Approfondimento di Alfonso Pisani

Approfondimento di Alfonso Pisani                                                                                 

Il trattamento dei dati personali e i terminali di servizio

Alfonso Pisani[i]

In un ente pubblico una dipendente sostiene di aver ricevuto ripetute chiamate sul proprio cellulare personale con insulti e minacce.

La dipendente stessa, denunciando l’accaduto all’autorità giudiziaria, si dice sicura che le telefonate provenissero da un dipendente dell’Ente, per cui richiede all’Ente di sapere se, dai tabulati delle telefonate dei cellulari di servizio, risultassero chiamate effettuate verso il proprio cellulare in particolari date e, in caso positivo, da quali.

Pur tendendo istintivamente a rispondere negativamente ad una simile richiesta , in base ad un approccio prudenziale, val la pena di farne un’analisi in base alla normativa vigente per mettere a fuoco dei punti interessanti.

Precisando che la dipendente non specifica la natura della richiesta di accesso (documentale o accesso civico generalizzato) occorre precisare che la circolare 2/2017 della Funzione Pubblica prevede che:

“dato che l’istituto dell’accesso generalizzato assicura una più ampia tutela all’interesse conoscitivo, qualora non sia specificato un diverso titolo giuridico della domanda (ad es. procedimentale, ambientale, ecc.), la stessa dovrà essere trattata dall’amministrazione come richiesta di accesso generalizzato.“

Per tale ragione ha senso trattare tale richiesta come di accesso civico generalizzato come descritto dal d.lgs. 33/2013 e successive modifiche ricordando che lo stesso decreto tratta dell’ostensione dei documenti, ma anche dei dati e delle informazioni della PA.

Si ritiene, pur comprendendo umanamente il caso e lasciando alla sede giudiziaria la valutazione dello stesso, che non si debbano fornire alla dipendente le informazioni richieste ma che le stesse vadano fornite all’autorità giudiziaria in caso di richiesta da parte di questa.

Ricordando che l’art. 5-bis del richiamato d.lgs. 33/2013 elenca i casi tassativi (una PA non può introdurne di propri) in cui l’accesso civico generalizzato può essere negato, uno di questi casi comprende la protezione dei dati personali, in conformita' con la disciplina legislativa in materia.

L’Ente è Titolare del trattamento dei dati dei propri lavoratori ai sensi del Regolamento UE 2016/679 (GDPR) e del d.lgs. 196/2003.

Il trattamento dei dati personali avviene sulla base dell’art. 6 del GDPR comma 1 lett b) ed e) nelle quali è previsto che il trattamento è lecito se:

b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o

connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

Nel caso e) il d.lgs. 196/2003 all’art. 2-ter commi 1 e 3 prevede che:

1. La base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento.
2. …omissis
3.  La diffusione e la comunicazione di dati personali, trattati per l’esecuzione di un
   compito di interesse pubblico o connesso all’esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalità sono ammesse unicamente se previste ai sensi del comma 1
    
   e non risulta che esista una legge o fonte normativa che ammetta la comunicazione in argomento.
    
   D’altra parte pur volendo assimilare la base giuridica del trattamento dei dati dei lavoratori alla sola casistica b) dell’art. 6 comma 1 del GDPR è evidente che in tal caso la comunicazione non sarebbe finalizzata all’esecuzione del contratto di lavoro, ma dovrebbe essere inquadrata come un trattamento ulteriore la base del quale, escluso il consenso esplicito del lavoratore, potrebbe solo essere il legittimo interesse del soggetto che richiede la conoscenza di tali dati. In tal caso, tuttavia, ai sensi dell’art. 6 del GDPR comma 1 lett f) un trattamento è lecito se:
    
   f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
   E’ evidente che in tal caso l’Ente, Titolare del trattamento della comunicazione secondo il principio di accountability del GDPR, deve soppesare gli interessi del soggetto che richiede i dati in argomento e degli interessati e comunicare i dati solo se è strettamente necessario e minimizzandone il trattamento.
   A proposito del principio di minimizzazione dei dati l’art. 5 comma 1 lett. c del GDPR recita che i dati sono:
    
   “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);”
    
   Nel caso di specie i predetti requisiti di adeguatezza, pertinenza e limitatezza rispetto alla necessità in esame non sembrano essere rispettati in quanto, invece di controllare il traffico di tutte le linee intestate all’Ente allo scopo di verificare se c’è stata una chiamata al numero del soggetto richiedente l’informazione, basterebbe verificare la linea di quest’ultimo per ottenere l’informazione (la chiamata potrebbe essere stata originata da un numero non intestato all’Ente).
    
