Articoli

Diritto d’accesso dei lavoratori e riservatezza aziendale: quali Limiti?

Avv. Vincenzo Colarocco

Con l’ordinanza n. 32533 del 14 dicembre 2018, la Suprema Corte di Cassazione, rigettando il ricorso promosso da una banca avverso una sentenza del Tribunale di Roma (confermativa di un precedente provvedimento reso dal Garante per la protezione dei dati personali), ha ribadito la sussistenza del diritto di accesso in favore del dipendente rispetto alla documentazione inerente ad un procedimento disciplinare cui il medesimo era stato sottoposto. In particolare, il dipendente in questione proponeva ricorso dinanzi al Garante Privacy ribadendo la richiesta (già formulata all’istituto di credito datore di lavoro) di ottenere due documenti elaborati dalla banca che, inevitabilmente, riportavano alcuni suoi dati personali. L’istante sosteneva che l’accesso a tali dati avrebbe trovato giustificazione nell’esigenza di esercitare il proprio diritto di difesa e di impugnazione avverso la sanzione irrogatagli. La Banca replicava di aver fornito al ricorrente tutte le informazioni necessarie, essendo le stesse riportate all’interno della lettera di contestazione trasmessagli, in più assumeva che i documenti oggetto di richiesta, oltre a contenere dati della società di uso strettamente interno (in quanto espressione del diritto, costituzionalmente garantito, di organizzare e gestire la propria attività), risultavano atti “endoprocedimentali” e, pertanto, attinenti solo al momento formativo della volontà datoriale, pertanto irrilevanti ai fini di esercizio dell’asserito diritto di difesa. Il Garante rilevava come a mente della versione del D. Lgs n. 196/2003 (“Codice Privacy”) ratione temporis applicabile, l’art. 8, comma 4 (ora abrogato dal D. Lgs. 101/2018), riconoscesse espressamente il carattere di dato personale dei c.d. “dati valutativi” (quelle informazioni personali che non hanno carattere oggettivo essendo relative a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo) e che, anche rispetto a questi ultimi, fosse possibile esercitare i diritti di cui all’art. 7 (anch’esso successivamente abrogato dal D. Lgs. 101/2018), compreso il diritto di accesso. L’Autorità precisava inoltre che il summenzionato diritto fosse esercitabile senza dover motivare la richiesta o dimostrare di dover acquisire i dati per difendere un diritto in giudizio. Dinanzi alle doglianze espresse dalla banca, gli Ermellini, rigettando il ricorso, precisano che il diritto di accesso non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza dello stesso soggetto interessato, atteso che scopo della norma suddetta è garantire  la verifica ratione temporis dell’avvenuto inserimento, della permanenza, ovvero della rimozione di dati; tale diritto, pertanto, andrebbe garantito in ogni momento del rapporto lavorativo, dal momento che “la documentazione relativa alle vicende del rapporto di lavoro, imposta dalla legge (come per i libri paga e matricola), o prevista dall’organizzazione aziendale (tramite circolari interne), dà luogo alla formazione di documenti che formano oggetto di diritto di accesso”. Inoltre, dalla lettura del disposto normativo in tema di diritto di accesso non si evince alcuna specifica limitazione in ordine alle concrete finalità per le quali il diritto di accesso possa essere esercitato. Il diritto di accesso, quindi, ben può essere utilizzato dal dipendente per proprie finalità difensive.

Cassazione: rilevazione presenze con dati biometrici – Il Garante deve autorizzarla

Avv. Vincenzo Colarocco

La Suprema Corte di Cassazione con sentenza del 4 maggio 2018, depositata il 15 ottobre 2018, si è pronunciata sul trattamento dei dati biometrici dei dipendenti, attraverso un badge per rilevare la presenza.

La vicenda prende le mosse nel 2015, a seguito della sanzione inflitta del Garante Privacy nei confronti di una società specializzata nel settore dei servizi di igiene ambientale e raccolta differenziata ed indifferenziata, di un sistema di raccolta dei dati biometrici della mano per la rilevazione delle presenze dei dipendenti.

Proposta l’opposizione, il Tribunale di Catania la accoglieva, ritenendo che le apparecchiature utilizzate dalla società “non prelevino e non trattino i dati biometrici […] e che il dato biometrico è utilizzato come individualizzante, ma non come identificante”.

A seguito del ricorso del Garante, la Suprema Corte ha ribaltato l’interpretazione del giudice di merito precisando che ai fini della configurabilità del trattamento di dati personali, la mancata registrazione degli stessi in apposita banca dati è irrilevante, essendo sufficiente “una mera attività di raccolta ed elaborazione”. Orbene, ciò che rileva al predetto fine è che “il sistema, attraverso la conservazione dell’algoritmo, è in grado di risalire al lavoratore, al quale appartiene il dato biometrico, e quindi indirettamente lo identifica”. E questo non si poteva fare senza la preventiva notifica al Garante -conclude la Suprema Corte- neppure per uno scopo legittimo come quello di ‘controllo delle presenze’.

Evidente appare la diretta correlazione della statuizione della Corte con i principi espressi dal Regolamento UE 2016/679, tenendo conto che l’istituto della notifica preliminare oggi non trova più applicazione essendo stata introdotta peraltro la valutazione d’impatto.