
DPO e monitoraggio lavoratori
10 Maggio 2022
Sebbene siano trascorsi circa sei anni dall’entrata in vigore del GDPR – Regolamento Europeo sulla protezione dei dati, le sanzioni comminate dalle Autorità di controllo nazionali non si arrestano. I Titolari del trattamento dei dati, sempre più spesso, vengono richiamati all’ordine e all’adeguamento normativo, nessuno escluso, neppure gli esponenti del settore B2B (Business-to-business), dove, solo apparentemente, i flussi dei dati sembrano avere un impatto pressoché minimo sul diritto alla protezione dei dati personali.
Tra i rappresentanti del settore menzionato, si voglia considerare il ramo delle aziende che hanno investito nella automatizzazione del processo industriale tipicamente nell’ambito dell’”INDUSTRIA 4.0.”
Le realtà aziendali attenzionate si ritrovano a trattare dati personali su larga scala, parliamo infatti di colossi aziendali dislocati in più stabilimenti su scala nazionale e/o internazionale, le cui categorie di soggetti interessati, a cui si rivolge l’applicazione della normativa sulla protezione dei dati personali, appaiono perlopiù dipendenti, fornitori (ditte individuali e/o società di persone), visitatori, nonché immagini acquisite dagli impianti di videosorveglianza installati presso gli stabilimenti e in via eventuale, dati personali ricondotti a peculiari attività, come, a titolo esemplificativo, quelle legate all’organizzazione ed esecuzione di eventi.
La condotta sanzionata dal Garante Privacy
Si comprenderà come il principale trattamento dei dati personali si qualifichi quello dei dipendenti, che può celare aspetti del tutto controversi e di non facile interpretazione.
La condotta sanzionata si riferisce ad “operazioni di trattamento di dati personali riferiti ai dipendenti che risultano non conformi alla disciplina in materia di protezione dei dati personali”.
Nel caso di specie, il Garante, a seguito del reclamo avanzato da alcuni lavoratori circa la violazione della normativa, ha contestato al Titolare del trattamento di aver impropriamente utilizzato i dati degli operatori raccolti dai software di produzione installati a bordo macchina (cosiddetti borderò), anche a fini disciplinari.
Invero, dall’esamina condotta, sono risultati, tra le varie informazioni raccolte dai suddetti software, dati relativi alla produzione. Tale attività di trattamento di dati, resa possibile dall’autenticazione dei singoli operatori a inizio turno, rientrava pienamente nell’ambito applicativo del GDPR, trattandosi di informazioni riconducibili ad un soggetto interessato.
Per comprendere la ratio di tale contestazione, occorre richiamare all’attenzione l’articolo 4 dello Statuto dei lavoratori[1], come modificato dal Jobs Act del 2015, rubricato “Impianti audiovisivi e altri strumenti di controllo”. I dati raccolti dal software di produzione, combinati con le evidenze dei registri cartacei garantivano un monitoraggio continuo sullo svolgimento dell’attività lavorativa dei dipendenti.
La norma succitata richiede quale conditio sine qua non, la sussistenza delle seguenti condizioni, affinché si possa parlare di attività lecita:
- adeguata informazione nei confronti degli interessati, secondo i paradigmi della normativa sulla protezione dei dati personali;
- raggiungimento di un accordo con la rappresentanza sindacale aziendale (ove presente) o, in alternativa, l’ottenimento di un’autorizzazione da parte dell’Ispettorato territoriale del Lavoro (di seguito ITL).
Monitoraggio del lavoratore illecito: le motivazioni
Stando ai fatti, il Titolare del trattamento aveva ottenuto l’autorizzazione da parte dell’ITL che esplicitava il divieto di utilizzare i dati ottenuti dal monitoraggio, per accertare l’obbligo di diligenza da parte del lavoratore, ovverosia l’utilizzo degli stessi a fini disciplinari. Su tale aspetto, si erge il primo motivo di contestazione della condotta dell’Azienda.
L’utilizzo illecito delle informazioni si riconduce non solo al mancato rispetto del disposto dell’autorizzazione rilasciata dall’ITL, ma anche all’inosservanza dell’articolo 4 dello Statuto, che al comma 3, stabilisce:
“Le informazioni raccolte….sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”.
Il secondo motivo di contestazione addotto si lega proprio all’inadeguatezza dell’informazione fornita ai lavoratori, carente sia sul profilo inerente alle finalità legate al trattamento dei dati, sia in tema di data retention, per la mancata definizione del periodo esatto di conservazione dei dati personali.
L’apporto significativo del DPO
Il caso in analisi ci permette di comprendere quanto possa essere significativo l’apporto del Data Protection Officer (DPO) anche per le aziende B2B. Ricordiamo che le attività tipiche del DPO di informazione, consulenza, sorveglianza possono essere decisive, anche nell’ottica dei cd. principi di “privacy by design e by default”.
Ben vengano le innovazioni tecnologiche e l’utilizzo di software tipici dell’Industria 4.0 che costituiscono il presente ma soprattutto il futuro dell’imprenditoria italiana, con una visione verso l’Europa e verso il mondo. La disciplina relativa alla “Data Protection” non deve essere letta, interpretata ed applicata quale ostacolo per le Aziende. Tutt’altro! Un buon DPO ne è ben consapevole.
In questo panorama, la prevenzione costituisce l’arma vincente. Il DPO informerà, consiglierà e sorveglierà sulle misure a protezione dei dati già al momento della progettazione (privacy by design) nonché sui dati necessari, previsti per impostazione predefinita, per ogni specifica finalità di trattamento (privacy by default).
Da ultimo, trattandosi di tecnologie automatizzate ed innovative, ricordiamo che il DPO potrà fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento, ai sensi dell’articolo 35 del GDPR. Il parere, tra l’altro, verterà sulle misure tecniche ed organizzative adottate dal Titolare del trattamento, andando a visionare e, se necessario, revisionare l’accordo raggiunto con le rappresentanze sindacali garantendo una corretta informativa ex art. 13 del GDPR ed una esaustiva spiegazione, indirizzata al personale, degli strumenti utilizzati.
La data retention costituirà ulteriore aspetto di analisi dovendo garantire una determinazione ben chiara e definitiva delle tempistiche di trattamento dei dati personali riferiti ai lavoratori in relazione alle finalità perseguite dal Titolare.
L’episodio descritto testimonia, ancora una volta, l’importanza di nominare un DPO per realtà strutturate e dislocate su più sedi territoriali dove il trattamento di dati personali si caratterizza per essere su larga scala, con possibili rischi significativi per i diritti e libertà degli individui (nel caso di specie dei lavoratori).
[1] L. 20 maggio 1970, n. 300