Data protection

La trasmissione degli elenchi del personale ai sindacati in caso di elezioni delle RSU aziendali

Premessa

  1. In questo periodo le aziende sanitarie e gli altri enti interessati ricevono richieste da parte dei sindacati relative all’elenco del personale attivo comprensivo degli indirizzi mail istituzionali, che attenevano all’acquisizione dei seguenti dati:
  2. Cognome e nome;
  3. Indirizzo e.mail istituzionale;
  4. Genere;
  5. Natura del rapporto contrattuale (tempo indeterminato/Tempo determinato/Comando/assegnazione temporanea);
  • Qualifica professionale;
  • Struttura/unità operativa di appartenenza,
  • Sede di servizio;
  • Numero dei dipendenti del Comparto distinto per le varie O.S.S.
  • L‘ente (in qualità di titolare del trattamento) può trattare dati personali dei dipendenti se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti da leggi, dalla normativa comunitaria, da regolamenti o da contratti collettivi (artt. 6, par. 1, lett. c)[1] e 88[2] del Regolamento UE 2016/679[3]; di seguito, “Regolamento”).

La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2[4] del Regolamento) e, in tale ambito ha previsto che le operazioni di trattamento che consistono nella “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge o, nei casi previsti dalla legge, da regolamento (art. 2-ter, commi 1 e 3 del Codice[5]).

  • Il datore di lavoro, titolare del trattamento, è in ogni caso tenuto a rispettare i principi di “liceità, correttezza e trasparenza”, “limitazione delle finalità”, “minimizzazione” nonché “integrità e riservatezza” dei dati e “responsabilizzazione”; di cui all’art. 5[6] del Regolamento.

In base ai principi in materia di protezione dei dati personali e, in particolare, al principio di responsabilizzazione, spetta a ciascun titolare individuare i presupposti e le condizioni di liceità del trattamento dei dati, nonché essere in grado di dimostrare che il trattamento venga effettuato conformemente al Regolamento e alle disposizioni del Codice (artt. 5, par. 2 e 24 del regolamento).

  • Per quanto di stretto interesse in questa sede, si ricorda che la messa a disposizione delle organizzazioni sindacali, da parte dell’ente, di dati personali di dipendenti in qualunque forma comporta una “comunicazione” di dati personali (art. 2-ter, comma 4, lett. a) del Codice[7]) che, in tale contesto, è ammessa per l’adempimento di obblighi e l’esercizio di diritti in materia di diritto del lavoro nei limiti stabiliti dalla normativa di settore solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3 del Codice).

Nei limiti e negli ambiti ad essi demandati da norme di legge o di regolamento, i contratti collettivi possono contenere specificazioni e disposizioni di dettaglio (cfr. considerando 41[8] e art. 88[9] del Regolamento) nel contesto occupazionale sul trattamento dei dati personali.

  • Vista la Circolare ARAN del 5.01.2025 (Rinnovo delle RSU) che all’art. 10. “Compiti delle amministrazioni”, per quanto di stretto interesse in questa sede, stabilisce che:

L’amministrazione deve favorire la più ampia partecipazione dei lavoratori alle operazioni elettorali, informandoli tempestivamente, anche con proprie iniziative assunte nei modi ritenuti più idonei, dell’importanza delle elezioni,  facilitando  l’affluenza  alle  urne mediante una adeguata organizzazione  del  lavoro.  (omissis).

L’amministrazione, sin dal  28  gennaio  2025,  giorno  successivo all’inizio delle procedure elettorali, deve  mettere  a  disposizione alle organizzazioni sindacali che ne facciano richiesta  gli  elenchi alfabetici generali dei  dipendenti  aventi  diritto  al  voto  (cfr. paragrafo § 7 elettorato attivo) e dei lavoratori  candidabili  (cfr. paragrafo § 5 elettorato passivo), distinti per  genere.  I medesimi elenchi dovranno essere consegnati anche alla commissione elettorale.

A richiesta delle OO.SS. o della commissione elettorale dovranno essere forniti sottoelenchi,  suddivisi  con  le  medesime  modalita’ degli elenchi generali, distinti per le eventuali sezioni elettorali istituite dalla commissione elettorale per agevolare le operazioni di voto.

  • Fermo restando che per legge le decisioni circa le finalità e i mezzi del trattamento dei dati personali sono in capo al titolare del trattamento (art. 4, punto 7) al quale è attribuita la responsabilità generale per qualsiasi trattamento di dati personali che abbia effettuato direttamente o che altri abbiano effettuato per suo conto. Di conseguenza, il titolare è tenuto a mettere in atto misure adeguate ed efficaci e deve essere in grado di dimostrare la conformità delle attività di trattamento con il regolamento, compresa l’efficacia delle misure. (Considerando (74)[10] del Regolamento). Spetta, altresì, al titolare del trattamento assicurare il rispetto della disciplina in materia di protezione dei dati personali in ossequio al principio di responsabilizzazione (artt. 5, par. 2 e 24[11] del Regolamento)
  • Il trattamento derivante dall’invio delle informazioni richieste si ritiene lecito in quanto “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (art. 6, par. 1, lett. e)[12] e par. 2[13] e 3[14] del regolamento).
  • Come diretta conseguenza di quanto rappresentato al punto 6., il titolare del trattamento nell’evadere le richieste delle RSU dovrà assumere un atteggiamento critico andando a scrutinare in dettaglio le singole informazioni elencate nella Richiesta di parere.
  • Prima di attivare il trattamento si rende necessario predisporre, con il supporto dell’Ufficio Privacy e Sicurezza delle Informazioni una informativa da rilasciare agli interessati (i dipendenti che hanno l’elettorato attivo e passivo)
  • Si ritiene opportuno fornire l’elenco del personale richiesto per le attività strettamente connesse alle elezioni; evidenziando che l’uso delle informazioni fornite non potrà avere finalità di marketing e promozione, ma uso esclusivo delle stesse per le sole attività relative alle elezioni.

Nella nota di trasmissione, da inviare nel rispetto di quanto già stabilito dal titolare del trattamento a salvaguardia dei principi di riservatezza, limitazione delle finalità e minimizzazione, si suggerisce di inserire la seguente frase. “Gli elenchi del personale fornito vengono concessi per il solo ed esclusivo uso relativo ad attività strettamente collegate alle elezioni. Non è consentito utilizzare suddette informazioni per comunicazioni di marketing, promozione sindacale, ed altre attività non connesse alle elezioni.”

  1. Circa l’elenco delle informazioni richieste si richiama al rispetto del principio di minimizzazione, di cui all’art. 5, par. 1, lett. c) del Regolamento, portato dallo scrivente all’attenzione del titolare del trattamento attraverso numerose Comunicazioni, che in questa sede si intendono interamente richiamate. Di conseguenza, relativamente alla richiesta di indirizzo di posta elettronica si ritiene non necessario fornire alcun dato in quanto il dipendente è provvisto di un indirizzo di posta elettronica istituzionale del seguente tenore: nome.cognome@ente.it  

Per quanto riguarda le altre informazioni si suggerisce di compiere un attento scrutinio da svolgere alla luce del principio di “limitazione delle finalità” e di “minimizzazione”; scrutinio che presuppone una conoscenza in dettaglio – a livello generale – delle relazioni sindacali e – a livello specifico – della normativa in materia di elezioni delle RSU, conoscenza che non appartiene allo scrivente. (cfr. punto 8).

[1] Articolo 6 Liceità del trattamento

1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: (C40)

(omissis)

c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; (C45)

[2] Articolo 88 Trattamento dei dati nell’ambito dei rapporti di lavoro (C155)

1. Gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.

2. Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro.

3. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro 25 maggio 2018 e comunica senza ritardo ogni successiva modifica.

