Con il provvedimento n. 547 del 22 dicembre 2016, il Garante per la protezione dei dati personali si è occupato di operazioni di trattamento di dati personali dei dipendenti effettuate dal datore di lavoro nell’ambito della prestazione lavorativa – nonché successivamente alla cessazione del rapporto di lavoro stesso – rilevando, nel caso di specie, diverse violazioni non solo della normativa posta a tutela del diritto alla riservatezza, ma anche della disciplina prevista in materia di controlli a distanza ex art. 4 L. 20 maggio 1970, n. 300 (“Statuto dei Lavoratori”).

Segue la seconda parte dell’analisi del provvedimento in questione, dedicata alle rilevazioni svolte dal Garante in relazione ai trattamenti di dati connessi al telefono cellulare affidato in uso esclusivo al dipendente (d’ora in avanti anche il “Blackberry” o anche il “dispositivo”).

IL FATTO:

Dopo aver analizzato il trattamento di dati effettuato dalla società attraverso l’account e-mail aziendale, risultato poi illecito sotto diversi profili, l’Autorità affronta in secondo luogo il trattamento di dati effettuato attraverso il Blackberry, relativamente al quale mette in evidenza svariati elementi di criticità, tra i quali, in particolare:

1. l’esistenza della possibilità per la società di accedere da remoto, con diverse modalità, ai contenuti del dispositivo e trattare ulteriormente i dati ivi contenuti ;
2. la carenza dell’informativa ai dipendenti con riferimento all’esistenza, alle finalità ed alle modalità delle operazioni di trattamento effettuabili da remoto;
3. la possibile non conformità del trasferimento di dati verso società con sede negli Stati Uniti alle disposizioni in materia di trasferimento di dati all’estero con riferimento all’effettuazione di una pluralità di operazioni di trattamento dei dati contenuti nel dispositivo.

Con riferimento al primo elemento di criticità, è emerso dall’istruttoria come la società si riservi il diritto di trattare i dati contenuti nel Blackberry fornito in dotazione ai dipendenti – che possono essere anche di natura privata (si pensi a foto, video, sms, ecc.) – anche al di fuori delle ordinarie operazioni di manutenzione, sia attraverso l’installazione di un’applicazione preordinata alla rilevazione dell’eccedenza delle soglie di traffico, avente il fine di segnalare eventuali criticità al personale preposto alla gestione dei contratti, sia con le modalità stabilite da un programma denominato “Global Mobility Freedom”.

In particolare, rimarrebbe in capo alla società la facoltà di:

• accedere da remoto e cancellare i dati contenuti sia nell’area (virtuale) riservata ai contenuti aziendali, che in qualsiasi altra area del dispositivo;
• accedere al dispositivo ed effettuare altre operazioni di trattamento – compresa la comunicazione a (non meglio specificati) soggetti terzi – dei dati contenuti nel dispositivo;
• effettuare una pluralità di operazioni di trattamento dei dati contenuti nel dispositivo (ad es. raccolta, conservazione, cancellazione, utilizzo, incrocio e comunicazione), alcune delle quali previo trasferimento dei dati negli Stati Uniti.

Ebbene, il Garante non ha dubbi nel ritenere tale prassi non conforme ai principi di liceità, pertinenza e non eccedenza dei trattamenti (artt. 3, 11, comma 1, lett. a), d) ed e) del Codice).

Passando alle criticità emerse in sede di carenza dell’informativa, da un lato il Garante segnala come la società non abbia informato i dipendenti interessati “circa l’esistenza, le finalità e le concrete caratteristiche” dei trattamenti dei dati effettuati con riferimento all’applicazione dedicata al superamento delle soglie di traffico (app configurata, per altro, in modo da consentire la riferibilità al singolo utente dei dati in questione), e dall’altro sottolinea come l’informativa nel concreto fornita non indichi specificamente «tipologia, finalità e modalità delle operazioni di trattamento che possono essere effettuate sui dispositivi, nonché gli elementi identificativi dei soggetti che possono trattare i dati e a cui i dati stessi possono essere comunicati», con conseguente violazione dell’art. 13 del Codice.

Per quanto riguarda invece i dubbi sulla non conformità del trasferimento di dati verso società con sede negli Stati Uniti alle disposizioni in materia di trasferimento di dati all’estero, come già anticipato nella prima parte di tale commento (che trovate qui) l’Autorità si è espressamente riservata di approfondire tale questione mediante l’apertura di un procedimento autonomo.

Infine, anche con riferimento al trattamento dei dati personali connessi all’utilizzo del Blackberry effettuato dalla società, il Garante riscontra la grave violazione della disciplina di settore in materia di controlli a distanza, ed in particolare degli artt. 4 e 8 dello Statuto dei Lavoratori e dell’art. 10 del D.lgs. 276/2003, in quanto tale condotta comporta «la possibilità per la società di effettuare in tal modo il controllo sistematico e massivo dell’attività del dipendente ed accedere a dati “non rilevanti ai fini della valutazione dell’attitudine professionale” dello stesso nonché, in ipotesi, a dati sensibili».

Al termine della propria analisi, pertanto, il Garante per la protezione dei dati personali, considerato che il trattamento dei dati effettuato dalla società attraverso i dispositivi Blackberry risulta illecito per violazione degli artt. 3, 11, comma 1, lett. a), d) ed e), 13, 113 e 114 del Codice della Privacy, dispone il divieto di ulteriore trattamento dei predetti dati, fatta salva la conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria.

PERCHÉ È IMPORTANTE:

Il provvedimento in esame è particolarmente rilevante poiché è destinato ad avere un impatto concreto sull’elaborazione e adeguamento delle policy aziendali in materia di gestione degli account aziendali e dei dispositivi elettronici affidati ai dipendenti, imprimendo una svolta obbligata nella direzione di una maggiore tutela della dignità dei lavoratori, a discapito della discrezionalità del datore di lavoro.

Preme ricordare che, sebbene nel provvedimento si sia limitato a disporre il divieto di ulteriore trattamento, il Garante si è espressamente riservato di valutare, al termine di proprio autonomo procedimento, la sussistenza dei presupposti per sanzioni amministrative nei confronti della società, che quasi certamente non tarderanno ad arrivare.

Una piccola postilla in conclusione: com’è facile intuire, il diritto alla privacy, soprattutto in connessione all’utilizzo delle nuove tecnologie, è destinato a divenire una delle più grandi sfide per le imprese nei prossimi anni, anche alla luce dell’introduzione del nuovo Regolamento UE 2016/679. La predisposizione di processi interni realizzati sulla base di uno studio approfondito della normativa in vigore e delle linee guida fornita dai provvedimenti del Garante italiano come del Gruppo dei Garanti Europei (WP29) è l’unico modo per tutelare l’impresa dall’applicazione di pesanti sanzioni in grado di incidere significativamente sul bilancio societario o comunque idonee a creare grave disagio all’intera organizzazione aziendale.