Controlli sui lavoratori: provvedimenti del Garante

Indice:

1. Breve analisi dei fatti oggetto dei provvedimenti del Garante

2. I rilievi svolti dal Garante per la Protezione dei Dati Personali nei provvedimenti in questione

3. Spunti e riflessioni conclusive

 

1. Breve analisi dei fatti oggetto dei provvedimenti del Garante

In data 15 aprile 2021 il Garante per la protezione dei Dati Personali si è pronunciato in merito a due casi che hanno riguardato il delicato tema dei controlli sui lavoratori.

Nello specifico, con il provvedimento n. 137 (leggibile al Link) il Garante è intervenuto a seguito di due reclami, ricevuti da due dipendenti di una società, attiva nel settore pubblicitario, volti a contestare la carenza delle informazioni fornite dal titolare, con particolare riferimento alle modalità dei controlli sui dispositivi aziendali, effettuati da parte del titolare, in coordinamento con la propria controllante, per effetto del ricevimento di una segnalazione interna (“whistleblowing”).

Dall’analisi dei fatti, era risultato che la società aveva provveduto a contattare via email alcuni dipendenti, preavvertendoli, con un solo giorno di anticipo, che il giorno successivo sarebbero stati ritirati i dispositivi aziendali assegnati (pc e smartphone) per esigenze legate allo svolgimento di una indagine fiscale interna.

A seguito dell’acquisizione dei dispositivi, erano stati effettuate, per il tramite di un fornitore appositamente incaricato, le attività di investigazione, che, in particolare, si erano svolte attraverso operazioni di “imaging”, basate sulla copiatura di tutti i contenuti presenti nei dispositivi.

Merita di essere evidenziato che sia la società titolare dei trattamenti che la società controllante avevano predisposto una serie di “policy” e regolamenti interni, volti a disciplinare le modalità di utilizzo delle strumentazioni e attrezzature informatiche assegnate in dotazione, contenenti, altresì, riferimenti, con diversi livelli di specificazione, all’effettuazione di controlli sulle email, sulla navigazione internet e comunicazioni telefoniche.

In un ulteriore provvedimento (si tratta del provvedimento n. 136, leggibile al Link)  il Garante si è pronunciato a seguito di un reclamo, presentato da undici lavoratori per il tramite del sindacato di riferimento, con cui erano state contestate violazioni della normativa in materia di protezione dei dati personali derivanti dall’utilizzo di un sistema informatico di gestione della produttività, oggetto di autorizzazione da parte dell’Ispettorato territoriale del lavoro. In particolare, con il reclamo era evidenziato che il sistema obbligava i lavoratori “ad inserire una password individuale sulla postazione di lavoro prima di iniziare la produzione, archiviando i dati dei singoli lavoratori relativamente a fermi e alla produzione durante le 8 ore lavorative”.

All’esito dell’istruttoria, era emerso che i dati raccolti tramite il sistema erano di fatto riconducibili ad interessati identificabili attraverso l’utilizzo di ulteriori informazioni nella disponibilità del titolare, e ciò diversamente da quanto era stato indicato nell’informativa, in cui, invece, era stato specificato che i dati relativi alla produzione erano archiviati in forma aggregata. Nel caso in questione, l’identificabilità degli interessati era stata rilevata dal Garante in ragione di alcuni elementi, tra cui la conservazione dei log di accesso, dei registri di sicurezza e qualità e delle proposte di miglioramento e degli interventi di manutenzione inerenti al sistema.

Era, inoltre, stato riscontrato che, unitamente al sistema informatico, coesisteva anche un sistema manuale/cartaceo di raccolta dei dati, composto di moduli cartacei, in cui il nominativo del lavoratore era riportato in chiaro, con l’ulteriore constatazione che i moduli erano poi registrati su apposito software senza alcuna segregazione.

All’esito delle istruttorie svolte nell’ambito dei succitati procedimenti sopra indicati, l’Autorità ha irrogato sanzioni pecuniarie rispettivamente pari ad Euro 70.000 e 40.000, oltre a disporre l’adozione di misure correttive.

