La Tutela della Privacy da parte della Confederazione Generale Italiana del Lavoro
La Confederazione si propone di tutelare la persona, sia essa iscritta o meno, anche con riferimento alla tutela dei suoi dati personali, e ciò non solo perché imposto dalla normativa vigente, ma anche perché la protezione dei dati personali è una modalità attraverso la quale si tutelano i diritti e le libertà fondamentali di un individuo libero e scevro da condizionamenti esterni.

Il primo articolo dello Statuto della CGIL, infatti, non si limita a perseguire solo la tutela della persona sul luogo di lavoro, ma si prefigge di combattere “ogni forma di molestia, discriminazione e violenza contro le donne e per orientamento sessuale ed identità di genere  Promuove la lotta contro ogni forma di discriminazione, la libera associazione e l’autotutela solidale e collettiva delle lavoratrici e dei lavoratori dipendenti o eterodiretti .. nel pieno rispetto dell’appartenenza a gruppi etnici, nazionalità, lingua, orientamento sessuale, identità di genere, culture e formazioni politiche, diversità professionali, sociali e di interessi, dell’essere credente o non credente”.

L’art. 2 dello Statuto, inoltre, prevede espressamente che la CGIL “basa i propri programmi e le proprie azioni sui dettati della Costituzione della Repubblica e  ispira la propria azione alla conquista di rapporti internazionali per i quali tutti i popoli vivano insieme nella sicurezza e in pace, impegnati a preservare durevolmente l’umanità e la natura, liberi di scegliere i propri destini e di determinare le proprie forme di governo  tutela, nelle forme e con le procedure più adeguate, il diritto di tutte le lavoratrici ed i lavoratori a rapporti corretti e imparziali, specie in riferimento all’eventualità di molestie e ricatti sessuali”.

Il perseguimento di tali diritti, e di tali libertà, richiede necessariamente la piena tutela dei diritti e delle libertà perseguite dalla normativa in materia di protezione dei dati che, in quanto finalizzata a “contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche”, come noto, protegge le persone fisiche con riguardo al trattamento dei dati di carattere personale quale diritto fondamentale (vedi i Considerando 1 e 2 del Regolamento UE 2016/679).

La tutela dei diritti e delle libertà fondamentali del lavoratore, e in particolare la tutela della sua identità personale, della sua riservatezza, così come della sua dignità, della sua libertà di autodeterminazione, anche informativa, passa necessariamente attraverso la tutela dei suoi dati dato che l’illegittimità e l’indiscriminatezza del loro trattamento pregiudicherebbe l’esplicazione della sua personalità.

Il Regolamento (UE) 2016/679 (Regolamento Generale sulla Protezione dei Dati, c.d. RGPD)

Il RGPD è divenuto efficacie in tutti gli Stati dell’Unione Europea il 25 maggio 2018 e prescrive sin dal primo articolo che “la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale” e che esso “protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”.

La principale novità introdotta dal RGPD è il principio di “responsabilizzazione” (cd. accountability) che, con un approccio basato principalmente sulla valutazione dei rischi sui diritti e le libertà degli interessati, attribuisce ai Titolari del trattamento (quindi anche alla CGIL nel suo complesso) il compito di assicurare ed essere in grado di comprovare il rispetto dei principi applicabili al trattamento dei dati personali e di adottare le misure che ritengano a ciò più idonee ed opportune.

Il predetto principio di “responsabilizzazione” ha imposto anche alla CGIL di adottare un nuovo approccio nel trattamento dei dati personali, sia degli iscritti sia degli operatori sia di tutti gli altri soggetti che hanno contatti, regolari o meno, con la Confederazione.

In particolare, sono previsti in capo alla CGIL nuovi adempimenti e un’intensa attività di adeguamento alla normativa eurounitaria, obiettivi senz’altro non semplici in una realtà di così grandi dimensioni che opera a livello nazionale e, in alcuni casi, a livello mondiale, in cui quotidianamente vengono trattati milioni di dati estremamente delicati come quelli riguardanti la tutela sindacale che, come noto, spesso si estende alla tutela della persona sotto ogni altro profilo.

Il Titolare del trattamento e il contenuto essenziale dell’Accordo di contitolarità.

Nell’ambito della Confederazione l’individuazione del titolare del trattamento è particolarmente complessa.

Ai sensi dell’art. 4 del RGDP il “titolare del trattamento” è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.

Nell’ambito della CGIL si tratta pertanto di individuare il soggetto che determina le finalità del trattamento e i relativi mezzi che, indiscutibilmente, vengono individuati dalla Confederazione nel suo complesso, attraverso gli organi di rappresentanza previsti dallo Statuto.

E’ quindi evidente che nell’ambito della CGIL, in realtà, tutte le strutture statutarie (quindi la CGIL Nazionale, le singole Federazioni e i singoli Sindacati Nazionali di Categoria, le singole CGIL Regionali, le Camere del Lavoro Territoriali e/o Metropolitane, le singole Federazioni o Sindacali regionali di categoria, così come le singole categorie territoriali, lo SPI) sono tra loro contitolari del trattamento dei dati degli iscritti, dei dipendenti e di tutti coloro che hanno contatti regolari con l’associazione sindacale nel suo complesso.

Sul punto, del resto, è necessario rammentare che l’iscrizione alla CGIL “avviene mediante domanda alla struttura congressuale del luogo di lavoro o territoriale, o della Lega SPI” (art. 3 dello Statuto), così che, all’atto dell’iscrizione, il lavoratore o il pensionato si iscrivono alla CGIL nel suo complesso, e non ad una singola categoria e/o ad una singola struttura congressuale, per cui i suoi dati sono di “titolarità” dell’intera Confederazione, e non della singola struttura, tant’è vero che uno dei cardini della libertà sindacale è la “massima partecipazione, personale o a mezzo di delegati, di ogni iscritta/iscritto alla CGIL, in uguaglianza di diritti con le altre iscritte/iscritti attivi, alle deliberazioni del proprio Sindacato di categoria e delle istanze confederali”, e non solo, quindi, alle deliberazioni della sola struttura congressuale attraverso la quale la lavoratrice e il lavoratore, la pensionata o il pensionato, si sono iscritti.

Nel caso specifico si parla, come si è detto di “contitolarità” che è quella particolare situazione in cui “due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento” (art. 26, par. 1, del RGPD) come, appunto, nel caso delle singole strutture congressuali facenti parte della Confederazione.

In tali casi l’art. 26 del RGDP ha previsto espressamente che i contitolari del trattamento determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal RGPD, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14 del Regolamento UE.

Alla luce del numero dei contitolari del trattamento in CGIL, l’art. 26 dello Statuto prevede che tale accordo debba essere raggiunto tra i Centri Regolatori (che, ai sensi dell’art. 8 dello Statuto, sono la CGIL nazionale, le CGIL regionali e le Federazioni o Sindacati nazionali di categoria e lo SPI) e, in particolare, disciplina quale tra le varie strutture CGIL è tenuta ad adempiere a specifici obblighi imposti dalla normativa vigente.

L’Accordo di contitolarità stipulato nell’ambito della CGIL riflette, come imposto dalla normativa, i ruoli e i rapporti di ciascuna contitolare con gli interessati. L’Accordo, infatti, ha i contenuti essenziali individuabili nell’estratto dell’Accordo stesso, a disposizione degli interessati attraverso il seguente link.

Il Responsabile della Protezione dei Dati

Il RGPD prevede l’obbligo, tra gli altri, per i sindacati, di designare un Responsabile della Protezione dei dati al quale sono stati attributi i seguenti compiti:

a) informare e fornire consulenza alla Confederazione nonché ai suoi dipendenti e/o soggetti autorizzati in genere che eseguono il trattamento in merito agli obblighi derivanti dal RGPD nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l’osservanza del RGPD, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche della CGIL in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;

d) cooperare con il Garante per la protezione dei dati e fungere da punto di contatto per tale ultima autorità per questioni connesse al trattamento, tra cui la consultazione preventiva, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione

La Confederazione ha quindi designato il Responsabile della protezione dei dati (RPD, ovvero DPO se si utilizza l’acronimo inglese: Data Protection Officer) al quale ha messo a disposizione le risorse necessaria per l’espletamento delle sue funzioni e che riferisce direttamente ai vertici della Confederazione ai vari livelli e che, ai fini della qualità del processo di adeguamento e di mantenimento della protezione dei dati, è stato e verrà coinvolto in tutte le questioni che riguardano la protezione dei dati personali.

Il predetto Responsabile è stato individuato in un soggetto esterno all’organizzazione sindacale, affinché sia nella necessaria posizione di indipendenza e autonomia rispetto alla CGIL, e può essere contattato, oltre che dai singoli soggetti autorizzati dell’organizzazione sindacale per ottenere informazioni e consulenza, anche direttamente dagli interessati, per la tutela dei loro diritti, ai seguenti contatti:

La “privacy policy” in CGIL in applicazione delle disposizioni di cui all’art. 13 del RGPD

Come si è visto la CGIL ha avviato da tempo una serie di percorsi interni finalizzati all’adeguamento e al mantenimento dei propri trattamenti in modo conforme alla disciplina rilevante in materia di protezione dei dati, costituita, da un lato, dal Regolamento Generale sulla Protezione dei Dati sia dal D.Lgs. 30 giugno 2003, n. 196, così come modificato dal D.Lgs. 8 agosto 2018, n. 101.

La normativa in argomento si propone di tutelare il diritto alla riservatezza e il diritto alla protezione dei dati personali allo scopo di evitare che il loro uso non corretto possa danneggiare o ledere i diritti, le libertà fondamentali e la dignità degli interessati.

Ne consegue che tale finalità è ancor più evidente nella realtà sindacali che trattano quotidianamente una moltitudine di dati estremamente riservati come quelli riguardanti l’appartenenza sindacale ma anche, al fine della tutela del lavoratore e del pensionato, tutti gli altri dati particolari tutelati dall’art. 9 del RGPD (dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, i dati genetici, i dati biometrici, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona).

La CGIL, anche coadiuvata dalla consulenza del RPD, ha elaborato una serie di tutele e prescrizioni in tutta la sua organizzazione finalizzata alla protezione dei dati, anche facendo proprie le diverse prescrizioni del Garante per la protezione dei dati personali ed elaborando un sistema stabile a costante presidio della tematica.

La CGIL, infatti, è ben consapevole che la disciplina in materia non costituisce un mero obbligo burocratico ma è uno strumento finalizzato ad offrire una reale tutela dei diritti e delle libertà fondamentali degli interessati, dei loro familiari e di tutti gli operatori.

Nell’ambito di tale organizzazione la CGIL si è prefigurata di rendere i trattamenti di dati che svolge il più trasparenti possibili, e ciò cercando di rendere edotti tutti gli interessati di quali sono i “processi” interni che comportano il loro trattamento.

Come noto, infatti, ai sensi degli articoli 13 e 14 del RGPD la CGIL ha l’obbligo di fornire agli interessati una serie di informazioni che riguardano il trattamento dei loro dati, tra le quali, per quanto qui interessa:

a) l’identità e i dati di contatto del titolare del trattamento;

b) i dati di contatto del Responsabile della Protezione dei Dati;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

e) I destinatari dei dati o le eventuali categorie di destinatari dei dati personali;

f) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

g) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

h) l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

i) il diritto di proporre reclamo all’autorità di controllo;

l) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

CGIL ha ottemperato a tale obbligo rendendo le predette informazioni al momento della raccolta dei dati.

L’interessato ha comunque diritto di prendere visione dei suoi diritti in ogni momento, e per tale ragione le predette informazioni sono tenute aggiornate anche attraverso questo sito, ai link di seguito richiamati.

Informativa per gli iscritti (scarica l’informativa generale per gli iscritti alla CGIL).

Informativa per la videosorveglianza (scarica l’informativa della videosorveglianza svolta in CGIL)

Informativa Cookies (scarica l’informativa cookies)