GDPR: provvedimenti e sanzioni, affondano i modulifici

di Andrea Merati – Consulente sistemi di gestione aziendale

 

In avvicinamento al Santo Natale, con la Redazione, abbiamo pensato di far gradito dono di una escursione tra suggestivi provvedimenti italiani e lussureggianti scenari sanzionatori europei.  

Imperdibile quindi il n. 176 della Gazzetta Ufficiale: uscito lo scorso 29 luglio, ci ha portato il Provvedimento del Garante della privacy, recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del D.lgs. n. 101 del 10 agosto 2018.
Con rapidità fulminante, cotanto provvedimento porta a termine la procedura di revisione, ai sensi del GDPR, delle nove Autorizzazioni Generali rilasciate nel 2016 in vigenza del D.lgs. n. 196/2003 nella sua precedente versione ancora non contaminata dal D.lgs. n. 101/2018. Nel provvedimento troviamo poche novità ma, almeno, viene a far ordine e presentarsi come riferimento abbastanza raro, in questo periodo storico dove si filosofeggia incessantemente intorno a una materia che necessiterebbe una concreta azione legislativa e normativa. In entrata si trova la lista dei soggetti pubblici e privati che dovranno sottostare a taluni obblighi per poter trattare particolari categorie di dati personali legati a: salute; opinioni politiche; origine etnica; orientamento sessuale. In particolare, le disposizioni del provvedimento riguardano il trattamento dei dati: nei rapporti di lavoro; da parte degli organismi di tipo associativo, delle fondazioni, di chiese e associazioni o comunità religiose, nonché degli investigatori privati; genetici; effettuato per scopi di ricerca scientifica. 

Visto lo specifico uditorio di questa testata, la prosecuzione del testo si concentrerà sull’applicazione del provvedimento per il governo della privacy sulla Stazione Spaziale Freedom, nonché per l’inderogabile risoluzione del problema inerente la gestione dei contatti, per le pasticcerie che consegnano torte a domicilio. 

Trattamento di categorie particolari di dati nei rapporti di lavoro 

Il Garante stabilisce che in presenza di un dato personale in grado di identificare una persona fisica e di un rapporto di lavoro (subordinato, autonomo, libero-professionale di amministrazione o collaborazione; insomma: qualsiasi caso in cui si identifica un lavoratore) trovano applicazione le prescrizioni del provvedimento. Queste si applicano nei confronti di tutti coloro che, a vario titolo (titolare o co-titolare, responsabile o sub-responsabile del trattamento), effettuano trattamenti per finalità d’instaurazione, gestione ed estinzione del rapporto di lavoro, in particolare: 

  • agenzie per il lavoro e altri soggetti che, in conformità alla legge, svolgono, nell’interesse di terzi, attività di intermediazione, ricerca e selezione del personale o supporto alla ricollocazione professionale, ivi compresi gli enti di formazione accreditati;  
  • persone fisiche e giuridiche, imprese, anche sociali, enti, associazioni e organismi che sono parte di un rapporto di lavoro o che utilizzano prestazioni lavorative anche atipiche, parziali o temporanee, o che comunque conferiscono un incarico professionale;  
  • organismi paritetici o che gestiscono osservatori in materia di lavoro;  
  • rappresentante dei lavoratori per la sicurezza, anche territoriale e di sito;  
  • soggetti che curano gli adempimenti in materia di lavoro, di previdenza e assistenza sociale e fiscale nell’interesse di altri soggetti che sono parte di un rapporto di lavoro dipendente o autonomo;  
  • associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro;  
  • medico competente in materia di salute e sicurezza sul lavoro, che opera in qualità di libero professionista o di dipendente del datore di lavoro o di strutture convenzionate.  

Di seguito, il provvedimento indica le finalità del trattamento dei dati connesse al trattamento: 

  • instaurazione, gestione ed estinzione del rapporto di lavoro 
  • difesa di un diritto in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione. 

 

Quindi non resta che produrre informative intelligenti (non significa lunghe e verbose, significa scritte con competenza e raziocinio – termine decaduto come la nobiltà ma di significato e valore da non scordare), nomine personalizzate e non generiche ma, soprattutto, una solida base di accountability (su questa non torno perché non voglio annoiare di nuovo con il realismo che deprime l’economia dei documentifici). 

Molto più interessanti risultano invece le decisioni che ci vengono dal Garante greco e dalla Corte Europea dei Diritti Umani. 

