Risposta:

L'articolo 69 del decreto legislativo 27 ottobre 2009, n. 150, ha introdotto nel corpo del decreto legislativo 30 marzo 2001, n. 165, l'articolo 55 novies. Quest'ultima disposizione prevede che "1. I dipendenti delle amministrazioni pubbliche che svolgono attività a contatto con il pubblico sono tenuti a rendere conoscibile il proprio nominativo mediante I'uso di cartellini identificativi o di targhe da apporre presso la postazione di lavoro...

Sul tema abbiamo avuto un chiarimento con la circolare della Funzione Pubblica (http://www.funzionepubblica.gov.it/articolo/dipartimento/17-02-2010/circolare-n-310-identificazione-del-personale-contatto-con-il) in cui si precisa "Nel dare attuazione alla norma le amministrazioni debbono tener conto della finalità della prescrizione, evitando la diffusione di dati personali non pertinenti od eccedenti la finalità (art. 11 del d.lgs. n. 196 del 2003). Cosi, non sembra rispondere ad un principio di corretto utilizzo dei dati personali l'indicazione nel cartellino delle generalità del dipendente, complete dell'indicazione della data di nascita. Occorre, infatti, l'individuazione di modalità sufficienti ed adeguate che, salvaguardando il pubblico interesse, evitino di compromettere la sfera personale del soggetto."

SEGNALIAMO inoltre che per "NOMINATIVO" non si intende necessariamente l'antroponimo completo (Nome+cognome) ben potendosi inserire nei cartellini personali esclusivamente il NOME con un acronomo (iniziale) del cognome magari in aggiunta al numero di matricola (pseudonimizzazione) proprio per garantire la finalità della norma, cioè identificare univocamente il soggetto in caso di contestazione o richiesta di approfondimenti dell'utente senza esporre in modo eccessivo i propri dati personali.

Recentemente il Garante ha dettato alcuni principi (sebbene su un caso molto più complesso) nel:

Provv. 16/11/2017, n. 479
Trattamento di dati personali mediante un sistema utilizzato per la gestione delle attese allo sportello
Pubblicato nel sito internet del Garante per la protezione dei dati personali.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196(Codice in materia di protezione dei dati personali, di seguito "Codice");

VISTO il reclamo e le segnalazioni con le quali è stata lamentata la illiceità di trattamenti effettuati da Poste Italiane S.p.A. mediante un sistema utilizzato per la gestione delle attese allo sportello;

VISTA la decisione n. 517 del 7 dicembre 2016 (www.garanteprivacy.it, doc. web n. 5947045) in base alla quale è stato deciso di "avviare un autonomo separato procedimento per una valutazione più generale del trattamento dei dati effettuati da Poste attraverso il sistema "Gestione Attese";

ESAMINATE le risultanze istruttorie e la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

1. I casi sottoposti al Garante.

Sono pervenute numerose segnalazioni e un reclamo da parte di Organizzazioni sindacali e dipendenti di Poste Italiane S.p.A. (di seguito, la società) in merito alla possibile violazione della disciplina in materia di protezione dei dati personali per effetto dell'impiego, in alcuni uffici postali, di un sistema utilizzato per la gestione delle attese allo sportello (denominato dalla società, "Gestore" o "Gestione Attese", di seguito "il sistema"). In particolare, il sistema, utilizzato per la gestione delle code nelle operazioni di sportello, comporterebbe un trattamento illecito e sproporzionato di dati personali (tra i quali il nome del singolo dipendente), anche mediante la visualizzazione su un display luminoso posto al disopra dello sportello. Il trattamento sarebbe stato inoltre intrapreso dalla società senza fornire la dovuta informativa ai dipendenti e senza la stipula di specifico accordo con le parti sindacali.

2. L'istruttoria.

Nel dare riscontro alle richieste di informazioni formulate dall'Ufficio al fine di verificare la fondatezza delle doglianze e l'osservanza dei principi e delle disposizioni in materia di protezione dei dati personali la società, in qualità di titolare del trattamento, ha dichiarato (ai sensi dell'articolo 168 del Codice) che il sistema sarebbe stato implementato nell'ambito del miglioramento del rapporto con gli utenti e comunque in aggiunta all'utilizzo dei c.d. cartellini identificativi appuntati sull'abito o sulla divisa del lavoratore già visibili alla clientela. In particolare, la società ha dichiarato che:

a) in quanto "fornitore del servizio postale universale" svolge una "attività di preminente interesse generale" e, in tale quadro, il "sistema Gestore attese [...] costituisce uno strumento aziendale nell'ambito della libertà di organizzazione del lavoro che Poste si è data"; il dipendente è pertanto tenuto a osservare le disposizioni per l'esecuzione della prestazione impartite dal datore di lavoro (artt. 2104 e 2015 c.c. e art. 52 CCNL per il settore postale del 14 aprile 2011; codice etico aziendale richiamato in nota 24.04.2017, p. 2);

b) in quanto fornitore del servizio postale universale, trova applicazione "per analogia" l'articolo 55-novies del dl.g. n. 165/2001, che prevede l'obbligo per i dipendenti che svolgono attività a contatto con il pubblico dell'uso "di cartellini identificativi" o dell'apposizione di "targhe [...] presso la postazione di lavoro";

c) l'obiettivo perseguito dalla società mediante l'impiego del citato sistema sarebbe quello di "rendere conoscibile e trasparente l'organizzazione e l'attività, agevolando i rapporti con gli utenti nonché quello di responsabilizzare i dipendenti [...] mediante l'indicazione sul display del Gestore Attese del solo nome di battesimo, e non anche del cognome, dell'operatore" (la società ha inoltre precisato che su richiesta del dipendente sarebbe possibile la visualizzazione di un acronimo; cfr. nota cit., p. 3);

