Articoli

Reddito di cittadinanza e GDPR: Il Garante interviene evidenziando i gravi rischi

Avv. Vincenzo Colarocco

Il Presidente dell’Autorità Garante per la protezione dei dati personali, con la memoria dell’8 febbraio 2019, evidenzia come molte norme del decreto legge 28 gennaio 2019 n. 4 presentino notevoli criticità sotto il profilo della protezione dei dati personali. Si rileva come, non essendo stato richiesto il parere preventivo previsto dall’art. 36 al paragrafo 4, non sia stato possibile preventivamente individuare i rischi derivanti dalle diverse attività di trattamento. Ad avviso del Garante, infatti, le norme mancano di sufficiente precisione: le previsioni, di portata generale, si rivelano inidonee a definire con sufficiente chiarezza le modalità di svolgimento delle procedure di consultazione e verifica delle varie banche dati. In particolare, non appare rispettato il principio di proporzionalità poiché la sorveglianza su larga scala, continua e capillare, dei soggetti interessati determinerebbe un’intrusione sproporzionata e ingiustificata nella sfera privata dei singoli. Si contesta, in particolare, che attraverso le due piattaforme digitali, da istituire una presso l’ANPAL e l’altra presso il Ministero del lavoro, transiterebbe un massivo flusso di informazioni e di dati, riferiti tanto ai richiedenti quanto ai componenti il nucleo familiare degli stessi – ivi inclusi i dati dei minorenni – idonei anche a rivelare lo stato di salute o l’eventuale sottoposizione a misure restrittive della libertà personale. La mancanza di regole pertinenti e di adeguati accorgimenti, in grado di garantire la qualità e l’esattezza dei dati, espone a rischi di non poco momento. Forti dubbi si nutrono anche in merito al cd. monitoraggio sull’utilizzo della carta Rdc, su cui possono essere compiuti dei controlli puntuali, centralizzati e sistematici sulle scelte di consumo individuali, in assenza di procedure ben definite. L’Autorità si mostra preoccupata anche dalla Dichiarazione sostitutiva unica (DSU), presupposto per il riconoscimento del reddito di cittadinanza e prodromica al rilascio dell’attestazione Isee: il documento in parola, infatti, verrebbe precompilato a cura dell’INPS, con la collaborazione dell’Agenzia delle Entrate. La precompilazione, per quanto risponda all’ esigenza di semplificazione amministrativa, non può pregiudicare la sicurezza e l’integrità dei dati contenuti.. Il Garante, infine, rileva come il sito web del Governo, dedicato al reddito di cittadinanza, mostri alcune carenze, specie con riferimento all’informativa sul trattamento dei dati.

Diritto d’accesso dei lavoratori e riservatezza aziendale: quali Limiti?

Avv. Vincenzo Colarocco

Con l’ordinanza n. 32533 del 14 dicembre 2018, la Suprema Corte di Cassazione, rigettando il ricorso promosso da una banca avverso una sentenza del Tribunale di Roma (confermativa di un precedente provvedimento reso dal Garante per la protezione dei dati personali), ha ribadito la sussistenza del diritto di accesso in favore del dipendente rispetto alla documentazione inerente ad un procedimento disciplinare cui il medesimo era stato sottoposto. In particolare, il dipendente in questione proponeva ricorso dinanzi al Garante Privacy ribadendo la richiesta (già formulata all’istituto di credito datore di lavoro) di ottenere due documenti elaborati dalla banca che, inevitabilmente, riportavano alcuni suoi dati personali. L’istante sosteneva che l’accesso a tali dati avrebbe trovato giustificazione nell’esigenza di esercitare il proprio diritto di difesa e di impugnazione avverso la sanzione irrogatagli. La Banca replicava di aver fornito al ricorrente tutte le informazioni necessarie, essendo le stesse riportate all’interno della lettera di contestazione trasmessagli, in più assumeva che i documenti oggetto di richiesta, oltre a contenere dati della società di uso strettamente interno (in quanto espressione del diritto, costituzionalmente garantito, di organizzare e gestire la propria attività), risultavano atti “endoprocedimentali” e, pertanto, attinenti solo al momento formativo della volontà datoriale, pertanto irrilevanti ai fini di esercizio dell’asserito diritto di difesa. Il Garante rilevava come a mente della versione del D. Lgs n. 196/2003 (“Codice Privacy”) ratione temporis applicabile, l’art. 8, comma 4 (ora abrogato dal D. Lgs. 101/2018), riconoscesse espressamente il carattere di dato personale dei c.d. “dati valutativi” (quelle informazioni personali che non hanno carattere oggettivo essendo relative a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo) e che, anche rispetto a questi ultimi, fosse possibile esercitare i diritti di cui all’art. 7 (anch’esso successivamente abrogato dal D. Lgs. 101/2018), compreso il diritto di accesso. L’Autorità precisava inoltre che il summenzionato diritto fosse esercitabile senza dover motivare la richiesta o dimostrare di dover acquisire i dati per difendere un diritto in giudizio. Dinanzi alle doglianze espresse dalla banca, gli Ermellini, rigettando il ricorso, precisano che il diritto di accesso non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza dello stesso soggetto interessato, atteso che scopo della norma suddetta è garantire  la verifica ratione temporis dell’avvenuto inserimento, della permanenza, ovvero della rimozione di dati; tale diritto, pertanto, andrebbe garantito in ogni momento del rapporto lavorativo, dal momento che “la documentazione relativa alle vicende del rapporto di lavoro, imposta dalla legge (come per i libri paga e matricola), o prevista dall’organizzazione aziendale (tramite circolari interne), dà luogo alla formazione di documenti che formano oggetto di diritto di accesso”. Inoltre, dalla lettura del disposto normativo in tema di diritto di accesso non si evince alcuna specifica limitazione in ordine alle concrete finalità per le quali il diritto di accesso possa essere esercitato. Il diritto di accesso, quindi, ben può essere utilizzato dal dipendente per proprie finalità difensive.

Consulenti del lavoro: il Garante Privacy chiarisce “sono responsabili del trattamento”

Avv. Vincenzo Colarocco

Con l’entrata in vigore del Regolamento europeo n. 679/2016, anche noto come GDPR, i titolari del trattamento hanno iniziato ad interrogarsi sul ruolo da attribuire ai soggetti terzi che avrebbero dovuto compiere operazioni del trattamento per loro conto e, dunque, per le loro finalità, come per esempio i fornitori di servizi o i consulenti esterni. Tra questi, una figura molto dibattuta è stata quella del consulente del lavoro che nell’esercizio della propria prestazione professionale inevitabilmente tratta i dati personali dei dipendenti e collaboratori del titolare del trattamento. Il consulente tratterebbe i dati per la finalità – di gestione del rapporto lavorativo – definita dal titolare ma al tempo stesso manterrebbe una sostanziale autonomia, trattandosi di figura professionale dotata di competenze sue proprie. Con lettera del 24 settembre 2018 il Consiglio nazionale dei consulenti del lavoro ha sottoposto al Garante un quesito avente ad oggetto proprio il ruolo del consulente del lavoro alla luce del GDPR. Il Garante ha risposto al quesito sottopostogli in data 22 gennaio 2019 chiarendo come occorra distinguere il segmento di attività del consulente, se questi tratti i dati dei propri dipendenti ovvero dei propri clienti (persone fisiche) nella sua qualità di professionista. Nel primo caso, afferma il Garante, il consulente del lavoro agisce in piena autonomia e indipendenza determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività e dovrà, quindi, ricoprire il ruolo di titolare del trattamento. Nel secondo caso, invece, occorre fare riferimento alla figura del responsabile, dal momento che il consulente tratterà i dati per finalità definite da altro soggetto, appunto, il titolare. Qualora, poi, il consulente si avvalga normalmente di collaboratori di propria fiducia, questi potranno operare sotto la sua diretta autorità e in base alle istruzioni impartite, configurando il rapporto preso in considerazione dall’art. 29 del Regolamento e dell’art. 2 quaterdecies del Codice della Privacy. Il Garante ha escluso a priori, invece, la sussistenza di un rapporto di contitolarità tra il datore di lavoro ed il consulente in questione. Ritenuto responsabile del trattamento, il consulente dovrà essere nominato con apposito atto o contratto ai sensi dell’art. 28 del GDPR ed al termine del rapporto professionale i dati contenuti negli archivi dovranno essere cancellati e/o consegnati al titolare conformemente alle condizioni individuate nel contratto di affidamento dell’incarico.