Il datore di lavoro non può comunicare ad una organizzazione sindacale la nuova sigla alla quale ha aderito un suo ex iscritto.
Per consentire al sindacato di espletare le procedure che seguono la revoca della affiliazione sindacale e della relativa delega, il datore di lavoro avrebbe dovuto limitarsi a comunicare la sola scelta del lavoratore di non aderire più all’originaria sigla di appartenenza.
È quanto affermato dal Garante privacy a conclusione di un’istruttoria originata dai reclami di alcuni dipendenti di una Azienda socio-sanitaria territoriale che si erano rivolti all’Autorità affinché valutasse la correttezza del datore di lavoro nel trattamento dei loro dati sensibili, quale è l’appartenenza sindacale.
Le informazioni relative all’adesione sindacale costituiscono dati sensibili, rispetto ai quali la disciplina di protezione dei dati riconosce particolari forme di tutela. In particolare, nell´ambito della gestione del rapporto con il lavoratore, tali dati sono conosciuti da parte del datore di lavoro, il quale può lecitamente trattarli, in adempimento degli obblighi correlati alla gestione del rapporto di lavoro, al fine di effettuare il versamento delle quote di iscrizione ad associazioni od organizzazioni sindacali su delega e per conto del lavoratore.
Tuttavia, nel caso di specie, l’amministrazione non si è limitata a comunicare alla Rappresentanza sindacale interessata la revoca dell’affiliazione da parte di alcuni lavoratori ma ha inviato a tutti i componenti della sigla sindacale una e-mail recante in allegato documenti nei quali era espressamente indicata la contestuale iscrizione dei predetti ad altro sindacato. Ciò ha determinato un’illecita comunicazione di dati personali sensibili dei reclamanti.
A giustificazione del proprio comportamento l’Azienda ha affermato, tra l’altro, di aver ritenuto necessario informare la Rappresentanza sindacale della variazione per evitare il rischio che senza questa comunicazione l’organismo avrebbe continuato ad operare in una composizione non più aderente alla realtà, con inevitabili ricadute sulla validità della contrattazione aziendale.
Il Garante ha ritenuto che la condotta dell’Azienda, pur difforme dalla disciplina applicabile, abbia esaurito i suoi effetti e non sussistono quindi i presupposti per l’adozione di un provvedimento prescrittivo o inibitorio.
Impregiudicata la facoltà degli interessati di far valere, qualora ne ricorrano i presupposti, eventuali pretese risarcitorie avanti all’Autorità giudiziaria ordinaria (art. 15 del Codice) derivanti dal comportamento dell’Azienda, l’Autorità si è riservata però di avviare un autonomo procedimento per valutare la contestazione di una eventuale violazione amministrativa per l’illecita comunicazione dei dati sindacali.
Cosa si intende per dati personali
Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica ecc. Particolarmente importanti sono:
- i dati che permettono l’identificazione diretta – come i dati anagrafici, le immagini ecc. – e i dati che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio il codice fiscale, l’indirizzo IP, il numero di targa);
- i dati rientranti in particolari categorie, c.d. “sensibili”, cioè quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679 (art. 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale;
- i dati relativi a condanne penali e reati: si tratta dei dati c.d. “giudiziari”, cioè quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale o la qualità di imputato o di indagato. Il Regolamento (UE) 2016/679 (art. 10) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.
Con l’evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.
