Garante privacy: Lavoro – vanno protetti i dati degli iscritti ai sindacati
Il Garante per la protezione dei dati personali, nella newsletter n. 447 del 7 dicembre 2018, ha, tra le altre cose, fornito le sue indicazioni circa le modalità di comunicazione degli iscritti al sindacato.
Queste le disposizioni fornite dal garante:
“Il datore di lavoro non può comunicare ad una organizzazione sindacale la nuova sigla alla quale ha aderito un suo ex iscritto. Per consentire al sindacato di espletare le procedure che seguono la revoca della affiliazione sindacale e della relativa delega, il datore di lavoro avrebbe dovuto limitarsi a comunicare la sola scelta del lavoratore di non aderire più all’originaria sigla di appartenenza.
È quanto affermato dal Garante privacy a conclusione di un’istruttoria originata dai reclami di alcuni dipendenti di una Azienda socio-sanitaria territoriale che si erano rivolti all’Autorità affinché valutasse la correttezza del datore di lavoro nel trattamento dei loro dati sensibili, quale è l’appartenenza sindacale.
A giustificazione del proprio comportamento l’Azienda ha affermato, tra l’altro, di aver ritenuto necessario informare la Rappresentanza sindacale della variazione per evitare il rischio che senza questa comunicazione l’organismo avrebbe continuato ad operare in una composizione non più aderente alla realtà, con inevitabili ricadute sulla validità della contrattazione aziendale.
Le informazioni sull’adesione sindacale rientrano nella categoria dei dati sensibili – ha osservato l’Autorità – ai quali la disciplina di protezione dei dati riconosce particolari forme di tutela. Il datore di lavoro può lecitamente trattarli in base alla legge per adempiere agli obblighi derivanti dal rapporto di lavoro, ad esempio per effettuare il versamento delle quote di iscrizione ad associazioni o organizzazioni sindacali su delega e per conto del dipendente.
In questo caso invece l’amministrazione non si è limitata a comunicare alla Rappresentanza sindacale la revoca dell’affiliazione di alcuni lavoratori, ma ha inviato a tutti i componenti della sigla sindacale una e-mail cui erano allegati dei documenti nei quali era espressamente indicata l’iscrizione dei lavoratori che avevano aderito ad un altro sindacato. Ciò ha determinato una illecita comunicazione di dati personali sensibili dei reclamanti.
A conclusione dell’istruttoria il Garante ha ritenuto che dalla valutazione degli elementi acquisiti la condotta dell’Azienda, pur difforme dalla disciplina applicabile, abbia esaurito i suoi effetti e non sussistono quindi i presupposti per l’adozione di un provvedimento prescrittivo o inibitorio.
L’Autorità si è riservata però di avviare un autonomo procedimento per valutare la contestazione di una eventuale violazione amministrativa per l’illecita comunicazione dei dati sindacali.”
Fonte: Garante per la protezione dei dati personali
Reclami relativi al trattamento di dati personali idonei a rivelare l’adesione sindacale di dipendenti
Con riferimento ai reclami in oggetto, codesta Azienda, nel fornire riscontro alla richiesta di informazioni inviata da questa Autorità, ha rappresentato che “dal XX è insorto un contenzioso, ad oggi non ancora concluso, tra gli organi dell’organizzazione sindacale XX che ha portato alla scissione della sigla in due distinti soggetti sindacali con il medesimo nome (XX) e identico logo: l’uno afferente alla XX e l’altro, fino allo scorso anno, a XX. […] La contemporanea esistenza di due sigle sindacali con la stessa denominazione (che le sigle interessate hanno sempre fermamente negato), è stata confermata dal Tribunale di XX nel decreto dell’XX. […] A seguito dell’accertamento definitivo della rappresentatività sindacale deliberato dall’ARAN nell’XX, che ha visto la conferma della stessa in capo a XX, questa Azienda ha provveduto al versamento delle deleghe, precedentemente congelate in seguito a quanto sopra, a favore del predetto soggetto sindacale. Di ciò l’ASST ha dato notizia a tutti gli iscritti XX comunicando, nel contempo, l’intenzione di continuare ad effettuare il versamento in favore della medesima sigla sindacale, in assenza di differente indicazione da parte dei lavoratori […]. In seguito a tale notifica, i dipendenti XX, XX e XX hanno chiesto di versare la quota sindacale a favore di XX”(…).
Posto tuttavia che essi “risultavano a quella data componenti delle rappresentanze sindacali unitarie (RSU) eletti nella lista XX, in data XX codesta Azienda ha ritenuto necessario informare con e-mail la RSU della variazione della affiliazione sindacale da parte dei predetti dipendenti, al fine di “consentire alla stessa l’applicazione degli articoli 3 e 4 dell’allora vigente Regolamento per il funzionamento della RSU aziendale” e in ragione del “fondato rischio che – mancata tale comunicazione – l’organismo avrebbe continuato ad operare in composizione non più aderente alla verificatasi situazione di fatto, con inevitabili ricadute sulla validità della contrattazione aziendale e della correlata azione amministrativa”.
Codesta Azienda ha altresì fatto presente che, “per quanto riguarda i destinatari della comunicazione, quest’ultima è stata trasmessa esclusivamente alla RSU, organismo unitario, nella persona dei relativi componenti” e che questi ultimi sono autorizzati a trattare i dati personali in argomento (artt. 3 e 4 del sopraccitato Regolamento della RSU).
In base alla disciplina di protezione dei dati personali (d.lgs 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, di seguito Codice) vigente all’epoca cui si riferiscono i fatti oggetto dei reclami, si osserva quanto segue.
Le informazioni relative all’adesione sindacale costituiscono dati sensibili cui trovano anzitutto applicazione gli artt. 3, 11 e 20 e 112 del Codice (art. 4, comma 1, lett. d), del Codice).
In particolare, nell´ambito della gestione del rapporto con il lavoratore, tali dati sono conosciuti da parte del datore di lavoro, il quale può lecitamente trattarli, in adempimento degli obblighi correlati alla gestione del rapporto di lavoro, al fine di effettuare il versamento delle quote di iscrizione ad associazioni od organizzazioni sindacali su delega e per conto del lavoratore (cfr. anche art. 26, l. 20 maggio 1970, n. 300 e cfr. Provv., n. 609 del 18 dicembre 2014, doc. web n. 3721603).
Come risulta da quanto rappresentato nei reclami e dalla documentazione in atti e come confermato da codesta Azienda (…), tuttavia l’amministrazione non si è limitata a comunicare alla Rappresentanza sindacale interessata la revoca dell’affiliazione da parte di alcuni lavoratori ma ha inviato, in data XX, a tutti i componenti della citata sigla sindacale (XX) una e-mail recante in allegato documenti nei quali era espressamente indicata la contestuale iscrizione dei predetti ad altro sindacato (e-mail del XX inviata dall’account “XX” ad una pluralità di destinatari, in atti).
Ciò ha determinato un’illecita comunicazione di dati personali sensibili dei reclamanti (art. 112 e art. 20 Codice).
Tanto premesso, viste le dichiarazioni rese dalle parti, anche ai sensi dell’art. 168 del Codice, nel corso del procedimento ed effettuata la valutazione degli elementi nel complesso acquisiti all’esito dell’istruttoria, dalla quale emerge che la condotta, pur difforme rispetto alla disciplina applicabile, ha esaurito i suoi effetti, si ritiene che non sussistano i presupposti, in base agli artt. 14, comma 2, e 11, comma 1, lett. d), reg. Garante n. 1/2007, per promuovere l’adozione di un provvedimento prescrittivo o inibitorio da parte del Garante.
Impregiudicata la facoltà degli interessati di far valere, qualora ne ricorrano i presupposti, eventuali pretese risarcitorie avanti all’Autorità giudiziaria ordinaria (art. 15 del Codice) derivanti dal comportamento dell’Azienda, si informa che l’Autorità si riserva di avviare un autonomo procedimento in relazione all’eventuale sussistenza dei presupposti per la contestazione della violazione amministrativa derivante dall’illecita comunicazione di dati personali (art. 11, comma 1, lett. a) e 20 del Codice).
IL DIRIGENTE
Francesco Modafferi