[3] REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

[4] Articolo 6 Liceità del trattamento

(omissis)

2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto

anche per le altre specifiche situazioni di trattamento di cui al capo IX. (C8, C10, C41, C45, C51)

[5] Art. 2-ter (Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri)

1. La base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del regolamento e’ costituita da una norma di legge o di regolamento o da atti amministrativi generali.2

1-bis. Fermo restando ogni altro obbligo previsto dal Regolamento e dal presente codice, il trattamento dei dati personali da parte di un’amministrazione pubblica di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, ivi comprese le autorità indipendenti e le amministrazioni inserite nell’elenco di cui all’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, nonché da parte di una società a controllo pubblico statale o, limitatamente ai gestori di servizi pubblici, locale, di cui all’ articolo 16 del testo unico in materia di società a partecipazione pubblica, di cui al decreto legislativo 19 agosto 2016, n. 175 , con esclusione, per le società a controllo pubblico, dei trattamenti correlati ad attività svolte in regime di libero mercato, è anche consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad esse attribuiti. In modo da assicurare che tale esercizio non possa arrecare un pregiudizio effettivo e concreto alla tutela dei diritti e delle libertà degli interessati, le disposizioni di cui al presente comma sono esercitate nel rispetto dell’ articolo 6 del Regolamento.

(omissis)

3. La diffusione e la comunicazione di dati personali, trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalita’ sono ammesse unicamente se previste ai sensi del comma 1 o se necessarie ai sensi del comma 1-bis. In tale ultimo caso, ne viene data notizia al Garante almeno dieci giorni prima dell’inizio della comunicazione o diffusione.5

[6] Articolo 5 Principi applicabili al trattamento di dati personali

1. I dati personali sono: (C39)

a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);

e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o

storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);

f ) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»). (C74)

[7] Art. 2-ter (Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri)

(omissis)

4. Si intende per:

a) “comunicazione”, il dare conoscenza dei dati personali a uno o piu’ soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dell’Unione europea, dal responsabile o dal suo rappresentante nel territorio dell’Unione europea, dalle persone autorizzate, ai sensi dell’articolo 2-quaterdecies, al trattamento dei dati personali sotto l’autorita’ diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante nterconnessione;

[8] (41) Qualora il presente regolamento faccia riferimento a una base giuridica o a una misura legislativa, ciò non richiede necessariamente l’adozione di un atto legislati vo da parte di un parlamento, fatte salve le prescrizioni dell’ordinamento costituzionale dello Stato membro interessato. Tuttavia, tale base giuridica o misura legislativa dovrebbe essere chiara e precisa, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità della giurisprudenza della Corte di giustizia dell’Unione europea (la «Corte di giustizia») e della Corte europea dei diritti dell’uomo.

[9] Articolo 88 Trattamento dei dati nell’ambito dei rapporti di lavoro (C155)

1. Gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli

obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per

finalità di cessazione del rapporto di lavoro.

2. Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro.

3. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro 25 maggio 2018 e comunica senza ritardo ogni successiva modifica.

[10] (74) È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento,

nonché del rischio per i diritti e le libertà delle persone fisiche.

[11] Articolo 24 Responsabilità del titolare del trattamento (C74-C78)

1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato

conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.

3. L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

[12] Liceità del trattamento

1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: (C40)

(omissis)

e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; (C45, C46)

[13] 2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto

anche per le altre specifiche situazioni di trattamento di cui al capo IX. (C8, C10, C41, C45, C51)

[14] 3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita: (C8, C10, C41, C45, C51)

a) dal diritto dell’Unione; o

b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento. La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

buste paga
Cibersicurezza

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

Punto di contatto
La NIS2 e il ruolo rivestito dal Punto di Contatto.
2 Maggio 2025
Piano d’azione europea sulla sicurezza informatica di ospedali e fornitori di servizi sanitari.
10 Febbraio 2025
pnrr
Il principio di minimizzazione nel trattamento dei dati personali analizzato dalla Corte di Giustizia UE. Causa C-394/23 | Mousse
29 Gennaio 2025

Start typing and press Enter to search