Come è noto, nell’ambito dell’esecuzione del rapporto di lavoro (in tutte le sue fasi), il tema del corretto trattamento dei dati personali inerenti la figura del dipendente assume una particolare pregnanza. Ciò vale, a maggior ragione, in considerazione della recentissima entrata in vigore del Regolamento Ue 2016/679 che, ribadendo principi oramai consolidati all’interno degli ordinamenti giuridici degli Stati membri e introducendo nuovi diritti, obblighi e prescrizioni a vario titolo, ha provveduto ad ampliare la tutela dei dati personali e ad imporre l’adozione di nuove ed inedite cautele in capo ai titolari del trattamento.

È indubbio che – in linea generale – la necessità di dar luogo ad operazioni di trattamento rappresenta, nella totalità dei casi, un presupposto inevitabile e necessario per un corretto svolgimento del rapporto di lavoro. Già all’atto della ricezione del curriculum vitae da parte del candidato all’assunzione, il datore di lavoro entra in contatto con una moltitudine di informazioni personali del soggetto (comprendenti, talvolta, anche categorie particolari di dati personali ex art. 9, Regolamento Ue 2016/679) e, in caso di effettiva instaurazione del rapporto, lo stesso sarà chiamato a trattare i dati del lavoratore nel corso dello svolgimento dell’attività lavorativa e ciò anche al fine di porre in essere adempimenti a vario titolo prescritti dalla legge (si pensi, a titolo meramente esemplificativo, alla tenuta dei libri paga e matricola). Nondimeno, le considerazioni di cui sopra valgono, altresì, per l’eventuale fase “patologica” del rapporto, ossia nell’ipotesi della comminazione di provvedimenti disciplinari a carico del dipendente.

In questa sede si intende, quindi, porre l’accento, in particolare, sui limiti e i presupposti di legittimità relativi al trattamento, alla raccolta e alla pubblicazione e diffusione dei dati personali del lavoratore in fase di procedimento disciplinare, nonché all’esito dello stesso.
Con riferimento all’ultimo dei profili richiamati, si avrà, peraltro, modo di analizzare i principi recentemente affermati dal Garante per la protezione dei dati personali che, con provvedimento doc. web n. 9068983 del 13 dicembre 2018 (Registro dei provvedimenti n. 500 del 13 dicembre 2018) si è espresso su una segnalazione pervenuta da taluni soci lavoratori di una cooperativa, in materia di pubblicazione delle contestazioni disciplinari sulla bacheca aziendale.

PRINCIPI DI FINALITA’, PERTINENZA, ADEGUATEZZA E NON ECCEDENZA

A prescindere dalla sussistenza di una base giuridica (sia essa, a titolo esemplificativo, il consenso dell’interessato ovvero una specifica norma legislativa) che legittimi il datore al trattamento dei dati personali del dipendente, il titolare è in ogni caso chiamato a limitarsi ad ottenere le informazioni effettivamente necessarie ai propri scopi, astenendosi, quindi, dal trattare dati che esorbitino rispetto alle finalità poste alla base dell’operazione di trattamento. Trattasi, nello specifico, del c.d. “principio di minimizzazione dei dati” che, a norma dell’art. 5, par. 1, lett. c), Regolamento Ue 2016/679, impone letteralmente che i dati personali raccolti siano “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. Cosicché può dirsi che, se, da un lato, la mera circostanza dell’apertura di un procedimento disciplinare nei confronti del lavoratore comporta di per sé un’operazione di trattamento dei dati del tutto legittima, la liceità o meno della condotta datoriale va valutata in relazione alle effettive modalità adottate, alla portata dei dati trattati e, appunto, alla relativa idoneità ad assumere una concreta rilevanza nella valutazione dell’adempimento/inadempimento del dipendente.

TRATTAMENTO DEI DATI E PROVVEDIMENTI DISCIPLINARI

Come detto, seppur nel rispetto dei principi di cui sopra, il datore di lavoro risulta pienamente legittimato a trattare i dati personali dei lavoratori con la finalità di esercitare il potere disciplinare riconosciutogli dalla legge e dalla contrattazione collettiva. Occorre, tuttavia, interrogarsi su quale sia, in tale ipotesi, la base giuridica legittimante.

