuridiche individuate dal legislatore, quali, tra le altre, il consenso dell’interessato,
l’esecuzione di obblighi contrattuali o precontrattuali, l’adempimento di un obbligo
legale, l’esecuzione di un compito di pubblico interesse, il perseguimento del legittimo
interesse del titolare. È importante sottolineare che questa previsione, di carattere
generale, assume una connotazione particolare nella sua declinazione nella
realtà lavorativa, in cui la specificità del rapporto contrattuale che lega datore di
lavoro e lavoratori, rende necessaria una valutazione più attenta e circoscritta delle
predette condizioni. Come rilevato dal Gruppo ex art. 29 nel cit. Parere 2/2017,
l’adozione delle basi giuridiche richiede, infatti, in questo caso, una valutazione in
merito all’equilibrio tra l’interesse del datore di lavoro a proteggere la propria attività
e la ragionevole aspettativa del lavoratore alla tutela della propria riservatezza. Ne
consegue la necessità di verificare se, e in quale modo, quelle condizioni elencate
nell’art. 6 trovino cittadinanza nella gestione del rapporto di lavoro.
5.3.1. Il consenso. Il consenso consiste in una manifestazione di volontà
libera, specifica e informata, con la quale l’interessato accetta che i propri dati
personali siano oggetto di un determinato trattamento. Affinché il consenso sia
valido, esso deve essere revocabile “con la stessa facilità con cui è accordato” (art. 7
Regolamento). L’applicazione di tali principi in ambito lavorativo, e dunque la configurazione
del consenso come valida base giuridica al trattamento, aveva destato
perplessità già con riferimento al quadro normativo ante Regolamento, tant’è che si
era prefigurata, nel contesto lavorativo, un’ipotesi di “consenso necessitato”. I Garanti
europei affrontando tale questione hanno ritenuto che “i dipendenti si trovano
raramente nella posizione di concedere, rifiutare o revocare liberamente il consenso
al trattamento dei dati, vista la dipendenza derivante dal rapporto datore di lavoro/
dipendente” (Parere 8/2001 sul trattamento dei dati personali nell’ambito dei rapporti
di lavoro, WP48 del 13 settembre 2001; v. successivamente, nello stesso senso,
Parere 2/2017, cit.). Ne consegue che per le attività di trattamento svolte sul posto di
lavoro, la base giuridica non può essere rappresentata dal consenso dei dipendenti.
L’eventuale diniego alla prestazione del consenso da parte del dipendente, infatti,
determinerebbe evidenti conseguenze pregiudizievoli sul rapporto di lavoro, oltre
alla impossibilità per il datore di assolvere agli obblighi, normativi e contrattuali,
connessi con lo svolgimento della prestazione lavorativa: il che evidenzia che il
consenso prestato non sarebbe certamente espressione di una volontà libera. Da ciò
la necessità di rinvenire in altre condizioni, il presupposto di liceità del trattamento.
VII.10.I.5.3. SVOLGIMENTO DEL RAPPORTO: DIRITTI E DOVERI
5.3.2. Il legittimo interesse. Il Gruppo ex art. 29, nel cit. Parere 2/2017,
ha ritenuto che il datore di lavoro, dovendosi servire di un presupposto giuridico
diverso dal consenso, può basare il trattamento dei dati dei lavoratori sul legittimo
interesse. In base al Regolamento, i legittimi interessi del titolare possono costituire
una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i
diritti e le libertà fondamentali dell’interessato (art. 6, § 1, lett. f), tenuto conto delle
ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare
del trattamento. Ad esempio, potrebbero sussistere legittimi interessi quando esiste
una relazione pertinente ed appropriata tra l’interessato e il titolare, come quando
l’interessato è alle dipendenze del titolare (Considerando 47). Il legittimo interesse
può dunque costituire una valida base giuridica, purché la finalità del trattamento sia
legittima, il trattamento sia necessario, proporzionato e attuato nella misura meno
invasiva possibile, e il datore di lavoro sia in grado di dimostrare che sono state
adottate misure appropriate per garantire un equilibrio rispetto ai diritti e alle libertà
fondamentali dei dipendenti (Gruppo di lavoro Articolo 29, Parere 6/2014 sul concetto
di interesse legittimo del titolare del trattamento ai sensi dell’art. 7 della direttiva
94/45/CE, WP 217, adottato il 9 aprile 2014). In altre parole, è sempre necessario
che venga garantito un adeguato equilibrio tra l’interesse legittimo del datore di
lavoro relativo alla tutela del suo patrimonio aziendale (si pensi, ad esempio, ai
sistemi di sicurezza) e i diritti dei lavoratori. Affinché, dunque possa configurarsi il
legittimo interesse del datore di lavoro relativo alla tutela dei suoi diritti di proprietà,
attraverso, ad esempio l’adozione di misure che consentano il monitoraggio dell’attività
svolta del lavoratore, sarà necessario prevedere delle restrizioni che potrebbero
essere: geografiche (monitoraggio limitato ad aree specifiche); orientate ai dati (non
risultando possibile un monitoraggio delle comunicazioni e dei file elettronici personali);
definite in termini temporali (Parere 2/2017, cit.). Sul punto, era del resto già
intervenuto il Garante, nel sistema ante Regolamento, specificando, ad esempio, che
è configurabile un legittimo interesse del datore di lavoro nei casi in cui, per soddisfare
esigenze organizzative e produttive, vengono affissi in bacheca ordini di servizio,
turni lavorativi e feriali, oltre che disposizioni riguardanti l’organizzazione del
lavoro e l’individuazione delle mansioni (cfr. i provvedimenti del Garante dell’11
settembre 2014 e del 9 ottobre 2014). Va altresì evidenziato che l’interesse legittimo
ricorre anche nell’ipotesi in cui i titolari del trattamento, facenti parte di un gruppo
imprenditoriale o di enti collegati ad un organismo centrale, abbiamo un interesse a
trasmettere dati personali all’interno del gruppo imprenditoriale a fini amministrativi
interni, compreso il trattamento dei dati personali dei dipendenti, fatti salvi,
naturalmente, i principi generali per il trasferimento di dati personali, all’interno di
un gruppo imprenditoriale, verso un’impresa situata in un Paese terzo (considerando
48).
5.3.3. Le altre basi giuridiche. Il trattamento dei dati personali dei
lavoratori trova il suo fondamento giuridico anche in altre condizioni individuate dal
Regolamento. Risulta evidente, in primis, la ricorrenza della base giuridica rappresentata
dal trattamento necessario per l’esecuzione del contratto di cui l’interessato
è parte o per l’esecuzione di misure precontrattuali adottate su richieste di quest’ultimo
(art. 6, § 1, lett. b, Regolamento). È pacifico che tale previsione deve essere letta
TUTELA DEL LAVORATORE E LIMITI AL POTERE DI CONTROLLO VII.10.I.5.3.3.
in combinato disposto con quanto specificatamente previsto in ambito giuslavoristico.
Ne risulta che i dati trattati non dovranno essere, in alcun caso, relativi a fatti non
rilevanti ai fini della valutazione dell’attitudine professionale del lavoro, e ciò sia nella
fase di assunzione, che nel corso dello svolgimento del rapporto di lavoro (v. in
proposito art. 113 Codice privacy che fa salvo quanto previsto dall’art. 8 l. n. 300 del
1970, infra). Analogamente, non potranno essere trattati dati relativi alle opinioni
politiche, religiose o sindacali dei lavoratori, se non in determinati e specifici casi (v.
infra). Le ulteriori basi giuridiche che legittimano il trattamento possono essere
individuate nell’adempimento di un obbligo legale al quale è soggetto il titolare del
trattamento (art. 6, § 1, lett. c, Regolamento), o nell’esecuzione di un compito di
interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare
(art. 6, § 1, lett. f, Regolamento).
5.4. Diritti degli interessati.
5.4.1. Principi generali. Tra le informazioni che il titolare deve fornire
nell’ambito dell’informativa, figurano i diritti degli interessati. Il titolare non solo
deve adottare tutte le misure appropriate per dare riscontro alle richieste avanzate
dall’interessato, ma deve anche agevolare l’esercizio dei diritti, fornendo indicazioni
utili ed esaustive (art. 12 Regolamento). Le informazioni devono essere fornite in
forma concisa, trasparente, intellegibile e facilmente accessibile, utilizzando un
linguaggio semplice e chiaro. La risposta, che deve essere fornita in forma scritta,
anche attraverso l’utilizzo di strumenti elettronici che ne consentano l’accessibilità,
deve essere messa a disposizione dell’interessato senza ingiustificato ritardo e, comunque,
entro un mese dalla ricezione della richiesta. Tenuto conto della complessità
e del numero delle richieste, il termine può essere prorogato di due mesi, ma il
titolare deve informare l’interessato della proroga e dei motivi della stessa, entro un
mese dalla richiesta. Per quanto riguarda i costi, le richieste avanzate per l’esercizio
dei diritti sono gratuite, salva diversa determinazione, rimessa alla discrezionalità del
titolare, laddove le richieste dell’interessato risultino manifestamente infondate o
eccessive. Di seguito si esaminano i soli diritti che presentano peculiarità nella loro
declinazione nell’ambito del diritto del lavoro: il diritto di accesso; il diritto di rettifica;
il diritto all’oblio; il diritto alla portabilità dei dati; il diritto a non essere sottoposto
ad un processo decisionale automatizzato.
5.4.2. Diritto di accesso. L’interessato ha il diritto di ottenere dal titolare
la conferma che sia, o meno, in corso un trattamento di dati personali che lo
riguardano, richiedendo di conoscere, tra l’altro, la finalità del trattamento, le categorie
di dati trattati, i destinatari o le categorie dei destinatari ai quali sono comunicati,
il periodo di conservazione o i criteri per determinare tale periodo (art. 15
Regolamento). Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia
dei dati richiesti, senza pregiudizio per i diritti dei terzi; i titolari, qualora lo ritengano,
possono anche consentire agli interessati di consultare direttamente o da
remoto i dati personali trattati. L’Autorità Garante ha avuto modo di precisare che: a)
il riscontro del titolare del trattamento alla richiesta di accesso dell’interessato non
può essere omesso in ragione della provenienza dei dati dall’interessato medesimo
(cfr. decisione, 12 giugno 2002), o qualora i dati siano già stati comunicati all’interessato
o siano comunque dallo stesso detenuti; b) la richiesta di accesso ai dati non
VII.10.I.5.4. SVOLGIMENTO DEL RAPPORTO: DIRITTI E DOVERI
comporta per il titolare l’obbligo di elaborare e trasmettere i dati personali secondo i
criteri fissati o le modalità di aggregazione richieste dal richiedente (Linee guida del
novembre 2006; c) l’esercizio del diritto di accesso non comprende la richiesta di
conoscere unicamente mere notizie di carattere contrattuale o professionale (ad
esempio, gli accordi collettivi nazionali o aziendali) (v. le citate Linee guida). È stato
inoltre precisato, in una fattispecie che vedeva coinvolto un lavoratore bancario
sottoposto ad un’indagine interna effettuata dall’Organismo di vigilanza, che il titolare
deve dare riscontro all’interessato anche qualora non intenda dar corso alla
richiesta, indicandone i motivi e informando l’interessato della facoltà di proporre
reclamo al garante o ricorso giurisdizionale, ribadendo che il diritto di accesso non
può essere limitato alla conoscenza di dati nuovi ed ulteriori rispetto a quelli già
conosciuti, dovendo consentire all’interessato una verifica effettiva del trattamento
che viene effettuato su tutti i dati a sé riferiti (Provv. 23 aprile 2020, n. 76). Con
riferimento al rapporto di lavoro, va evidenziato che l’esercizio di questo diritto ha
suscitato dubbi interpretativi con riferimento ai dati relativi alle valutazioni professionali,
ritenendosi, nella fase iniziale di applicazione della disciplina di tutela dei dati
personali, che i dati contenuti nelle schede personali concernenti giudizi, valutazioni
e descrizioni delle prestazioni e delle attitudini lavorative, non configurassero un
“dato personale”. Secondo un’interpretazione giudiziale, elemento fondamentale
della locuzione “dato personale” è l’oggettività della circostanza indicativa della
persona o della qualità della stessa, con la conseguenza che « una valutazione, dato il
suo carattere di soggettività, non rientra normalmente nel concetto di dato personale
». Il dato personale si identifica con la valutazione finale del dipendente, ma non
con le operazioni effettuate al fine di giungere alla valutazione complessiva finale,
anche se contengano valutazioni, e ciò non solo per il carattere soggettivo dell’elemento
identificativo del soggetto, ma anche e soprattutto perché le stesse non identificano
ancora la persona, essendo solo parte dell’iter di formazione del giudizio che
può essere modificato con la valutazione definitiva (T Fermo 26 ottobre 1999, NGL
1999, 626; T Fermo ord. 11 ottobre 2000, NGL 2000, 587). In senso completamente
opposto si è pronunciato il Garante che, in varie occasioni, ha chiarito come l’espressione
qualunque informazione vuole evidentemente attribuire alla definizione di
dato personale la massima ampiezza, comprendendo anche ogni notizia, informazione
o elemento che abbia un’efficacia informativa tale da fornire un contributo
aggiuntivo di conoscenza rispetto a un soggetto identificato o identificabile. E ciò in
riferimento sia a informazioni oggettivamente caratterizzate (suscettibili di una verifica
e di un sindacato obiettivo), sia a descrizioni, giudizi, analisi o ricostruzioni di
profili personali (riguardanti attitudini, qualità, requisiti o comportamenti professionali)
che danno origine a stime e opinioni di natura soggettiva finalizzate anche a una
valutazione complessiva del soggetto interessato (Pareri Garante: 28 agosto 1998; 2
giugno 1999; 15 dicembre 2001; 5 dicembre 2001; 10 ottobre 2001). Nello stesso
senso si è espresso il Gruppo europeo per la protezione delle persone, specificando
che i dati personali possono « essere trovati nel quadro di valutazioni e giudizi
soggettivi, che possono includere elementi specifici che caratterizzano l’identità fisica,
fisiologica, mentale, economica, culturale o sociale della persona interessata. Quanto
detto vale anche se un giudizio o una valutazione sono formulati sotto forma di un
TUTELA DEL LAVORATORE E LIMITI AL POTERE DI CONTROLLO VII.10.I.5.4.2.
punteggio, di una scala di valori o di altri parametri di valutazione » (Raccomandazione
“concernente i dati relativi alla valutazione del personale” del 22 marzo 2001).