d) starebbe "valutando l'opportunità di poter limitare il tempo di esposizione del nome del dipendente sul display per il tempo strettamente necessario tra la comparsa dello sportello sul tabellone principale e l'arrivo del cliente allo specifico sportello di destinazione"(cfr. nota cit., p. 4);

e) di aver, in data 4 marzo 2015, "informato le OO.SS., a livello centrale, del sistema Gestore attese con apposita documentazione descrittiva"; a tale informativa non sarebbero seguite "eccezioni relativamente al trattamento dei dati personali dei dipendenti mediante l'utilizzo del nuovo sistema"(cfr. nota cit., p. 3 e all. n. 1) e comunque "si sta provvedendo a redigere una nuova informativa".

2.2. Con specifico riferimento alle concrete modalità di funzionamento del sistema la società ha, in un primo momento, dichiarato che (cfr. nota cit. p. 5):

a) il sistema "non storicizza i dati relativi al dipendente e alla sua operatività";

b) il sistema consente la visualizzazione del "nome di battesimo dell'operatore nel display di Sportello e di Sala Consulenza [...] e nella console di monitoraggio dell'andamento dell'attesa";

c) alla console accede il personale "profilato in base a ruoli definiti ed al cono di visibilità territoriale", in particolare si tratta di "personale addetto al monitoraggio dell'andamento delle attese" e di "personale tecnico-informatico sia territoriale che centrale";

d) "il sistema consentiva di estrapolare una reportistica che includeva l'anagrafica operatore ma è stato recentemente rilasciato un aggiornamento che non ne permette più l'estrazione".

2.3. Nel corso del successivo approfondimento istruttorio, finalizzato ad acquisire elementi ritenuti indispensabili alla completa verifica di tutte le funzionalità del sistema con riguardo in particolare alla c.d. "console di monitoraggio", la società ha fatto pervenire ulteriore riscontro fornendo più precisi elementi dai quali emerge che:

a) sul display presente sul singolo sportello dell'ufficio postale sono visualizzabili: "il numero di sportello, il nome di battesimo dell'operatore e l'eventuale lingua straniera parlata dall'operatore" (cfr. nota 15 settembre 2017, p. 2 in atti).

b) la console di monitoraggio consente al personale incaricato la visualizzazione "in tempo reale" di alcune informazioni quali: il "numero dello sportello" e lo "stato (aperto/chiuso)", " il nome di battesimo dell'operatore" e "informazioni sulla gestione delle code (servizi forniti dal singolo sportello, regole di chiamata e nr. Ticket serviti)","il tempo medio [...] per tipologia di operazione" anziché "la durata della singola operazione"(cfr. nota cit., p. 2). Più nel dettaglio, i dati visibili sulla consolle "relativi soltanto al giorno corrente" sarebbero "funzionario, ufficio postale, sportello, ticket corrente, postazione di lavoro, operatore, gruppo di chiamata, customizzazioni, ticket serviti, chiamata corrente" (cfr. nota cit., p. 4).

c) alla consolle possono avere accesso circa 12.135 utenti autorizzati con diversi ruoli, tra figure centrali (n. 147 persone), figure di area territoriale (n. 53), figure di filiale (n. 609) e direttori degli uffici postali (DUP) (n. 11.326), nell'ambito di specifiche funzioni aziendali (cfr. tabella p. 2, nota cit.);

d) i diversi profili di accesso hanno rispettivamente la visibilità dei dati relativi a tutti gli uffici d'Italia se operanti a livello centrale e dei dati relativi a tutti gli uffici dell'area della filiale di competenza, se periferici. I direttori invece hanno accesso ai soli dati relativi all'ufficio postale di competenza. Le figure, operanti a livello centrale e periferico, sopra menzionate hanno la possibilità di accedere "in tempo reale" ai menzionati dati "al ricorrere di determinati eventi/anomalie" (peraltro non esplicitate); diversamente, ai direttori dei singoli uffici postali DUP è consentita la visibilità "continuativamente"(cfr. nota cit., p. 3, ove si legge il "direttore [...tra l'altro] assicura una gestione flessibile del personale in funzione dei picchi e dei volumi. A tal fine [consulta] costantemente la console per gestire eventuali situazioni di criticità nell'attesa dei clienti in sala");

e) la console renderebbe disponibili "anche dati statistici con una profondità storica massima di 40 giorni"(senza indicazione del nome di battesimo), non specificando gli accorgimenti che la Società intende mettere in atto per anonimizzare i dati raccolti;

f) nei report generati dal sistema non sarebbe visibile il nome dell'operatore.

