Privacy

Lavoro: garanzie per il trattamento e la comunicazione di dati personali dei dipendenti – Garante Privacy, Provv. 02/03/2011

Lavoro: garanzie per il trattamento e la comunicazione di dati personali dei dipendenti – 2 marzo 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

VISTO il provvedimento del 23 novembre 2006, avente ad oggetto il trattamento di dati personali dei lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati (doc. web n. 1364939);

VISTO il reclamo del 22 febbraio 2010 formulato da XY nei confronti del Centro Servizi al Volontariato dei Due Mari;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Mauro Paissan;

PREMESSO

1. XY ha lamentato varie violazioni della disciplina in materia di protezione dei dati personali da parte del Centro Servizi al Volontariato dei Due Mari, organismo presso cui l’istante ha operato in qualità di dipendente.

Il reclamante ha rappresentato che il suddetto centro servizi gli aveva fatto pervenire una missiva (datata 29 ottobre 2009) recante gli indirizzi di numerosi destinatari (tra cui lo stesso reclamante), con la quale erano stati comunicati, in forma tabellare e “cumulativa”, i quantitativi di ferie non fruite da ciascuno di costoro negli anni precedenti, nonché le ore di permesso non godute e quelle da recuperare. Tale quantitativo, a detta dell’istante, sarebbe stato il frutto di conteggi effettuati da soggetti che, in ragione delle mansioni concretamente espletate all’interno del centro (un'”addetta esclusivamente al lavoro [di] segretaria e una lavoratrice […] parasubordinata assunta temporaneamente in sostituzione dell’addetta alla segreteria”), non avrebbero avuto titolo a trattare i dati personali dei dipendenti, perché estranei alle attività di gestione del personale; detto trattamento, peraltro, sarebbe avvenuto senza che all’interessato fosse stata fornita alcuna informativa al riguardo e in assenza del relativo consenso.

La consegna della missiva, per le modalità stesse con cui era avvenuta, avrebbe inoltre reso gli interessati reciprocamente edotti delle informazioni ivi contenute, con la conseguenza che si sarebbe verificata un’indebita comunicazione a terzi dei dati personali riferiti a ciascuno di essi, tra cui l’istante.

Il reclamante ha poi evidenziato –a riprova dell’asserita “scarsa attenzione al diritto a non vedere lesa la riservatezza dei dipendenti” prestata dal centro servizi– che in passato si sarebbero verificati episodi di “abbandono” “sulle scrivanie dei dipendenti e della segreteria” di tabulati (redatti anch’essi in forma “cumulativa”) contenenti dati personali di tutti i lavoratori (concernenti, nel loro complesso: ferie; permessi; assenze e relative causali), con conseguente libera accessibilità agli stessi da parte di chiunque.

Alla luce dei fatti prospettati, il reclamante ha chiesto all’Autorità, in particolare, di:

– ordinare al Centro Servizi al Volontariato dei Due Mari di comunicare in forma intelligibile i dati personali che lo riguardavano, ivi compresi quelli relativi “a ferie, permessi orari retribuiti, banca delle ore da recuperare”;

– accertare l’avvenuta adozione delle misure di sicurezza previste dagli artt. 31 e ss. del Codice;

– emettere ogni altro provvedimento utile alla tutela dei suoi diritti;

– condannare il centro “al pagamento delle spese, competenze ed onorari di giudizio”.

A sostegno delle proprie asserzioni, il reclamante ha prodotto, in particolare: a) copia della missiva datata 29 ottobre 2009, indirizzata contestualmente a una molteplicità di destinatari; b) copia di alcune lettere e istanze presentate in passato al centro servizi, con cui evidenziava alcuni profili di criticità, tra l’altro, proprio in relazione al trattamento dei dati personali dei dipendenti.

2.1. Il Centro Servizi al Volontariato dei Due Mari, con una prima nota del 9 giugno 2010, ha sostenuto che le “ridotte dimensioni dell’ente” (composto da 5 unità, di cui “due addette alla segreteria e, come tali, anche addette alla ricezione e alla gestione dei dati (turni, ferie, permessi, malattia, ecc.) di tutti i lavoratori”) renderebbero “la struttura assolutamente non idonea a ledere la riservatezza dell[‘interessato]”, i cui dati relativi a ferie e ore di permesso sarebbero stati lecitamente trattati nell’ambito delle ordinarie attività di organizzazione e gestione dell'”entourage lavorativo”; inoltre, riguardo all’asserito mancato rilascio al reclamante dell’informativa sul trattamento dei suoi dati personali, il centro servizi ha prodotto l’informativa resa a suo tempo e da costui controfirmata “per ricevuta”, sostenendo (peraltro) l’ultroneità del relativo consenso in ragione, tra l’altro, dell’applicabilità dell’art. 24, comma 1, lett. b) del Codice, essendo il trattamento necessario per dare esecuzione ad obblighi relativi a un rapporto contrattuale di cui l’interessato stesso era parte.

