Quale tutela per i dati sindacali?

Dopo aver letto il provvedimento del 7 dicembre 2018 del nostro Garante per la Protezione dei Dati Personali sul trattamento dei dati personali idonei a rivelare l’adesione sindacale dei dipendenti, sorrido al pensiero di certe discussioni con alcuni clienti che, pur di semplificarsi la vita nella fase di assessment risk, sostengono di non avere la minima conoscenza dell’appartenenza dei propri lavoratori ad un determinato sindacato.

Benché l’intervento del Garante faccia ancora riferimento alla disciplina previgente (tant’è vero che, nel testo, si discute di “dati sensibili” e non di “categorie particolari di dati” ex art. 9 GDPR), il principio espresso ha certamente valenza interpretativa anche oggi, nell’era del GDPR.

Un’esame della fattispecie analizzata dal Garante appare, quindi, opportuna.

In seguito ad una complessa vicenda giudiziaria, un’Azienda pubblica ha informato con e-mail la RSU dell’intervenuta variazione dell’affiliazione sindacale di alcuni suoi dipendenti: tale decisione sarebbe stata assunta per il “fondato rischio che – mancata tale comunicazione – l’organismo avrebbe continuato ad operare in composizione non più aderente alla verificatasi situazione di fatto, con inevitabili ricadute sulla validità della contrattazione aziendale e della correlata azione amministrativa”.

A difesa del proprio operato, l’Azienda ha precisato che, per quanto riguarda i destinatari della comunicazione, quest’ultima era stata trasmessa esclusivamente alla RSU, in persona dei relativi componenti, i quali erano autorizzati a trattare i dati personali in argomento sulla base del Regolamento della RSU stessa.

Le giustificazioni addotte non hanno, però, convinto il Garante per i seguenti motivi:

  • nell’ambito della gestione del rapporto con il lavoratore, i dati sindacali sono conosciuti da parte del datore di lavoro, il quale può lecitamente trattarli, in adempimento degli obblighi correlati alla gestione del rapporto di lavoro, al fine di effettuare il versamento delle quote di iscrizione ad associazioni od organizzazioni sindacali su delega e per conto del lavoratore;
  • l’Azienda pubblica, nel caso di specie, non si era limitata a comunicare alla RSU interessata la revoca dell’affiliazione da parte di alcuni lavoratori ma aveva inviato a tutti i componenti della citata sigla sindacale una e-mail il cui contenuto indicava la contestuale iscrizione dei lavoratori ad altro sindacato;
  • tale informazione era eccessiva rispetto alle finalità di gestione del rapporto di lavoro e deve, pertanto, considerarsi “un’illecita comunicazione di dati personali sensibili dei reclamanti”.

Sul tema dei dati aventi ad oggetto l’appartenenza sindacale dei lavoratori, il Garante si era già espresso con un parere del 2014, nel quale aveva, tra le altre cose, precisato che:

  1. in via generale, il trattamento dei dati sindacali dei lavoratori deve limitarsi a quanto strettamente necessario ed indispensabile rispetto agli scopi perseguiti;
  2. il trattamento può essere lecito “solo con il consenso scritto dell´interessato e previa autorizzazione del Garante, nell’osservanza dei presupposti e dei limiti stabiliti” dal Codice Privacy (previgente), “nonché dalla legge e dai regolamenti” ai sensi dell’art. 26, comma 1, del medesimo Codice, ovvero “anche senza consenso, previa autorizzazione del Garante” (nei casi previsti dall’art. 26, comma 4, del Codice);
  3. devono considerarsi lecitamente trattati solo i dati idonei a rivelare l’adesione all’associazione sindacale di ogni singolo lavoratore conosciuti da parte del datore di lavoro al fine di effettuare le trattenute per il versamento delle quote di iscrizione;
  4. al di fuori di questa finalità, si è in presenza di un trattamento illecito perché esula dalla gestione del rapporto di lavoro;
  5. anche in base all’Autorizzazione generale che consente trattamenti indispensabili ai fini dell’applicazione della normativa in materia sindacale, gli unici trattamenti legittimi sono solo quelli strettamente inerenti alla gestione del singolo rapporto lavorativo.

Oggi, come sappiamo, la materia è disciplinata dall’art. 9 del GDPR che inserisce l’appartenenza sindacale all’interno delle “categorie particolari di dati personali“.

In base all’art. 9, comma 2, lettera b) del GDPR, il trattamento di questi dati da parte del datore di lavoro è legittimo “per assolvere gli obblighi ed esercitare i diritti specifici del titolare  del trattamento o dell’interessato in materia di diritto del lavoro (…), in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.

Naturalmente, in aggiunta ai principi espressi dal Garante nel provvedimento sopra citato, occorrerà anche verificare che i trattamenti di questi dati particolari, conosciuti dal datore di lavoro con riferimento alla finalità di gestione del versamento delle quote di iscrizione all’associazione sindacale, rispettino anche i principi di stretta necessità, liceità e proporzionalità ai sensi dell’art. 5 del GDPR, e che ne sia garantita, sotto il profilo tecnico ed organizzativo, un’adeguata protezione, soprattutto sotto l’aspetto del requisito di riservatezza.

Alessandro Ronchi

Informazioni su Alessandro Ronchi

Avvocato, appassionato di digital & data protection law
Questa voce è stata pubblicata in Privacy, Strumenti per il business e contrassegnata con , . Contrassegna il permalink.

Cosa ne pensi? Lascia il tuo commento!