Il caso greco: una sanzione seria e dirimente 

Il Garante greco ha condotto un’indagine in merito alla legittimità del trattamento di dati personali degli impiegati di PWC BS, nata da un reclamo presentato da un’organizzazione sindacale, secondo il quale il datore di lavoro aveva scorrettamente richiesto il consenso dei dipendenti come base giuridica del trattamento.
Per l’autorità greca il consenso del dipendente non può essere considerato come liberamente concesso nell’ambito del rapporto di lavoro a causa dell’evidente squilibrio tra le parti. Le basi giuridiche corrette per questo trattamento sono il contratto di lavoro, l’adempimento di obblighi di legge del titolare del trattamento o il suo legittimo interesse, che consiste nel funzionamento regolare ed efficace dell’azienda.
Il Garante ha ritenuto che il principio di accountability o responsabilizzazione (art. 5, par. 2 del GDPR) sia stato così violato. In particolare, è stato richiesto ai dipendenti di firmare un documento con il quale riconoscevano che i loro dati personali – trattati dall’azienda – fossero direttamente collegati, pertinenti e appropriati al rapporto di lavoro e all’organizzazione dell’attività lavorativa stessa. Il Garante greco ha chiarito che è onere del titolare adottare un modello di gestione del trattamento che sia capace di dimostrare la corretta applicazione dei principi del Regolamento EU 2016/679, senza che venga scaricato sulle spalle dell’interessato. 

Quindi, ai sensi dell’art. 58, par. 2 ha imposto delle misure correttive tali da comportare l’immediato adeguamento della Società al Regolamento e, per l’art. 83, ha comminato una sanzione amministrativa pecuniaria di 150 mila euro (in misura del fatturato rilevato dai bilanci pubblicati).
Vero che si tratta di contesto greco ma il GDPR è europeo, perciò nasce la speranza che i consulenti (naturalmente mi riferisco solo a quelli della mia stessa origine professionale, mai mi permetterei di inserire il mio apparato olfattivo in faccende di altri ben più illustri) facciano sparire tutte quelle improbabili richieste di consenso che negli ultimi due anni mi sono state presentate come geniali e costose produzioni di esperti ben informati e collaudati. 

La videosorveglianza occulta e tutti i suoi limiti 

La Grande Camera della Corte Europea dei Diritti Umani, il 17 ottobre scorso, ha emesso la sentenza definitiva sul caso che si è verificato in un supermercato spagnolo, dove alcuni dipendenti sono stati licenziati dopo che l’azienda li aveva sorpresi, tramite l’uso di telecamere, a rubare o a rendersi complici dei furti. I lavoratori un po’ ladri, all’epoca degli accadimenti, fecero ricorso lamentando la violazione della loro privacy. Il mancato accoglimento da parte dei tribunali spagnoli ha portato la furfanteria fino a Strasburgo, dove i giudici della Corte europea, nel caso specifico, hanno sentenziato che non ci sarebbe stata nessuna violazione dei diritti dei lavoratori, dal momento che la decisione dall’azienda era motivata da sospetti circostanziati e ammanchi provati; inoltre, la videosorveglianza è rimasta attiva unicamente per dieci giorni, e i filmati sono stati visualizzati soltanto da un numero circoscritto di persone e per una precisa finalità. 

Per concludere e non generare una schiera di improvvidi e improbabili Maigret della video indagine si riporta testualmente il parere del Garante italiano. “La sentenza della Grande Camera della Corte di Strasburgo se da una parte giustifica, nel caso di specie, le telecamere nascoste, dall’altra conferma però il principio di proporzionalità come requisito essenziale di legittimazione dei controlli in ambito lavorativo. L’installazione di telecamere nascoste sul luogo di lavoro è stata infatti ritenuta ammissibile dalla Corte solo perché, nel caso che le era stato sottoposto, ricorrevano determinati presupposti: vi erano fondati e ragionevoli sospetti di furti commessi dai lavoratori ai danni del patrimonio aziendale, l’area oggetto di ripresa, peraltro aperta al pubblico, era alquanto circoscritta, le videocamere erano state in funzione per un periodo temporale limitato, non era possibile ricorrere a mezzi alternativi e le immagini captate erano state utilizzate soltanto a fini di prova dei furti commessi. La videosorveglianza occulta è, dunque, ammessa solo in quanto extrema ratio, a fronte di ‘gravi illeciti’ e con modalità spazio-temporali tali da limitare al massimo l’incidenza del controllo sul lavoratore. Non può dunque diventare una prassi ordinaria. Il requisito essenziale perché i controlli sul lavoro, anche quelli difensivi, siano legittimi resta dunque, per la Corte, la loro rigorosa proporzionalità e non eccedenza: capisaldi della disciplina di protezione dati la cui ‘funzione sociale’ si conferma, anche sotto questo profilo, sempre più centrale perché capace di coniugare dignità e iniziativa economica, libertà e tecnica, garanzie e doveri”. 

A beneficio degli astronauti in lettura, ci è noto che la Stazione Spaziale Freedom non è mai stata completata. 

Preleva l’articolo completo in pdf