Per quanto concerne la prospettata indebita comunicazione a terzi dei dati personali relativi alle ferie e ai permessi spettanti al reclamante, il centro ha poi evidenziato “l’assenza d[…]i contenuti lesivi” nella missiva, essendo ivi “riportati unicamente dati riepilogativi di un prospetto che non evidenzia alcun tipo di informazione privata”; sintomatico, al riguardo, sarebbe il fatto che “nessun altro dei soggetti interessati [ha] eccepito una siffatta violazione avanzando azione di reclamo”.

2.2. A seguito di ulteriori chiarimenti richiesti dall’Autorità, il centro servizi ha fatto pervenire una seconda nota (datata 19 luglio 2010) con la quale ha precisato di non aver “effettuato alcuna designazione formale relativamente ai “responsabili” o “incaricati” del trattamento in quanto l’art. 29 del Codice della privacy dispone la facoltà in capo al titolare di tale designazione”.

Inoltre, per quel che concerne la comunicazione del 29 ottobre 2009, il centro servizi ha specificato di aver ritenuto “sufficiente al fine di autorizzare lo stesso CSV alla divulgazione di dati comuni” relativi all’interessato “la sottoscrizione dell’informativa da parte [di quest’ultimo] all’atto della stipula del contratto”.

Da ultimo, il centro servizi ha sostenuto di “aver adottato tutte le misure di sicurezza previste dall’art. 31 del Codice”, manifestando comunque la propria disponibilità ad integrare eventualmente le misure già adottate “anche attraverso dei momenti formativi sia individuali che collettivi e con delle verifiche interne periodiche per monitorare costantemente la corretta applicazione della normativa”.

3.1. Il presente reclamo ha ad oggetto il trattamento di dati personali svolto da un centro di servizio con funzioni di sostegno alle organizzazioni di volontariato (art. 15, l. 11 agosto 1991, n. 266) relativamente ai propri dipendenti.

Preliminarmente, si rileva che la richiesta dell’interessato volta ad ottenere la comunicazione in forma intellegibile, da parte del Centro Servizi al Volontariato dei Due Mari, dei dati personali a sé riferiti, ivi compresi quelli relativi “a ferie, permessi orari retribuiti, banca delle ore da recuperare”, tenuto conto della sua peculiarità, deve essere proposta con ricorso (art. 141, comma 1, lett. c) del Codice).

Inoltre, deve essere sin d’ora dichiarata inammissibile la richiesta di risarcimento dei danni formulata dal reclamante, non avendo questa Autorità alcuna competenza al riguardo e fermo restando, comunque, che la medesima richiesta potrà essere eventualmente avanzata, se del caso, dinanzi all’autorità giudiziaria.

Nel merito della vicenda, occorre evidenziare quanto segue.

3.2. Le risultanze istruttorie hanno evidenziato che il reclamante è stato previamente informato in ordine al trattamento dei propri dati personali relativi alle attività di gestione del rapporto di lavoro (tra cui sono ragionevolmente annoverabili le operazioni svolte anche per il tramite dei soggetti indicati nella missiva oggetto di contestazione, in quanto afferenti alla “ricostruzione” del complessivo quadro quantitativo di ferie, permessi, ecc., spettanti all’interessato); tale circostanza risulta comprovata dalla documentazione prodotta dal centro servizi, attestante l’informativa resa all’istante e la relativa controfirma “per ricevuta”.

Vale inoltre rilevare, sul piano generale, che il trattamento dei dati personali, come evidenziato dallo stesso centro servizi, può essere lecitamente svolto dal titolare del trattamento in difetto del consenso dell’interessato qualora il medesimo trattamento sia necessario, come nel caso di specie, per dare esecuzione ad obblighi derivanti da un contratto del quale è parte lo stesso interessato (art. 24, comma 1, lett. b) del Codice).

Alla luce di tali considerazioni –e in ragione del fatto che, dalla documentazione complessivamente prodotta, non emergono, allo stato, elementi idonei a suffragare le dichiarazioni rese dal reclamante–, deve dunque ritenersi non provata, limitatamente ai profili sopra menzionati, la violazione delle disposizioni in materia di protezione dei dati personali lamentate dall’istante.

3.3. Per quanto concerne la liceità del trattamento svolto dal centro servizi per il tramite dei soggetti operanti sui dati personali dei dipendenti, merita rilevare che questa Autorità ha già provveduto, in termini generali, a fornire puntuali indicazioni in ordine al corretto trattamento dei dati personali dei lavoratori nell’ambito delle attività di gestione del rapporto di lavoro privato (cfr. le “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati” del 23 novembre 2006, in particolare il punto 8.2), evidenziando la necessità, per il datore di lavoro, di “preporre alla custodia dei dati personali dei lavoratori apposito personale, specificamente incaricato del trattamento” (oltre che adeguatamente formato sotto il profilo della disciplina di protezione dei dati), al fine anche di minimizzare i rischi di accesso non autorizzato ai dati personali dei dipendenti; tali indicazioni costituiscono attuazione dei principi più generali sanciti dal Codice in tema di misure di sicurezza (cfr. artt. 31 e ss. del Codice, nonché allegato “B” allo stesso Codice).

