Francia: Violazioni Privacy dei dipendenti, IKEA condannata a 1 milione di euro

• Una vera e propria “Ricettazione di dati personali in modo fraudolento”: arriva la condanna di IKEA in Francia per violazione della privacy dei dipendenti e apre la strada ad una maggiore tutela del dato personale a livello europeo.
• Come raccogliere e trattare dati personali relativi ai lavoratori, e dati personali sensibili nei luoghi di lavoro? Alcune indicazioni sugli obblighi dei datori e sui diritti degli interessati.
• Per approfondire sull’argomento: “Le nuove disposizioni nazionali sulla protezione dei dati personali“, M. Iaselli, EPC Editore (2018).

Spionaggio dei dipendenti: il caso IKEA in Francia

Il Tribunale di Versailles ha condannato Ikea a pagare oltre un milione di euro (1,2 milioni di dollari) in multe per una campagna di spionaggio, non industriale, ma personale, su rappresentanti sindacali, dipendenti e, persino, su alcuni clienti insoddisfatti.

Secondo la sentenza, si tratta di “ricettazione di dati personali in modo fraudolento“; condannati 13 dirigenti e l’ex Amministratore Delegato di Ikea France, Jean Louis Baillot, a pene detentive con la condizionale (18 mesi), per aver fatto spiare diverse centinaia di dipendenti nel periodo fra il 2009 e il 2012.

Naturalmente per Ikea la sanzione pecuniaria non è particolarmente significativa, ma la sentenza stabilisce un principio che potrà diventare un punto di riferimento in tutta Europa colpendo diverse aziende che trattano i dati del loro personale in modo illegittimo.

Raccolta e trattamento dati personali e sensibili sul lavoro

Con riferimento al rapporto di lavoro, i datori di lavoro e lavoratori sia nel settore pubblico che in quello privato devono avere consapevolezza che molte attività svolte normalmente nel contesto di lavoro comportano il trattamento di dati personali relativi ai lavoratori, e talora di dati personali sensibili.

In effetti, i datori di lavoro raccolgono dati personali dei rispettivi dipendenti per numerosi e diversi scopi, fin dall’inizio del rapporto di lavoro o persino precedentemente ad esso.

Reclutamento del personale e raccolta dati

Nella fase di reclutamento del personale, chi presenta una richiesta di lavoro deve fornire dati personali al datore di lavoro potenziale, il quale generalmente tratta questi dati personali al fine di valutare l’idoneità dei candidati.

La raccolta ed il trattamento ulteriore di dati personali dei lavoratori proseguono per l’intera durata del rapporto di lavoro. Queste attività di trattamento riguardano, in condizioni normali, tutti i dati personali che il datore di lavoro ha chiesto e/o ottenuto dai propri dipendenti.

Trattamento dati personali per scopi di lavoro: gli obblighi del datore di lavoro

Nel trattamento di dati personali per scopi di lavoro l datori di lavoro devono:

• garantire il rispetto della vita privata e la protezione dei dati personali, segnatamente al fine di consentire il libero sviluppo della personalità del dipendente ed opportunità di rapporti personali e sociali sul luogo di lavoro.
• ridurre al minimo il trattamento di dati personali, limitandolo ai dati necessari per lo scopo perseguito nel singolo caso (principio della limitazione delle finalità).
• mettere a punto idonee misure per garantire il rispetto concreto dei principi e degli obblighi connessi al trattamento di dati per scopi di lavoro.
• devono essere in grado di dimostrare l´osservanza di tali principi e obblighi (principio di accountability), su richiesta dell´autorità Garante.

Le misure in questione devono essere adattate alla quantità e tipologia dei dati oggetto di trattamento ed alla natura delle attività intraprese, e devono tenere conto anche delle implicazioni potenziali per i diritti e le libertà fondamentali dei dipendenti.

Raccolta dati personali del lavoratore: come ottenerli?

I datori di lavoro devono raccogliere dati personali

• direttamente presso l´interessato
• presso terzi, qualora sia necessario e lecito trattare dati raccolti, ad esempio per ottenere referenze professionali: l’interessato dovrebbe esserne debitamente informato in via preventiva.

Memorizzazione dei dati personali dei dipendenti: è consentita?

La memorizzazione di dati personali per scopi di lavoro è consentita esclusivamente se i dati sono stati raccolti in conformità dei principi sanciti dal GDPR ed esclusivamente per il periodo necessario al perseguimento dello scopo legittimo del trattamento.

I dati in questione devono essere

• pertinenti
• idonei
• e non eccedenti.

In caso si memorizzino dati valutativi concernenti la prestazione o le potenzialità di un dipendente, tali dati devono essere utilizzati esclusivamente allo scopo di valutare le competenze professionali.

Come trattare i dati personali sul lavoro?

É necessario soddisfare almeno uno dei criteri fissati nell´art. 6 del GDPR per procedere al trattamento di dati personali nel contesto dei rapporti di lavoro. Ciascuno di tali criteri prevede che ogniqualvolta vi si faccia ricorso, il trattamento effettuato sia realmente “necessario per” raggiungere l’obiettivo in oggetto anziché semplicemente incidentale a tale fine.

Trattamento dati personali sul lavoro: indicazioni nazionali

La Raccomandazione CM/Rec(2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale ha inoltre precisato che il dipendente dovrebbe poter ottenere, su richiesta, a intervalli ragionevoli e senza attese eccessive, conferma del trattamento di dati personali che lo riguardano. La comunicazione dovrebbe avvenire in forma intelligibile e contenere tutte le informazioni relative alla fonte dei dati nonché ogni ulteriore informazione che il titolare sia tenuto a fornire per garantire la trasparenza del trattamento.

Diritto di accesso ai dati personali e valutativi

Inoltre, la stessa Raccomandazione sostiene che il diritto di accesso dovrebbe essere garantito anche con riguardo ai dati valutativi, compreso il caso in cui tali dati si riferiscano a valutazioni delle prestazioni, della produttività o delle capacità del dipendente, al più tardi una volta completato il processo valutativo, salvi i diritti di difesa del datore di lavoro o di terzi interessati. Anche se i dati in oggetto non sono passibili di rettifica da parte del dipendente, dovrebbe essere possibile contestare valutazioni puramente soggettive nel rispetto del diritto interno.

Dati sulla valutazione del personale

Con riferimento, poi, ai dati relativi alla valutazione del personale, Il Gruppo di lavoro “Articolo 29” (Art. 29 WP) con la raccomandazione n. 1/2001 aveva già precisato che dati personali possono essere trovati nel quadro di valutazioni e giudizi soggettivi, che possono includere elementi specifici che caratterizzano l’identità fisica, fisiologica, mentale, economica, culturale o sociale della persona interessata.

Ciò  vale anche se un giudizio o una valutazione sono formulati sotto forma di un punteggio, di una scala di valori o di altri parametri di valutazione.

Dati personali del lavoratore e privacy nazionali

Il fatto che, ai sensi di una legge nazionale, taluni di questi dati soggettivi

• non possono essere sempre essere accessibili e rettificabili,
• o siano rettificabili con una dichiarazione o un’annotazione fatta dal soggetto,

non esclude che si tratti di dati personali, con riguardo alla trasparenza del loro trattamento e all’esercizio del diritto d’accesso.

Considerazioni simili valgono per quanto riguarda il fatto che l’accesso diretto ai dati inclusi in giudizi soggettivi o valutazioni può essere negato o limitato ai sensi della legge nazionale.

Trattamento dati personali sul lavoro: l’approfondimento di EPC Editore

Le nuove disposizioni nazionali sulla protezione dei dati personali

Iaselli Michele

Edizione: novembre 2018

L’obiettivo del presente lavoro è quello di fornire uno strumento operativo al lettore in grado di far capire, in modo chiaro e veloce, quali sono stati i cambiamenti intervenuti nell’ambito della normativa nazionale in materia di protezione dei dati personali (d.lgs. n. 196/2003) a seguito dell’entrata in vigore del decreto di armonizzazione n. 101/2018.

Violazioni della privacy e sanzioni amministrative pecuniarie

GDPR: tipologie di reati ed esempi reali. Modelli di calcolo delle sanzioni

Biasiotti Adalberto Caiazza Antonio

Edizione: novembre 2020