Sempre attuale è il tema delle registrazioni sul lavoro e, in questo contesto, quello della registrazione di una riunione di lavoro.
Oggi ci interroghiamo sulla possibilità di farlo, alla luce della normativa privacy sul controllo sei lavoratori e di alcuni orientamenti di giurisprudenza.
Le registrazioni sul lavoro di una riunione non rientrano nell’esenzione per uso personale o domestico di cui all’art. 2, co. 2, lett. c) Reg. UE n. 2016/679.
(Trib. Venezia, II sez. civile, 2dicembre 2022, n. 2286 est. Barison)
Pertanto, costituiscono trattamento illecito di dati personali le registrazioni “occulte” dei colleghi durante una riunione di lavoro ove il titolare del trattamento non provi la sussistenza, al momento della registrazione, di un contesto litigioso e/o della parvenza di un pregiudizio subito tale da giustificare il trattamento con una finalità di tutela di propri diritti
La sentenza fornisce interessanti spunti di riflessione in ordine alla liceità, alla luce della normativa in tema di tutela dei dati personali, di condotte invero molto frequenti (anche) in ambito lavorativo – quali la registrazione occulta di conversazioni tra presenti allo scopo di precostituirsi delle prove – e tendenzialmente ritenute legittime – sulla base di valutazioni talora non troppo accurate – in nome della necessità di garantire il diritto di difesa.
La decisione in commento affronta la questione in relazione alla specifica disciplina di cui al Reg. UE n. 2016/679 (c.d. GDPR), ai sensi del quale le registrazioni sul lavoro di una conversazione nonchè la sua conservazione e comunicazione a terzi integrano trattamenti di dati personali, proponendo – sulla base delle specifiche disposizioni di tale normativa, spesso “trascurate” al di fuori del contesto specialistico – una valutazione rigorosa delle esigenze difensive addotte dagli autori delle operazioni di trattamento al fine di stabilire se le stesse prevalgano o meno sul contrapposto diritto degli interessati alla tutela dei propri dati personali.
Il caso: la registrazione di una riunione di lavoro
Nel caso di specie le registrazioni della riunione di lavoro era avvenuta ad opera di un dipendente che non l’aveva usata per sé ma l’aveva messa a disposizione di terzi, segnatamente dei colleghi che l’avevano poi prodotta in giudizio.
I colleghi occultamente registrati, ritenendo leso il diritto alla riservatezza dei propri dati personali, si rivolgevano all’Autorità Garante per la Protezione dei Dati Personali presentando reclamo ex art. 77 Reg. UE n. 2016/679 (c.d. GDPR) sia contro il collega che aveva effettuato la registrazione sia nei confronti dei colleghi che, dopo lungo tempo, l’avevano utilizzata nell’ambito dei procedimenti giudiziari di cui erano rispettivamente parte contro la datrice di lavoro, deducendo la violazione delle regole del GDPR e, di conseguenza, l’illiceità dei trattamenti effettuati sui loro dati personali.
Il Garante disattendeva le richieste dei reclamanti ritenendo che i trattamenti posti in essere rispettivamente dall’autore della registrazione e da coloro che l’avevano poi utilizzata nell’ambito di procedimenti giudiziari integrassero operazioni di trattamento riconducibili a finalità “strettamente personali”, e quindi non soggette all’applicazione delle disposizioni del GDPR ai sensi dell’art. 2, co. 2, lett. c).
La decisione
Il Tribunale di Venezia, chiamato a pronunciarsi sull’opposizione al menzionato provvedimento del Garante, ne ha completamente capovolto le conclusioni a partire proprio dal presupposto di fondo, ossia l’inapplicabilità del GDPR alla fattispecie.
Ad avviso del Tribunale, infatti, le registrazioni sul lavoro di una riunione integrano un trattamento di dati personali cui devono trovare applicazione le disposizioni del GDPR, non potendo rientrare nell’esclusione di cui all’art. 2, co. 2., lettera c) GDPR in base al quale «Il presente Regolamento non si applica ai trattamenti di dati personali (…) c) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico».
Infatti, alla luce del considerando n. 18 del GDPR – a mente del quale le attività a carattere esclusivamente personale o domestico di cui all’art. 2, co. 2., lettera c) sono solo quelle «senza una connessione con un’attività commerciale o professionale» e «potrebbero comprendere la corrispondenza e gli indirizzari o l’uso dei social network e attività on line intraprese nel quadro di tali attività» -, l’esenzione per uso personale dovrebbe riguardare solo attività attinenti strettamente e in via esclusiva alla sfera privata e familiare, tra le quali non può esser fatta rientrare la registrazione delle dichiarazioni dei colleghi nel corso di una riunione di lavoro.
Una volta stabilita l’applicabilità del GDPR ai trattamenti di dati personali oggetto del giudizio, la liceità degli stessi deve essere valutata in relazione alle specifiche disposizioni del Regolamento, ed in particolare degli artt. 5 (“Principi applicabili al trattamento dei dati personali”) e 6 (“Liceità del trattamento”) GDPR.
Quanto all’art. 6 GDPR, che elenca le condizioni per la liceità del trattamento, ai sensi del suo co.1 lett. f), il trattamento è lecito se «è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore».
In proposito l’art. 21 GDPR dispone inoltre che il diritto di opposizione dell’interessato al trattamento dei dati personali che lo riguardano possa essere disatteso qualora il titolare del trattamento «dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento, che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento l’esercizio o la difesa di un diritto in sede giudiziaria».
Infine, in relazione alle disposizioni richiamate, il considerando n. 69 chiarisce che «quando i dati personali possano essere lecitamente trattati essendo il trattamento necessario (…) per i legittimi interessi del titolare del trattamento o di terzi (…) è opportuno che incomba sul titolare del trattamento dimostrare che i suoi interessi legittimi cogenti prevalgono sugli interessi o sui diritti e sulle libertà fondamentali dell’interessato».
Conclusioni
Prendendo le mosse dalla combinata lettura delle richiamate previsioni, il Tribunale di Venezia ha tratto le seguenti, condivisibili, considerazioni
- che il trattamento di dati personali per finalità difensive (di accertamento e/o esercizio di un diritto) rientra in linea di principio nella previsione di cui all’art. 6 comma 1 lett. f) GDPR in quanto espressione di un legittimo interesse del titolare del trattamento;
- che, in ogni caso, il titolare del trattamento è onerato della prova delle effettive finalità difensive addotte quale giustificazione dello specifico trattamento effettuato;
- che, pertanto, in mancanza di prova da parte del titolare del trattamento della sussistenza di un contesto litigioso e/o della parvenza di un pregiudizio subito che avrebbero reso necessario il trattamento di dati personali dell’interessato per la tutela di un proprio diritto, il trattamento deve considerarsi illecito per mancanza della base giuridica di cui all’art. 6, co. 1, lett. f) GDPR.
- Sulla base di tali considerazioni, il Giudice veneziano ha quindi concluso per l’illiceità dei trattamenti oggetto di causa, in mancanza di adeguata prova da parte del titolare del trattamento della sussistenza di una propria specifica ed effettiva finalità difensiva, contestuale al trattamento stesso, tale da giustificarlo anche a scapito dei diritti degli interessati sui loro dati personali.
Nel caso in esame, quindi, si è ritenuta illecita la condotta del lavoratore che compie registrazioni sul lavoro di riunioni.