Tanto premesso, nel caso in questione si deve rilevare che lo stesso centro servizi ha ammesso di non aver provveduto a designare formalmente i predetti soggetti quali “incaricati” del trattamento; tale omissione, oltre a comportare la violazione dell’art. 30 del Codice (secondo cui “le operazioni di trattamento possono essere effettuate solo da incaricati [ritualmente designati per iscritto] che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite”), ha determinato anche la disapplicazione delle misure di sicurezza che il disciplinare tecnico di cui all’allegato “B” del Codice riconduce alle attività degli incaricati del trattamento, con conseguente violazione degli artt. 33, 35 e 162, comma 2-bis del Codice.

Alla luce di tutto quanto sopra evidenziato, si ritiene di dover prescrivere al Centro Servizi al Volontariato dei Due Mari, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, di designare quali incaricati del trattamento i soggetti aventi effettivamente titolo a trattare i dati personali dei dipendenti per finalità di gestione del rapporto di lavoro, impartendo loro le relative istruzioni e individuando puntualmente l’ambito di trattamento loro consentito (art. 30 del Codice).

3.4. Per altro verso, deve rilevarsi che le modalità di comunicazione adottate dal centro servizi in occasione della trasmissione della missiva datata 29 ottobre 2009, in quanto effettivamente idonee a rendere i relativi destinatari reciprocamente edotti delle informazioni ivi contenute (concernenti, come detto, il quantitativo di ferie e di ore di permesso da fruire o recuperare), non risultano rispettose delle menzionate Linee guida (cfr., in particolare, il punto 5.5., secondo cui il datore di lavoro, in linea di principio, “deve utilizzare forme di comunicazione individualizzata con il lavoratore, adottando le misure più opportune per prevenire un’indebita comunicazione di dati personali, in particolare se sensibili, a soggetti diversi dal destinatario”), sicché il correlato trattamento di dati personali relativi anche all’istante non risulta essere avvenuto in conformità alla disciplina in materia di protezione dei dati personali, avuto particolare riguardo ai principi di necessità e di non eccedenza (artt. 3 e 11, comma 1, lett. d), del Codice). Né risulta inficiare tale conclusione la circostanza, pur sostenuta dal centro servizi, che la sottoscrizione dell’informativa resa a suo tempo all’istante avrebbe giustificato tale trattamento, atteso che la stessa non annovera tra i possibili destinatari dei dati i colleghi di ciascun dipendente.

In ragione di tali considerazioni, si ritiene di dover prescrivere al Centro Servizi al Volontariato dei Due Mari, ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c) del Codice, di adottare idonee modalità di comunicazione con i dipendenti, atte a prevenire la conoscenza indebita da parte di terzi di dati personali a loro riferiti.

3.5. Da ultimo, benché non risulti accertata l’avvenuta acquisizione, da parte di terzi, di dati personali dei dipendenti in occasione degli episodi di “abbandono” di documenti segnalati dal reclamante, si ritiene opportuno prescrivere al Centro Servizi al Volontariato dei Due Mari –che ha comunque manifestato ampia disponibilità ad implementare le misure di sicurezza già attuate– di adottare idonee misure organizzative e di sicurezza volte a minimizzare i rischi di accesso indebito ai dati dei lavoratori, garantendo in pari tempo la scrupolosa vigilanza sull’operato degli incaricati e sensibilizzando questi ultimi al rispetto delle istruzioni ricevute, anche in occasione di eventuali iniziative formative e di aggiornamento del personale.

4. Il presente provvedimento lascia impregiudicati eventuali ulteriori profili di responsabilità in capo al centro servizi.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, prescrive al Centro Servizi al Volontariato dei Due Mari di:

a. designare quali incaricati del trattamento i soggetti aventi effettivamente titolo a trattare i dati personali dei dipendenti per finalità di gestione del rapporto di lavoro, impartendo loro le relative istruzioni e individuando puntualmente l’ambito di trattamento loro consentito (art. 30 del Codice);

b. adottare idonee modalità di comunicazione con i dipendenti, atte a prevenire la conoscenza indebita da parte di terzi di dati personali a loro riferiti;

c. adottare idonee misure organizzative e di sicurezza volte a minimizzare i rischi di accesso indebito ai dati dei lavoratori, garantendo in pari tempo la scrupolosa vigilanza sull’operato degli incaricati e sensibilizzando questi ultimi al rispetto delle istruzioni ricevute, anche in occasione di eventuali iniziative formative e di aggiornamento del personale.

Roma, 2 marzo 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
De Paoli
 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *