Un’importante decisione del Garante per la Privacy ha definitivamente sancito che l’iscrizione a un sindacato è da considerarsi dato sensibile, in quanto indicatore ben preciso di un orientamento politico e, pertanto, degno della massima forma di protezione nelle sue modalità di trattamento.

Nella fattispecie, alcuni dipendenti di un’azienda avevano portato all’attenzione del Garante la vicenda che li aveva visti involontari e ignari protagonisti. A seguito della loro decisione di lasciare una sigla sindacale per aderire ad un’altra, lamentavano il comportamento del datore di lavoro che aveva comunicato al vecchio sindacato cui erano iscritti, la nuova sigla di appartenenza. Il Garante, a conclusione della sua istruttoria, in una nota ha aderito alla tesi dei lavoratori rilevando che un datore di lavoro non può comunicare ad un’organizzazione sindacale la nuova sigla alla quale ha aderito un suo ex iscritto. Sarebbe stato più che sufficiente, al fine di permettere al sindacato di espletare le procedure connesse alla delega per il versamento delle quote sindacali, che il datore di lavoro si fosse limitato a comunicare la sola scelta del lavoratore di non aderire più all’originaria sigla di appartenenza. Non ha trovato accoglimento la difesa dell’Azienda, operante nel settore sanitario, che ha giustificato il proprio comportamento sostenendo di aver ritenuto necessario informare la vecchia rappresentanza sindacale della variazione onde evitare il rischio che questa continuasse ad operare in composizione non più aderente alla realtà, con ricadute sulla validità della contrattazione aziendale.

«Le informazioni sull’adesione sindacale rientrano nella categoria dei dati sensibili – rileva il garante – ai quali la disciplina di protezione dei dati riconosce particolari forme di tutela. Il datore di lavoro può lecitamente trattarli in base alla legge per adempiere agli obblighi derivanti dal rapporto di lavoro, ad esempio per effettuare il versamento delle quote di iscrizione ad associazioni o organizzazioni sindacali su delega e per conto del dipendente».

Nel caso in oggetto, il Garante ha censurato il comportamento dell’amministrazione poichè non si è limitata alla semplice comunicazione della revoca dell’affiliazione, ma ha inviato addirittura a tutti i componenti della sigla sindacale una mail allegando i documenti nei quali era espressamente indicata l’iscrizione dei lavoratori ad un nuovo sindacato. Ciò, secondo l’Autorità, ha determinato una illecita comunicazione di dati personali sensibili dei reclamanti. Una conclusione logica, che si colloca nella più ampia prospettiva del GDPR in cui, senza espressa autorizzazione da parte dell’interessato, è vietata ogni forma di utilizzo o comunicazione dei dati personali degli interessati se non quelle indispensabili allo svolgimento del rapporto e all’esecuzione degli obblighi di legge che ne derivano.

Il Garante ha ritenuto la condotta dell’Azienda difforme dalla disciplina del GDPR e, seppur non abbia disposto provvedimenti prescrittivi o inibitori, si è riservata di avviare un autonomo procedimento per valutare la contestazione di una eventuale violazione amministrativa per l’illecita comunicazione dei dati sindacali con possibile erogazione di sanzioni. Resta ovviamente impregiudicato, il diritto per gli interessati di far valere eventuali pretese risarcitorie avanti all’Autorità giudiziaria ordinaria.