2.4. Alla luce della documentazione in atti e delle dichiarazioni rese dal titolare del trattamento nel corso dell'istruttoria, emerge che il sistema utilizzato dalla società "per la gestione delle code nelle operazioni di sportello" (cfr. nota 24.04.2017, p. 1, cit.) consente operazioni di trattamento di dati personali riferiti ai lavoratori addetti allo sportello. Tali operazioni consistono, in sintesi, nella visualizzazione, sul display presente su ogni singola postazione di sportello dell'ufficio postale, di alcuni dati personali tra i quali il nominativo o altro identificativo dell'operatore (es. pseudonimo) (art. 4, comma 1, lett. b) e c) del Codice; nota 15 settembre 2017, p. 2 in atti; cfr. punto 2.3., lett. a)); nella visualizzazione in tempo reale (e in alcuni casi continuativa), attraverso l'accesso alla console di monitoraggio, di una pluralità di informazioni di dettaglio relative, in particolare, allo stato di disponibilità dello sportello, alla gestione delle code e al tempo medio di evasione dei ticket serviti associati in via diretta al nominativo dell'operatore assegnato ad una determinata postazione di sportello (cfr. punto 2.3, lett. b); nella memorizzazione dei dati anche identificativi dell'operatore (nominativo) con possibilità di estrazione di reportistica: tale operazione risulta ancora effettuata allo stato attuale, in quanto, a tal proposito, la società ha precisato che "è in pianificazione un'iniziativa che prevede la cancellazione del nome dell'operatore dagli archivi e impedisca la storicizzazione del dato" (cfr. nota cit., p. 4). Al dipendente non è consentito "disabilitare la visualizzazione del nominativo" potendo questi eventualmente richiedere al direttore la momentanea modifica del nome (es. pseudonimo) atteso che "[...] il sistema di default recupera al momento della login il nome di battesimo"(p. 4). La società ha comunque assicurato che "non sono mai state fatte estrazioni [...] utilizzando [come chiave di ricerca] i nomi" da parte degli "utenti della consolle" (cfr. nota cit., p. 4). Infine con specifico riferimento all'osservanza della disciplina lavoristica la società ha dichiarato che "il sistema costituisce uno strumento di lavoro disciplinato dall'art. 4, comma 2, della legge 300/70. Al momento l'azienda non utilizza i dati raccolti da tale sistema per le finalità connesse allo svolgimento del rapporto di lavoro e, conseguentemente, in coerenza con il comma 3 del medesimo articolo di legge, non è stata resa alcuna specifica informativa al personale" (p. 4).

CONSIDERATO

3. Esiti dell'attività istruttoria.

In base ad una complessiva valutazione degli elementi sopra richiamati e all'esito dell'esame delle dichiarazioni rese all'Autorità nel corso del procedimento della cui veridicità si può essere chiamati a rispondere ai sensi dell'art. 168 del Codice nonché della documentazione acquisita, emerge che le descritte operazioni di trattamento, effettuate dalla società in qualità di titolare per il tramite del personale abilitato e incaricato con diversi profili di accesso al sistema, danno luogo ad un trattamento di dati personali dei dipendenti che risultano per alcuni profili non conformi alla disciplina in materia di protezione dei dati personali, con particolare riferimento al principi di liceità e proporzionalità (art. 11, comma 1, lett. a) e d) del Codice), nei termini di seguito descritti.

3.1. L'informativa agli interessati

In via preliminare, non risulta che la società abbia fornito ai dipendenti la dovuta informativa circa modalità e finalità delle operazioni di trattamento rese possibili dal sistema "Gestore attese" (come descritte al punto 2.4.), né all'interno delle informative individualizzate rese a ciascun lavoratore all'atto dell'assunzione (cfr. informativa, nota 24.04.2017, all. 2) né con documenti informativi resi noti alla generalità dei dipendenti). Tanto, con particolare riferimento alla visualizzazione sul display, alla raccolta, alla conservazione e alle altre operazioni di trattamento dei dati anche su base individuale, quali emergono all'esito dell'attività istruttoria condotta (cfr. punto 2, supra).

A tal proposito si osserva che "la documentazione descrittiva" fornita, peraltro, alle sole organizzazioni sindacali in data 4 marzo 2015 (cfr. nota cit., all. n. 1) non può sostituire l'adempimento all'articolo 13 del Codice, sia in quanto non reca gli elementi essenziali richiesti dalla legge per l'informativa da rendere agli interessati, sia in quanto la modalità utilizzata dalla società per informare per il tramite delle organizzazioni sindacali la compagine dei lavoratori in merito all'installazione del sistema non risulta comunque idonea a rendere edotti individualmente tutti gli interessati con riguardo alle operazioni di trattamento effettuate.

Ciò risulta in contrasto con l'obbligo posto in capo al titolare del trattamento di fornire una preventiva informativa all'interessato in ordine alle caratteristiche essenziali dei trattamenti effettuati nonché con il principio di correttezza (in relazione agli articoli 11, comma 1, lett. a)e 13 del Codice).

A tal proposito si precisa che, contrariamente a quanto sostenuto dalla società, l'osservanza di tale disposizione normativa è in ogni caso dovuta ed è indipendente rispetto all'eventuale determinazione assunta dalla società circa la possibilità di utilizzare le informazioni raccolte "a tutti i fini connessi al rapporto di lavoro" (art. 4, comma 3 l. n. 300/1970).

Peraltro, anche tali successive ed eventuali operazioni di trattamento presuppongono il rigoroso rispetto del quadro normativo di riferimento, sia in materia di protezione dei dati, che in materia di controlli a distanza dei lavoratori (artt. 3, 11, comma 1, lett. a), b), d), ed e) e 13 del Codice nonché 4, comma 3, l. n. 300/1970; sul punto, v. Provv. 24 maggio 2017, n. 247, doc. web n. 6495708, spec. punto 5.3).

3.2. La disciplina in materia di controlli a distanza.

Quanto alle specifiche caratteristiche del trattamento dei dati reso possibile dal menzionato sistema, si osserva che esso è dotato di funzionalità che permettono, in particolare, oltre alla visualizzazione del nominativo del dipendente (e alla lingua da questo parlata) sul "display di Sportello e di Sala Consulenza", la visualizzazione in tempo reale, mediante accesso alla "console di monitoraggio" (senza prevedere alcuna limitazione rispetto ad una eventuale visualizzazione continuativa di un determinato Ufficio o di un determinato dipendente) delle informazioni di natura personale sopra indicate, nonché la memorizzazione delle stesse informazioni e l'estrazione di relativi report contenenti dati anche nominativi (cfr. punto 2.4.).

Tali operazioni di trattamento, in particolare, la memorizzazione e la visualizzazione prolungata e, potenzialmente continuativa di una pluralità di informazioni di dettaglio, quali, ad esempio, lo stato (libero, disponibile) dell'operatore o il dato relativo ai tempi medi di evasione del cliente allo sportello, associati in tempo reale ed in via diretta al nominativo del dipendente danno luogo ad un monitoraggio costante dell'attività e della produttività del lavoratore, anche per l'impossibilità di disattivare la funzione di visualizzazione e di memorizzazione.

Il sistema utilizzato per la gestione delle attese allo sportello, non ponendosi come indispensabile per rendere la prestazione lavorativa (art. 4, comma 2, l. n. 300/1970; cfr. anche Provv. 13 luglio 2016, n. 303, par. 4.3, doc web 5408460), rientra in quegli strumenti anche organizzativi, dai quali può indirettamente derivare il controllo a distanza dell'attività dei lavoratori, con conseguente necessità di attivare le procedure ivi previste che non possono essere soddisfatte con l'invio alle organizzazioni sindacali di un mero documento informatico o dall'eventuale acquiescenza dei lavoratori (cfr., Corte di Cassazione, III sez. pen., n. 22148/2017; sul punto, tra i tanti, Provv. n. 230 dell'8 maggio 2014, doc. web n. 3250490).

In conclusione, il sistema per come configurato risulta in contrasto con la disciplina in materia di protezione dei dati personali e con la rilevante disciplina di settore (artt. 11, comma 1, lett. a), 114 del Codice e art. 4, comma 1 legge 20.5.1970, n. 300).

3.3. I principi di necessità, pertinenza, e non eccedenza. La proporzionalità del trattamento.

Il trattamento di dati personali consentito dal sistema appare, inoltre, non conforme ai principi di necessità, pertinenza e non eccedenza rispetto alle finalità perseguite (artt. 3, 11, comma 1, lett. d) del Codice).

Tanto, in particolare, con riguardo alla possibilità in capo a specifiche funzioni aziendali, anche a livello centrale, di accedere in tempo reale e in via continuativa ai dati su base individuale relativi a tutte le postazioni e a tutti gli operatori in servizio in un dato momento presso un determinato ufficio, seppur nell'ambito di un'area territoriale definita (che in alcuni casi può coincidere con l'intero territorio nazionale).

La società non ha peraltro precisato alla ricorrenza di quali specifiche anomalie sia consentito tale ampio monitoraggio individualizzato da parte delle funzioni aziendali, sia centrali che periferiche, né la presenza di altri idonei presupposti che possano legittimare sotto il profilo della proporzionalità il trattamento.

Le caratteristiche del sistema sopra delineate ed il controllo penetrante che ne consegue non appaiono infatti proporzionate alla luce delle stesse finalità "organizzative e produttive" "di sicurezza del lavoro" e "di tutela del patrimonio aziendale" consentite dalla richiamata disciplina di settore (artt. 3, 11, comma 1, d) e 114 del Codice e art. 4, legge 20.5.1970, n. 300; Raccomandazione Consiglio di Europa 1 aprile 2015, CM/Rec(2015)5, spec. princ. 15; Provv.ti 22 dicembre 2016, n. 547, par. 3.5 doc. web n. 5958296 e 13 luglio 2016, n. 303, par. 5, cit.).

3.4. La visualizzazione dei dati sul display dello sportello.

Con riguardo alla specifica funzione del sistema che ha dato origine all'istruttoria in questione e consistente nella visualizzazione anche del nome di battesimo del lavoratore sul display, si osserva che la comunicazione e la diffusione di informazioni personali riferite ai lavoratori risultano lecite se effettuate in presenza di specifiche disposizioni di legge che la impongano al datore di lavoro, ovvero di altro presupposto "equipollente"(artt. 4, comma 1, lett. m) e l) e 24 del Codice).

Sul punto, la società ha invocato, tra l'altro e per quanto applicabile, l'orientamento sostenuto dal Garante con riguardo all'uso dei tesserini identificativi appuntati sull'abito o sulla divisa del lavoratore, in base al quale "l'obbligo di portare in modo visibile un cartellino identificativo può trovare fondamento in alcune prescrizioni contenute in accordi sindacali aziendali, il cui rispetto può essere ricondotto alle prescrizioni del contratto di lavoro" (cfr. punto 5.3. delle Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati, Provv. 23 novembre 2006, n. 53, doc. web n. 1364939 e punto 6.4. delle Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico n. 23/2007, cit., ma già Provv. 11 dicembre 2000, doc. web n. 30991).

A questo riguardo, si osserva che la visualizzazione sul display posto sopra lo sportello dell'ufficio postale rappresenta, allo stato, una misura diversa ed ulteriore rispetto a quella, peraltro già in uso per il personale della società operante a contatto con il pubblico, consistente nell'apposizione del cartellino identificativo, come da contratto collettivo applicabile (l'art. 52, lett. i), del contratto collettivo nazionale di lavoro per il personale non dirigente di Poste Italiane S.p.A. prevede infatti l'obbligo per i lavoratori operanti a contatto con la clientela di esporre un adeguato contrassegno identificativo nel rispetto della disciplina di protezione dei dati personali).

Deve ritenersi che le informazioni presenti nel cartellino identificativo, nel rispetto del principio di pertinenza e non eccedenza con riguardo alla finalità di miglioramento del rapporto con gli utenti, costituiscano già elementi informativi sufficienti a vantaggio dell'utenza e in concreto idonei a garantire la funzione identificativa degli operatori (ad esempio, al fine della predisposizione di un reclamo per il servizio reso).

La possibilità di raggiungere gli stessi legittimi obiettivi di trasparenza nei rapporti con i clienti con modalità diverse da quelle in uso potrà essere valutata, anche in alternativa al cartellino, previa idonea informativa ai lavoratori interessati, avuto riguardo a specifiche necessità derivanti, ad esempio, dalle dimensioni della struttura, dal numero degli operatori che vi prestano servizio, dalle mansioni svolte da ciascuno, dal bacino di utenza del singolo ufficio postale.

A tal proposito si prende atto delle valutazioni effettuate dalla società, sia in termini di alternatività del sistema ("l'esposizione del nome [...] anziché sul cartellino posto sull'abito, sul display del "Gestore Attese" [...]", cfr. p. 4, nota cit.), sia in termini di minimizzazione del trattamento, nell'ambito della valutazione di proporzionalità rispetto alla finalità perseguita, con riguardo all'arco temporale di esposizione del nominativo dell'operatore (la società starebbe infatti "valutando l'opportunità di poter limitare il tempo di esposizione del nome del dipendente sul display per il tempo strettamente necessario tra la comparsa dello sportello sul tabellone principale e l'arrivo del cliente allo specifico sportello di destinazione"(punto 2.1., lett. d), supra).

RITENUTO

4. Ciò considerato, ritenuto illecito il trattamento effettuato da parte di Poste italiane S.p.A. nei termini sopra indicati (cfr. par. 3.1, 3.2, 3.3) per violazione degli articoli 3, 11, comma 1, lett. a) e d), 13 e 114 del Codice, il Garante, ai sensi degli articoli 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, ritiene di dover vietare con effetto immediato dalla data di ricezione del presente provvedimento, il trattamento descritto in motivazione, con la conseguente inutilizzabilità dei dati trattati in violazione di legge, ai sensi dell'art. 11, comma 2 del Codice, salva la conservazione dei dati finora trattati ai fini di un'eventuale acquisizione degli stessi da parte dell'autorità giudiziaria, nonché per esigenze di tutela dei diritti in sede giudiziaria.

Si ricorda che, ai sensi dell'articolo 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell'articolo 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro.

L'Autorità si riserva di valutare, con autonomo procedimento, la sussistenza di violazioni amministrative in capo al titolare del trattamento.

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7355533

****************
Si veda anche:
Garante per la protezione dei dati personali
Del. Garante protez. dati pers. 14/06/2007
Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico.
Pubblicata nella Gazz. Uff. 13 luglio 2007, n. 161, S.O.

6. Diffusione di dati personali.

La diffusione di dati personali riferiti ai lavoratori può avvenire quando è prevista espressamente da disposizioni di legge o di regolamento (artt. 4, comma 1, lett. m) e 19, comma 3, del Codice), anche mediante l'uso delle tecnologie telematiche (art. 3 D.Lgs. 7 marzo 2005, n. 82, recante il «Codice dell'amministrazione digitale» ).

A parte quanto eventualmente previsto sul piano normativo per specifiche categorie di atti, l'amministrazione, sulla base di apposite disposizioni regolamentari può, infatti, valorizzare anche l'utilizzo di reti telematiche per mettere a disposizione atti e documenti contenenti dati personali (es. concorsi o a selezioni pubbliche) nel rispetto dei princìpi di necessità, pertinenza e non eccedenza (artt. 3 e 11, comma 1, lett. d), del Codice).

Occorre, poi, una specifica valutazione per selezionare le informazioni eventualmente idonee a rivelare lo stato di salute degli interessati, la cui diffusione è vietata (artt. 22, comma 8, del Codice). A tale divieto non è consentito derogare invocando generiche esigenze di pubblicità connesse alla trasparenza delle procedure in materia di organizzazione del personale e degli uffici, come quelle relative alla mobilità dei dipendenti pubblici [25]. Non è ad esempio consentito diffondere i nominativi degli aventi diritto al collocamento obbligatorio contenuti in elenchi e graduatorie, atteso che il divieto di diffusione dei dati idonei a rivelare lo stato di salute è ribadito espressamente dal Codice anche in relazione allo svolgimento delle attività di concessione di benefici ed agevolazioni previste dalla legge e dai regolamenti (art. 68, comma 3, del Codice) [26].


6.1 Dati relativi a concorsi e selezioni. Nel quadro delle attività delle pubbliche amministrazioni si procede comunque, di regola, alla pubblicazione di graduatorie e di esiti di concorsi e selezioni pubbliche.

Ad esempio, le graduatorie dei vincitori di concorsi per accedere agli impieghi nelle pubbliche amministrazioni o per attribuire specifici incarichi professionali devono essere pubblicate nel bollettino ufficiale della Presidenza del Consiglio dei ministri o dell'amministrazione interessata, dandone, se previsto, contestuale avviso sulla Gazzetta Ufficiale [27]. Un analogo regime di conoscibilità è previsto per le procedure di reclutamento dei professori universitari di ruolo e dei ricercatori, con riferimento alle informazioni contenute nelle relazioni riassuntive dei lavori svolti dalle commissioni giudicatrici per le valutazioni comparative e negli annessi giudizi individuali e collegiali espressi sui candidati [28].

La diffusione, che l'amministrazione può lecitamente porre in essere in base a specifiche previsioni legislative o regolamentari, deve avere ad oggetto solo i dati personali pertinenti e non eccedenti ai fini del corretto espletamento della procedura concorsuale e della sua rispondenza ai parametri stabiliti nel bando (elenchi nominativi ai quali vengano abbinati i risultati di prove intermedie, elenchi degli ammessi alle prove scritte o orali, punteggi riferiti a singoli argomenti di esame; punteggi totali ottenuti).

Non risulta lecito riportare negli atti delle graduatorie da pubblicare altre tipologie di informazioni non pertinenti quali, ad esempio, recapiti di telefonia fissa o mobile o il codice fiscale [29].

Anche in tale ambito i soggetti pubblici possono avvalersi di nuove tecnologie per facilitare le comunicazioni con gli interessati riguardanti concorsi o selezioni pubbliche, mediante, ad esempio, la ricezione on-line di domande di partecipazione a concorsi e selezioni, corredate di diversi dati personali. A tale proposito va rilevato che le previsioni normative che disciplinano la pubblicazione di graduatorie, esiti e giudizi concorsuali rendono, in linea generale, lecita l'operazione di diffusione dei relativi dati personali a prescindere dal mezzo utilizzato.

La disciplina sulla protezione dei dati personali regola (v. art. 19, c. 3, del Codice) la diffusione di tali informazioni in maniera tendenzialmente uniforme, sia che essa avvenga attraverso una pubblicazione cartacea, sia attraverso la messa a disposizione su Internet mediante una pagina web [30].

Va tuttavia evidenziato che le caratteristiche di Internet consentono a chiunque, per effetto dei comuni motori di ricerca esterni ai siti, reperire indiscriminatamente e in tempo reale un insieme consistente di informazioni personali rese disponibili in rete, più o meno aggiornate e di natura differente [31].

Nell'utilizzare tale strumento di diffusione occorre, quindi, prevedere forme adeguate di selezione delle informazioni che potrebbero essere altrimenti aggregate massivamente mediante un comune motore di ricerca esterno ai siti. Si pensi alle pagine web contenenti dati relativi a esiti, graduatorie e giudizi di valutazione, che in termini generali dovrebbero essere conosciute più appropriatamente solo consultando un determinato sito Internet, oppure attribuendo solo alle persone interessate una chiave personale di accesso (a vari dati relativi alla procedura, oppure solo a quelli che li riguardano), o predisponendo, nei siti istituzionali, aree ad accesso parimenti selezionato nelle quali possono essere riportate ulteriori informazioni accessibili anche ai controinteressati [32].

Ancorché, talvolta, la disciplina normativa di settore preveda espressamente forme specifiche e circoscritte di divulgazione (mediante, ad esempio, la sola messa a disposizione di documenti presso gli uffici o la sola affissione di atti in bacheche nei locali dell'amministrazione, ovvero mediante materiale affissione all'albo pretorio [33]), tali forme di pubblicazione non autorizzano, di per sé, a trasporre tutti i documenti contenenti dati personali così pubblicati in una sezione del sito Internet dell'amministrazione liberamente consultabile. Al tempo stesso, ciò non preclude all'amministrazione di riprodurre in rete alcuni dei predetti documenti, sulla base di una valutazione responsabile e attenta ai limiti posti dai princìpi di pertinenza e non eccedenza.

In ogni caso, è ovviamente consentita la diffusione in Internet di un avviso che indichi il periodo durante il quale determinati documenti sono consultabili presso l'amministrazione [34].


6.2 Dati relativi all'organizzazione degli uffici, alla retribuzione e ai titolari di cariche e incarichi pubblici. Alcuni specifici obblighi normativi - taluni dei quali si richiamano di seguito a titolo meramente esemplificativo - impongono ad amministrazioni pubbliche di rendere noti, attraverso i propri siti Internet, determinati dati personali concernenti i propri dipendenti (es. organigramma degli uffici con l'elenco dei nominativi dei dirigenti; elenco delle caselle di posta elettronica istituzionali attive) [35].

Tali dati, sebbene siano di fatto disponibili in Internet, sono utilizzabili da terzi (in particolare, gli indirizzi di posta elettronica) solo in relazione ad eventi, comunicazioni e scopi correlati alle funzioni istituzionali e al ruolo ricoperto dall'interessato all'interno dell'amministrazione. I medesimi dati non sono quindi utilizzabili liberamente da chiunque per inviare, ad esempio, comunicazioni elettroniche a contenuto commerciale o pubblicitario [36].

In virtù della disciplina sul riordino della dirigenza statale le amministrazioni dello Stato possono altresì diffondere in Internet i dati personali dei dirigenti inquadrati nei ruoli istituiti da ciascuna amministrazione (art. 23 D.Lgs. 30 marzo 2001, n. 165), nel rispetto dei princìpi di completezza, esattezza, aggiornamento, pertinenza e non eccedenza dei dati (art. 11 del Codice) [37].

Altre disposizioni di settore prevedono, inoltre, specifici regimi di pubblicità per talune informazioni personali concernenti le retribuzioni, i livelli stipendiali o le situazioni patrimoniali di titolari di cariche e incarichi pubblici.

A titolo meramente esemplificativo, si menziona il caso delle amministrazioni e degli organismi tenuti a pubblicare sui propri siti Internet i compensi e le retribuzioni degli amministratori delle società partecipate direttamente o indirettamente dallo Stato, dei dirigenti con determinato incarico (conferito ai sensi dell'art. 19, comma 6, del D.Lgs. 30 marzo 2001, n. 165), nonché dei consulenti, dei membri di commissioni e di collegi e dei titolari di qualsivoglia incarico corrisposto dallo Stato, da enti pubblici o da società a prevalente partecipazione pubblica non quotate in borsa [38].

Un ampio regime di conoscibilità è previsto da specifiche disposizioni legislative anche per i livelli stipendiali e le situazioni patrimoniali di parlamentari e consiglieri di enti locali, seppure mediante differenti modalità di diffusione [39]. Alcune disposizioni permettono inoltre al datore di lavoro pubblico di acquisire, ma non di pubblicare, taluni dati personali relativi alla situazione patrimoniale dei propri dirigenti e, se vi consentono, del coniuge e dei figli conviventi, previa idonea informativa sul trattamento che ne verrà effettuato (art. 13 del Codice). Le medesime disposizioni non consentono, tuttavia, alle amministrazioni di conoscere l'integrale contenuto delle dichiarazioni dei redditi, nelle quali possono essere contenute informazioni eccedenti rispetto alla ricostruzione della situazione patrimoniale degli interessati, alcune delle quali aventi - peraltro anche natura «sensibile» (si pensi, ad esempio, ad alcune particolari tipologie di spese per le quali sono riconosciute apposite detrazioni d'imposta) [40].


6.3. Atti in materia di organizzazione degli uffici. Salvo che ricorra una delle ipotesi sopra richiamate o previste da specifiche disposizioni legislative o regolamentari, non è di regola lecito diffondere informazioni personali riferite a singoli lavoratori attraverso la loro pubblicazione in comunicazioni e documenti interni affissi nei luoghi di lavoro o atti e circolari destinati alla collettività dei lavoratori, come nelle ipotesi di informazioni riguardanti contratti individuali di lavoro, trattamenti stipendiali o accessori percepiti, assenze dal lavoro per malattia, ferie, permessi, iscrizione e/o adesione di singoli dipendenti ad associazioni.

In presenza di disposizioni legislative o regolamentari che prevedono forme di pubblicazione obbligatoria delle deliberazioni adottate dall'amministrazione [41] o degli atti conclusivi di taluni procedimenti amministrativi occorre, poi, valutare con attenzione le stesse tecniche di redazione dei provvedimenti e delle deliberazioni in materia di organizzazione del personale. Nel rispetto dell'obbligo di adeguata motivazione degli atti amministrativi [42] vanno pertanto selezionate le informazioni da diffondere alla luce dei princìpi di pertinenza e indispensabilità rispetto alle finalità perseguite dai singoli provvedimenti, anche in relazione al divieto di diffusione dei dati idonei a rivelare lo stato di salute (artt. 11 e 22 del Codice). Un'attenta valutazione, nei termini sopra richiamati, è indispensabile soprattutto quando vengono in considerazione informazioni sensibili o di carattere giudiziario: si pensi, ad esempio, agli atti in materia di concessione dei benefici previsti dalla legge 5 febbraio 1992, n. 104 e ai provvedimenti di irrogazione di sanzioni disciplinari o relativi a controversie giudiziarie nelle quali siano coinvolti singoli dipendenti [43].

Con specifico riferimento alle finalità di applicazione della disciplina in materia di concessione di benefici economici o di abilitazioni, ad esempio, il trattamento può comprendere la diffusione dei dati sensibili nei soli casi in cui ciò sia indispensabile per la trasparenza delle attività medesime, in conformità alle leggi, e per finalità di vigilanza e di controllo conseguenti alle attività medesime, fermo restando, comunque, il divieto di diffusione dei dati idonei a rivelare lo stato di salute (art. 68, comma 3, del Codice).

Ove costituiscano presupposto dei provvedimenti adottati, tali informazioni vanno riportate solo negli atti a disposizione negli uffici consultabili esclusivamente da interessati e controinteressati, omettendo quindi di dettagliarle nel corpo degli atti da pubblicare e richiamandone soltanto gli estremi e/o un estratto dei relativi atti d'ufficio.


6.4. Cartellini identificativi. Analogamente, determina un'ipotesi di diffusione dei dati personali l'esibizione degli stessi su cartellini identificativi, appuntati, ad esempio, sull'abito o sulla divisa del personale di alcune strutture della pubblica amministrazione o di concessionari pubblici, in attuazione di taluni atti amministrativi di natura organizzativa, a livello sia nazionale, sia locale [44].

Nell'ambito del lavoro alle dipendenze delle pubbliche amministrazioni i cartellini identificativi possono rappresentare un valido strumento per garantire trasparenza ed efficacia dell'azione amministrativa [45], nonché per migliorare il rapporto fra operatori ed utenti.

Nel selezionare i dati personali destinati ad essere diffusi attraverso i cartellini identificativi, le amministrazioni sono tenute a rispettare i princìpi di pertinenza e non eccedenza dei dati in rapporto alle finalità perseguite (art. 11 del Codice), specie in assenza di necessarie disposizioni di legge o regolamento che prescrivano l'adozione per determinati dipendenti di cartellini identificativi e ne individuino eventualmente anche il relativo contenuto.

In tali ipotesi, alla luce di specifiche esigenze di personalizzazione e di umanizzazione del servizio e/o di collaborazione da parte dell'utente può risultare giustificato, in casi particolari e con riferimento a determinate categorie di dipendenti, riportare nei cartellini elementi identificativi ulteriori rispetto alla qualifica, al ruolo professionale, alla fotografia o ad un codice identificativo quali, ad esempio, le loro generalità (si pensi alle prestazioni sanitarie in regime di ricovero ospedaliero e al rapporto fiduciario che si instaura tra il paziente e gli operatori sanitari coinvolti).


________________________

[25] Cfr. Provv. 27 febbraio 2002 (doc. web n. 1063639 ), con il quale il Garante ha vietato la diffusione di dati idonei a rivelare lo stato di salute riportati in una graduatoria dei trasferimenti affissa nella bacheca di un provveditorato agli studi.

[26] Cfr. Relazione annuale del Garante 2004, p. 83.

[27] Art. 15 D.P.R. 9 maggio 1994, n. 487; v. anche art. 4 D.P.R. 21 settembre 2001, n. 446; art. 18, comma 6, D.P.R. 27 marzo 2001, n. 220; art. 8 D.P.R. 28 luglio 2000, n. 271; art. 2 D.P.R. 28 luglio 2000, n. 272; art. 2 D.P.R. 28 luglio 2000, n. 270; art. 52, comma 2, R.D. 12 ottobre 1933, n. 1364.

[28] Cfr. art. 6 D.P.R. 23 marzo 2000, n. 117.

[29] Provv. 19 aprile 2007 recante «Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali».

[30] Cfr. Comunicato stampa del Garante del 14 giugno 1999.

[31] Cfr. Provv.10 novembre 2004, doc. web n. 1116068; cfr. anche Newsletter 21-27 marzo 2005.

[32] Cfr. Provv. 19 aprile 2007, cit.

[33] Cfr., ad es., art. 6, comma 6, D.P.R. n. 487/1994 con riferimento agli esiti delle prove intermedie dei concorsi per accedere agli impieghi nelle pubbliche amministrazioni e art. 25, comma 3, r.d. 22 gennaio 1934, n. 37, con riferimento all'elenco degli ammessi alle prove orali per l'abilitazione alla professione di avvocato.

[34] Cfr. Provv. 19 aprile 2007, cit.

[35]Art. 54 D.Lgs. 7 marzo 2005, n. 82.

[36] Cfr. Provv. 19 dicembre 2002, doc. web n. 1067231.

[37] Cfr. art. 23 D.Lgs. n. 165/ 2001 e artt. 1, comma 7 e 2, comma 4, D.P.R. 23 aprile 2004, n. 108.

[38] Art. 1, comma 593, L. 27 dicembre 2006, n. 296.

[39] Cfr. L. 5 luglio 1982, n. 441. Si veda anche Newsletter del Garante 4-10 giugno 2001 e Corte di giustizia delle Comunità europee, 20 maggio 2003, causa C-465/2000.

[40] Cfr. art. 17, comma 22, L. 15 maggio 1997, n. 127. Si veda anche Parere 8 giugno 1999, doc. web n. 40369. Analoga disciplina vige anche per magistrati, avvocati dello Stato e procuratori, professori e ricercatori universitari di livello dirigenziale od equiparato.

[41] Cfr. art. 10 e 124 D.Lgs. n. 267/2000.

[42] Art. 3, comma 3, L. n. 241/1990.

[43] Cfr. Provv. 27 febbraio 2002, doc. web 1063639, Provv. 9 dicembre 2003 e Provv. 17 aprile 2003, doc. web n. 1054640. Si vedano anche, con particolare riferimento alle deliberazioni degli enti locali, Provv. 19 aprile 2007 cit. e Provv. 25 gennaio 2007, doc. web 1386836.

[44] Cfr. parte seconda, 2.3.1, b.3), D.P.C.M. 21 dicembre 1992; art. 1.1. e all. n. 8 art. 61 D.P.C.M. 19 maggio 1995; parte seconda, 2.5.1, D.P.C.M. 30 dicembre 1998 art. 4.2.2, provv. Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e Bolzano 5 agosto 1999.

[45] Art.1, L. n. 241/1990.

****************

In relazione allo specifico caso del personale appartenente alla POLIZIA LOCALE il tema riguarda anche l'indicazione nel verbale di contestazione dei nominativi degli agenti accertatori.

Anche in questo caso si ritiene ormai pacificamente che l'indicazione del nominativo completo possa essere sostituita dall'indicazione della MATRICOLA o altro CODICE PSEUDONOMIZZATO ricondicibile ex post al soggetto ma non direttamente indicante le generalità dell'accertatore.

Si veda:
https://www.laleggepertutti.it/19548_se-nella-multa-non-ce-la-firma-autografa-dellagente

https://forum.enti.it/viewtopic.php?t=315981

http://forum.elaborare.com/showthread.php?286553-Firma-dell-agente-accertatore-non-leggibile-la-multa-%E8-valida

https://www.adiconsum.it/files/guide_tematiche/MULTE.pdf

http://www.prefettura.it/treviso/contenuti/Ricorsi_per_violazioni_al_codice_della_strada-44657.htm

-----------------------------------------------
Riferimenti normativi:

Articolo 69 del decreto legislativo 27 ottobre 2009, n. 150 ""1. I dipendenti delle amministrazioni pubbliche che svolgono attività a contatto con il pubblico sono tenuti a rendere conoscibile il proprio nominativo mediante I'uso di cartellini identificativi o di targhe da apporre presso la postazione di lavoro..."

Vedi anche: http://www.omniavis.it/web/forum/index.php?topic=47212.0 

-----------------------------------------------
Contributo a cura di: dott. Simone Chiarelli
PrivacyPopup

Privacy Policy