Dati sensibili

Covid-19: il Trattamento dei dati sanitari ai tempi della Pandemia

In uno scenario drammatico che ricorda il dopoguerra, in cui le libertà previste dalla Carta costituzionale stanno subendo eccezionali compressioni, anche il diritto alla riservatezza non si sottrae a queste limitazioni. In un ottica solidaristica e preventiva, le misure adottate dal Governo tengono conto di tutti gli interessi coinvolti e sono frutto di una attenta valutazione basata sul bilanciamento del diritto alla privacy con un altro fondamentale diritto individuale e interesse collettivo: quello alla salute.

Smart Working: tra controllo a distanza e privacy

Negli ultimi anni stiamo assistendo ad una vera e propria rivoluzione digital. L’impiego massiccio delle nuove tecnologie sta trasformando molti settori. L’innovazione digitale gioca un ruolo chiave nell’evoluzione dei modelli organizzativi aziendali. L’Italia, nonostante la diffidenza iniziale, si sta affacciando ad un nuovo stile di vita lavorativo. Le classiche otto ore in ufficio sono oramai obsolete. Occorre andare incontro alle esigenze del lavoratore perché solo un dipendente soddisfatto potrà essere un dipendente produttivo. In questa ottica si è introdotto lo “Smart working”, che consente al lavoratore di poter svolgere la propria prestazione secondo le modalità di esecuzione più consone al proprio stile di vita quotidiano. Questa nuova fattispecie assolve la funzione di incrementare la competitività agevolando la conciliazione dei tempi di vita e di lavoro del dipendente. Il concetto di ufficio diventa ”aperto”, il vero spazio lavorativo è quello che favorisce la creatività delle persone: lo “smart worker” non sarà inserito all’interno dei locali aziendali, se non per una parte del tempo. Il lavoro diventa dinamico e flessibile, genera relazioni che vanno oltre i confini aziendali, stimola nuovi business. Anche la definizione di orario di lavoro dovrà necessariamente essere rivista in funzione della giornata o della settimana nella sua complessità. La disciplina giuridica La legge 22 maggio 2017, n. 81, sotto la rubrica “Misure per la tutela del lavoro autonomo non imprenditoriale e misure volte a favorire l’articolazione flessibile nei tempi e nei luoghi del lavoro subordinato” ha introdotto nel nostro ordinamento il c.d. lavoro agile, all’art. 18. Questo istituto viene definito come una “modalità di esecuzione del rapporto di lavoro subordinato stabilita mediante accordo tra le parti, anche con forme di organizzazione per fasi, cicli e obiettivi e senza precisi vincoli di orario o di luogo di lavoro, con il possibile utilizzo di strumenti tecnologici per lo svolgimento dell’attività lavorativa. Il primo aspetto che emerge è che lo smart working è frutto di un accordo tra datore e dipendente. Tale accordo deve essere stipulato in forma scritta e deve regolare ogni aspetto del rapporto lavorativo, inclusi i riposi e gli strumenti offerti in dotazione per lo svolgimento dell’attività lavorativa. Un altro aspetto sul quale conviene soffermarsi riguarda la gestione del tempo e degli spazi. Difatti, a differenza del Telelavoro, il lavoro agile non si svolge interamente all’esterno dei locali aziendali. Il worker svolgerà quindi parte della propria prestazione in azienda (le modalità andranno delineate nell’accordo tra le parti). Quanto alle tecnologie digitali, sono queste che permettono lo svolgimento del lavoro smart. Permettono al lavoratore di scegliere dove e quando lavorare, sia all’interno che all’esterno dell’organizzazione. Generalmente l’imprenditore fornisce in uso al suo dipendente tutti gli strumenti per lavorare da remoto: pc, VPN, servizi di Social Collaboration, smartphone, tablet, etc. in relazione al tipo di attività che questi dovrà svolgere. I pro e i contro Pare inevitabile imbattersi nei vantaggi che trae il lavoratore a discapito di una evidente insicurezza dell’imprenditore. La “smaterializzazione” della postazione di lavoro e dell’assenza di vincoli di continuità della prestazione nella giornata pone il datore di lavoro in una situazione in incertezza sollevando non pochi problemi di coordinamento nell’organizzazione complessiva dell’attività d’impresa. Per tale ragione l’imprenditore deve ricorrere a strumenti che gli consentano di ridurre la distanza fisica tra le parti e che gli permettano di monitorare l’effettivo adempimento da parte del lavoratore delle mansioni assegnategli. D’altronde il fine primario del datore di lavoro è di procurare una utilità alla propria azienda pertanto avrà tutto l’interesse di controllare la prestazione del lavoratore, tuttavia tutto ciò potrebbe sfociare in forme aggressive di controllo a distanza. Il controllo a distanza La normativa che ha introdotto il lavoro agile (L. 81/2017) affronta all’art. 21 la tematica del potere di controllo del datore rinviando allo Statuto dei lavoratori (L. 300/1970). In particolare, ai sensi dell’art. 4: “Gli impianti audiovisivi* e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali.” Gli strumenti nella suddetta disposizione c.d. controlli preterintenzionali devono essere impiegati unicamente per le finalità ivi indicate, a titolo esemplificativo per il monitoraggio dell’effettivo svolgimento della prestazione. Il lavoratore dovrà essere preventivamente informato sulle modalità d’uso dei dispositivi stessi e sui possibili controlli. Il GDPR prevede, inoltre, all’art. 88 che le attività di controllo del lavoratore siano svolte in un contesto di trasparenza e di adeguata protezione dei dati del lavoratore. Il trattamento dei dati personali del dipendente in esecuzione di obblighi derivanti dal contratto di lavoro, da previsioni di legge, nell’interesse legittimo del datore di lavoro deve sempre avvenire con il suo consenso, come precisato dal WP29. Fuori da queste ipotesi, atteso il palese sbilanciamento della forza contrattuale tra datore di lavoro e dipendente, il mero consenso di quest’ultimo non sarà sufficiente, non potendolo considerare liberamente espresso. Il trattamento di dati personali dei terzi Si pone altresì il problema della tutela della privacy dei soggetti i cui dati vengono trattati da remoto dal lavoratore nello svolgimento delle sue mansioni. Il datore di lavoro infatti in qualità di titolare del trattamento deve verificare costantemente che siano poste in essere tutte le misure organizzative e/o tecniche necessarie a garantire un trattamento lecito e corretto. Talvolta però per far ciò si rischia un’eccessiva invasività dell’imprenditore nella vita privata del lavoratore. Sarà quindi necessaria una valutazione sulla necessità di trattare i dati da remoto: il trattamento dovrà rispondere ad esigenze strettamente finalizzate all’organizzazione imprenditoriale, in rispetto al principio di minimizzazione. In ogni caso l’utilizzabilità dei dati è ammessa se sono rispettati i principi di liceità, di necessità, di finalità e di proporzionalità. Conclusione Work-life balance e welfare aziendale sono le finalità che persegue il lavoro agile. Grazie allo smart working il lavoratore gestisce il suo tempo, dedicandolo alle attività che lo rendono una persona realizzata non solo da punto di vista professionale. In un’epoca di trasformazioni la

Illecito trattamento di dati personali: il requisito del “nocumento” (Cass. Pen., Sez. III, sent. n. 23808 del 29/3/2019)

La Cassazione è recentemente intervenuta su un caso di presunto illecito trattamento dati personali sanitari nell’ambito di un procedimento civile. La vicenda Un signore toscano conveniva in giudizio il padre per vedersi riconoscere un credito vantato nei confronti di quest’ultimo. Nell’ambito del giudizio civile il padre, per giustificare l’infondatezza della pretesa creditoria, produceva la documentazione sanitaria del figlio attestante una sua grave patologia psichiatrica, al fine di dimostrare che la richiesta di denaro nascesse in realtà da un profondo risentimento nutrito da questi nei confronti dei genitori strettamente connesso alla sua critica situazione clinica. Il figlio, ritenendo di aver subito una violazione del proprio diritto alla riservatezza, sporgeva denuncia querela nei confronti del padre, ravvisando un illecito trattamento di dati, ex art. 167 Codice della Privacy. Da qui traeva origine il procedimento penale. Avverso la decisione della Corte di Appello di Firenze, che ribaltava il giudizio di primo grado assolvendo il convenuto/resistente dal delitto ascrittogli, il ricorrente toscano proponeva ricorso dinanzi alla Corte di Cassazione. A sostegno della propria tesi il ricorrente dichiarava che la diffusione, senza il suo consenso, della documentazione contenente dati sensibili afferenti alla sua sfera intima, gli avrebbe procurato danni sia di natura patrimoniale che non patrimoniale. Aggiungeva infine che la diffusione di dati riguardava una platea indefinita di soggetti, quali giudice, cancellieri, avvocati e praticanti avvocati e gli aveva determinato l’impossibilità di reinserirsi nel mondo del lavoro. La decisione della Corte di Cassazione Con la sentenza n. 23808/2019 (Link) la terza sezione penale della Corte di Cassazione rigettava il ricorso ritenendo che: “Il necessario requisito del nocumento richiesto per la configurazione del reato dall’art. 167 d.lgs. 196/2003 non può ritenersi sussistente, in caso di produzione in un giudizio civile di documenti contenenti dati personali, ancorché effettuata al di fuori dei limiti consentiti per il corretto esercizio del diritto di difesa, in assenza di elementi fattuali oggettivamente indicativi di una effettiva lesione dell’interesse protetto, trattandosi di informazioni la cui cognizione è normalmente riservata e circoscritta ai soli soggetti professionalmente coinvolti nella vicenda processuale, sui quali incombe un obbligo di riservatezza.”  La Suprema Corte dichiarava quindi inammissibile il ricorso, sposando le argomentazioni dei giudici di secondo grado. In particolare, la Corte territoriale negava la sussistenza del reato, non perchè eccedente, non pertinente e contrario ai principi di correttezza nell’esercizio del diritto di difesa nel giudizio civile quanto perché rilevava l’assenza del requisito del nocumento. La nozione di “Nocumento” L’art. 167 D.Lgs 196/2003, modificato dal D.Lgs 101/2018, dispone: “salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per se’ o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2- octies, o delle misure di garanzia di cui all’articolo 2-septies ovvero operando in violazione delle misure adottate ai sensi dell’articolo 2-quinquiesdecies arreca nocumento all’interessato, è punito con la reclusione da uno a tre anni“. Nell’attuale versione il requisito del nocumento è ancora richiesto, con l’ulteriore specificazione, rispetto al passato, che lo stesso deve essere arrecato all’interessato. I Giudici di ultima istanza, richiamando precedenti pronunce giurisprudenziali, affermano che: “il nocumento è costituito dal pregiudizio, anche di natura non patrimoniale, subito dalla persona cui si riferiscono i dati quale conseguenza dell’illecito trattamento” Il nocumento è da intendersi quindi quale elemento costitutivo del reato, avuto riguardo alla sua omogeneità rispetto all’interesse leso e alla sua diretta derivazione causale dalla condotta tipica, con conseguente necessità che esso sia previsto e voluto o, comunque, accettato dall’agente come conseguenza della propria azione, indipendentemente dal fatto che costituisca o si identifichi con il fine dell’azione stessa. Alla luce di questa definizione il soggetto titolare dei dati o delle informazioni protette affinché si perfezioni il reato di illecito trattamento di dati personali deve subire un danno, di qualsiasi natura, quale conseguenza della predetta condotta. Nel caso in esame il ricorrente adduce argomentazioni generiche in ordine al pregiudizio patito. Non offre considerazioni sulla prospettata diffusione dei dati né prova concretamente i danni subiti. Quanto alla diffusione asserita dal ricorrente la Suprema Corte precisa che i soggetti che erano venuti a conoscenza delle informazioni prodotte erano parte del procedimento per ragioni professionali ed in quanto tali assoggettati al dovere di riservatezza. In ultimo la Corte di Cassazione conclude che la facoltà di difendersi in giudizio utilizzando altrui dati personali va esercitata nel rispetto dei doveri di correttezza, pertinenza e non eccedenza stabiliti dalla legge. Sicché la legittimità della produzione di documenti contenenti tali dati va valutata in base al bilanciamento tra il contenuto del dato, cui va correlato il grado di riservatezza, e le esigenze di difesa. Conclusione Per le considerazioni sin qui svolte, pare possa concludersi che la produzione di documenti dai quali emergono dati personali, anche sensibili, è consentita purché nei limiti imposti dalla legge. Sarà quindi necessario una valutazione caso per caso della effettiva necessità di introdurre in un procedimento informazioni esorbitanti rispetto alla materia del contendere. In ogni caso il pregiudizio che ne consegue deve essere sempre supportato da specifiche argomentazioni. VP

Scroll to Top