Successivamente, il Garante (Linee guida del novembre 2006) ha precisato che la
richiesta di accesso che non faccia riferimento ad un particolare trattamento o a
specifici dati o a categorie di dati, deve ritenersi riferita a tutti i dati personali trattati
e può riguardare anche informazioni di tipo valutativo. La dottrina (CATAUDELLA,
2000, 139) intervenuta su tale tematica, aderendo all’interpretazione fornita dal
Garante, ha evidenziato la necessità di contemperare il diritto di accesso del soggetto
valutato con il diritto alla riservatezza del valutatore, contemperamento rimesso alla
valutazione del titolare.
5.4.3. Diritto di rettifica. L’interessato ha il diritto di ottenere dal titolare
la rettifica dei dati personali che lo riguardano senza ingiustificato ritardo e il
diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una
dichiarazione integrativa (art. 16 Regolamento). Al riguardo, il Garante ha affermato
che il datore di lavoro è tenuto, a fronte di una specifica richiesta in tal senso, ad
aggiornare i propri archivi con le qualifiche professionali e i titoli di studio acquisiti
dai lavoratori e che tale operazione deve essere tempestiva ed effettuata in ogni altro
pertinente data-base dell’azienda (cfr. Newsletter 6-12 gennaio 2003). Il diritto di
rettifica trova, tuttavia, un evidente limite nell’ambito del rapporto di lavoro, non
potendo il lavoratore, ove sussista controversia tra il datore/titolare e il lavoratore/
interessato in ordine alla corretta individuazione del suo inquadramento sulla base
delle mansioni svolte dal dipendente e della disciplina dettata dalla contrattazione
collettiva, formulare richieste di rettifica di informazioni (in particolare, le qualifiche)
che costituiscono espressione del livello d’inquadramento mansionistico e retributivo
del dipendente in azienda (Garante, decisione, 11 settembre 2001).
5.4.4. Diritto all’oblio. Il diritto all’oblio, in base al quale l’interessato ha
il diritto di ottenere la cancellazione dei dati che lo riguardano senza giustificato
ritardo, non deve essere confuso con il principio di limitazione della conservazione di
cui all’art. 5, § 1, lett. e, del Regolamento (c.d. data retention): il primo, infatti, trova
applicazione se e quando viene esercitato dall’interessato; il secondo, invece, rappresenta
un principio fondamentale a cui i titolari del trattamento devono sempre
attenersi, con la conseguenza che sempre e comunque i titolari devono conservare i
dati solo per il tempo strettamente necessario al conseguimento delle finalità per i
quali i dati sono raccolti (v. infra). Ciò posto, va rilevato che nel rapporto di lavoro, il
diritto all’oblio può assumere caratteristiche particolari, giacché potrebbe avere ad
oggetto i dati generati dal lavoratore attraverso l’impiego degli strumenti elettronici
utilizzati per rendere la prestazione, ad esempio le email inviate e/o ricevute. Con
riferimento a tale fattispecie, deve considerarsi che il diritto configurato dal Regolamento
non è assoluto, ma può essere esercitato solo al ricorrere di alcune specifiche
condizioni, quali, tra le altre: i dati personali non sono più necessari rispetto alle
finalità per le quali sono stati raccolti, non sussiste più un legittimo interesse al
trattamento, i dati personali sono trattati illecitamente. A ciò si aggiunga che il diritto
all’oblio, così come gli altri diritti disciplinati nel Regolamento, soggiace alle limitazioni
di cui all’art. 23 del Regolamento, le cui previsioni sono state declinate nell’art.
2-undecies del d.lgs. 196 del 2003, come modificato dal d.lgs. 101 del 2018. In
VII.10.I.5.4.3. SVOLGIMENTO DEL RAPPORTO: DIRITTI E DOVERI
particolare, è previsto, tra l’altro, che i diritti non possono essere esercitati nel caso di
svolgimento delle investigazioni difensive o in caso di esercizio di un diritto in sede
giudiziaria (comma 1, lett. e, v. infra). Ne risulta pertanto che il datore di lavoro,
ricorrendo tali presupposti, potrà legittimamente opporsi alla richiesta di cancellazione
di dati avanzati dal dipendente, al fine, ad esempio, di appurare lo svolgimento
di un’attività illecita o in concorrenza con quella dell’azienda.
5.4.5. Diritto alla portabilità dei dati. Si tratta di un diritto nuovo disciplinato
dall’art. 20 del Regolamento, in base al quale l’interessato, e quindi il lavoratore,
ha il diritto di ricevere, in un formato strutturato, di uso comune e leggibile da
dispositivo automatico, i dati personali che lo riguardano. Tali dati sono conservati su
un supporto personale o un cloud privato in vista di un utilizzo successivo, oppure
vengono trasmessi direttamente ad altro titolare indicato dall’interessato. Limitando
l’analisi del diritto al nostro campo di indagine e considerando i limiti all’esercizio
indicati dal Regolamento e dalle Linee guida sul diritto alla portabilità dei dati (5
aprile 2017, WP242, rev. 01), si può ritenere che il diritto in questione riguarda i soli
dati personali che possono essere utilizzati per scopi personali e che possono essere
oggetto di portabilità i soli dati che riguardano l’interessato e che sono stati forniti
dall’interessato. Risultano pertanto esclusi dal diritto i dati che riguardano gli interessi
del datore di lavoro e/o di terzi, quali, ad esempio, quelli relativi alla corrispondenza
scambiata per ragioni lavorative, nonché i dati generati nello svolgimento della
prestazione lavorativa attraverso l’utilizzo di strumenti aziendali.
5.4.6. Diritto a non essere sottoposto a un processo decisionale automatizzato.
Tra i diritti degli interessati, il Regolamento (art. 22) prevede anche
quello di non essere sottoposto a una decisione basata unicamente su un trattamento
automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano
o che incida in modo analogo significativamente sulla sua persona. Con riferimento
a questa previsione, si può rilevare che la profilazione e il processo decisionale
automatizzato possono risultare utili alle persone fisiche e alle aziende in termini di
miglioramento dell’efficienza e di risparmio delle risorse, ma possono anche risultare
lesive per i diritti e le libertà delle persone, potendo condurre a previsioni imprecise,
al diniego di servizi e/o beni o anche a discriminazioni. Al fine di garantire, quindi che
tali processi non producano un impatto ingiustificato sui diritti delle persone, il
Gruppo di lavoro articolo 29 ha elaborato delle “Linee guida sul processo decisionale
automatizzato relativo alle persone fisiche e sulla profilazione ai fini del
regolamento 2016/679” (adottate il 3 ottobre 2017 ed emendate in data 6 febbraio
2918). In questo documento viene innanzi tutto precisato che il termine “diritto”
contenuto nella disposizione, non significa che l’articolo in parola trova applicazione
soltanto se invocato attivamente dall’interessato, giacché esso stabilisce in realtà un
divieto generale di utilizzo del processo decisionale automatizzato, che si applica
indipendentemente dal fatto che l’interessato intraprenda un’azione in tal senso.
Viene inoltre evidenziato che il processo di profilazione non deve essere “invisibile”
all’interessato, dovendo il titolare fornire un’adeguata informativa, trovando modi
semplici per comunicare la logica o i criteri sui quali si basa l’adozione della decisione.
La complessità del trattamento — precisano le Linee guida — non può essere una
scusa per non fornire informazioni all’interessato, anche se non è richiesta una
TUTELA DEL LAVORATORE E LIMITI AL POTERE DI CONTROLLO VII.10.I.5.4.6.
spiegazione espressa degli algoritmi utilizzati o la divulgazione dell’algoritmo stesso.
Il legislatore prevede alcune eccezioni specifiche al divieto, stabilendo che lo stesso
non si applica quando la decisione è necessaria per la conclusione o l’esecuzione di un
contratto tra l’interessato e un titolare di trattamento; quando l’interessato ha manifestato
il suo consenso esplicito; quando sussista un’autorizzazione derivante da
norme che prevedano misure adeguate a tutela dei diritti, delle libertà e degli
interessi legittimi degli interessati. In ogni caso, rispetto alle prime due ipotesi
evidenziate, il Regolamento prevede che i titolari devono attuare misure appropriate
a tutela degli interessati, prevedendo almeno il diritto di ottenere l’intervento umano
da parte del titolare, nonché la possibilità di esprimere la propria opinione e di
contestare la decisione. Le Linee guida sottolineano, altresì, la necessità in ogni caso
di svolgere una valutazione d’impatto sulla protezione dei dati. Circa la configurazione
concreta del processo automatizzato e, nella specie, della profilazione, merita di
essere segnalata una recente decisione della Cassazione che, seppur non riferita alla
materia lavoristica, risulta di particolare rilevanza. I giudici di legittimità (sent. 32411
del 2021), infatti, nel confermare il provvedimento adottato dall’Autorità Garante nei
confronti di una società che aveva adottato una procedura automatizzata per promuovere
sconti, hanno deciso che “ai fini dell’integrazione della profilazione, non
occorre la memorizzazione sine die del dato, né la sua associazione duratura al singolo
cliente, in quanto l’attività di elaborazione attraverso algoritmo di dati personali
sostanzia di per sé un’attività di screening dei dati forniti ».
5.4.6.1. La profilazione attuata attraverso l’utilizzo di algoritmi: il caso
delle società di food delivery. Di particolare attualità risulta la tematica dell’utilizzo di
algoritmi nella gestione dell’attività lavorativa. In proposito si evidenzia che il Garante
(v. Provvedimenti nn. 234 del 10 giugno 2021 e 285 del 22 luglio 2021) ha
comminato una cospicua sanzione pecuniaria ad alcune società di food delivery, obbligandole
a modificare il trattamento dei propri rider effettuato tramite l’utilizzo di una
piattaforma digitale e a verificare che gli algoritmi di prenotazione ed assegnazione
degli ordini di cibo e prodotti non fossero discriminatori. Nello specifico, rispetto a
questi trattamenti sono state rilevate numerose violazioni riguardanti le disposizioni
della l. n. 300 del 1970, le previsioni in materia di tutela dei dati personali, nonché la
violazione delle norme dettate a tutela dei lavoratori della c.d. gig economy (l. n.
128/2019 di conversione del d.l. n. 101/2019 che ha inserito il capo V-bis rubricato
“Tutela del lavoro tramite piattaforme digitali” nel d.lgs. 81/2015, nonché il nuovo
periodo nell’art. 2, c. 1, d.lgs. 81/2015 che fa riferimento alle “modalità di esecuzione
della prestazione organizzate mediante piattaforme anche digitali”). In particolare, il
Garante ha, tra l’altro, rilevato che venivano effettuati trattamenti automatizzati,
compresa l’attività di profilazione, preordinati all’assegnazione di un punteggio al
rider, al dichiarato fine di determinare la priorità nella prenotazione degli slot (fasce
orarie determinate dalla società all’interno delle quali sono inviati gli ordini di
consegna), omettendo di fornire le “informazioni significative sulla logica utilizzata,
nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”.
Analogamente sono state riscontrate carenze per quanto riguardava le informazioni
relative alla geolocalizzazione, ai dati riguardanti le comunicazioni via chat, email e
telefono con il call center; i feedback da parte di esercenti e clienti sul loro operato. Tra
VII.10.I.5.4.6.1. SVOLGIMENTO DEL RAPPORTO: DIRITTI E DOVERI
le pratiche in violazione della normativa privacy più gravi riscontrate dal Garante
risalta l’implementazione di algoritmi decisionali non chiari e potenzialmente discriminatori
per la gestione dei rider. Dagli accertamenti ispettivi è risultato, infatti, che
la società non aveva adeguatamente informato i lavoratori sul funzionamento del
sistema e non assicurava garanzie sull’esattezza e la correttezza dei risultati dei sistemi
algoritmici utilizzati per la valutazione dei rider. Né, in contrasto con quanto esplicitamente
previsto dalla normativa comunitaria, erano garantite, e/o previste procedure
per tutelare il diritto di ottenere l’intervento umano, esprimere la propria
opinione e contestare le decisioni adottate mediante l’utilizzo degli algoritmi in
questione, compresa l’esclusione di una parte dei rider dalle occasioni di lavoro.
Dall’attività di accertamento è infatti emerso che la società effettuava, attraverso il
sistema complessivamente utilizzato per l’operatività della piattaforma, trattamenti
automatizzati, compresa la profilazione, nell’ambito del c.d. “sistema d’eccellenza” che
attribuiva a ciascun rider, attraverso l’operatività di specifici e predeterminati parametri,
un punteggio che consentiva di accedere prioritariamente al “sistema di selezione
delle fasce orarie (slots)” stabilite dalla società. Il “sistema di eccellenza” si basava su un
sistema che penalizzava i rider che non accettavano tempestivamente l’ordine o lo
rifiutavano, favorendo invece i rider che accettavano nei termini stabiliti o consegnavano
il maggior numero di ordini. Il funzionamento dell’algoritmo, inoltre amplificava
il rischio di errori di calcolo e di effetti distorsivi che potevano, ad esempio,
portare alla limitazione delle consegne assegnate a ciascun rider o all’esclusione di uno
o più lavoratori dalla piattaforma e produrre, quindi, effetti discriminatori (il punteggio
prendeva in considerazione gli ordini effettivamente consegnati, l’effettuazione
del check-in all’interno dello slot prenotato pochi minuti dopo l’inizio della fascia
oraria, l’accettazione entro 30 secondi dell’ordine assegnato).
5.5. Conservazione dei dati. Il titolare, nel momento in cui ha ottenuto i
dati, deve indicare altresì, nell’ambito dell’informativa, il periodo di conservazione
dei dati personali o, in alternativa, i criteri utilizzati per determinare tale periodo, e
ciò al fine di garantire un trattamento corretto e trasparente (art. 13, § 2, lett. a,
Regolamento). In applicazione dei principi di necessità e limitazione della conservazione,
può ritenersi che i dati devono essere conservati solo per il tempo strettamente
necessario alle finalità per le quali sono stati raccolti, nel rispetto dei termini
prescrizionali o nei diversi tempi eventualmente stabiliti dalla normativa legale e/o
regolamentare di riferimento o necessari per esigenze di giustizia o di pubblico
interesse. Così, ad esempio, i dati retributivi e contributivi riportati nel libro unico del
lavoro saranno conservati per la durata di cinque anni dalla data dell’ultima registrazione;
gli eventi di infortunio sul lavoro annotati nel registro degli infortuni, sono
conservati fino a quattro anni successivi all’evento.
5.6. La limitazione dei diritti. L’art. 23 del Regolamento, in linea di
continuità con quanto previsto dalla normativa previgente, individua le ipotesi in cui
i diritti degli interessati sono limitati. Tale disposizione individua alcuni specifici
requisiti che la disciplina nazionale deve indefettibilmente contenere laddove ponga
limitazioni alla “portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34”,
in vista della salvaguardia, tra l’altro, della tutela “dei diritti e delle libertà altrui”,
sempre che tali limitazioni rispettino l’essenza dei diritti e delle libertà fondamentali
TUTELA DEL LAVORATORE E LIMITI AL POTERE DI CONTROLLO VII.10.I.5.6.
e siano una misura necessaria e proporzionata in una società democratica. A tale
disposizione ha dato attuazione l’art. 2-undecies del Codice privacy, in base al quale i
diritti di cui agli artt. da 15 a 22 del Regolamento non possono essere esercitati con
richiesta al titolare del trattamento o con reclamo nel caso in cui, tra le altre ipotesi,
“dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto […] allo
svolgimento delle investigazioni difensive o all’esercizio di un diritto in sede giudiziaria”.
Anche relativamente a tale ipotesi il successivo comma 3 specifica che “i diritti
[…] sono esercitati conformemente alle disposizioni di legge o di regolamento che
regolano il settore, che devono almeno recare misure dirette a disciplinare gli ambiti
di cui all’art. 23, § 2, del RGPD. L’esercizio dei medesimi diritti può, in ogni caso,
essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo
all’interessato, a meno che la comunicazione possa compromettere la finalità della
limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e
proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato.
In argomento, si segnala, con riferimento all’esercizio del diritto di accesso
avanzato da un lavoratore rispetto ai dati contenuti in una relazione investigativa commissionata
dal datore di lavoro ad un’agenzia investigativa, che il Garante ha precisato
che poiché l’istanza di accesso era stata presentata in data successiva alla conclusione
del procedimento disciplinare, ma in fase pre-contenziosa, doveva ritenersi legittima
la limitazione invocata dal datore di lavoro, e ciò anche in ragione del particolare regime
probatorio del processo del lavoro che prevede l’onere della prova a carico del
datore di lavoro. In ogni caso, ha precisato il Garante, la limitazione deve ritenersi
circoscritta al periodo strettamente necessario ad evitare un pregiudizio all’esercizio
del diritto da parte del titolare. Pertanto, fermi restando i poteri del giudice del lavoro
in ordine alla produzione ed esibizione di atti e documenti nel corso del procedimento
giurisdizionale, una volta venute meno le ragioni del pregiudizio, nessun ostacolo potrà
essere frapposto all’esercizio del diritto previsto dall’art. 15 del Regolamento
(provv. 31 gennaio 2019, n. 20).
6. Dati particolari.
6.1. Princìpi generali. Premesso che a decorrere dal 25 maggio 2018
(data di entrata in vigore del Regolamento) l’espressione “dati sensibili” deve intendersi
riferita alle categorie particolari di dati di cui all’art. 9 del Regolamento (v. art.
22 “Altre disposizioni transitorie e finali”, comma 2, d.lgs. n. 101 del 2018), per tali
dati devono intendersi i dati personali che rilevino l’origine razziale o etnica, le
opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i
dati genetici, i dati biometrici intesi ad identificare in modo univoco una persona
fisica, i dati relativi alla salute, alla vita sessuale o all’orientamento sessuale della
persona (art. 9, § 1, Regolamento). In dottrina (PARPAGLIONI, 2015, 78) è stato rilevato
come la tutela dei dati particolari debba essere correlata con il diritto a non essere
discriminati, che altro non è che il profilo negativo del principio costituzionale di
uguaglianza. Ne consegue che seppure il diritto alla tutela dei dati personali non
persegue direttamente lo scopo di dare applicazione al principio di uguaglianza,
senza dubbio garantisce le condizioni indispensabili affinché tale principio possa
VII.10.I.6. SVOLGIMENTO DEL RAPPORTO: DIRITTI E DOVERI
operare nelle diverse forme previste da altre norme e principi dell’ordinamento. Il
Regolamento pone un divieto generale al trattamento di questa categoria di dati, fatta
eccezione per alcune ipotesi determinate indicate nell’art. 9, § 2. Per quanto qui
direttamente in esame, va evidenziato che il trattamento dei dati particolari è consentito
se “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti
specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro
e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal
diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto
degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli
interessi dell’interessato” (art. 9, § 2, lett. b), e/o se il trattamento è necessario per
finalità di medicina del lavoro, valutazione della capacità lavorativa del dipendente,
sulla base del diritto dell’Unione o degli Stati membri e conformemente al contratto
con un professionista della sanità e sempreché siano trattati da o sotto la responsabilità
di un professionista soggetto al segreto professionale o da altra persona anch’essa
soggetta all’obbligo di segretezza (art. 9, § 2, lett. H e § 3). In ragione di tali previsioni,
il trattamento dei dati particolari nel rapporto di lavoro trova la sua base giuridica
nella legge o nel contratto collettivo, sia nazionale che aziendale, salvo le ulteriori
garanzie per i diritti e le libertà fondamentali (v. infra). Sul punto, va segnalato che il
riferimento alla contrattazione collettiva nel suo complesso (collettiva e aziendale),
rappresenta una novità rispetto al quadro normativo precedente, in cui si faceva
riferimento solo all’adempimento degli obblighi di legge: la diversa situazione in cui
il datore di lavoro si trovava a trattare dati sensibili del dipendente in adempimento
di un obbligo di contratto collettivo era prevista soltanto nell’ambito dell’Autorizzazione
n. 1 al trattamento dei dati sensibili nel rapporto di lavoro, con la conseguenza
che il datore di lavoro doveva chiedere, rispetto a questo trattamento, un esplicito
consenso.
6.2. Il provvedimento del Garante n. 146 del 2019. Nel sistema ante Regolamento,
il rispetto dei diritti e delle libertà fondamentali degli interessati (che
rende legittimo il trattamento dei dati particolari) veniva assicurato attraverso il
rispetto delle prescrizioni dettate dall’Autorità garante nelle Autorizzazioni generali
adottate ai sensi degli artt. 36 e 40 del d.lgs. n. 196 del 2003, vecchio testo. Nel nuovo
contesto normativo, i predetti articoli sono stati abrogati dall’art. 27, c. 1, lett. a), n. 2
del d.lgs. n. 101 del 2018 ed è stato demandato (art. 21 d.lgs. 101 del 2018) al Garante
il compito di individuare, con proprio provvedimento di carattere generale, le prescrizioni
contenute nelle autorizzazioni generali già adottate, relative alle situazioni di
trattamento di cui, tra l’altro, l’art. 9, § 2, lett. b, che risultano compatibili con le
disposizioni comunitarie e il decreto che ha novellato il Codice privacy, provvedendo,
altresì, al loro aggiornamento ove occorrente. In base a tali presupposti normativi, il
Garante ha adottato il provvedimento n. 146 del 5 giugno 2019, nell’ambito del cui
allegato uno, sono riportate le “Prescrizioni relative al trattamento di categorie di
dati particolari nel rapporto di lavoro (aut. Gen. n. 1/2016)”. Il provvedimento è
articolato in cinque paragrafi, il primo dei quali riguarda l’ambito di applicazione, in
base al quale viene precisato che le prescrizioni dettate si applicano a tutti i titolari e/o
responsabili che effettuano trattamenti per finalità di instaurazione, gestione ed
estinzione del rapporto di lavoro (agenzie per il lavoro e soggetti che svolgono attività
TUTELA DEL LAVORATORE E LIMITI AL POTERE DI CONTROLLO VII.10.I.6.2.
di intermediazione, ricerca e selezione del personale; persone fisiche e giuridiche,
imprese, enti, associazioni o organismi che sono parte di un rapporto di lavoro o che
utilizzano prestazioni lavorative, anche atipiche, parziali o temporanee; organismi
paritetici o che gestiscono osservatori in materia di lavoro; rappresentante dei lavoratori
per la sicurezza; soggetti che curano gli adempimenti in materia di lavoro,
previdenza ed assistenza sociale e fiscale; associazioni, organizzazioni, federazioni o
confederazioni rappresentative di categorie di datori di lavoro). Tra i soggetti indicati,
una menzione a parte merita il medico competente in materia di salute e
sicurezza sul lavoro, il quale deve essere considerato come un autonomo titolare del
trattamento, legittimato a trattare i dati sanitari dei lavoratori per le specifiche finalità
indicate dalla legge (v. Linee guida sul trattamento dei dati personali dei lavoratori
privati del 2006, punto 3.3, nonché, da ultimo, il Documento “Il ruolo del medico
competente in materia di sicurezza sul luogo di lavoro”, anche con riferimento al
contesto emergenziale, www.garanteprivacy.it/documents/10160). La funzione del medico
competente, precisa, infatti, il Garante, è espressione di un interesse pubblico
(tutela del lavoratore e della collettività) e, in quanto tale, è sottratta alla sfera di
competenza del datore di lavoro, essendo legittimato a trattare in piena autonomia e
competenza tecnica i dati personali di natura sanitaria indispensabili per lo svolgimento
della funzione di protezione della salute e sicurezza nei luoghi di lavoro (v.
infra). Il secondo paragrafo del Provvedimento, che riguarda gli interessati ai quali si
riferiscono i dati, fa riferimento ai trattamenti di categorie particolari di dati personali
acquisiti di regola presso l’interessato e riferiti a: lavoratori subordinati, anche se
parti di un contratto di apprendistato, di formazione, a termine, di lavoro intermittente,
di lavoro occasionale ovvero praticanti per l’abilitazione professionale, ovvero
prestatori di lavoro nell’ambito di un contratto di somministrazione di lavoro, o in
rapporto di tirocinio, ovvero ad associati anche in compartecipazione; consulenti e
liberi professionisti, agenti, rappresentanti e mandatari; soggetti che svolgono collaborazioni
organizzate dal committente, o altri lavoratori autonomi in rapporto di
collaborazione, anche sotto forma di prestazioni di lavoro accessorio; persone fisiche
che ricoprono cariche sociali o altri incarichi nelle persone giuridiche, negli enti,
nelle associazioni e negli organismi; terzi danneggiati nell’esercizio dell’attività lavorativa
o professionale. Rispetto a questi soggetti, si ritiene di sottolineare le previsioni
relative ai candidati all’instaurazione dei rapporti di lavoro, anche in caso di curricula
spontaneamente trasmessi dagli interessati ai fini dell’instaurazione di un rapporto di
lavoro e quella relativa ai familiari o conviventi dei lavoratori subordinati o collaboratori
per il rilascio di agevolazioni e permessi. Con riferimento ai candidati, occorre
ricordare che ai sensi dell’art. 111-bis del Codice privacy, nei casi di ricezione dei
curricula spontaneamente trasmessi dagli interessati ai fini dell’instaurazione di un
rapporto di lavoro, l’informativa ex art. 13 Regolamento, deve essere fornita al
momento del primo contatto utile, successivo all’invio del curriculum stesso. È altresì
previsto che la base giuridica del trattamento in questo caso è data dalla previsione
dell’art. 6, § 1, lett. b (esecuzione di misure precontrattuali adottate su richiesta
dell’interessato), e conseguentemente non deve essere richiesto il consenso all’interessato
(v. comunque infra). Particolarmente significativa è poi la previsione relativa
ai familiari o conviventi del lavoratore o del collaboratore, che rappresenta una
VII.10.I.6.2. SVOLGIMENTO DEL RAPPORTO: DIRITTI E DOVERI
novità nel nuovo contesto normativo e introduce una semplificazione di rilievo nella
predisposizione dell’informativa ai dipendenti. Questa previsione, infatti, consente al
datore di lavoro di non richiedere alcun consenso ai familiari o conviventi di cui
vengono trattati dati particolari per la concessione di agevolazioni e/o permessi ai
lavoratori e/o collaboratori. In questo caso, pertanto, il datore di lavoro potrà legittimamente
trattare i predetti dati, per le finalità ivi indicate, previa indicazione di
questa eventualità nell’ambito dell’informativa resa ai lavoratori. Il paragrafo tre del
provvedimento, che individua le finalità per le quali è consentito il trattamento dei
dati particolari dei lavoratori, oltre ad indicare quelle necessarie per adempiere o per
esigere l’adempimento di specifici compiti e/o obblighi previsti da leggi, contratti
collettivi nazionali ed aziendali, ai fini dell’instaurazione, gestione ed estinzione del
rapporto di lavoro e per la tenuta della contabilità in senso ampio inteso, fa riferimento
anche all’ipotesi del far valere o difendere un diritto in sede giudiziaria, anche
nelle procedure di arbitrato e conciliazione. Il paragrafo quattro si distingue in due
parti: la prima relativa ai trattamenti effettuati nella fase preliminare alle assunzioni
e la seconda relativa ai trattamenti effettuati nel corso del rapporto di lavoro. Rispetto
ai principi ivi indicati, va rilevato che sono ribadite prescrizioni già riportate nell’Autorizzazione
n. 1, nelle Linee guida sul trattamento dei dati personali nel lavoro
2006, nonché nei provvedimenti tempo per tempo emanati dal Garante. Rispetto alla
fase preassuntiva è previsto che i dati idonei a rilevare lo stato di salute e l’origine
etnica e razziale dei candidati all’instaurazione di un rapporto di lavoro è giustificata
solo se la raccolta avviene per scopi determinati, legittimi e risulti necessaria per
instaurare il rapporto stesso. Particolare attenzione deve poi essere rivolta alle prescrizioni
relative al trattamento dei dati contenuti nei questionari inviati anche per via
telematica sulla base di modelli predefiniti o di quelli indicati nei modelli e/o curricula
inviati spontaneamente dai candidati: rispetto al trattamento di questi dati viene
richiamato il disposto dell’art. 113 del Codice privacy (secondo cui “resta ferma
quanto disposto dall’art. 8 della l. 2 maggio 1970, n. 300, nonché dall’art. 10 del d.lgs.
10 settembre 2003, n. 276”: v. infra Parte II, sub art. 8 St. lav.) in base al quale possono
essere trattate solo le informazioni strettamente pertinenti e limitate a quanto necessario
e comunque inerenti alle attitudini professionali della prestazione. Viene altresì
precisato che qualora nei curricula inviati siano presenti dati non pertinenti rispetto
alle finalità perseguite, tali dati non dovranno essere utilizzati dai datori di lavoro. Per
quanto riguarda i dati particolari contenuti nei curricula, è opportuno sottolineare
che il Garante, nella Relazione annuale 2019 (www.garante privacy.it — relazioni
annuali) ha precisato che il trattamento di tali dati può essere effettuato solo in
presenza di un consenso esplicito espresso dall’interessato. Con riferimento alla fase
di svolgimento del rapporto di lavoro è prescritto che: i dati che rilevano le convinzioni
religiose o filosofiche o l’adesione ad associazioni di tipo religioso o filosofico
possono essere trattati esclusivamente in caso di fruizione di permessi in occasione di
festività religiose o per le modalità di erogazione dei servizi di mensa o ancora per
l’esercizio dell’obiezione di coscienza; i dati che rilevano le opinioni politiche o
l’appartenenza sindacale possono essere trattati esclusivamente ai fini della fruizione
di permessi o periodo di aspettativa riconosciuti dalla legge o dai contratti collettivi,
ovvero per consentire l’esercizio dei diritti sindacali, ivi compreso il trattamento dei
TUTELA DEL LAVORATORE E LIMITI AL POTERE DI CONTROLLO VII.10.I.6.2.
dati per le trattenute sindacali; in caso di partecipazione dei dipendenti ad operazioni
elettorali in qualità di rappresentanti di lista, ai fini del riconoscimento dei benefici di
legge, non dovranno essere trattati i dati che rilevino opinioni politiche. L’ultimo
paragrafo del Provvedimento riguarda le modalità del trattamento dei dati e ribadisce
i principi per cui in tutte le comunicazioni all’interessato che contengono categorie
particolari di dati, devono essere utilizzate forme di comunicazione anche elettroniche
individualizzate e in ogni caso dovranno essere adottate modalità che garantiscano
le riservatezza delle informazioni, ad esempio mediante l’utilizzo di plichi
chiusi e, in ogni caso, mediante la trasmissione delle sole informazioni necessarie. Sul
punto si ricorda, ad esempio, quanto disposto dal Garante con riferimento ai cedolini
paga, rispetto ai quali è stata evidenziata la necessità di utilizzare diciture generiche
oppure codici e/o sigle per evitare che risultino visibili aspetti inerenti alla vita privata
del lavoratore oppure notizie eccedenti la finalità perseguita con il cedolino (ad es. la
specifica causale del pignoramento) (Linee guida per il trattamento dei dipendenti
privati del 2006; Provvedimenti 31 ottobre 2007, 18 giugno 2009). Nel Provvedimento
n. 146 in esame viene, infine, stabilito che quando per ragioni organizzative e
di servizio vengono rese note informazioni relative alle presenze ed assenze (ad es.
per la predisposizione di turni), il datore di lavoro dovrà omettere di esplicitare in
ogni modo le causali dell’assenza, anche attraverso l’utilizzo di sigle o acronimi (v.
infra). Con riferimento ai dati idonei a rivelare l’adesione sindacale dei lavoratori, va
segnalato che il Garante (newsletter 7 dicembre 2018), ha ritenuto illecito il comportamento
di un datore di lavoro che, a seguito della revoca dell’affiliazione sindacale
da parte di alcuni lavoratori, non si era limitato a segnalare la scelta dei lavoratori, ma
aveva anche inviato una email che recava in allegato documenti nei quali era espressamente
indicata la contestuale iscrizione di tali lavoratori ad altro sindacato, dando
così luogo ad un’illecita comunicazione di dati particolari dei lavoratori.
6.2.1. Affissione dei dati in bacheca. Come accennato, nel Provvedimento
n. 146 è ribadito che nelle comunicazioni di lavoro in cui vengono rese
informazioni relative alle assenze e alle presenze, è sempre necessario omettere le
causali di assenza dei singoli lavoratori. È interessante segnalare che la questione ha
formato oggetto di un Provvedimento da parte del Garante (provv. 18 giugno 2020,
n. 105, doc. web n. 9444865), relativo ad una fattispecie in cui un’organizzazione
sindacale aveva presentato un reclamo per conto di un dipendente di un’azienda
concessionaria del servizio di trasporto pubblico locale, lamentando che essa, per
prassi interna, affiggeva quotidianamente su una bacheca il documento relativo ai
turni di servizio degli autisti contenente anche le causali delle assenze, con specifico
riferimento alle condizioni di salute dei lavoratori o di loro familiari e conviventi. Il
Garante, in tale occasione, sul presupposto che i dati personali dei dipendenti trattati
dal datore di lavoro per finalità di gestione del rapporto di lavoro non possono essere
messi a conoscenza di soggetti diversi dalle parti del rapporto contrattuale, né possono
essere trattati da coloro che, in ragione delle mansioni svolte, non siano autorizzati
ad accedere a tali dati, ha ritenuto che — tenuto conto che i dati erano stati resi
conoscibili a un novero determinato o, comunque, determinabile di soggetti — tali
procedure fossero in contrasto con la disciplina in materia di protezione dei dati,
comportando una comunicazione (art. 2-ter, c. 4, lett. a, del Codice) illecita di dati
VII.10.I.6.2.1. SVOLGIMENTO DEL RAPPORTO: DIRITTI E DOVERI
personali, anche relativi allo stato di salute, a terzi non autorizzati (cfr. art. 4, § 1, n.
10, del RGPD), in assenza quindi di un’idonea base giuridica. In generale, le informazioni
strettamente connesse allo svolgimento dell’attività lavorativa, quali le ragioni
delle assenze (ferie, permessi individuali, assenza dal servizio nei casi previsti
dalla legge o dai contratti collettivi di lavoro), possono essere trattate dal datore di
lavoro in base a specifiche disposizioni normative che prevedono anche l’obbligo per
il dipendente di presentare apposita certificazione allo stesso e, a seconda dei casi,
anche agli enti previdenziali. Tali obblighi sono funzionali non solo a giustificare i
trattamenti normativi ed economici spettanti al lavoratore, ma anche a consentire al
datore di lavoro, nelle forme di legge, di effettuare le necessarie verifiche e assumere
le conseguenti determinazioni, ovvero al fine di permettere ai dipendenti di godere
dei benefici di legge, come nel caso delle agevolazioni previste per l’assistenza a
familiari disabili, ai permessi retribuiti e ai congedi per gravi motivi familiari (v., sul
punto, il § 6 delle linee guida in materia di trattamento di dati personali di lavoratori
per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro
privati del 2006; provv. 23 novembre 2006, n. 53, doc. web n. 1364939 e, non
diversamente, il § 8 delle linee guida in materia di trattamento di dati personali di
lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico; provv. 14
giugno 2007, n. 23, doc. web n. 1417809). Tali trattamenti devono tuttavia avvenire
mediante personale autorizzato e istruito in merito all’accesso ai dati (artt. 4, § 10, 29,
32, § 4, del Regolamento), al ricorrere dei presupposti di liceità sopra indicati, in
relazione alle funzioni svolte e alle istruzioni impartite, nella misura in cui i dati siano
pertinenti per dare esecuzione al rapporto di lavoro nel quadro delle previsioni
normative applicabili (cfr. artt. 5, § 1, lett. c, e 88 del Regolamento). Entro tale
cornice, gli altri addetti al servizio di trasporto non potevano considerarsi legittimati
a trattare informazioni di dettaglio sulle assenze dei colleghi, in quanto, in base alle
mansioni assegnate, non sono autorizzati ad accedere ai dati funzionali alla gestione
delle assenze del personale e alla pianificazione dei turni di lavoro. Nell’erogazione
del servizio di trasporto pubblico, l’azienda locale avrebbe potuto, nel rispetto della
disciplina di protezione dei dati e in modo parimenti efficace, affiggere in aree
disponibili agli addetti al servizio, il solo documento riepilogativo dei turni giornalieri.
Parimenti illecita è stata giudicata dal Garante la pubblicazione in bacheca
aziendale di contestazioni e provvedimenti disciplinari, nonché delle valutazioni
settimanali espresse dal consiglio di amministrazione su ciascun dipendente attraverso
un giudizio di sintesi accompagnato da un emoticon, in quanto lesive della
dignità personale, della libertà e della riservatezza dei lavoratori (provv. 13 dicembre
2018, n. 500).
7. Dati relativi alla salute.
7.1. Certificazione e controllo di malattia. Ai sensi dell’art. 4, § 1, n. 15,
Regolamento, i dati relativi alla salute sono quelli attinenti alla salute fisica o mentale
di una persona fisica che rilevano informazioni relative al suo stato di salute. Nell’ambito
dei dati idonei a rilevare lo stato di salute dei dipendenti, la tipologia dei dati
trattati dai datori di lavoro è costituita, nella maggioranza dei casi, dai certificati
TUTELA DEL LAVORATORE E LIMITI AL POTERE DI CONTROLLO VII.10.I.7.1.
medici presentati dai lavoratori per giustificare l’assenza per malattia e/o infortunio.
Proprio nell’intento di tutelare la riservatezza del lavoratore, l’art. 1, c. 149, l. 30
dicembre 2004, n. 311 (legge Finanziaria 2005) ha previsto che, nei casi di infermità
comportante incapacità lavorativa, il medico curante trasmetta all’Inps il certificato di
diagnosi sull’inizio e sulla durata presunta della malattia per via telematica on line; il
lavoratore provvederà a trasmettere al datore di lavoro la sola prognosi resa dal
medico. Nelle Linee guida del novembre 2006 adottate dal Garante, è comunque
precisato che qualora dovessero essere presentati dai lavoratori certificati medici
redatti su modulistica diversa da quella appena descritta, nella quale i dati di prognosi
e diagnosi non sono separati, i datori di lavoro sono obbligati, ove possibile, ad
adottare misure idonee ed accorgimenti volti a prevenirne la ricezione o, in ogni caso,
ad oscurarli. Diversa, naturalmente, è l’ipotesi in cui, allo scopo di fruire di determinate
agevolazioni connesse alla tipologia e/o alla gravità della malattia (per es. per
ottenere il prolungamento del periodo di comporto secondo le previsioni di alcuni
CCNL di categoria), il lavoratore abbia l’onere di portare a conoscenza dell’azienda la
diagnosi, ovvero intenda usufruire, ad esempio, dei congedi e dei permessi per eventi
e cause particolari di cui al decreto ministeriale 21 luglio 2000, n. 278 (“Regolamento
recante disposizioni di attuazione dell’art. 4 della l. 8 marzo 2000, n. 531, concernente
congedi per eventi e cause particolari”). Nell’ambito dei dati idonei a rilevare
lo stato di salute, vanno altresì considerati quelli rivenienti dai controlli della malattia
del dipendente effettuati su richiesta del datore di lavoro ex art. 5, c. 2 e 3, l. n. 300 del
1970, rispetto ai quali la tutela della riservatezza del lavoratore (DEL PUNTA, 2004, 37)
deve sempre essere considerata quale elemento primario e indispensabile nel procedimento
di accertamento della malattia del lavoratore: si tratta, a ben vedere, di uno
dei casi che meglio evidenzia l’applicazione di quel principio del bilanciamento degli
interessi che ispira l’intera disciplina della privacy. Come rilevato anche dalla S.C. (v.
sent. 19 novembre 1973 n. 3106, FI 1974, I, 709), « il potere di controllo sanitario, che
spetta al datore di lavoro in ordine alla malattia denunciata dal lavoratore, anche
secondo la normativa precedente l’entrata in vigore dello Statuto dei lavoratori, deve
essere esercitato con l’osservanza di tutte quelle cautele necessarie al rispetto della
dignità e della personalità morale del lavoratore per il riguardo dovuto alla riservatezza
e al pudore del soggetto ». Al riguardo, va altresì rilevato che l’Autorità Garante
ha deciso che il particolare trattamento dei dati sensibili non esclude naturalmente
che il datore di lavoro, che ritenga di trovarsi di fronte a fenomeni di assenteismo o
di certificazioni non veritiere, possa far valere i propri diritti mediante una contestazione
diretta all’interessato, oppure con una visita fiscale, o con la denuncia di un
ipotetico reato o, ancora, attraverso l’utilizzo di un investigatore privato incaricato di
raccogliere informazioni utili per dimostrare in giudizio l’inesistenza della patologia
addotta dal dipendente per giustificare la propria assenza dal lavoro (v. Newsletter
8-14 gennaio 2001). In altre parole, verificandosi tali ipotesi, il datore di lavoro può
tutelare i propri interessi nei modi consentiti dall’ordinamento, evitando, tuttavia, di
porre in essere comportamenti contrari ai principi di proporzionalità e pertinenza
stabiliti dalla normativa in tema di tutela della privacy, quali, ad esempio, la divulgazione
« scorretta e sovrabbondante di dati » (cfr. Newsletter 29 ottobre-4 novembre
2001). È pertanto legittima — ha deciso in altra occasione il Garante (cfr. decisione 28
VII.10.I.7.1. SVOLGIMENTO DEL RAPPORTO: DIRITTI E DOVERI
settembre 2001) — la comunicazione dei dati personali effettuata dal datore di lavoro
all’Inps, al fine di sottoporre il lavoratore a una visita medica fiscale e ciò anche
nell’ipotesi in cui tale comunicazione sia avvenuta nel primo giorno della malattia.
Analogamente, è stato ritenuto che il datore di lavoro può, tramite un investigatore
privato, raccogliere informazioni utili per dimostrare in giudizio l’inesistenza della
patologia addotta dal dipendente per giustificare la propria assenza dal lavoro (v.
Newsletter 8-14 gennaio 2001).
7.2. Dati sanitari nell’emergenza sanitaria Covid-19.
7.2.1. Trattamento dei dati sanitari per la gestione e il contenimento
dell’emergenza epidemiologica. Il trattamento dei dati sanitari dei lavoratori ha
assunto particolare rilevanza nel contesto dell’emergenza sanitaria causata dal Covid-
19, contesto che ha reso necessari una valutazione e un bilanciamento tra le misure
adottate nella lotta contro la pandemia e le norme a tutela di protezione dei dati
personali. In argomento, va innanzi tutto segnalato che l’European Data Protection
Board (EDPB) intervenuto sulla questione (Linee-guida 3/2020 sul trattamento dei
dati relativi alla salute a fini di ricerca scientifica nel contesto dell’emergenza legata al
Covid-19, adottate il 21 aprile 2020), muovendo dalla considerazione che i dati
relativi alla salute meritano una protezione più elevata, in quanto l’uso di tali dati può
avere gravi ripercussioni negative sugli interessati, ha specificato che l’espressione
“dati relativi alla salute” deve essere interpretata in modo estensivo e ricomprendere:
informazioni raccolte da un fornitore di assistenza sanitaria in una cartella clinica
(anamnesi e risultati di esami e trattamenti); informazioni che diventano dati relativi
alla salute sulla base di riferimenti incrociati ad altri dati, tali da rilevare lo stato di
salute o i rischi per la salute; informazioni ricavate da test di autovalutazione, in cui gli
interessati rispondono a domande relative alla loro salute; informazioni che diventano
dati relativi alla salute a seguito del loro utilizzo in un contesto specifico (ad es.
informazioni relative ad un viaggio recente o in una regione interessata dal Covid-
19). Muovendo da tale documento e dal rilievo ivi formulato, in cui in ogni caso i dati
relativi alla salute devono essere trattati in modo corretto e trasparente attraverso
una informativa agli interessati circa l’esistenza del trattamento, il Garante nazionale
è intervenuto in più occasioni, anche rispetto ai vari interventi normativi e ai conseguenti
atti di indirizzo emanati dalle istituzioni competenti. Per quanto qui direttamente
interessa, occorre in primis segnalare le FAQ adottate dal Garante (il 17
febbraio 2021) relative al “Trattamento dei dati nel contesto lavorativo pubblico e
privato nell’ambito dell’emergenza sanitaria”, adottate a seguito delle misure previste
nel Protocollo condiviso di regolamentazione delle misure per il contrasto e il
contenimento della diffusione del virus Covid-19 negli ambienti di lavoro tra Governo
e parti sociali (come aggiornato in data 24 aprile 2020) e nel Protocollo di
accordo per la prevenzione e la sicurezza dei dipendenti pubblici in ordine all’emergenza
sanitaria da Covid-19 (del 3 e 8 aprile 2020), che, al fine di individuare misure
urgenti di contenimento e gestione dell’emergenza epidemiologica, hanno stabilito
per i datori di lavoro, per i quali le attività non sono sospese, l’adozione di misure per
il contenimento e la gestione del contagio epidemiologico. In tale contesto è stato
precisato che: a) la rilevazione della temperatura corporea del personale dipendente
per l’accesso ai locali e alle sedi aziendali, quando è associata all’identità dell’interes-
TUTELA DEL LAVORATORE E LIMITI AL POTERE DI CONTROLLO VII.10.I.7.2.1.
sato, costituisce un trattamento di dati personali, conseguentemente non è ammessa
la registrazione della temperatura corporea rilevata, bensì, nel rispetto del principio
di “minimizzazione” è consentita la registrazione della sola circostanza del superamento
della soglia stabilita dalla legge e comunque quando sia necessario documentare
le ragioni che hanno impedito l’accesso al luogo di lavoro; b) è possibile chiedere
una dichiarazione con cui il lavoratore dichiari di non aver avuto contatti, negli ultimi
14 giorni, con soggetti risultati positivi al Covid-19 o di non provenire da zone a
rischio secondo le indicazioni dell’OMS. In ogni caso dovranno essere raccolti solo i
dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio e astenersi
dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle
specifiche località visitate o ad altri dettagli relativi alla sfera privata; c) nel caso di
servizi resi al pubblico con modalità telematica, la finalità di fornire agli utenti recapiti
utili a cui rivolgersi deve essere perseguita attraverso la pubblicazione dei soli recapiti
delle unità organizzative competenti, e non di quelli relativi ai singoli funzionari
preposti agli uffici; d) il medico competente collabora con il datore di lavoro e le
RLS/RLST al fine di proporre tutte le misure di regolamentazione legate al Covid-19
e, nello svolgimento dei propri compiti di sorveglianza, segnala al datore di lavoro
situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti,
suggerendone, ove ne rinvenga i presupposti, l’impiego in ambiti meno esposti al
rischio infezione, sempre senza comunicare la specifica patologia sofferta dal lavoratore;
e) il datore di lavoro non può comunicare al Rappresentante per la sicurezza
l’identità dei dipendenti contagiati; f) il datore di lavoro non può comunicare l’identità
del lavoratore contagiato agli altri lavoratori, ma è tenuto a fornire alle istituzioni
competenti e alle autorità sanitarie le informazioni necessarie ai fini della ricostruzione
della filiera degli “eventuali contatti stretti” di un lavoratore risultato positivo;
g) il datore di lavoro può richiedere l’effettuazione di test sierologici ai propri
dipendenti, solo se disposta dal medico competente e, in ogni caso, non può trattare
informazioni relative alla diagnosi e all’anamnesi del lavoratore, potendo trattare
solo i dati relativi al giudizio di idoneità espresso dal medico competente; h) il datore
di lavoro può trattare i dati personali del dipendente affetto da Covid-19 o che ne
presenta i sintomi e può conoscere la condizione di positività al Covid-19: quando ne
venga informato direttamente dal lavoratore; o nei limiti in cui sia necessario al fine
di prestare la collaborazione all’autorità sanitaria; o ai fini della riammissione sul
luogo di lavoro del lavoratore già risultato positivo all’infezione da Covid-19. Va
altresì segnalato che nelle FAQ pubblicate il 6 luglio 2020 è stato indicato che la
funzionalità di contact tracing, prevista da alcuni applicativi al dichiarato fine di poter
ricostruire, in caso di contagio, i contatti significativi avuti nell’arco temporale individuato
dalle autorità sanitarie per ricostruire la catena dei contagi ed allertare le
persone che siano entrate in contatto stretto con soggetti risultati positivi, è disciplinato
unicamente dall’art. 6, d.l. 30 aprile 2020, n. 28. Sul punto, l’Autorità ha
precisato che il datore di lavoro può ricorrere all’utilizzo degli applicativi disponibili
sul mercato se gli stessi non comportano il trattamento di dati personali riferiti a
soggetti identificati o identificabili. In altri termini, il dispositivo utilizzato non deve
essere associato o associabile, anche indirettamente (es., attraverso un codice o altra
informazione), all’interessato, né prevedere la registrazione dei dati trattati (es., le
VII.10.I.7.2.1. SVOLGIMENTO DEL RAPPORTO: DIRITTI E DOVERI
applicazioni che effettuano il conteggio degli accessi a un determinato luogo, attivando
un “semaforo rosso” al superamento del limite prestabilito; oppure alle funzioni
di taluni dispositivi indossabili che emettono un segnale sonoro o una vibrazione
in caso di superamento della soglia di distanziamento prestabilita, senza così
tracciare chi indossa il dispositivo né registrare alcuna informazione). Il Garante ha
però precisato che in questi casi spetta comunque al titolare verificare il grado di
affidabilità dei sistemi scelti, predisponendo misure idonee a garantire i diritti e le
libertà delle persone.
7.2.2. Trattamento di dati e vaccinazioni. Con riferimento alla questione
del trattamento dei dati relativi alla vaccinazione nel contesto lavorativo, vanno
segnalati due distinti interventi del Garante: le FAQ e il Documento di indirizzo
“vaccinazioni nei luoghi di lavoro: indicazioni generali per il trattamento di dati
personali” (allegato al provvedimento n. 198 del 13 maggio 2021). Le FAQ (febbraio
2021) rispondono a tre specifici quesiti: il datore di lavoro può chiedere conferma ai
propri dipendenti dell’avvenuta vaccinazione? Il datore di lavoro può chiedere al
medico competente i nominativi dei dipendenti vaccinati? Il datore di lavoro può
considerare l’avvenuta vaccinazione quale condizione essenziale per l’accesso ai luoghi
di lavoro e per lo svolgimento di determinate mansioni? La risposta fornita è
negativa per tutte le domande, in coerenza con l’attuale contesto normativo in cui
non è dato rinvenire una prescrizione di legge che configuri la vaccinazione come un
obbligo o un atto dovuto, fatta eccezione per gli esercenti le professioni sanitarie e gli
operatori di interesse sanitario (art. 4, d.l. n. 44 del 2021), i lavoratori impiegati in
strutture residenziali, socio-assistenziali e socio-sanitarie (art. 4-bis d.l. n. 44 del 2021),
il personale della scuola, del comparto difesa, sicurezza e soccorso pubblico, della
polizia locale, degli istituti penitenziari, delle università, delle istituzioni di alta formazione
artistica, musicale e coreutica e degli istituti tecnici superiori (art. 4-ter, d.l. n.
44 del 2021), i cittadini ultra cinquantenni (art. 4-quater d.l. n. 44 del 2021). Nello
specifico, viene stabilito che: il datore di lavoro non può chiedere ai propri dipendenti
di fornire informazioni sul proprio stato vaccinale o copia di documenti che
comprovino l’avvenuta vaccinazione anti Covid-19, e ciò anche nell’ipotesi in cui il
trattamento dei dati relativi alla vaccinazione si basi sul consenso del dipendente: il
consenso, infatti, non può costituire una valida base giuridica laddove si verifichi,
come nel rapporto di avorio, una squilibrio tra la posizione del titolare e quella
dell’interessato (considerando 43, Opinion 2/2017, cit.). Viene altresì ribadito che
solo il medico competente può trattare le informazioni relative alla vaccinazione,
nell’ambito della sorveglianza sanitaria e in sede di verifica dell’idoneità della mansione
specifica (artt. 25, 39, c. 5, e 41, c. 4, d.lgs. 81/2008). Pertanto il datore di lavoro
potrà acquisire i soli giudizi di idoneità e le eventuali prescrizioni e/o limitazione in
essi riportati, ma non potrà conoscere i nominativi dei lavoratori vaccinati, limitandosi
ad attuare le misure indicate dal medico competente. Il documento di indirizzo
riguarda la realizzazione dei piani vaccinali finalizzati all’attivazione di punti straordinari
di vaccinazione anti Covid-19 nei luoghi di lavoro, prevista dal Protocollo
nazionale firmato in data 6 aprile 2021 dal Governo e dalle parti sociali. La vaccinazione
nei luoghi di lavoro rappresenta un’opportunità aggiuntiva rispetto alle modalità
ordinarie di offerta della vaccinazione, deve rispettare tutte le previsioni in
TUTELA DEL LAVORATORE E LIMITI AL POTERE DI CONTROLLO VII.10.I.7.2.2.
tema di protezione dei dati personali dei lavoratori, nonché il tradizionale riparto di
competenze tra datore di lavoro e medico competente. In particolare, resta salvo il
divieto per il datore di lavoro, anche nello svolgimento delle attività di supporto, di
trattare dati personali relativi a tutti gli aspetti connessi alla vaccinazione dei propri
dipendenti, non essendo inoltre consentito far derivare alcuna conseguenza, né
positiva, né negativa, in ragione della libera scelta del lavoratore in ordine all’adesione,
o meno, alla campagna vaccinale. L’adesione volontaria dei lavoratori deve
pertanto essere trattata solo dal professionista sanitario, tanto nella fase di sensibilizzazione,
quanto in quella operativa di realizzazione della vaccinazione. Gli ambienti
selezionati per la somministrazione del vaccino dovranno avere caratteristiche tali da
evitare per quanto possibile di conoscere, da parte di colleghi o terzi, l’identità dei
dipendenti che hanno scelto di aderire alla campagna vaccinale e, per quanto possibile,
nei luoghi prescelti dovranno essere adottate misure volte a garantire la riservatezza
e la dignità dei lavoratori, anche nella fase immediatamente successiva alla
vaccinazione, prevedendo l’ingiustificata circolazione di informazioni nel contesto
lavorativo o comportamenti ispirati a mera curiosità. In base al cit. Protocollo, e con
riferimento alla modalità qui descritta, quando la vaccinazione viene eseguita durante
il servizio, il tempo necessario alla medesima è equiparato a tutti gli effetti
all’orario di lavoro; conseguentemente si potrà procedere alla giustificazione dell’assenza
con le modalità previste dai CCNL di categoria, ovvero mediante il rilascio da
parte del soggetto che somministra la vaccinazione di un’attestazione di prestazione
sanitaria indicata in termini generici e ciò in evidente rispetto della riservatezza del
dipendente.
7.2.3. Trattamento dei dati e certificazione verde Covid-19 (c.d. Green
Pass). Gli artt. 9-quinquies e 9-septies d.l. n. 52/2021 hanno stabilito che dal 15 ottobre
2021 fino al 31 marzo 2022 (termine così modificato dal d.l. 24 dicembre 2021, n.
221), termine di cessazione dello stato di emergenza, al fine di prevenire la diffusione
dell’infezione da SARS-Cov-2, è fatto obbligo ai lavoratori, rispettivamente pubblici e
privati, ai fini dell’accesso nei luoghi di lavoro, di possedere ed esibire, su richiesta, la
certificazione verde Covid-19. I datori di lavoro sono tenuti a verificare il rispetto di
tale prescrizione nei confronti di chiunque svolge un’attività lavorativa e nei confronti
di tutti i soggetti che svolgono, a qualsiasi titolo, la propria attività lavorativa o
di formazione o di volontariato nei luoghi di lavoro, anche sulla base di contratti
esterni. L’art. 13, c. 5, d.P.C.M. 17 giugno 2021 (Disposizioni attuative dell’art. 9, c.
10, del decreto legge 22 aprile 2021, n.52, “Misure urgenti per la graduale ripresa
delle attività economiche e sociali nel rispetto delle esigenze di contenimento della
diffusione dell’epidemia da Covid-19”), come successivamente modificato prevede
che “L’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta
dei dati dell’intestatario in qualunque forma, salvo quelli strettamente necessari
all’applicazione delle misure previste dagli artt. […] 9-quinquies, commi 6 e ss. e
9-septies, commi 6 e ss.”. Sul punto, va segnalato che il Garante con il Provvedimento
n. 363 dell’11 ottobre 2021 (Parere sullo schema di decreto concernente “Modifiche
al decreto del Presidente del Consiglio dei ministri del 17 giugno 2021”, recante
“Disposizioni attuative dell’art. 9, c. 10, del decreto legge 22 aprile 2021, n. 52,
“Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto
VII.10.I.7.2.3. SVOLGIMENTO DEL RAPPORTO: DIRITTI E DOVERI
delle esigenze di contenimento della diffusione dell’epidemia da Covid-19”) ha
espresso parere favorevole sullo schema del d.P.C.M. citato che introduce nuove
modalità di verifica del green pass in ambito lavorativo pubblico e privato. In particolare,
il Garante ha chiarito che i controlli devono rispettare i principi di liceità,
correttezza e trasparenza, nonché quelli di “limitazione delle finalità” e di “minimizzazione
dei dati”, stabiliti dalla normativa europea e nazionale in materia di trattamento
dei dati personali, precisando che in relazione alla specifica finalità del trattamento
di cui agli artt. 9-quinquies e 9-septies del d.l. n. 52/2021 devono essere trattati
“esclusivamente i dati necessari alla verifica del possesso della certificazione verde
COVID-19”. Tale verifica deve essere effettuata esclusivamente con le modalità
indicate dal legislatore, attraverso le piattaforme specificatamente predisposte, le
quali consentono il controllo delle generalità dell’intestatario (nome, cognome, data
di nascita), nonché la verifica di autenticità, validità ed integrità della certificazione.
Ne consegue che non è possibile accedere ad altre informazioni, quali, ad esempio, la
durata temporale della certificazione o conoscere dati che possano, anche indirettamente,
rilevare le condizioni di salute o le convinzioni personali del lavoratore, fatta
eccezione per quelle informazioni strettamente necessarie all’applicazione delle conseguenti
misure per gli interessati, derivanti dal mancato possesso della certificazione.
Un’ulteriore eccezione deriva dall’applicazione dell’art. 9-octies d.l. 52/2021, ai
sensi del quale il datore di lavoro, a fronte di specifiche esigenze organizzative volte
a garantire l’efficace programmazione del lavoro, può, con il preavviso necessario a
soddisfare tali esigenze, chiedere ai lavoratori di comunicare di non essere in possesso
della certificazione verde. Alla luce di tale previsione, deve ritenersi che il datore di
lavoro può legittimamente trattare i dati di mancato possesso della certificazione
comunicati dal lavoratore, per la sola finalità organizzativa e senza accedere ad altre
informazioni, quali, ad esempio, le motivazioni e la durata temporale della mancata
certificazione. È stato altresì evidenziato che l’esibizione della certificazione verde, è
richiesta esclusivamente ai fini dell’accesso ai luoghi di lavoro. In ragione di ciò, il
Garante ha precisato che il controllo riguarda esclusivamente il personale effettivamente
in servizio per cui è previsto l’accesso al luogo di lavoro nel giorno in cui è
effettuata la verifica, escludendo i dipendenti assenti per specifiche causali (es. ferie,
malattie, permessi) o che svolgono la prestazione lavorativa in modalità agile o da
remoto. Successivamente, il d.l.21 settembre 2021, n. 127, convertito in l. 19 novembre
2021, n. 165 recante “Misure urgenti per assicurare lo svolgimento in sicurezza
del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della
certificazione verde COVID-19 e il rafforzamento del sistema di screening”, ha aggiunto
un’ulteriore previsione all’art. 9-quinquies e all’art. 9-septies, prevedendo che
“al fine di semplificare e razionalizzare” le verifiche della certificazione, i lavoratori
possono richiedere di consegnare al proprio datore di lavoro, pubblico o privato,
copia della propria certificazione verde, specificando che “i lavoratori che consegnano
la predetta certificazione, per tutta la durata della relativa validità, sono
esonerati dati controlli da parte dei rispettivi datori di lavoro”. È interessante segnalare
che rispetto a questa previsione, nella fase antecedente all’approvazione, il
Garante ha inviato una Segnalazione al Parlamento e al Governo in cui ha evidenziato
talune criticità ad essa connesse. In particolare, è stato evidenziato che la prevista
TUTELA DEL LAVORATORE E LIMITI AL POTERE DI CONTROLLO VII.10.I.7.2.3.
