SE IL FINE NON GIUSTIFICA (FORSE) I MEZZI: IL GARANTE PRIVACY SANZIONA UNA SOCIETA’ PER L’ADOZIONE DI MISURE DI SICUREZZA DEI DATI LESIVE DELLA RISERVATEZZA E DELLA DIGNITA’ DEI LAVORATORI 

Sin dall’adozione dei primi atti normativi in materia di protezione dei dati personali, il legislatore europeo ha sempre dato ampio rilievo agli obblighi di sicurezza dei dati personali oggetto di trattamento, e cioè di garanzia della relativa segretezza, disponibilità ed integrità.

Una delle principali novità apportate in materia dal Regolamento Generale sulla Protezione dei Dati (GDPR) risiede nell’approccio fondato sulla cd. responsabilizzazione: spetta al titolare (ed al responsabile) del trattamento il compito di individuare le misure tecniche ed organizzative che risultino più adeguate al rischio a seconda delle circostanze del caso concreto, non essendo più sufficiente l’implementazione di una serie di presidi già predeterminati e standardizzati a livello normativo.

Non è infrequente che le soluzioni individuate allo scopo di adempiere a tale obbligo comportino, a loro volta, un trattamento di dati personali riferibili alle persone fisiche che collaborano, a vario titolo, col titolare o con il responsabile del trattamento: basti pensare ai comuni cd. log files, l’utilizzo dei quali consente, ad es., di trarre indirettamente informazioni sull’attività lavorativa espletata da un collaboratore.

Con un recentissimo provvedimento, il Garante per la Protezione dei Dati Personali ha avuto modo di pronunciarsi sulla compatibilità con il GDPR di una particolare ed inconsueta misura di sicurezza implementata da un’impresa operante nel settore del telemarketing, al dichiarato scopo di tutelare la segretezza delle informazioni relative ai propri clienti e di prevenire frodi da parte dei propri dipendenti.

Intervenuta su segnalazione di un’organizzazione sindacale, l’Autorità accertava come l’impresa avesse adottato un regolamento aziendale (rimasto in vigore per circa un mese) a mezzo del quale veniva imposto il divieto di portare dispositivi elettronici e contenitori più grandi di uno smartphone presso le postazioni lavorative, oltre al correlato obbligo di tenere a vista sulla scrivania, senza poterli riporre in borse o astucci, le confezioni di medicinali e di assorbenti, nonché i dispositivi medici utilizzati dai lavoratori nel corso dell’attività lavorativa.

Premesso di aver rapidamente provveduto ad emendarne il contenuto, in sede istruttoria la Società esponeva come la misura organizzativa in questione rispondesse al legittimo interesse alla prevenzione delle frodi, risultando altresì lecita alla stregua dell’obbligo di garantire la sicurezza dei dati personali trattati di cui all’art. 32 del GDPR rispetto a possibili condotte illecite dei propri dipendenti o collaboratori coinvolti materialmente nelle operazioni di trattamento.

L’Autorità non ha condiviso la linea difensiva, rilevando come la peculiare misura adottata comportasse il trattamento di categorie particolari di dati personali in difetto di un adeguato fondamento giuridico.

In particolare, il Garante ha evidenziato, da un lato, come il legittimo interesse alla prevenzione delle frodi legittimi esclusivamente il trattamento dei cd. dati comuni; dall’altro, come il datore di lavoro possa trattare i cd. dati particolari dei propri dipendenti (in primis quelli relativi alla salute) esclusivamente ove ciò sia necessario per assolvere ad obblighi o per esercitare diritti stabiliti dalla normativa giuslavoristica, non essendo sufficiente che essi traggano fonte in una policy aziendale.

Richiamato poi l’oramai notissimo principio di minimizzazione, l’Autorità ha infine ritenuto che la finalità individuata dalla Società – pur essendo, in linea di principio, indubbiamente legittima – potesse e dovesse essere perseguita individuando misure differenti e non implicanti il trattamento dei cd. dati particolari dei lavoratori, “…la cui sottoposizione alla altrui conoscibilità comporta l’eliminazione di ogni spazio di riservatezza e di intimità sul luogo di lavoro, consentendo a terzi di apprendere sia lo stato di salute che la sussistenza di condizioni normalmente tenute riservate dagli interessati nella vita di relazione, con conseguente violazione della dignità della persona, intesa come “valore costituzionale che permea di sé il diritto positivo””.

Dichiarato illecito il trattamento in questione, e preso atto della circostanza che fosse in fase di elaborazione un nuovo regolamento aziendale, il Garante ha definito il procedimento ingiungendo alla Società il pagamento di una sanzione pari a 20.000,00 Euro e ordinandole di conformare la futura policy ai principi di liceità e minimizzazione stabiliti dal GDPR.

Dott. Valerio Laganà