   Ancora un Titolare del trattamento non può non tener conto di quanto stabilito all’art. 5 comma 1 lett a) e b) secondo cui i dati sono:
    
   a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
   b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in
   modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
    
   Nella situazione in esame andando ad esaminare l’informativa data ai lavoratori ai sensi dell’art. 13 del GDPR la possibilità di un trattamento ulteriore per le dette finalità è difficilmente pensabile sia presente. Parimenti è difficile pensare che le nuove finalità siano compatibili con quelle originali in quanto ai sensi del considerando (50) del GDPR
    
   “Per accertare se la finalità di un ulteriore trattamento sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento dovrebbe, dopo aver soddisfatto tutti i requisiti per la liceità del trattamento originario, tener conto tra l’altro di ogni nesso tra tali finalità e le finalità dell’ulteriore trattamento previsto, del contesto in cui i dati personali sono stati raccolti, in particolare le ragionevoli aspettative dell’interessato in base alla sua relazione con il titolare del trattamento con riguardo al loro ulteriore utilizzo; della natura dei dati personali; delle conseguenze dell’ulteriore trattamento previsto per gli interessati; e dell’esistenza di garanzie adeguate sia nel trattamento originario sia nell’ulteriore trattamento previsto”
    
    

In tale contesto di compatibilità delle finalità, naturalmente, va letto anche l’art. 4 della legge 300/1970 come modificata dal jobs act che recita:

Art. 4. (Impianti audiovisivi e altri strumenti di controllo).

1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilita' di controllo a distanza dell'attivita' dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unita' produttive ubicate in diverse province della stessa regione ovvero in piu' regioni, tale accordo puo' essere stipulato dalle associazioni sindacali comparativamente piu' rappresentative sul piano nazionale. ((In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione delle sede territoriale dell'Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unita' produttive dislocate negli ambiti di competenza di piu' sedi territoriali, della sede centrale dell'Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi.))

2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.

3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalita' d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.

Pur avendo il jobs act escluso da taluni obblighi gli strumenti abitualmente adoperati per la prestazione lavorativa (quindi anche i cellulari di servizio) non si può negare che il comma 3 limiti i dati raccolti con tali strumenti al rapporto di lavoro dando, dunque, una idea abbastanza chiara dell’incompatibilità con altre finalità.

Ancora nel caso in cui dovesse persistere la ricezione di chiamate di disturbo il soggetto richiedente potrebbe tutelarsi secondo l’art. 127 del d.lgs. 196/2003 di cui si riporta il testo:

Art. 127 (Chiamate di disturbo e di emergenza)

1. Il contraente che riceve chiamate di disturbo può richiedere che il fornitore della

rete pubblica di comunicazioni o del servizio di comunicazione elettronica accessibile

al pubblico renda temporaneamente inefficace la soppressione della presentazione

dell'identificazione della linea chiamante e conservi i dati relativi alla provenienza della

chiamata ricevuta. L'inefficacia della soppressione può essere disposta per i soli orari

durante i quali si verificano le chiamate di disturbo e per un periodo non superiore a

quindici giorni.

2. La richiesta formulata per iscritto dal contraente specifica le modalità di ricezione

delle chiamate di disturbo e nel caso in cui sia preceduta da una richiesta telefonica è

inoltrata entro quarantotto ore.

3. I dati conservati ai sensi del comma 1 possono essere comunicati al contraente che

dichiari di utilizzarli per esclusive finalità di tutela rispetto a chiamate di disturbo. Per

i servizi di cui al comma 1 il fornitore assicura procedure trasparenti nei confronti dei

contraenti e può richiedere un contributo spese non superiore ai costi effettivamente

sopportati.

Concludendo si suggerisce la comunicazione dei dati solo all’autorità giudiziaria nel caso in cui dovesse richiedere gli stessi.

11 luglio 2019