 

2. I rilievi svolti dal Garante per la Protezione dei Dati Personali nei provvedimenti in questione

Con riguardo al primo dei provvedimenti sopra menzionati, il Garante, ha, in primo luogo rilevato la genericità e non completezza delle informazioni fornite dal titolare, ritenendole carenti e non in linea con il principio di trasparenza: a fronte, infatti, di un generico riferimento alla possibilità per la società di comunicare dati personali a soggetti terzi nell’ambito dell’attività di audit nonché per finalità di gestione di eventuali controversie e procedimenti disciplinari, erano mancate indicazioni specifiche sulle modalità di controllo sui dispositivi aziendali e in particolare relativamente alla possibilità che i dispositivi aziendali potessero essere sottoposti ad indagini sui contenuti memorizzati sugli stessi, mediante “imaging”.

Inoltre, è stata ritenuta del tutto insufficiente la comunicazione ai lavoratori delle policy e dei documenti interni mediante la collocazione degli stessi in una cartella condivisa accessibile dai singoli lavoratori. Per il Garante, a questo riguardo, è mancata la prova che tale documentazione fosse stata adeguatamente ed effettivamente posta a conoscenza di tutti i dipendenti, circostanza che avrebbe potuto ritenersi dimostrata, ad esempio, attraverso avvisi o notifiche (anche via email) contenenti il mero invito a prenderne conoscenza, sia al momento della relativa adozione che in occasione di successivi eventuali aggiornamenti.

In merito a tale aspetto, in particolare, il Garante ha precisato che l’adeguata ed effettiva pubblicizzazione dei documenti relativi alla possibilità di effettuare controlli era tanto più necessaria in applicazione dei principi di trasparenza e di correttezza, quanto più il grado dei controlli prospettato era da considerarsi “profondo ed intrusivo”.

In sintesi, le circostanze di fatto emerse nel corso del procedimento hanno indotto il Garante a ribadire la necessità per il titolare di indicare previamente e in modo trasparente tutte le informazioni inerenti ai trattamenti riferibili agli interessati, ivi incluse le attività di controllo “ciò allo scopo di consentire agli interessati di essere pienamente consapevoli della tipologia di operazioni di trattamento che potranno essere svolte anche attingendo , in un quadro di liceità, ai dati raccolti nel corso dell’attività lavorativa”.

A ciò si aggiunga che la necessità di fornire informazioni nell’ottica del principio di correttezza e trasparenza in merito alle modalità di uso delle strumentazioni e di effettuazione dei controlli è espressamente prevista dall’articolo 4, comma 3, dello Statuto dei Lavoratori.

Le considerazioni sopra indicate hanno, conseguentemente, indotto il Garante a ritenere le modalità operative adottate dal titolare non in linea con quanto previsto dall’articolo 13 del GDPR né con il principio generale di correttezza dei trattamenti, di cui all’att. 5, par. 1, lett. a), ancor più rilevante nell’ambito dei rapporti di lavoro.

Un ulteriore punto di sicuro interesse nell’ambito del procedimento in questione riguarda la disciplina dei rapporti infragruppo, dal punto di vista dei ruoli privacy e della corretta individuazione della base giuridica del flusso dei dati.

Dai rilievi effettuati nel corso dell’istruttoria é emerso che la società capogruppo aveva agito in base al proprio legittimo interesse, consistente nella necessità di difendere e far valere i propri diritti.

In proposito, il Garante – nel fare riferimento alle proprie “Linee Guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati del 23 novembre 2006 – ha rilevato che le società del gruppo hanno di regola una distinta ed autonoma titolarità in relazione ai dati personali dei propri dipendenti e che le società controllate e collegate possono delegare la società capogruppo a svolgere adempimenti in materia di lavoro, previdenza e assistenza sociale per i lavoratori mediante la designazione di quest’ultima quale responsabile del trattamento.

Sulla base di tali premesse, il Garante ha espressamente riconosciuto che “non è consentito ricorrere al legittimo interesse come base giuridica idonea per la comunicazione dei dati dei dipendenti tra la società e la capogruppo, posto che non si può ritenere sussistente tale condizione di liceità solo perché altre condizioni a maggior ragione astrattamente realizzabili non ricorrono”. Peraltro, dall’istruttoria era emerso – anche volendo considerare la base giuridica del legittimo interesse – che la società non aveva, comunque, provveduto ad effettuare la valutazione comparativa (il c.d. “test di bilanciamento”) all’uopo richiesta in relazione a tale base giuridica.

Anche tale elemento ha portato il Garante a concludere che la società titolare aveva effettuato trattamenti di dati personali mediante condivisione con la capogruppo in assenza di una delle condizioni di liceità di cui all’articolo 6 del GDPR.

Di particolare interesse risulta, infine, l’analisi effettuata dal Garante dei diversi documenti aziendali interni (anche a livello di gruppo) diretti a disciplinare l’utilizzo degli strumenti e dispositivi aziendali assegnati e le relative attività di controllo svolte.

Nel provvedimento vengono riportate alcune disposizioni presenti nella documentazione aziendale esaminata, mediante le quali viene, in particolare, indicato che: “il gruppo …si riserva la possibilità di controllare che il contenuto delle email non sia illecito o sia contrario ai propri interessi.” E che “l’uso di password o cartelle con nomi personali non rende questi messaggi privati e che l’Azienda potrà scavalcare dette password e/o accesso a dette cartelle qualora lo ritenga necessario…”; oppure, ancora, che “il gruppo… si riserva il diritto di monitorarne l’uso [delle email] ai fini dell’amministrazione di sistema entro i limiti mdi legge e di verificarne eventuali contenuti illeciti o contrari alla sua attività” e che “il gruppo… dispone di strumenti che permettono di monitorare l’uso di internet da parte degli utenti, al fine di salvaguardare la sicurezza dei propri dati e dei propri sistemi.”. nonché che “la società può disporre il monitoraggio della posta elettronica” e che è prevista “la possibilità di ascoltare telefonate, dio monitorare o accedere alle email o ai documenti elettronici di dipendenti e collaboratori nel perseguimento del legittimo interesse [della controllante] o per prevenire o contrastare reati” nonché che la società “si riserva il diritto di ispezionare o monitorare (direttamente oppure tramite il fornitore di servizi esterni) qualsiasi servizio informatico dell’azienda…”.

Al riguardo, è stata riscontrata la predisposizione di una pluralità di documenti con riferimenti alla medesima attività di controllo; è, inoltre, stato rilevato come, dalle richiamate disposizioni, emergesse la facoltà di effettuare attività di monitoraggio sia del flusso della posta elettronica, con possibilità per la società di scavalcare le password di accesso, sia della navigazione in internet, peraltro a fronte di circostanze e occorrenze genericamente rappresentate.

A ciò si aggiunga la rilevanza della necessaria gradualità dei controlli, posto che, per il Garante, acquisizioni sistematiche e massive di dati e accertamenti non graduali sono in contrasto con i principi di minimizzazione e di proporzionalità; da tali constatazioni deriva, pertanto, la possibilità per il titolare di effettuare attività di varia incidenza, via via crescenti (ad esempio, adozione, in primo luogo, di misure preventive, quali la redazione di black list di siti internet non consentiti nonché accertamenti da svolgersi gradualmente, a cominciare da quelli su base aggregata).

Quanto sopra risulta ancora più rilevante laddove – come nel caso in questione – i dipendenti siano stati oggetto, in prima battuta, di una misura di accertamento particolarmente intrusiva, costituita da operazioni di “imaging”.

Infine, un altro aspetto importante – rilevato dal Garante – riguarda l’assenza di coordinamento tra i numerosi documenti predisposti, in quanto in parte sovrapponibili in relazione al tema dei controlli sulle attività dei lavoratori.

Anche nell’ambito dell’ulteriore provvedimento pronunciato in pari data dal Garante, è stato affrontato il tema della carenza delle informazioni fornite dal titolare relativamente ai trattamenti ed ai controlli effettuati sui lavoratori.

Significativo, in proposito, è il fatto che il titolare abbia comunicato ai soggetti interessati che i dati oggetto del sistema informatico di gestione della produttività erano “raccolti ed archiviati in forma aggregata”, mentre dai rilievi svolti è risultato che i dati raccolti con il sistema, anche quelli riferiti alla produzione, fossero, comunque, ricollegabili ad interessati identificabili, attraverso l’utilizzo di ulteriori dati ed informazioni gestiti, anche in forma cartacea, da parte del titolare (in proposito, sono risultati rilevanti, ai fini della identificabilità degli interessati, i log di accesso, i registri di sicurezza e qualità e delle proposte di miglioramento e degli interventi di manutenzione nonché il fatto che parallelamente al sistema informatico la società utilizzasse anche un sistema basato sulla compilazione di moduli cartacei, nei quali il nominativo dei dipendenti era indicato in chiaro).  

La discrasia tra la realtà rappresentata agli interessati mediante le informazioni fornite dal titolare e i controlli concretamente attuabili ha indotto, conseguentemente, il Garante a riscontrare la violazione dell’articolo 13 del GDPR e la mancata osservanza dei principi di trasparenza e correttezza, ancor più rilevanti nell’ambito dei rapporti di lavoro.

 

3. Spunti e riflessioni conclusive

I provvedimenti oggetto di analisi si rivelano particolarmente utili per le imprese nell’approcciarsi al delicato tema dei controlli sui lavoratori.

Certamente, gli strumenti utilizzati da parte delle imprese nello svolgimento della propria attività nei vari ambiti di operatività consentono, anche grazie ai crescenti e rapidi sviluppi dell’informatica, di raccogliere e trattare un sempre maggior numero di dati (personali e non), in tal modo facilitando i controlli e la supervisione delle attività, incluse quelle dei lavoratori.

Le indicazioni fornite dal Garante della Protezione dei Dati Personali inducono i titolari ad adottare un approccio sempre più consapevole ed attento nella gestione dei dati complessivamente considerati, posto che, anche laddove dati non personali e dati personali – come normalmente può accadere ad esempio nei sistemi di gestione della produttività o nei sistemi di gestione dei rapporti con i clienti – siano indissolubilmente legati le disposizioni del GDPR sono, comunque, destinate a trovare applicazione.

Il grado di “responsabilizzazione” richiesto deve, conseguentemente, indurre il titolare ad una lettura sempre più attenta dei flussi e dei processi ed a fornire ai soggetti interessati una rappresentazione il più possibile precisa, in particolare, quando i trattamenti sono riferiti ai propri lavoratori.

 È richiesto, pertanto, al titolare un continuo sforzo di aggiornamento e di affinamento delle proprie conoscenze e competenze: significativo, al riguardo, è il caso deciso dal Garante in merito al sistema di gestione della produttività, in cui il titolare aveva indicato tra le informazioni fornite, in particolare, che le operazioni di trattamento erano riferite a dati raccolti e archiviati in forma aggregata, dalle quali, conseguentemente, era possibile desumere la non identificabilità degli interessati, come rilevato dallo stesso Gruppo di Lavoro Articolo 29, che nel proprio parere n. 05/2014 sulle tecniche di anonimizzazione, ha qualificato aggregazione e k-anonimato come tecniche “volte ad impedire l’individuazione di persone interessate mediante il loro raggruppamento con almeno k altre persone”. Nel caso specifico, pertanto, un’attenta ricognizione del contesto e dei dati complessivamente trattati (anche quelli trattati in maniera cartacea) avrebbe consentito di fornire agli interessati informazioni più precise ed aderenti alla realtà operativa di riferimento.