Come è noto, l’art. 6 del GDPR prevede, quali condizioni di liceità: la preventiva espressione del consenso da parte dell’interessato, la necessaria esecuzione di un contratto, il necessario adempimento di un obbligo legale, la necessaria salvaguardia di interessi vitali delle persone fisiche, la necessaria esecuzione di un compito di interesse pubblico ovvero il necessario perseguimento di un legittimo interesse del titolare. Appare evidente che, se si inquadrasse l’ipotesi de quo nell’ambito dell’obbligatorietà del consenso del dipendente, la possibilità garantita dall’ordinamento giuridico di dar luogo ad indagini nei confronti del lavoratore verrebbe totalmente infirmata. Si pensi, a titolo meramente esemplificativo, al caso in cui l’azienda acquisisca dati in merito alle operazioni con la clientela poste in essere dal dipendente da cui si evincano palesi irregolarità ovvero alla circostanza per la quale il datore decida di avvalersi di un investigatore privato (facoltà da tempo concessa dalla giurisprudenza; si veda, ex multis., Cassazione, sezione lavoro, sentenza n. 8373/2018) per verificare la corretta fruizione di permessi o benefici ad altro titolo da parte dello stesso. Appare, dunque, corretto individuare, quale base giuridica dei trattamenti effettuati in tal senso, il “perseguimento di un legittimo interesse del titolare”, qual è sia l’adozione di provvedimenti disciplinari sia l’eventuale – e successiva – attività difensiva dello stesso in sede giudiziaria.

Peraltro, quanto sopra parrebbe potersi confermare con certezza, in virtù delle pronunce della Suprema Corte di Cassazione e del Garante per la protezione dei dati personali intervenute, invero, prima dell’entrata in vigore del Regolamento Ue 2016/679, ma dalle quali, in ogni caso, sono emersi principi tutt’ora condivisibili anche alla luce della disciplina vigente. Si segnala, in primo luogo, il risalente provvedimento del 5 ottobre 2006 (doc. web n. 1357375), per mezzo del quale, appunto, l’Autorità di controllo ha affermato la liceità del comportamento di un datore di lavoro che, senza consenso da parte dell’interessato, aveva acquisito – e conseguentemente trattato – una serie di informazioni sulla persona del lavoratore e le aveva compiutamente riportate all’interno di una contestazione disciplinare. Orbene, in tale controversia, il dipendente – oltre ad aver adito il Tribunale in funzione di giudice del lavoro per l’impugnazione del successivo licenziamento e aver trasmesso gli atti alla Procura della Repubblica – ricorreva innanzi al Garante per la protezione dei dati personali per far valere la pretesa illegittimità dell’operazione di trattamento posta in essere dai vertici dell’azienda (una banca), i quali, in seguito all’effettuazione di approfondite indagini, avevano fondato le proprie censure al relativo operato sui seguenti dati: movimentazioni bancarie sul conto corrente, sul libretto di risparmio e sul dossier titoli del ricorrente, autorizzazioni da parte del dipendente all’apertura di più conti correnti a soggetti scarsamente affidabili e l’autorizzazione al pagamento di un assegno “privo della clausola di non trasferibilità e con l´omissione delle prescritte segnalazioni alle autorità competenti”.

In detta occasione, l’Autorità, richiamando la circostanza per la quale in materia giuslavoristica la “contestazione degli addebiti deve soddisfare il requisito della specificità”, ha ritenuto il trattamento dei dati effettuato dall’istituto di credito del tutto pertinente e non eccedente rispetto a tale finalità. Infatti, secondo quanto affermato dal Garante, la liceità dell’operazione era riconducibile alla “legittima esigenza di far valere i propri diritti” ai fini della relativa “tutela in sede giudiziaria, acquisendo il materiale probatorio a tal fine necessario”. Cosicché, sulla scorta di una simile interpretazione, può dirsi che, se già l’esercizio del potere disciplinare di per sé va inquadrato quale legittimo interesse del titolare (che funge da base giuridica del trattamento), la liceità dell’operazione risulta ancor più accentuata dal fatto che lo stesso esercizio viene interpretato nell’ambito della necessità di far valere un diritto in sede giudiziaria, in quanto fase antecedente e prodromica all’instaurazione di un contenzioso.

Come anticipato, anche la Corte di cassazione è, a più riprese, giunta a conclusioni pressoché analoghe. E, infatti, sulla base dell’art. 24, comma 1, lett. f) – oggi espressamente abrogato – del Codice della privacy nella sua vecchia formulazione (D.Lgs. 30 giugno 2003, n. 196), per il quale si escludeva, appunto, la necessità del consenso al trattamento effettuato “per far valere o difendere un diritto in sede giudiziaria” (e ciò “sempre che i dati” fossero “trattati esclusivamente per tali finalità”), la Corte ha confermato la piena derogabilità “della disciplina dettata a tutela dell’interesse alla riservatezza dei dati personali” allorquando il relativo trattamento “sia esercitato per la difesa di un interesse giuridicamente rilevante” qual è la tutela avverso gli inadempimenti contrattuali del prestatore di lavoro (si veda, in questo senso, Cassazione, sezione lavoro, sentenza n. 17204 dell’11 luglio 2013). Non v’è dubbio, al riguardo, che nonostante la citata abrogazione dell’art. 24, D.Lgs. n. 196/2003 e dell’esplicito richiamo (tra le basi giuridiche legittimanti) al diritto di difesa oggi assente nel GDPR, le considerazioni di cui sopra devono ritenersi ancora attuali, posto che la tutela giurisdizionale rappresenta senz’altro un “legittimo interesseex art. 6, comma 1, lett. f), Regolamento Ue 2016/679. Si segnala, a maggior ragione, che lo stesso GDPR, nell’ambito del proprio Considerando n. 47, si preoccupa di citare, tra le ipotesi di legittimo interesse, il caso in cui esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, “ad esempio quando l’interessato è … alle dipendenze del titolare del trattamento”.

DIRITTO DI ACCESSO AI DATI OGGETTO DI PROCEDIMENTO DISCIPLINARE

Premessa l’indiscussa utilizzabilità delle informazioni personali del lavoratore – nei limiti di cui ai principi richiamati – in fase di procedimento disciplinare, occorre domandarsi di quale tutela goda lo stesso dipendente in merito al trattamento. A questo proposito, viene in particolare rilievo il tema del diritto di accesso.

In tal senso, sia l’oramai abrogato art. 7, D.Lgs. n. 196/2003 sia l’art. 15, Regolamento Ue 2016/679 dettano una disciplina specifica. Se, infatti, la prima norma citata garantiva, in linea generale, all’interessato la facoltà di “ottenere la conferma dell’esistenza o meno di dati personali” che lo riguardavano “e la loro comunicazione in forma intelligibile” e ottenere, altresì, “l’indicazione dell’origine dei dati personali, delle finalità e modalità del trattamento”, della logica applicata all’uso di strumenti elettronici, degli estremi del titolare e dei soggetti che potessero venirne a conoscenza, l’articolo 15 del GDPR ha ribadito pressoché analogamente la sussistenza dello stesso diritto (“… l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni: le finalità del trattamento; le categorie di dati personali in questione; i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati; … qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine …”).

Ebbene, a ciò consegue che, nell’ambito del rapporto di lavoro, al prestatore è concesso in ogni momento di accedere al fascicolo del procedimento disciplinare per conoscere, in maniera precisa e puntuale, tutte le informazioni che lo riguardano in esso contenute (vedasi, ad esempio, Garante per la protezione dei dati personali, provvedimento del 17 maggio 2017, doc. web n. 1418833). Non solo. Lo stesso lavoratore ha diritto, su richiesta, a che il datore lo informi sull’origine dei dati (sempre che, ovviamente, dette informazioni non provengano direttamente dal dipendente) e, quindi, sulle fonti e sulle modalità di acquisizione delle informazioni.

Con riferimento a quest’ultimo aspetto, tuttavia, la possibilità di conoscerne l’origine non può intendersi in senso assoluto; risulta sempre necessario che ad essere salvaguardati siano, altresì, i diritti e i dati personali dei terzi. Cosicché, laddove le informazioni giungano al datore – e vengano poi inserite nel fascicolo del procedimento disciplinare – tramite una segnalazione proveniente da altre persone fisiche, non può ammettersi la possibilità, in favore del lavoratore, di conoscerne i nominativi. Tale principio è, peraltro, rinvenibile nelle decisioni del Garante della Privacy che, pronunciandosi su una richiesta di un dipendente di essere reso edotto circa l’identità dei fornitori e dei colleghi che avevano effettuato le segnalazioni poste alla base di una contestazione disciplinare, ha affermato che, in dette circostanze, il titolare del trattamento può legittimamente soddisfare l’esigenza di conoscere l’origine dei dati “indicando solo i ruoli, le categorie, gli uffici aziendali da cui sono provenute le segnalazioni in questione, senza indicare anche l’identità delle persone fisiche che materialmente le hanno effettuate” (Garante per la protezione dei dati personali, provvedimento del 12 aprile 2007, doc. web n. 1402759, nonché, in senso analogo, provvedimento del 26 ottobre 2005, doc. web n. 1192365). Ad ogni modo – e al netto dell’ipotesi di cui sopra – l’accesso ai dati da parte del lavoratore, oltre a garantirlo da possibili violazioni della propria riservatezza, si presta ad agevolare lo stesso nella successiva difesa in sede giudiziaria e, quindi, nell’esercizio di un diritto previsto dalla Carta costituzionale. La giurisprudenza di legittimità ha, a tal proposito, sancito come sia sempre possibile per il dipendente conseguire l’esibizione da parte del datore di tutti i “documenti relativi alle vicende del rapporto di lavoro” e ciò a prescindere “dall’eventuale prospettabilità di prove diverse e senza spazi per valutazioni discrezionali da parte del giudice” (cfr., in tal senso, Cassazione, sezione lavoro, sentenza n. 9961 del 26 aprile 2007).

IL PROVVEDIMENTO DEL GARANTE: DIVIETO DI PUBBLICAZIONE DEI DATI RELATIVI A CONTESTAZIONI DISCIPLINARI

Giova, in ultima analisi, interrogarsi sui limiti che incontra il datore nella pubblicazione e nella diffusione dei dati personali oggetto di contestazione disciplinare ovvero di altra fase del procedimento. Premessa la legittimità (alle condizioni esaminate) del trattamento effettuato ai fini dell’esercizio del potere disciplinare, il datore può ritenersi libero di diffondere il contenuto dei provvedimenti in favore di una generalità di soggetti? La risposta – da intendersi in senso negativo può essere individuata nella pronuncia del Garante per la protezione dei dati personali del 13 dicembre 2018 (doc. web n. 9068983). In particolar modo, l’Autorità di controllo si è espressa in tema di pubblicazione dei dati relativi a contestazione disciplinare sulla bacheca aziendale.

Nell’ammettere pacificamente – e in linea generale – come l’ordinamento vigente garantisca la possibilità per il datore di lavoro di “trattare le informazioni necessarie e pertinenti rispetto alla gestione del rapporto di lavoro in base a quanto previsto dalle leggi, dai regolamenti e dalle di
sposizioni dei contratti collettivi applicabili e/o del contratto di lavoro individuale”, tra cui rientrano, senza dubbio alcuno, i dati necessari ad effettuare valutazioni sul corretto adempimento della prestazione lavorativa “e/o ad esercitare il potere disciplinare nei modi e con i limiti previsti dalla disciplina di settore”, il Garante ha provveduto a precisare come la stessa legittimità dell’operazione non si estenda anche alla successiva ed eventuale – diffusione.

Nella controversia in questione, una società cooperativa decideva di introdurre un concorso tra i soci lavoratori, con finalità premiali e, nello specifico, con lo scopo di riconoscere una somma di denaro ai primi tre classificati, che si contraddistinguessero per la qualità dei servizi resi. Il meccanismo configurato dall’azienda prevedeva, in particolare, la pubblicazione settimanale in bacheca (visibile dalla totalità dei colleghi di lavoro ed, eventualmente, da terzi che si recassero in azienda) delle classifiche e dei punteggi degli interessati, affiancati da specifiche motivazioni riferite al giudizio espresso. Nell’ambito di tale pubblicazione era possibile, per di più, prendere visione delle contestazioni di addebito disciplinare dei vari soci lavoratori, a supporto delle eventuali valutazioni negative. Si segnala, peraltro, che i richiamati addebiti vedevano la propria affissione in bacheca ancor prima della conclusione del procedimento disciplinare e in assenza di controdeduzioni da parte degli interessati. A dire della società, i soggetti di cui sopra avrebbero espresso il proprio consenso a tali modalità di trattamento, sottoscrivendo il contenuto del regolamento aziendale e dei relativi riferimenti sul punto.

Investito della questione, il Garante per la protezione dei dati personali ha, come detto, affermato l’illiceità dell’operazione di trattamento posta in essere dalla società datrice, sulla scorta dei seguenti rilievi. In primo luogo, a dire dell’Autorità, a prescindere dal fatto che i lavoratori esprimano o meno il proprio consenso, tale manifestazione di volontà è del tutto inidonea a costituire base giuridica legittimante un trattamento di questo tipo; ciò alla luce “della asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare di volta in volta e in concreto l’effettiva libertà del consenso espresso” (cfr., in senso analogo, anche Garante per la protezione dei dati personali, doc. web n. 9039945). Né, tanto meno, può individuarsi, quale base giuridica del trattamento dei dati ex art. 6, Regolamento Ue 2016/679, l’adempimento di un obbligo legale in forza della specifica previsione del concorso – e delle relative modalità all’interno del regolamento aziendale. A ben vedere, infatti, il concetto di “obbligo legale” di cui al GDPR presuppone la sussistenza di “un atto legislativo”, sia esso relativo ad una singola operazione di trattamento ovvero si tratti di una norma “sufficiente come base per più trattamenti” (si veda, a tale proposito, Regolamento Ue 2016/679, Considerando n. 45) e non può, in questo senso, ritenersi tale una mera regolamentazione interna all’impresa.

Per di più, continua il provvedimento, “la sistematica messa a disposizione” delle informazioni sui procedimenti disciplinari alla generalità dei dipendenti della società (soggetti non legittimati “a conoscere i dati personali riguardanti valutazioni e rilievi disciplinari”) ha rappresentato un’operazione illecita, poiché del tutto esorbitante rispetto alle finalità che la società si è posta. E, infatti, la regolare affissione in bacheca dei dati suesposti non poteva ritenersi adeguata e pertinente rispetto all’obiettivo di “incentivazione dei dipendenti al raggiungimento degli obiettivi di qualità ed efficienza dei servizi resi alla clientela”, posto che lo stesso risultato poteva essere ugualmente raggiunto con modalità che non sacrificassero il “diritto alla riservatezza degli interessati” (cfr., ancora, doc. web n. 9068983).

Quanto espresso dal Garante con il provvedimento in oggetto parrebbe del tutto opportuno e in linea con le prescrizioni (particolarmente garantiste in favore dell’interessato) di cui al GDPR. Ciò vale, a maggior ragione, in considerazione della particolare delicatezza dei dati contenuti nelle contestazioni disciplinari che, come rilevato dalla stessa Autorità, “incidono sulla dignità professionale del dipendente”.

CONTRIBUTO PUBBLICATO SU DIRITTO & PRATICA DEL LAVORO DI IPSOA