Il Garante per la Protezione dei Dati Personali si è espresso favorevolmente rispetto alla possibilità di installare, sui dispositivi in uso ai dipendenti, delle App per la rilevazione dell’orario di inizio e di fine dell’attività lavorativa, anche con funzionalità di geolocalizzazione. Ad avviso dell’Autorità Garante, è tuttavia necessario che il datore di lavoro adotti adeguate misure di sicurezza a tutela dei diritti dei lavoratori. Tra le altre, il Garante ha stabilito che:
L’Autorità Garante per la protezione dei dati personali è intervenuta chiarendo che le garanzie previste da l Decreto Trasparenza (D.lgs. 27 giugno 2022, n. 104) con il quale sono state introdotte ulteriori misure a tutela del rispetto del principio di trasparenza in caso di impiego di sistemi decisionali o di monitoraggio nell’ambito dei rapporti di lavoro, non modificano le tutele già previste (i) dal GDPR (Regolamento UE 679/2016 per la protezione dei dati personali) e (ii) dallo Statuto dei Lavoratori (L. 300/1970).
L’adozione di sistemi decisionali o di monitoraggio automatizzati in ambito lavorativo devono, infatti, sempre essere oggetto di una preliminare verifica, da parte del datore di lavoro, sia dei principi enunciati dal GDPR, che delle condizioni di liceità stabilite dalla disciplina in materia di controlli a distanza di cui allo Statuto dei Lavoratori nonché del rispetto delle disposizioni che impediscono ad un datore di lavoro di trattare informazioni attinenti alla sfera privata del lavoratore.
Qualora la società faccia uso di processi decisionali o sistemi che, attraverso l’attività di raccolta ed elaborazione dei dati, siano in grado di (i) generare decisioni automatizzate che incidano sulla vita lavorativa del lavoratore o su suoi particolari aspetti e di (ii) incidere sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali del lavoratore, il datore di lavoro è tenuto a fornire al lavoratore interessato una specifica informativa che indichi, tra le altre:
L’articolo 4 del Regolamento (EU) 2016/679 (il “GDPR”), definisce “trattamento” di dati personali qualsiasi operazione effettuata con o senza l’ausilio di strumenti elettronici, riguardanti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. È sufficiente anche una sola delle operazioni sopra elencate affinché si realizzi un trattamento di dati personali.
Il summenzionato articolo 4 definisce, tra le altre, il Titolare del trattamento come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.
È definito, ai sensi dell’art. 4, par. 8), del GDPR, Responsabile del trattamento il soggetto terzo che tratta dati personali per conto del Titolare del trattamento. Quest’ultimo è tenuto a ricorrere a Responsabili del trattamento che presentano garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate a garantire il rispetto delle prescrizioni imposte dal GDPR e da tutta la normativa applicabile in materia. Il rapporto tra Titolare e Responsabile è regolato, ai sensi dell’art. 28 del GDPR, da un contratto o altro atto giuridico, che vincoli il Responsabile al Titolare e determinati elementi quali la materia disciplinata dal trattamento, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati nonché gli obblighi e i diritti in capo al Titolare stesso.
L’Autorità Garante per la protezione dei dati personali (il “Garante”) ha chiarito il ruolo e le responsabilità dell’Organismo di Vigilanza (l’“OdV”) riguardo i trattamenti dei dati personali dallo stesso svolti nell’esercizio delle sue funzioni. Nell’escludere che l’OdV possa essere definito come un autonomo Titolare o come un Responsabile del trattamento, il Garante lo ha soggettivamente qualificato come “parte dell’Ente”, riconoscendo all’Ente stesso il ruolo di Titolare del trattamento in quanto chiamato a definire il perimetro e le modalità di esercizio dei compiti assegnati all’OdV. Alla luce della qualificazione soggettiva dell’OdV come “parte dell’Ente” e nel rispetto della normativa applicabile in materia di protezione dei dati personali, a parere del Garante, il Titolare del trattamento è chiamato a designare i suoi singoli membri come dei soggetti autorizzati, fornendo loro apposite e specifiche istruzioni a tutela dei dati degli interessati.
La Valutazione di Impatto sulla protezione dei dati (o, secondo la versione originale del GDPR, la “Data Protection Impact Assessment – DPIA”) è una procedura avente lo scopo di descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, al fine di adottare misure idonee ed adeguate ad affrontarli. Una DPIA può riguardare un singolo trattamento oppure più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi (cfr. art. 35 del GDPR). Attraverso l’assessment svolto, il Titolare del trattamento valuta e dimostra la conformità della sua organizzazione alle norme in materia di protezione dei dati personali. Vista la sua utilità, il WP Art. 29 (ossia il gruppo di lavoro comune delle Autorità europee per la protezione dei dati personali) ha raccomandato di effettuare una Valutazione di Impatto per tutti i trattamenti posti in essere, senza limitarsi ai soli casi in cui il GDPR la prescrive come obbligatoria.
Un Data Breach è una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Esempi di Data Breach possono essere l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati; il furto o la perdita di dispositivi informatici contenenti dati personali o l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. Il GDPR dispone che il Titolare del trattamento, senza ingiustificato ritardo ed entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione subita all’Autorità Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo e qualora la violazione comporti un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. In ogni caso, il titolare del trattamento, anche a prescindere dalla notifica al Garante, deve documentare tutte le violazioni dei dati personali su un apposito registro (cfr. articoli 33 e 34 del Regolamento UE 2016/679).
Ai dipendenti non deve essere richiesto il consenso per il trattamento dei loro dati nell’ambito del rapporto di lavoro. Ciò in quanto il consenso, a causa del rapporto di “dipendenza” del lavoratore nei confronti del datore di lavoro, non potrebbe mai ritenersi liberamente prestato né, per le stesse ragioni, liberamente revocabile. Resta inteso che il datore di lavoro deve rilasciare al lavoratore idonea informativa e implementare misure di sicurezza tecniche ed organizzative idonee a garantire l’integrità e la riservatezza di dati trattati.