Intestazione carta deposit a dipendente senza informativa: violazione privacy

Scarica PDF Stampa

Viola la privacy la società che intesta la carta deposit al proprio dipendente perché questi effettui versamenti sul conto aziendale dei contanti incassati, senza rendergli apposita informativa.

Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy

Indice

1. I fatti

Un dipendente di una società di servizi di ristorazione a catena presentava un reclamo al Garante per la protezione dei dati personali, con cui lamentava la violazione della normativa privacy da parte della società datrice di lavoro. In particolare, il dipendente affermava di essere l’Assistant manager di uno dei punti vendita della società e di avere il compito di versare gli incassi in contanti del punto vendita sul conto corrente della società. Per lo svolgimento di tale compito, il dipendente era intestatario di due tessere bancarie, che la società aveva attivato, previo suo consenso, presso due istituti di credito. Tuttavia, il reclamante sosteneva di aver ricevuto da parte di un altro istituto di credito un modulo di emissione di una nuova carta cd. deposit, precompilata con i suoi dati anagrafici, che erano stati precedentemente comunicati a detta banca dalla società datrice di lavoro. A tal proposito, il reclamante lamentava di non aver ricevuto alcuna informativa da parte della società circa la comunicazione dei suoi dati anche detto istituto bancario per l’emissione della terza carta, né tanto meno di aver prestato il proprio consenso a detta comunicazione di dati.
Il Garante chiedeva, quindi, alla società di fornire i propri chiarimenti sui fatti oggetto di reclamo e la società sosteneva, in primo luogo, che il reclamante svolgeva l’attività di responsabile di un punto vendita, nel rispetto delle istruzioni ricevute dal personale direttivo, e che in ragione di detta funzione era incaricato di effettuare i versamenti degli incassi in contante registrati nel punto vendita sul conto corrente della società, attraverso l’uso di tessere bancarie intestate in via esclusiva al medesimo dipendente. In ragione dell’avvio di una procedura di concordato preventivo cui era stata sottoposta la società, tutti i precedenti conto correnti erano stati bloccati e pertanto era stato necessario aprire un nuovo conto corrente, con l’emissione di una nuova carta deposit intestata al assistant manager del punto vendita (odierno reclamante), per permettergli di effettuare i versamenti degli incassi sul nuovo conto corrente.
In secondo luogo, la società sosteneva che la base giuridica che avrebbe legittimato il trattamento in questione (cioè la comunicazione alla banca dei dati personali del reclamante) è rinvenibile nell’esecuzione del contratto di lavoro subordinato in essere tra il reclamante e la società, nonché nell’adempimento dei conseguenti obblighi di legge ai quali è soggetta la società. Infatti, secondo la reclamante, il datore di lavoro è legittimato ed anzi obbligato ad usare i dati personali forniti dal dipendente per adempiere ai propri doveri contrattuali e per poter esercitare le proprie prerogative nell’organizzazione della prestazione lavorativa dei dipendenti. Conseguentemente, la società aveva comunicato alla banca i dati personali dell’assistant manager del punto vendita in forza del contratto di lavoro subordinato in essere tra le parti, per permettere alla banca di poter attivare la carta di versamento del contante e così consentire allo stesso reclamante di poter svolgere regolarmente la propria attività lavorativa.
Infine, a fronte dell’invito dell’Ufficio a fornire la documentazione relativa alle modalità con cui il reclamante era stato informato dalla società sull’utilizzo dei suoi dati personali per l’emissione delle carte deposit a suo nome, la società trasmetteva la copia dell’informativa resa ai propri dipendenti nonché la documentazione relativa al contratto collettivo di riferimento (utile a individuare le mansioni del reclamante) e il modulo di acquisizione del consenso al trattamento dei dati personali firmato dal reclamante.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:

FORMATO CARTACEO

I ricorsi al Garante della privacy

Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.