esenzione dei controlli rischia di determinare la sostanziale elusione delle finalità di
sanità pubblica sottese al sistema di “green pass”, non consentendo il costante e
necessario aggiornamento della certificazione stessa. La nuova previsione — prosegue
il Garante — nella misura in cui rischia di precludere la piena realizzazione delle
esigenze sanitarie sottese al sistema del green pass, rende il trattamento dei relativi dati
non del tutto proporzionato (perché non pienamente funzionale rispetto) alle finalità
perseguite. Viene poi rilevato che la prevista legittimazione della conservazione della
copia delle certificazioni verdi contrasta con il Considerando 48 del Regolamento
(UE) 2021/953 il quale, nel sancire un quadro di garanzie omogenee, anche sotto il
profilo della protezione dati, per l’utilizzo delle certificazioni verdi in ambito europeo,
dispone che “Laddove il certificato venga utilizzato per scopi non medici, i dati
personali ai quali viene effettuato l’accesso durante il processo di verifica non devono
essere conservati, secondo le disposizioni del presente regolamento”. Tale divieto —
prosegue la Segnalazione — “è funzionale, essenzialmente, a garantire la riservatezza
non solo dei dati sulla condizione clinica del soggetto (in relazione alle certificazioni
da avvenuta guarigione), ma anche delle scelte da ciascuno compiute in ordine alla
profilassi vaccinale. Dal dato relativo alla scadenza della certificazione può, infatti,
agevolmente evincersi anche il presupposto di rilascio della stessa, ciascuno dei quali
(tampone, guarigione, vaccinazione) determina un diverso periodo di validità del
green pass. In tal modo, dunque, una scelta quale quella sulla vaccinazione — così
fortemente legata alle intime convinzioni della persona — verrebbe privata delle
necessarie garanzie di riservatezza, con effetti potenzialmente pregiudizievoli in
ordine all’autodeterminazione individuale”. E ciò sarebbe ancora più pregiudizievole
nel contesto lavorativo ove la prevista consegna del certificato verde a un soggetto,
quale il datore di lavoro, al quale dovrebbe essere preclusa la conoscenza di condizioni
soggettive peculiari dei lavoratori come la situazione clinica e convinzioni
personali, risulta poco compatibile con le garanzie sancite sia dalla disciplina di
protezione dati, sia dalla normativa giuslavoristica (art. 88 Reg. Ue 2016/679; art. 113
d.lgs. 196 del 2003; art. 5 e 8 l. n. 300 del 1970; art. 10 d.lgs. n. 276 del 2003). Del
resto, l’art. 13, c. 5, d.P.C.M. 17 giugno 2021 e s.m.i., prevede espressamente che
“l’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei
dati dell’intestatario in qualunque forma”, facendo salvi, con esclusivo riferimento
all’ambito lavorativo, i trattamenti “strettamente necessari all’applicazione delle misure
previste dagli articoli 9-ter ai commi 2 e 5, 9-quinquies, commi 6 e ss., e 9-septies,
commi 6 e ss.”. Il Garante rileva infine che la facoltà di conservazione del green pass
non può configurarsi legittima neppure sulla base di un presunto consenso implicito
del lavoratore che la consegni, sul presupposto consolidato che, ai fini della legittimità
del relativo trattamento, il consenso in ambito lavorativo non può ritenersi un
idoneo presupposto di liceità, in ragione dell’asimmetria che caratterizza il rapporto
lavorativo stesso (C 43 Reg. UE 2016/679). Successivamente, l’Autorità si è di nuovo
soffermata su tale previsione (Provvedimento 13 dicembre 2021, n. 430, v. infra)
evidenziando che nei casi in cui il lavoratore si avvalga della facoltà di consegna al
proprio datore di lavoro della certificazioni verde, il datore di lavoro è comunque
tenuto, a tutela della salute e sicurezza dei luoghi di lavoro, a effettuare il regolare
controllo sulla perdurante validità della certificazione del lavoratore effettivamente
VII.10.I.7.2.3. SVOLGIMENTO DEL RAPPORTO: DIRITTI E DOVERI
in servizio con le modalità previste dalla disciplina di settore: mediante lettura del QR
code della copia in possesso del datore di lavoro attraverso l’app VerificaC19, ovvero
mediante le previste modalità automatizzate. Il trattamento dei dati personali deve
comunque essere limitato alla sola finalità di verifica della perdurante validità della
certificazione nel rispetto del principio di limitazione della finalità del trattamento
(art. 5, § 1, lett. b, del Regolamento), non essendo ammessi trattamenti per finalità
ulteriori rispetto a quelle previste dalla norma (cfr. art. 2-decies del Codice), nel
rispetto delle misure tecniche e organizzative idonee ad assicurare l’integrità e la
riservatezza dei dati, tenuto conto dei rischi e delle possibili conseguenze per gli
interessati nel contesto lavorativo e professionale (artt. 5, § 1, lett. f, 24 e 32 del
Regolamento). È noto che il quadro di riferimento normativo e regolamentare in
materia di certificazioni verdi è, allo stato, in continua evoluzione. In ragione di ciò,
e limitatamente al campo della presente indagine, si ritiene di segnalare che il d.l. n.
172/2021 ha modificato l’art. 9-bis del d.l. n. 52/2021 che disciplina l’impiego delle
certificazioni verdi Covid-19, indicando le tipologie di servizi, attività e spostamenti
per le quali, a decorrere dal 29 novembre 2021, è richiesto il possesso di una
certificazione verde Covid-19 di avvenuta vaccinazione o guarigione (c.d. super green
pass) e che rispetto a tali previsioni, con il Messaggio del 10 dicembre 2021, il Garante
ha chiarito che il c.d. “Super green pass” non può essere richiesto nei luoghi di lavoro.
Successivamente, con Provvedimento 13 dicembre 2021, n. 430, il Garante si è
espresso, in via d’urgenza, con parere favorevole, sullo schema del d.P.C.M. che
aggiorna le disposizioni relative alle Certificazioni verdi e agli obblighi vaccinali per
alcune categorie di lavoratori (predisposto al fine di dare applicazione alle disposizioni
di cui al d.l. 26 novembre 2021, n. 172), evidenziando che il trattamento dei dati
personali in ambito lavorativo deve avvenire nel rispetto della normativa in materia
di protezione dei dati, della disciplina nazionale di settore ma anche delle norme
preesistenti che garantiscono la dignità e la libertà degli interessati sui luoghi di
lavoro (art. 88 del Regolamento), e in particolare le norme che stabiliscono il divieto
per il datore di lavoro di acquisire o comunque “trattare” dati relativi alla salute o alla
sfera privata e alle convinzioni personali che “non [siano] attinenti alla valutazione
dell’attitudine professionale del lavoratore” (art. 113 del Codice che rinvia agli artt. 8
della l. 20 maggio 1970, n. 300, e 10 del d.lgs. 10 settembre 2003, n. 276). In
particolare, è stato ribadito che, sulla base dello stato della regolazione attualmente in
vigore e stante la libertà di scelta da parte delle persone in ambito vaccinale, fatta
eccezione per il personale operante nei settori in cui non è stato introdotto l’obbligo
vaccinale, il datore di lavoro non è legittimato a trattare i dati personali relativi alla
vaccinazione dei dipendenti, né è consentito far derivare alcuna conseguenza, positiva
o negativa, in ragione della scelta del lavoratore in ordine all’adesione o meno
alla campagna vaccinale. In tale prospettiva, le diverse verifiche devono, nel rispetto
sia dei principi di protezione dei dati che del quadro normativo vigente, essere
effettuate con una diversa cadenza, non potendo ritenersi giustificata — diversamente
da quelle relative al possesso di una valida certificazione verde — l’esecuzione
di verifiche relative all’assolvimento dell’obbligo vaccinale con cadenza ravvicinata
(quotidiana o, comunque, frequente), assicurando in ogni caso il trattamento di dati
esatti e aggiornati (art. 5, § 1, lett. d, del Regolamento). Il quadro normativo è stato
TUTELA DEL LAVORATORE E LIMITI AL POTERE DI CONTROLLO VII.10.I.7.2.3.
ulteriormente aggiornato dal d.l. 7 gennaio 2022, n. 1, convertito in l. 4 marzo 2022,
n. 18, che ha introdotto l’art. 4-quinquies al d.l. n. 44 del 2021, che ha previsto per i
lavoratori che hanno compiuto il cinquantesimo anno di età (o lo compiranno entro
il 15 giugno 2022), l’obbligo del c.d. Green pass rafforzato (rilasciato cioè a seguito di
vaccinazione o di guarigione dal Covid-19) per l’accesso ai luoghi di lavoro, pubblici
e privati, dal 15 febbraio 2022 al 15 giugno 2022. Rispetto a questa previsione, il
Garante, nel ribadire il necessario rispetto delle misure poste a tutela della riservatezza
dei lavoratori, ha espresso parere favorevole (Provvedimento n. 57 del 18
febbraio 2022). Per completezza, si segnala che il Garante si è pronunciato anche con
riferimento alla questione della digitalizzazione delle certificazioni di esenzione dalla
vaccinazione Covid, introdotta con d.P.C.M. 4 febbraio 2022. In particolare, l’Autorità
(Provvedimento n. 18 del 27 gennaio 2022) ha ribadito la necessità di tutelare i
soggetti esenti dalla vaccinazione, assicurando agli stessi la possibilità di presentare
un documento digitale dotato di QR Code che, attraverso l’uso di sistemi di verifica
previsti dalla normativa vigente, rilevi le medesime informazioni delle certificazioni
verdi, ovvero quelle relative all’autenticità, alla validità e all’integrità della certificazione
e alle generalità dell’interessato, senza che siano anche visibili le informazioni
che ne hanno determinato l’emissione.
8. Dati di carattere giudiziario. L’entrata in vigore del Regolamento ha
comportato una sostanziale novità per quanto riguarda il trattamento dei dati personali
relativi a condanne penali e a reati, stabilendo che è consentito esclusivamente
se avviene sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal
diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti
e le libertà degli interessati (art. 10 Regolamento). Il principio è stato declinato nel
nostro ordinamento dall’art. 2-octies del d.lgs. 196/2003 come modificato dal d.lgs.
101/2018, il quale, oltre a ribadire la predetta previsione, ha stabilito che in mancanza
delle disposizioni di legge o di regolamento, il trattamento dei dati in questione e le
relative garanzie sono individuati con decreto del Ministro della Giustizia, sentito il
Garante, decreto che, allo stato, non è stato ancora emanato. Per quanto qui più
direttamente interessa, va altresì segnalato che il comma 3 del cit. art. 2-octies prevede
che, fermo quanto sopra, il trattamento dei dati personali relativi a condanne penali
o a reati o a connesse misure di sicurezza è consentito in alcune ipotesi, tra cui nei casi
di “adempimento di obblighi e esercizio di diritti da parte del titolare o dell’interessato
in materia di diritto del lavoro o comunque nell’ambito dei rapporti di lavoro,
nei limiti stabiliti da leggi, regolamenti e contratti collettivi, secondo quanto previsto
dagli artt. 9, paragrafo 2, lett. b, e 88 del Regolamento”. Va infine ricordato, per la
definizione del quadro normativo di riferimento, che con il Provvedimento n. 146 del
2019 — con cui il Garante ha individuato le prescrizioni contenute nelle autorizzazioni
generali già adottate compatibili con il Regolamento — è stato stabilito che
l’autorizzazione generale al trattamento dei dati giudiziari da parte di privati, di enti
pubblici economici e di soggetti pubblici n. 7/2016, ha cessato di produrre effetti
giuridici alla data del 19 settembre 2019, in ragione del regime applicabile a tali dati
in base alla normativa europea. Considerato quanto sopra, ne risulta che, allo stato,
VII.10.I.8. SVOLGIMENTO DEL RAPPORTO: DIRITTI E DOVERI
i datori di lavoro non possono trattare lecitamente dati giudiziari, fatta eccezione per
le ipotesi in cui il trattamento degli stessi trovi la sua base giuridica nella legge, come
per i casi espressamente previsti dal legislatore per determinate attività (v. ad es.:
art. 25-bis, d.P.R. 14 novembre 2002, n. 313 in relazione allo svolgimento di attività
professionali o volontarie organizzate che comportino contatti diretti e regolari con
minori; art. 76, d. lgs. 7 settembre 2005, n. 209 s.m.i. e d.m. 11 novembre 2011, n. 220
con riferimento ai soggetti che svolgono funzioni di amministrazione, di direzione e
di controllo presso le imprese di assicurazione e di riassicurazione; d.m. 29 luglio
2015, art. 2, c. 4, con riferimento ai dipendenti del titolare di un’autorizzazione
generale nel settore postale). Né per il trattamento dei dati in questione è possibile far
riferimento a basi giuridiche diverse. In proposito, si segnalano due Provvedimenti
adottati dal Garante relativi a fattispecie in cui il datore di lavoro richiedeva ai
lavoratori il certificato del casellario giudiziale. Rispetto a queste ipotesi, è stato
ritenuto che il contratto collettivo nazionale di lavoro richiamato dal datore di lavoro
al fine di giustificare la richiesta, non può costituire adeguata base giuridica del
trattamento, alla luce di quanto stabilito dalla richiamata disciplina europea e che, in
ogni caso, la disciplina contrattuale richiamata appariva generica, prevedendo la
possibilità di acquisire dati giudiziari indipendentemente dal tipo di mansioni svolte
dal dipendente (Provvedimenti nn. 314 e 315 del 22 maggio 2018). L’individuazione
dei termini e delle modalità di trattamento di questi dati, deve, pertanto, ritenersi
sospesa, con i limiti sopra indicati, fino all’emanazione del decreto del Ministero della
Giustizia. Sul punto, si segnala che il Garante, con Provvedimento n. 247 del 24
giugno 2021, ha espresso un parere sullo schema del predetto decreto, suggerendo
talune modifiche ed integrazioni. In particolare, con riferimento al trattamento dei
dati giudiziari in ambito lavoristico, ha sottolineato la necessità di adottare specifiche
garanzie modulate su tale realtà, evidenziando: a) la necessità di sopprimere qualsiasi
riferimento al consenso del trattamento di questi dati, in ragione dell’attenuazione
che il requisito della libertà del consenso stesso subisce a motivo dell’asimmetria del
rapporto tra il titolare e l’interessato in simili contesti; b) prevedere che il titolare/
datore di lavoro predisponga una valutazione di impatto sulla protezione dei dati ai
sensi dell’art. 35 del Regolamento, al fine di individuare le categorie di personale, o
le specifiche posizioni per le quali, in ragione delle mansioni o funzioni svolte, è
necessario trattare dati giudiziari ai fini della verifica dei requisiti soggettivi o di
onorabilità; c) prevedere l’opportunità di sostituire i termini “fissi “di conservazione
(che nella bozza sono stabiliti per un durata pari a due anni dalla cessazione del
rapporto, fatta salva l’esigenza di ulteriore conservazione, ai fini di tutela giurisdizionale
dei diritti), con un generale richiamo al principio di limitazione della conservazione
e, quindi, all’esigenza di cancellazione dei dati, una volta perseguito lo scopo
sotteso al trattamento.
9. Dati biometrici.
9.1. Il quadro normativo. Il Regolamento definisce i dati biometrici come
“i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche,
fisiologiche o comportamentali di una persona fisica che ne consentono o
TUTELA DEL LAVORATORE E LIMITI AL POTERE DI CONTROLLO VII.10.I.9.1.
confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”
(art. 4, § 1, n. 14). Le caratteristiche principali di questi dati sono dunque: l’esclusività,
essendo unici per ogni persona; la permanenza, nel senso di immodificabilità
(salvo incidenti e/o traumi); la certezza, in quanto consentono di accertare con
certezza assoluta la persona a cui appartengono. Il trattamento dei dati biometrici (di
regola vietato) è consentito al ricorrere di una delle condizioni indicate dell’art. 9, §
2 del Regolamento e, in ambito lavorativo, solo quando sia “necessario per assolvere
gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato
in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella
misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un
contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie
appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, § 2, lett.
b, del Regolamento; v. pure, art. 88, § 1 e considerando nn. 51-53 del Regolamento).
Il quadro normativo vigente prevede inoltre che il trattamento di dati biometrici, per
poter essere lecitamente posto in essere, avvenga nel rispetto di “ulteriori condizioni,
comprese limitazioni” (cfr. art. 9, § 4, del Regolamento). A tale disposizione è stata
data attuazione, nell’ordinamento nazionale, con l’art. 2-septies d.lgs. 196/2003, come
modificato dal d.lgs. 101/2018, secondo cui è lecito il trattamento di tali categorie di
dati al ricorrere di una delle condizioni di cui all’art. 9, § 2, del Regolamento ed in
conformità alle misure di garanzia disposte dal Garante, in relazione a ciascuna
categoria dei dati. Tali misure di garanzie individuano le misure di sicurezza, ivi
comprese le tecniche di cifratura e di pseudonomizzazione, le misure di minimizzazione,
le specifiche modalità per l’accesso selettivo ai dati e per rendere le informazioni
agli interessati, nonché le altre misure necessarie a garantire i diritti degli
interessati. Come specificato nella relazione annuale relativa all’anno 2020, il Garante
sta proseguendo nei lavori per la predisposizione del provvedimento che individua
tali misure di garanzia, per cui, allo stato, il trattamento è consentito solo sulla base
dell’art. 2-septies, c. 7, con riguardo all’“accesso fisico e logico ai dati da parte di
soggetti autorizzati” per specifiche finalità di sicurezza. Non rientrano comunque in
tale ambito, precisa il Garante nella medesima Relazione, i trattamenti effettuati per
finalità di controllo dell’autenticazione all’accesso ad aree particolari e riservate, così
come quelli finalizzati alla rilevazione della presenza in servizio.
9.2. I sistemi di rilevazione delle presenze. Nel sistema ante Regolamento,
i dati biometrici, pur non essendo considerati quali dati sensibili, erano soggetti ad un
regime di tutela particolare, in base al quale i datori di lavoro potevano iniziare il
trattamento, salve specifiche ipotesi di esonero, previa notificazione e solo dopo aver
sottoposto il trattamento alla verifica preliminare del Garante, quali condizioni di
liceità del trattamento prima dell’inizio dello stesso (artt. 17 e 37, c. 1, lett. a, del
Codice, nel testo antecedente alle modifiche del d.lgs. n. 101/2018; cfr. Provvedimento
generale prescrittivo in tema di biometria, 12 novembre 2014, n. 513; Linee
guida per il trattamento dei dati dipendenti privati del 23 novembre 2006, n. 53;
Linee guida per il lavoro pubblico del. 14 giugno 2007; nonché provv. 22 ottobre
2015, n. 552; 17 marzo 2016, n. 129; 24 maggio 2017, n. 249). In questo delicato
ambito, il Garante aveva in più occasioni evidenziato che i principi di protezione dei
dati impongono che, prima dell’adozione di sistemi biometrici di rilevazione delle
VII.10.I.9.2. SVOLGIMENTO DEL RAPPORTO: DIRITTI E DOVERI
presenze, siano preventivamente considerati altri sistemi, dispositivi e misure di
sicurezza — meno invasive — che possano assicurare l’attendibile verifica delle
presenze, senza fare ricorso al trattamento dei dati biometrici. Nelle cit. Linee guida
in materia di trattamento di dati personali di lavoratori per finalità di gestione del
rapporto di lavoro alle dipendenze di datori di lavoro privati del 2006 è infatti
previsto che l’utilizzo dei dati biometrici può essere giustificato solo in casi particolari,
considerate le finalità e il contesto in cui sono trattati e, in relazione ai luoghi di
lavoro, per presidiare accessi ad aree sensibili, considerata la natura dell’attività
svolta, i processi produttivi pericolosi, sottoposti a segreti di varia natura, locali
destinati alla custodia dei beni, documenti segreti o elevati oggetti di valore. Analogamente,
con riferimento al lavoro pubblico, le cit. Linee guida prevedevano che,
ferme restando le misure di sicurezza, è ammesso l’utilizzo dei dati biometrici con
riguardo alle procedure di accesso fisico e logico ai dati da parte di soggetti autorizzati,
nel rispetto delle misure di garanzia. In tale quadro, con riguardo ad alcuni casi
di uso generalizzato dei sistemi biometrici nel contesto lavorativo, a fronte di generiche
esigenze di prevenzione circa l’eventuale utilizzo distorto dei badge, il Garante
ha valutato non proporzionato il relativo trattamento (cfr., Provv. 30 maggio 2013
nn. 261 e 262 e 1° agosto 2013, n. 384, Provvedimenti nn. 124 e 129 del 1° marzo
2018), ammettendolo, invece, in limitate ipotesi e in presenza di obiettive e documentate
esigenze che rendessero indispensabile l’adozione di tali sistemi, tenuto
conto della specificità del caso concreto, del contesto socio-economico di riferimento
e delle caratteristiche della tecnologia impiegata (cfr., ad esempio, provv. 18 giugno
2015, n. 361, provv. 10 giugno 2011, n. 228, provv. 15 settembre 2016 n. 357). Il
rafforzamento delle tutele dei dati biometrici previste nel Regolamento e nel Codice,
come modificato dal d.lgs. n. 101/2018, mediante l’inclusione degli stessi nelle categorie
di dati particolari, ha riguardato, come sopra accennato, in primis i presupposti
giuridici che rendono leciti i trattamenti di tali categorie di dati e, quindi, oltre alle
misure di garanzia disposte dal Garante, l’esistenza di una previsione di legge. Sul
punto, va ricordato che nel contesto degli interventi per la concretezza delle azioni
delle pubbliche amministrazioni e la prevenzione dell’assenteismo, l’art. 2 della l.
56/2019 prevedeva che “ai fini della verifica dell’osservanza dell’orario di lavoro, le
amministrazioni pubbliche […] introducono […] sistemi di verifica biometrica dell’identità
e di video sorveglianza degli accessi, in sostituzione dei diversi sistemi di
rilevazione automatica attualmente in uso, nel rispetto dei principi di proporzionalità,
non eccedenza e gradualità sanciti dal Regolamento 2016/679 e del principio di
proporzionalità previsto dall’art. 52 della Carta dei diritti fondamentali dell’Unione
europea”, rinviando ad un decreto del Presidente del Consiglio l’attuazione di tali
disposizioni. È interessante ricordare che il Garante ha espresso un parere relativamente
allo schema di decreto in discorso rilevando, tra l’altro, che l’obbligatorio
impiego contestuale dei due sistemi di verifica (dati biometrici e videosorveglianza)
contrasta con i principi di necessità e proporzionalità; che l’astratta, generalizzata ed
indifferenziata presunzione di sussistenza, per tutte le amministrazioni pubbliche, di
necessaria adozione di tecniche biometriche, contrasta con il principio di proporzionalità;
che la configurazione obbligatoria del sistema di rilevazione delle presenze
rende la previsione incompatibile con i principi di proporzionalità, non eccedenza e
TUTELA DEL LAVORATORE E LIMITI AL POTERE DI CONTROLLO VII.10.I.9.2.
minimizzazione (Provvedimento n. 167 del 19 settembre 2019). In ogni caso, l’iter
normativo, indispensabile a integrare il sistema delle basi giuridiche del trattamento
richiesto dal Regolamento e dal Codice con riguardo ai dati biometrici, non è statoconcluso
— non essendo stato adottato il regolamento attuativo, che avrebbe dovuto
contenere specifiche garanzie per circoscrivere e specificare la portata della norma,
nonché regolare le principali caratteristiche e modalità del trattamento — e, l’art. 1,
c. 958 della legge 30 dicembre 2020, n. 178 (c.d. Legge di Bilancio 2021) ha abrogato
i commi da 1 a 4 dell’articolo 2 della legge 19 giugno 2019, n. 56. Allo stato attuale,
pertanto, non sussiste un’idonea base giuridica che possa soddisfare i requisiti richiesti
dal Regolamento e dal Codice per legittimare le amministrazioni pubbliche a
porre in essere il trattamento dei dati biometrici per finalità di rilevazione delle
presenze dei dipendenti ai sensi dell’art. 9, § 2, lett. b) del Regolamento. Né, ha
chiarito il Garante (provv. n. 16 del 14 gennaio 2021), il difetto di base giuridica, in
merito al trattamento dei dati biometrici, può essere superato dal consenso dei
dipendenti, posto che lo stesso non costituisce, di regola, un valido presupposto di
liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente
dalla natura pubblica o privata del datore di lavoro. Analogamente, un siffatto
trattamento non può essere lecitamente effettuato richiamando il legittimo interesse
del titolare del trattamento, in quanto, non essendo indicato all’art. 9, § 2, del
Regolamento, lo stesso non può costituire idonea deroga al generale divieto di
trattare categorie particolari di dati personali. Il trattamento dei dati biometrici è
stato oggetto anche di attenzione da parte della giurisprudenza. La Cassazione (sent.
15 ottobre 2018, n. 25686, nota di Vizzoni, Badge, algoritmi e identificazione dei lavoratori:
la cassazione e il trattamento dei dati biometrici, in Responsabilità civile e previdenza,
2019, 4, 643ss; SITZIA-CRAFA, Impronte digitali, algoritmo e trattamento dei dati personali:
questioni di law and tecnology, LG, 2019, 3, 244) ha deciso che configura un trattamento
di dati personali ai sensi del d.lgs. n. 196/2003 l’installazione di un sistema di
rilevazione biometrica (basato sull’archiviazione della geometria della mano) che,
attraverso un algoritmo, consenta di risalire al lavoratore al quale appartiene il dato
e, quindi, di identificarlo indirettamente, e ciò in linea con quanto ritenuto dal
garante nel suo provvedimento relativo al caso di specie.