NEWS

Processo disciplinare e protezione dei dati personali

Le sanzioni disciplinari sono comminate esclusivamente dal datore di lavoro di norma per tramite l’ufficio personale, sulla base del contratto di lavoro (eventualmente integrato) ed a seguito di accordi con le parti sociali. Non va però dimenticato che INAIL/INPS, e ATS rivestono il ruolo di pubblici ufficiali e nel caso di ispezione possono sanzionare anche il lavoratore per mancata ottemperanza alla normativa (ad esempio non indossa i DPI previsti) così come il datore di lavoro per mancata sorveglianza.

INAIL/INPS, e ATS rivestono il ruolo di pubblici ufficiali e nell'esercizio delle loro funzioni possono raccogliere dati personali dei dipendenti

Fermo restando quanto sopra, in questo articolo si desidera operare un approfondimento, dei trattamenti riconducibili alle sanzioni disciplinari interne all’organizzazione in relazione alla protezione dei dati personali.

Le sanzioni disciplinari - Le infrazioni disciplinari sanzionabili da un datore di lavoro si generano quando un lavoratore si comporta in modo contrario ai suoi doveri, riportati nei documenti sottoscritti all’avvio del rapporto di lavoro.

Alcuni esempi di tali documenti sono: codice etico/codice disciplinare, regolamento aziendale, nomina ad autorizzato al trattamento dei dati comprensiva delle istruzioni (vedi art. 29 del Regolamento EU 2016/679), procedure ed istruzioni del/dei sistemi di gestione applicati, regolamento per lo smart working, non-disclosure agreement (NDA), ecc.

Ovviamente tali documenti devono essere congruenti con quanto previsto dal contratto di lavoro applicato e, nel corso del tempo, possono essere oggetto di aggiornamento, modifica ed integrazione; tali cambiamenti devono essere comunicati al lavoratore affinché prenda atto delle nuove regole o delle regole modificate.

Le sanzioni possono afferire a vari aspetti; tra di essi, quelli che:

- comportano dei danni per l’organizzazione, ad es. furto di beni aziendali, comunicazioni di dati aziendali o personali a terzi non autorizzati;
- compromettono i sistemi aziendali, ad es. scaricando software illegale o comunque aggirando i controlli previsti;
- compromettono il clima aziendale, ad es. aggredendo un collega, riportando notizie non veritiere o assumendo un comportamento negligente.

Il procedimento disciplinare prende avvio dalla contestazione disciplinare al lavoratore, che, per i casi meno gravi, può essere espressa sotto forma di “rimprovero verbale/ammonimento”. La contestazione deve riportare una descrizione puntuale e circostanziata dell’atto contestato e quindi, sua volta, potrebbe contenere dati personali riconducibili anche a più interessati; per raccogliere tali dati, che il datore di lavoro non può successivamente modificare; può essere necessario effettuare delle indagini mirate.

A sua volta il lavoratore può presentare le proprie giustificazioni, ed anche in questo caso potrebbe essere necessario riportare informazioni personali riguardanti altri soggetti.

Inoltre, sulla base di motivazioni addotte dal lavoratore, l’organizzazione potrebbe decidere di archiviare il procedimento.

I dati trattati nelle sanzioni disciplinari - Nelle sanzioni disciplinari e nei documenti ad essi associati sono contenuti i seguenti dati: gli identificativi del lavoratore, la dinamica dell’evento che ha portato a sanzionare il lavoratore - con l’eventuale riferimento ad altri soggetti che potrebbero essere coinvolti - la durata/modalità di erogazione della sanzione, oltre ad eventuale altra documentazione.

Inoltre, di norma sono presenti anche le dichiarazioni del lavoratore, che può accettare o contestare la sanzione comminata. Solo in casi eccezionali sono presenti immagini, se si escludono quelle, di norma invece disponibili, riguardanti la documentazione di comportamenti attestanti la mancata applicazione, da parte del lavoratore, di istruzioni afferenti alle misure di sicurezza (es. documentare lavori in quota senza indossare le adeguate protezioni).

Se la sanzione è nata a seguito di una segnalazione di whistleblowing, la documentazione potrebbe anche contenere dati riguardanti tale evento.

La liceità del trattamento - Secondo quanto indicato nell’art. 6 del GDPR, le basi di liceità del trattamento possono essere ricondotte ai seguenti casi:

- il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte;
- il trattamento è necessario per adempiere ad un obbligo legale, al quale il titolare del trattamento è soggetto;
- il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi.

Il primo caso riguarda più direttamente il trattamento dei dati personali, oggetto di questo articolo in quanto le sanzioni sono formulate a seguito di mancato rispetto di documenti contrattuali. Non va però dimenticato che un trattamento ai fini di una sanzione disciplinare potrebbe anche essere finalizzata al perseguimento del legittimo interesse di un altro soggetto (es. collega del soggetto sanzionato) che reputa siano stati lesi alcuni suoi diritti.

Informativa, analisi dei rischi e registro dei trattamenti - L’informativa deve considerare anche i trattamenti relativi alla gestione delle sanzioni disciplinari comminate al personale, sia esso a tempo determinato od indeterminato.

Tempi di conservazione dei dati: per la loro determinazione nel caso di sanzioni disciplinari, si può valutare di applicare i tempi previsti per gli altri documenti relativi al personale, di norma calcolati in 10 anni dalla interruzione del rapporto di lavoro; un caso a parte sono però le sanzioni irrogate a seguito del mancato rispetto delle istruzioni relative a salute e sicurezza dei lavoratori; la malattia professionale non cade in prescrizione e per tali casi si possono considerare tempi di conservazione più lunghi; è quindi fortemente raccomandata la predisposizione di una LIA “Legitimate Interests Assessment”.

Responsabili del trattamento: i soggetti esterni destinatari che potrebbero accedere ai dati sono i medesimi che hanno accesso ai dati del personale: il consulente del lavoro, lo studio legale, ecc.

Titolari autonomi del trattamento: le associazioni sindacali sia dei lavoratori che datoriali che trattano i dati in modo autonomo con la finalità di tutelare i soggetti rappresentati; tali trattamenti sono esclusi dal presente articolo.

Una volta definita l’informativa, è necessario aggiornare il registro dei trattamenti e valutare i rischi specifici; non va peraltro dimenticato che le sanzioni possono essere comminate non solo ai dipendenti, ma anche ai membri del CDA ed ai fornitori, come ad es. i professionisti a partita IVA. Per tali soggetti il sistema sanzionatorio è definito, di norma, nel Codice Etico e non fa ovviamente alcun riferimento al contratto di lavoro.

Il caso dei lavoratori interinali - Il potere disciplinare per il lavoratore subordinato è a carico dell’agenzia di somministrazione come specificato dall’art. 35 del decreto legislativo n. 81 del 2015.

Tale potere viene esercitato dall’agenzia di somministrazione, sulla base delle informazioni trasmesse dall’organizzazione che utilizza il lavoratore subordinato; l’agenzia comunica le istruzioni al lavoratore, ed è essa sola in grado di verificare eventuali sue inadempienze; l’organizzazione quindi tratterà i soli dati relativi alla comunicazione verso l’agenzia interinale.

Conclusioni - Il trattamento relativo alle sanzioni disciplinari, di norma poco considerato, presenta invece risvolti interessanti, che merita approfondire; non per svolgere un seppur utile esercizio, ma per sviluppare un’accountability che includa un ampio spettro di casistiche, e che tenga ben conto della complessità del tema analizzato.

Note Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Prev Dossier sanitario: necessarie misure di sicurezza per evitare l’accesso ai dati dei pazienti da parte di personale medico non coinvolto nel processo di cura
Next Imprese sotto i raggi X delle pubbliche amministrazioni

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy