happy-couple-shaking-hands-with-real-estate-agent-in-the-office-picture-id1093900326

Cassazione: legittimo il licenziamento intimato al dipendente di un istituto di credito che abbia indebitamente trattato i dati dei clienti.

Le informazioni raccolte dal datore di lavoro tramite i controlli difensivi sugli strumenti di lavoro dei dipendenti sono utilizzabili per tutti i fini connessi al rapporto di lavoro, a condizione che sia stata data adeguata informazione sulle modalità d’uso di detti strumenti e sull’effettuazione dei controlli.

Con sentenza 4871/2020 la Cassazione, confermando le pronunce di primo e secondo grado, ha riconosciuto la legittimità del licenziamento per giusta causa intimato da una Banca milanese ad una propria dipendente per avere questa effettuato – nello svolgimento di un nuovo incarico – interrogazioni di conti correnti di alcuni clienti non giustificate da ragioni di servizio.

Nel proprio ricorso, la dipendente ha censurato la sentenza impugnata per tre motivi:

  • Violazione e falsa applicazione dell’art. 2119 c.c. e art. 2103 c.c., comma 3, nonché dell’art. 112 c.p.c, per avere la Corte di Appello ritenuto sussistente la giusta causa di licenziamento senza esaminare la questione della novità dell’incarico di “referente” di agenzia e della mancata formazione (obbligatoria) per lo svolgimento dello specifico incarico;
  • Deducendo i vizi di cui ai nn. 4 e 5 dell’art. 360 c.p.c., la ricorrente ha censurato l’omesso esame del fatto decisivo, oggetto di discussione tra le parti, costituito dalla novità dell’incarico di “referente” e dalla mancanza della formazione necessaria all’espletamento delle relative mansioni;
  • Violazione e falsa applicazione dell’art. 4 L. 300/1970, nonché l’omesso esame di fatto decisivo oggetto di discussione tra le parti, per avere la Corte di Appello ritenuta adeguata la nota prodotta in giudizio dal datore di lavoro al fine di dimostrare l’adempimento dell’obbligo informativo, nonostante questa fosse antecedente all’entrata in vigore della nuova norma (D. Lgs. 151/2015) e riguardasse le sole modalità di effettuazione dei controlli sui dipendenti (e non anche le modalità d’uso degli strumenti di lavoro).

La Suprema Corte ha esaminato congiuntamente i primi due motivi, in quanto connessi, e ne ha rilevato il difetto di riferibilità alla decisione impugnata, avendo la Corte di Appello correttamente accertato – dopo un ampio esame delle risultanze di causa, sia di fonte documentale sia tratte dall’istruzione probatoria – come il datore di lavoro avesse assolto l’obbligo di informazione di cui all’art. 4 della L. 300/1970, avendo questi informato specificamente la generalità dei propri dipendenti, indipendentemente dalla loro qualifica, attività o funzione, stabile o temporanea, in ragione della stretta inerenza dell’attività bancaria alla tutela della riservatezza della clientela e del rischio diffuso di indebiti accessi alle relative posizioni. Ciò premesso, la Suprema Corte ha rilevato come né la “novità” dell’incarico, né la carenza di “formazione” della ricorrente avrebbero potuto sovvertire le conclusioni a cui è pervenuto il giudice di secondo grado, non avendo queste alcun ruolo nel processo informativo correttamente seguito dal datore di lavoro nei confronti dei propri dipendenti.

Allo stesso modo, la Suprema Corte ha rigettato anche il terzo motivo di ricorso. Difatti, l’art. 4 della L. n. 300/1970, così come modificato dall’art. 23 del D. Lgs. 151/2015, permette l’utilizzabilità delle informazioni raccolte per tutti i fini connessi al rapporto di lavoro, a condizione che sia data al lavoratore idonea informativa circa le modalità d’uso degli strumenti e di effettuazione dei controlli, senza che vi sia alcuna distinzione tra informative “precedenti” e “successive” all’entrata in vigore del D. Lgs. 151/2015. Da ciò, l’affidamento della lavoratrice sulla ricezione di una “nuova” informativa è stato ritenuto estraneo all’ambito applicativo della norma.

Il terzo motivo è stato disatteso anche nell’ulteriore profilo dedotto dalla lavoratrice, risolvendosi in un diverso apprezzamento di fatto circa l’adeguatezza dell’informativa, che la Corte di merito ha esattamente ricondotto, in relazione alle peculiarità del caso concreto, all’esigenza che al dipendente sia data comunicazione del tipo e della finalità del controllo, in modo che quest’ultimo possa averne consapevolezza e regolarsi di conseguenza.

In conclusione, la Corte di Cassazione ha integralmente respinto il ricorso proposto dalla lavoratrice, confermando il noto principio in base al quale le informazioni raccolte dal datore di lavoro tramite i controlli difensivi sugli strumenti di lavoro dei dipendenti sono utilizzabili per tutti i fini connessi al rapporto di lavoro, a condizione che sia stata data adeguata informazione sulle modalità d’uso di detti strumenti e sull’effettuazione dei controlli.

 

 

 

aerial-view-of-crowd-connected-by-lines-picture-id1180187740

I risvolti privacy del Protocollo 14 marzo 2020 per il contrasto ed il contenimento della diffusione del Coronavirus.

Il nuovo Protocollo sottoscritto il 14 marzo scorso tra le Parti sociali fornisce utili indicazioni operative dirette ad agevolare le imprese nell’adozione di misure di sicurezza anti-contagio. I datori di lavoro possono effettuare alcuni trattamenti sui dati dei lavoratori, ma a condizione che siano rispettate le prescrizioni della vigente normativa privacy.

Il 14 marzo 2020, su invito del Presidente del Consiglio dei Ministri e dei Ministri competenti, è stato sottoscritto tra le Parti sociali il «Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro».

Detto Protocollo – nato in attuazione della misura ex art. 1, c. 1, n. 9, del DPCM 11 marzo 2020 che raccomandava intese tra organizzazioni datoriali e sindacali in relazione alle attività professionali e alle attività produttive – fornisce numerosi indicazioni operative dirette ad agevolare le imprese nell’adozione di protocolli di sicurezza anti-contagio, con particolare riferimento agli obblighi informativi del datore di lavoro, alle modalità di ingresso in azienda, alla pulizia e sanificazione dei luoghi di lavoro, all’organizzazione aziendale ecc.

In questo breve contributo ci limiteremo a trattare le novità introdotte dal Protocollo in tema di trattamento dei dati personali, anche alla luce del recente intervento del Garante Privacy del 2 marzo 2020, che aveva sconsigliato l’effettuazione da parte dei datori di lavoro di accertamenti “fai-da-te” sulle condizioni di salute di dipendenti, collaboratori e fornitori.

Nel paragrafo dedicato al trattamento dei dati personali, il Protocollo prevede espressamente che il personale, prima dell’accesso al luogo di lavoro, possa essere sottoposto al controllo della temperatura corporea, così da poterne impedire l’ingresso nel caso in cui questa dovesse risultare superiore ai 37,5°.

Come noto, la rilevazione della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire nel pieno rispetto della vigente normativa in tema privacy. Sotto tale aspetto, il Protocollo suggerisce di rilevare la temperatura senza, tuttavia, registrare il dato acquisito, salvo che l’identificazione dell’interessato e la registrazione del superamento della soglia siano necessari a documentare le ragioni per le quali non è stato consentito l’ingresso in azienda. L’interessato che subisca tale trattamento dei propri dati personali ha il diritto di ottenere l’informativa privacy dal titolare, la quale potrà essere fornita oralmente e potrà essere limitata alle sole informazioni di cui l’interessato non sia già in possesso in ragione del rapporto sottostante.

Il Protocollo fornisce utili indicazioni anche quanto alla finalità del trattamento in questione (prevenzione dal contagio da COVID-19), alla sua base giuridica (implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. 1, n. 7, lett. d) del DPCM 11 marzo 2020, in conformità con l’art. 6, c. 1, lett. e) e l’art. 9, c. 2, lett. b), del GDPR) ed al termine di conservazione dei dati (termine dello stato di emergenza).

Risulta evidente come detto trattamento rappresenti una deroga al generico divieto di trattare i c.d. dati particolari, ex art. 9, c. 1, del GDPR (tra i quali vi rientrano certamente quelli relativi alla salute), derivante dalla previsione di cui al comma 2, lett. b), del medesimo articolo: [Il divieto non si applica se si verifica uno dei seguenti casi:] il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.

Il Protocollo precisa che i dati particolari così rilevati possono essere trattati esclusivamente per la finalità di prevenzione dal contagio da COVID-19 e non possono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative. Tra i casi in cui è ammessa la comunicazione dei dati rientra certamente quello in cui sia l’Autorità Sanitaria a richiederli, ad esempio al fine di ricostruire la filiera degli eventuali contatti stretti di un lavoratore risultato positivo al coronavirus.

Tra le altre indicazioni operative, il Protocollo prevede che possa essere disposto l’isolamento momentaneo del soggetto con una temperatura corporea superiore al limite consentito, ma è onere dal datore di lavoro assicurare che detto isolamento avvenga con modalità tali da garantire la riservatezza e la dignità del lavoratore. Le stesse cautele devono essere garantite al lavoratore che abbia comunicato all’ufficio responsabile del personale di aver avuto contatti con soggetti risultati positivi al coronavirus, nonché nel caso di allontanamento del lavoratore che, durante l’attività lavorativa, sviluppi sintomi riconducibili al COVID-19.

Il Protocollo suggerisce, inoltre, di definire le misure di sicurezza e organizzative adeguate a proteggere i dati trattatati per la finalità in esame. Quanto alle misure di sicurezza, il Protocollo non fa menzioni specifiche e, pertanto, ci si deve rifare a tutto quanto previsto dall’art. 32 del GDPR. Sotto il profilo organizzativo, invece, il Protocollo suggerisce al datore di lavoro (titolare del trattamento) di individuare i soggetti preposti al trattamento e fornire loro tutte le istruzioni necessarie.

Tutte le accortezze menzionate devono essere tenute anche nel caso in cui il datore di lavoro richieda ai lavoratori una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico o l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19, in quanto l’acquisizione di detta dichiarazione costituisce un trattamento di dati. In tal senso, il Protocollo consiglia di raccogliere solo i dati necessari, adeguati e pertinenti alla prevenzione del contagio da COVID-19.

Coronavirus, interviene il Garante privacy: no ai controlli fai-da-te.

Con comunicazione del 2 marzo 2020 il Garante privacy ha precisato come la necessità di prevenire i contagi non giustifichi la sospensione della tutela della privacy di dipendenti, fornitori e visitatori: i datori di lavoro devono astenersi dal raccogliere, in modo sistematico e generalizzato, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti.

 

Negli ultimi giorni, a causa del diffondersi dei contagi, in molti si sono chiesti fino a che punto possano spingersi gli accertamenti dei datori di lavoro sul personale dipendente, sui fornitori o sui visitatori delle proprie aziende. La normativa d’urgenza adottata per fronteggiare l’emergenza sanitaria dispone che chiunque abbia soggiornato nelle zone c.d. “a rischio epidemiologico” negli ultimi 14 giorni, debba comunicarlo all’ASL, anche per il tramite del medico di base, così da poter procedere con gli accertamenti necessari, ma da ciò non ne consegue che chiunque possa procedere a detti accertamenti, viste le ovvie implicazioni in tema di trattamento di dati personali.

L’Autorità Garante ha ricevuto numerosi quesiti riguardanti la possibilità di raccogliere informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti del personale e dei loro più stretti contatti e, per tale ragione, con comunicazione del 2 marzo 2020, il Garante ha precisato che l’obiettivo di prevenire la diffusione del Coronavirus deve essere perseguito da soggetti che istituzionalmente esercitano questa funzione in modo qualificato.

Sebbene il datore di lavoro debba, quindi, astenersi dall’effettuare autonomamente controlli che non gli competono, lo stesso è comunque tenuto a comunicare, agli organi preposti, le eventuali variazioni del “rischio biologico” derivanti dal Coronavirus per la salute sul posto di lavoro, nonché ad adempiere agli oneri connessi alla sorveglianza sanitaria sui lavoratori per il tramite del medico competente (a tal proposito, il Garante ipotizza la possibilità di sottoporre ad una visita straordinaria i lavoratori più esposti).

Per quanto attiene ai prestatori di lavoro, per questi permane il generico dovere di segnalare qualsiasi situazione di pericolo per la salute e la sicurezza dei luoghi di lavoro (preferibilmente per il tramite di canali appositamente predisposti dal datore di lavoro, così da salvaguardare la riservatezza delle stesse comunicazioni).

Il Garante ha quindi chiarito i limiti e la portata dell’intervento del datore di lavoro, invitando tutti i titolari del trattamento ad attenersi alle indicazioni fornite dal Ministero della Salute e dalle istituzioni competenti, nonché ad astenersi dall’effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dalle autorità.

stop-to-drink-symbol-picture-id1067296628

Ubriachezza del lavoratore: la sorveglianza sanitaria e gli altri obblighi del datore di lavoro

L’assunzione di alcol – e di sostanze stupefacenti – da parte di un lavoratore costituisce un pericoloso fattore di rischio aggiuntivo, per la sua persona e per l’intero ambiente lavorativo. Il datore di lavoro deve valutare il rischio legato all’assunzione di alcolici nella propria azienda, predisporre delle procedure aziendali volte a prevenire e gestire le problematiche alcol-correlate sul posto di lavoro ed individuare mansioni non a rischio dove adibire, se possibile, i lavoratori con problemi legati all’alcoldipendenza.