L’utilizzo della email aziendale dei docenti da parte delle organizzazioni sindacali.

L’utilizzo della email aziendale dei dipendenti (in questo caso erano presi in esame i docenti di un istituto scolastico) non trova applicazione nei confronti delle organizzazioni sindacali; ragion per cui essi non possono ottenere dall’istituto scolastico la mailing list dei docenti.

A tale proposito Aran con la Circolare n. 1/2024 del 20 novembre aveva interpretato, l’art. 5 comma 1 del CCNQ per la ripartizione dei distacchi e dei permessi tra le associazioni sindacali rappresentative nei comparti e nelle aree di contrattazione del 4/12/2017, come integrato dall’art.1, comma 2 dell’analogo CCNQ sottoscritto il 30/11/2023, nel seguente modo.

l CCNQ per la ripartizione dei distacchi e dei permessi tra le associazioni sindacali rappresentative nei comparti e nelle aree di contrattazione sottoscritto in data 30/11/2023 ha aggiunto un periodo al comma 1 dell’art. 5 (Diritto di affissione) dell’analogo CCNQ del 4/12/2017, prevedendo che le amministrazioni forniscano ai medesimi soggetti titolari del diritto di affissione ed a richiesta degli stessi, l’elenco degli eventuali indirizzi mail istituzionali del personale dipendente. 

Detta previsione, però, è stata oggetto di osservazione da parte del Garante per la Protezione dei Dati Personali in quanto la consegna di elenchi di indirizzi mail, ancorché istituzionali, configura una comunicazione di dati personali.[1] In proposito è stato evidenziato che la comunicazione di dati personali è ammessa per l’adempimento di obblighi e l’esercizio di diritti in materia di diritto del lavoro solo quando prevista da una norma di legge. 

A seguito di apposite interlocuzioni con l’Autorità di controllo (i.e., il Garante), durante le quali è stata data evidenza delle sottese ragioni di tutela del diritto delle organizzazioni sindacali ad effettuare proselitismo attraverso una modalità aggiuntiva di esercizio del diritto di affissione, il Garante ha rappresentato la necessità di introdurre dei correttivi finalizzati alla armonizzazione della clausola in questione con la disciplina della protezione dei dati.

Nell’intento di pervenire ad una soluzione che contemperasse i diversi interessi coinvolti nell’ambito del vigente quadro ordinamentale, l’A.Ra.N. ha aperto un confronto con le confederazioni aventi titolo. A seguito di diversi incontri, tuttavia, nella riunione del 28 maggio 2024 le parti hanno dovuto prendere atto dell’impossibilità di raggiungere una soluzione concordata.

Premesso quanto sopra, Aran ha informato le amministrazioni in indirizzo che il Garante per la Protezione dei Dati Personali, preso atto del suddetto mancato accordo, con l’allegata nota del 29 ottobre 2024 n. 126839, nel rammentare le criticità già formulate sulla norma contrattuale, ed ha precisato che “spetta comunque al titolare del trattamento assicurare il rispetto della disciplina in materia di protezione dei dati personali (artt. 5, par. 2[2], e 24[3] del Regolamento) il quale esige che sia preliminarmente valutata la sussistenza di idonei presupposti di liceità prima di dare corso a qualunque trattamento, anche considerando la possibilità che lo specifico interesse delle organizzazioni sindacali all’esercizio del diritto di affissione nel contesto organizzativo dell’amministrazione, datore di lavoro, possa essere parimenti conseguito senza dar luogo a comunicazioni di dati personali”.

A tale riguardo il Considerando (74) riporta: È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

La puntualizzazione del Garante

Il Garante per la protezione dei dati personali ha ribadito che la consegna degli elenchi e-mail costituisce una comunicazione di dati personali ammissibile solo se prevista da specifica norma di legge. (cfr. nota del 25.3.2024)

[1] Articolo 4 Definizioni

Ai fini del presente regolamento s’intende per:

(omissis)

2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

[2] Articolo 5

Principi applicabili al trattamento di dati personali

(omissis)

2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»). (C74)

[3] Articolo 24 Responsabilità del titolare del trattamento (C74-C78)

1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.

3. L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.