Michele Iaselli | Maggioli Editore 2022

2. Intestazione carta deposit a dipendente senza informativa: violazione privacy: la valutazione del Garante

All’esito dell’istruttoria effettuata è emerso che la società ha comunicato i dati personali del reclamante alla banca al fine di consentire l’emissione e l’intestazione a quest’ultimo di una carta deposit, senza però aver preventivamente fornito all’interessato una idonea informativa privacy e senza che vi fosse una idonea base giuridica.
Pertanto, il Garante, in primo luogo, ha ritenuto che la società abbia violato le disposizioni in tema di informativa. Infatti, la comunicazione di dati personali del reclamante ad un soggetto terzo (cioè la banca), non è stata adeguatamente portata a conoscenza dell’interessato mediante una idonea informativa privacy.
Il modello di informativa utilizzato dalla società è stato predisposto dopo l’instaurazione del rapporto di lavoro con il reclamante ed è stato distribuito a tutti i dipendenti; mentre non sussiste alcun documento che attesti che, dalla data di assunzione del reclamante al momento in cui è stata consegnata la predetta informativa, il reclamante sia stato informato in ordine al trattamento dei dati personali necessario per poter ottenere l’emissione delle carte deposit e quindi per poter gestire il rapporto di lavoro subordinato e permettere al dipendente di svolgere i suoi compiti. In ogni caso, il Garante ha ritenuto altresì che, nei documenti consegnati, non vi è alcun riferimento che possa chiarire le modalità e l’ambito della comunicazione dei dati dell’interessato a un soggetto terzo e nello specifico alla banca. Lo stesso dicasi per il modello di acquisizione del consenso dell’interessato, firmato dal reclamante e consegnato al Garante, che non può essere ritenuto un valido documento informativo, in quanto è riferito ad una diversa operazione di trattamento.
Secondo il Garante, invece, una informativa per essere considerata idonea, avrebbe dovuto descrivere le caratteristiche principali del trattamento che il titolare intende effettuare, indicando le finalità, i destinatari o le categorie di destinatari dei dati personali, la base giuridica e i tempi di conservazione dei dati trattati.
Per quanto riguarda l’assenza di base giuridica idonea a legittimare il trattamento, il Garante ha ritenuto che né l’esecuzione del contratto, nè il legittimo interesse del titolare possono essere considerate delle idonee basi giuridiche.
Affinché l’esecuzione del contratto possa essere ritenuta un’idonea base giuridica, il trattamento in questione deve essere oggettivamente necessario per l’esecuzione del contratto. Invece, nel caso di specie, in nessuno dei documenti forniti dalla società risulta che sia stata disciplinata la mansione di Assistant Manager che legittimerebbe la comunicazione dei dati alla banca (come avvenuto concretamente).
Per quanto concerne, invece, l’interesse legittimo del titolare, il Garante ha ricordato che questa può essere una idonea base giuridica soltanto se non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato. Per poter effettuare detta verifica, il titolare del trattamento deve effettuare una attenta valutazione sull’impatto che il trattamento può portare agli interessi e ai diritti degli interessati e sulla possibilità che esso comporti violazioni o conseguenze negative ai loro diritti. Tale verifica deve essere svolta mediante un bilanciamento di interessi che il titolare del trattamento deve obbligatoriamente svolgere. Invece, nel caso di specie, non risulta che la società abbia effettuato detto bilanciamento.

3. La decisione del Garante

In considerazione di quanto sopra, il Garante ha ritenuto che il trattamento dei dati posto in essere dalla società, consistito nel comunicare alla banca i dati personali del proprio dipendente per permettere l’attivazione di carte deposit a suo nome,  fosse illecito, in quanto effettuato in violazione di una idonea informativa e di una idonea base giuridica legittimante il trattamento.
Conseguentemente il Garante ha ritenuto necessario applicare nei confronti della società una sanzione pecuniaria amministrativa.
Per quanto riguarda la sua quantificazione, il Garante, tenendo in considerazione il fatto che la violazione è stata rilevante (in quanto ha riguardato la comunicazione di dati a terzi) e dall’altro lato l’assenza di precedenti violazioni commesse dal titolare del trattamento e la circostanza che la violazione ha riguardato un solo interessato, ha ritenuto di quantificare detta sanzione in €. 1.000 (mille).

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento