Jobs Act, controllo del lavoratore e utilizzabilità dei dati

La modifica dell’articolo 4 dello Statuto dei Lavoratori operata attraverso il Jobs Act è stata al centro di innumerevoli polemiche già in fase di formulazione. Da più parti si sono sollevati dubbi interpretativi, sia sistematici, data l’incoerenza del collocamento della sanzione (il richiamo all’articolo 4 dello Statuto dei lavoratori inserito nell’art. 171 del Codice della Privacy), sia in ordine agli aspetti sostanziali e procedurali: si è criticata, ad esempio, l’opportunità di eliminare in toto il primo comma del “vecchio” articolo 4, che sanciva un divieto assoluto di controllo; si sono sollevati dubbi sul coordinamento tra i nuovi commi 1 e  2, sull’infelice locuzione “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” impiegata nel comma 2 (per l’indeterminatezza dell’area di eccezione e perché non specifica se tali strumenti siano solo quelli aziendali), sulla portata del comma 3 che, letteralmente, pare riferire l’applicazione del Codice Privacy al solo uso successivo “a tutti i fini connessi al rapporto di lavoro” dei dati raccolti (e alla loro inutilizzabilità); ci si è interrogati sull’ambito di operatività degli strumenti (indipendentemente dalla proprietà) e della tipizzazione dei controlli difensivi, ai quali, secondo alcuni commentatori, non residuerebbe più spazio al di fuori delle ipotesi delineate dal legislatore.

Le perplessità avanzate da più parti non hanno convinto il legislatore a riformulare l’articolo, seppure lo avevano indotto a intervenire con una nota (che però non ha valore di interpretazione autentica) e la norma è stata pubblicata così come era stata originariamente abbozzata, lasciando a imprese, legali e amministrazioni il compito di riordinare la matassa in attesa che la giurisprudenza faccia chiarezza.

Solo il tempo ci dirà quali saranno gli argomenti che le Corti accoglieranno, anche se c’è da attendersi che, probabilmente, non si compirà una rivoluzione, dato l’orientamento che si è andato consolidando negli ultimi anni, e dato che buona parte della tutela della riservatezza del lavoratore, storicamente, affonda le radici nelle elaborazioni giurisprudenziali.

Mi pare che gli aspetti più interessanti -oltre, ovviamente, al rapporto con la disciplina posta a tutela dei dati personali- siano proprio quelli riferiti ai controlli difensivi (che sono il portato più importante proprio della giurisprudenza), soprattutto in riferimento allo spazio che possa residuare al di fuori della norma e delle procedure ivi definite. Sotto l’aspetto più pratico e frequente, invece, è necessario individuare l’ambito di operatività delle norme sulla privacy, dato che anche il Garante ha mantenuto sempre una linea granitica, intervenendo non solo a valle, a sancire la legittimità o meno dei controlli effettuati nei casi specifici che era chiamato a valutare, ma anche, soprattutto, a monte, contemperando con regole generali i diritti di datori e lavoratori.

Art. 4 e D. Lgs 196/03

Se teniamo a mente l’assetto precedente alla riforma intervenuta con il Jobs Act (rinvio anche a un mio post sul rapporto tra controllo del lavoratore e privacy ante riforma) vediamo che l’interazione tra le due discipline operava principalmente attraverso il richiamo all’articolo 4 dello Statuto dei lavoratori inserito nell’articolo 114 del Codice della Privacy.

Il Codice della Privacy, peraltro, ha anche un’intera sezione dedicata alla privacy nei rapporti di lavoro, e l’integrazione tra le due discipline non è stata del tutto fluida, anche se le scelte operate dal Garante hanno infine trovato l’avallo della giurisprudenza.

Il Codice della Privacy non è stato toccato dal Jobs Act, che è intervenuto chirurgicamente, (seppure, a detta di molti,  con un bisturi semantico non troppo affilato) solo sull’articolo 4 dello Statuto dei Lavoratori.

L’intervento è avvenuto su un organismo consolidato: il controllo dei lavoratori, quando il legislatore ha operato la modifica, non era un frammento isolato dal corpo normativo che tutela la riservatezza, al contrario: era come un legamento, un ponte che consentiva alla normativa privacy di armonizzarsi alla tutela giuslavoristica.

Incidere l’articolo 4 con una terminologia che non collima con quella impiegata nel Codice della Privacy potrebbe avere riflessi importanti: se, infatti, il linguaggio riflette una scelta precisa del legislatore, le parole che utilizza si caricano di significati che non possono essere trascurati. Diversamente, si ha un problema di degradazione della tecnica legislativa: se il legislatore mostra di ignorare il linguaggio tecnico, l’interprete è di fronte a una mera “svista” che va valutata per quello che è, e non incide significativamente sull’impianto normativo. Escluderei questa possibilità, tuttavia, dato che durante la gestazione della novella sono pervenute al  legislatore innumerevoli pareri, critiche e osservazioni, che egli, scientemente, ha deciso di non accogliere.

Intervenendo sull’articolo 4, pertanto, il legislatore ha fatto una scelta precisa, non inserendo alcun riferimento alla tutela dei dati personali nei commi 1 e 2 e relegando la questione del rapporto tra privacy e diritto del lavoro al solo comma 3.

Nel terzo comma, quindi, viene disposto che: “Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.”

Il comma, sprovvisto di sanzione (comminata dall’articolo 171 Codice Privacy solo per gli altri due), contiene un’apertura importante: i dati raccolti dal datore di lavoro nell’ambito dei controlli, infatti, prima non potevano essere utilizzati, ad esempio, per sollevare contestazioni in ordine al corretto adempimento della prestazione lavorativa.

Muovendo da questa premessa, pacifica, la norma presenta molteplici problemi, che cercherò di sintetizzare di seguito.

Utilizzabilità delle informazioni raccolte

Stando al comma 3 dell’articolo 4 dello Statuto dei lavoratori, le informazioni sono utilizzabili a tutti i fini connessi al rapporto di di lavoro solo all’avverarsi di due condizioni:

1. al lavoratore è stata data “adeguata informazione” sulle modalità d’uso degli strumenti e di effettuazione dei controlli;
2. è stato rispettato il Codice della Privacy;

Stando alla lettera della norma, dunque, non è la violazione dei primi due commi dell’articolo 4 (munita di autonoma sanzione ai sensi dell’articolo 171 del Codice della Privacy) a determinare l’inutilizzabillità delle informazioni: è la violazione del terzo comma.

Le condizioni sopra elencate devono essere entrambe presenti e pongono un primo problema: l’utilizzabilità a tutti i fini connessi al rapporto di lavoro, riguarda anche il processo? Cioè, se sorge controversia in ordine alla utilizzabilità dei dati raccolti in un processo civile, il Giudice dovrà valutare che entrambe le condizioni si siano avverate, e constatando la mancanza di una sola di esse, dovrà pronunciarsi sulla inutilizzablità dei dati nel giudizio?

Se il dipendente venisse incriminato, il giudizio del giudice penale sulla eventuale  inutilizzabilità delle prove dovrebbe estendersi a tutti gli adempimenti privacy inerenti il rapporto di lavoro?

Se guardiamo alla giurisprudenza precedente alla riforma c’è stata una tendenza consolidata a dichiarare le prove raccolte utilizzabili nel giudizio penale, pur quando raccolte in violazione dell’articolo 4 dello Statuto dei Lavoratori. Si veda ad esempio il filone formatosi circa l’utilizzabilità delle videoriprese effettuate con telecamere installate nei luoghi di lavoro senza passare dalle procedure imposte dall’art. 4 L. 300/1970, per accertare comportamenti potenzialmente delittuosi. Venivano considerati utilizzabili nel processo penale, ancorché imputato fosse il lavoratore subordinato, i risultati delle videoriprese effettuate con telecamere installate all’interno dei luoghi di lavoro ad opera del datore di lavoro per esercitare un controllo a beneficio del patrimonio aziendale messo a rischio da possibili comportamenti infedeli dei lavoratori, perché, nella precedente formulazione, le norme dello Statuto dei lavoratori poste a presidio della loro riservatezza non facevano divieto dei cosiddetti controlli difensivi del patrimonio aziendale e non giustificavano pertanto l’esistenza di un divieto probatorio (cfr. ex multis Cass. Pen. 2890/2015).

Tuttavia la norma novellata, da una parte, pone essa stessa l’inutilizzabilità delle “informazioni” raccolte in caso di violazione delle disposizioni di cui al terzo comma dell’articolo 4 dello Statuto dei Lavoratori, per “tutti i fini” (il legislatore non usa il termine finalità, probabilmente per non confinarsi alla sola privacy) connessi al rapporto di lavoro, dall’altra inserisce la tutela del patrimonio aziendale nell’ambito di operatività della norma. Che succederà ora? La tutela del patrimonio aziendale contro i reati commessi dal dipendente verrà considerata al di fuori del perimetro delineato dall’articolo 4 dello Statuto dei Lavoratori (un fine non connesso al rapporto di lavoro) oppure prevarrà una lettura formalistica della utilizzabilità delle informazioni raccolte?

Il regime di (in)utilizzabilità  delle informazioni potrebbe ragionevolmente risolversi in un embrione di principio di inutilizzabilità della prova anche nel processo civile: la giurisprudenza, infatti, prima del Jobs Act traeva dalla necessità di garantire l’effettività del divieto di controllo a distanza dell’attività dei lavoratori gli argomenti per limitare gli utilizzi dei dati: se, per l’esigenza di evitare attività illecite o per motivi organizzativi o produttivi, il datore di lavoro poteva installare impianti e apparecchi di controllo che rilevassero anche dati relativi alla attività lavorativa dei dipendenti, tali dati non avrebbero potuto essere utilizzati per provare l’inadempimento contrattuale dei lavoratori medesimi. Ora è la norma stessa a dettare le regole dell’inutilizzabilità, e i parametri che il giudice dovrà valutare, non ultimo il “rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”. Anche qui, tuttavia, sarà determinante definire il perimetro dei fini connessi al rapporto di lavoro.

Informative e informazioni

Come dicevo sopra, il linguaggio è il bisturi del legislatore: la formulazione scelta potrebbe avere conseguenze rilevanti, quindi, non solo sul piano interno al rapporto di lavoro, ad esempio disciplinare, ma anche sotto il profilo processuale in ordine alla concreta possibilità di trarre utilità dalle informazioni raccolte nei confronti del lavoratore.

Per rimanere nell’ambito del terzo comma, un’altro termine che merita attenzione mi pare sia “informazione” riferito al passaggio nel quale si determina l’obbligo del datore di lavoro di dare “al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”.

Il legislatore non utilizza il termine informativa, dal che si può trarre la conclusione che non stiamo parlando dell’informativa normalmente data al lavoratore nell’ambito del Codice della Privacy (e dei provvedimenti successivi del Garante) che, infatti, viene richiamato successivamente.

Si è di fronte ad una “informazione” specifica, focalizzata sul singolo lavoratore interessato dal controllo, e su due aspetti ben determinati. Probabilmente, onde evitare una diluizione della sua efficacia in una documentazione troppo complessa e sovrabbondante, in quanto genericamente rivolta a tutti i lavoratori – anche a quelli non intaccati dai controlli – il legislatore separa questo adempimento anche terminologicamente dalle informative ex D. Lgs. 196/03: si tratta di una “informazione” del tutto peculiare, dunque, che pare occupare il il baricentro della norma.

In posizione più defilata si attesta, a chiusura del comma, il richiamo operato all’intero Codice della Privacy.

Se il datore di lavoro vuole utilizzare le informazioni raccolte anche “a tutti i fini connessi al rapporto di lavoro”, pertanto, dovrà prestare attenzione a fornire in maniera adeguata le informazioni specificamente individuate dall’articolo 4 dello Statuto dei lavoratori, nonché quelle derivanti dall’applicazione del Codice della Privacy.

Il richiamo al Codice della Privacy si estende anche all’obbligo di seguire i provvedimenti adottati dal Garante?

E’ chiaro che le indicazioni che si traggono dai provvedimenti dell’Autorità andranno seguite secondo la vincolatività che è loro propria, e tale dato sorge dall’applicazione del Codice della Privacy al rapporto di lavoro, che, come detto, non è stata intaccata dal Jobs Act.

L’attività provvedimentale del Garante

La portata dell’applicazione del Codice della Privacy in alcune materie sarebbe monca se non includesse anche i provvedimenti del Garante che, peraltro, si basano sul medesimo Codice e sono esternazione dei poteri conferiti sempre dal medesimo impianto normativo.

Se pensiamo al tema della videosorveglianza, che è certamente uno di quelli maggiormente e tradizionalmente tangenti all’articolo 4 dello Statuto dei lavoratori, come potremmo prescindere dal Provvedimento generale del Garante del 08 aprile 2010 (che, peraltro, ha una sezione dedicata proprio ai rapporti di lavoro)? Come potremmo valutare l’idoneità di un’informativa senza ricorrere al provvedimento generale?

Il richiamo all’applicazione del Codice Privacy non può non estendersi a tutto l’indotto che da esso deriva. È, peraltro, proprio nell’attività provvedimentale del Garante che la normativa sulla protezione dati personali nel rapporto di lavoro ha trovato compiuta attuazione ed è lì che risiede la maggior parte della tutela accordata alla riservatezza del lavoratore e al bilanciamento con i contrapposti interessi del datore, anche in tema di controlli.

Pertanto, al fine di poter utilizzare i dati raccolti avvalendosi delle modalità disciplinate dai primi due commi dell’articolo 4 dello Statuto dei Lavoratori, il datore di lavoro dovrebbe garantire l’applicazione dell’intera disciplina richiamata dal Codice della Privacy, con gli adempimenti che, a seconda del trattamento, siano necessitati anche dai provvedimenti generali presi dal Garante (si pensi agli oneri informativi integrati dai provvedimenti generali, ma anche alla mole di adempimenti e cautele richiesti dal provvedimento sull’uso di internet e posta elettronica del 2007 o a quello sugli amministratori di sistema, che saranno rilevanti – ricorrendone le condizioni-  ogni volta che il controllo si attui attraverso la strumentazione informatica, ad esempio).

A questo punto ci si potrebbe domandare se il richiamo del complesso della normativa a tutela della protezione dei dati personali operata dall’articolo 4 comma 3 dello Statuto dei Lavoratori potrebbe essere circoscritto alla sola utilizzabilità  dei dati e non esteso all’intero rapporto di lavoro.

A chi scrive questa impostazione non pare plausibile. L’impianto del Codice della Privacy non consente di dividere un prima e un dopo nella liceità del trattamento: la conservazione è trattamento, la cancellazione è trattamento, come lo è la raccolta: ipotizzare che un trattamento che sorge in violazione del Codice possa tramutarsi in un trattamento lecito per effetto della sola applicazione delle norme che interessano la fase successiva alla raccolta non ha senso: se il trattamento nasce illecito, come si può ipotizzare che sia lecita l’utilizzazione di quei dati perché solo a questa fase successiva si applica il Codice? Quali norme dovrebbero applicarsi alla sola fase di utilizzazione?

Se si richiama l’applicazione del Codice della Privacy come condizione fondante l’utilizzabilità dei dati, questo effetto si spiegherà ben oltre la fase di utilizzazione, e inciderà su tutta la fase pregressa. Solo la corrispondenza agli adempimenti privacy imposti dalla normativa nel corso del rapporto di lavoro consentirà l’utilizzazione dei dati raccolti ai sensi dei primi due commi dell’articolo 4, e in tale ottica sarà bene che il titolare applichi scrupolosamente la disciplina cogente prima di raccogliere i dati.

Utilizzabilità e mancata concertazione

Questo aspetto ha importanti conseguenze sull’equilibrio interno all’articolo 4 dello Statuto dei Lavoratori. Dalla prima lettura della norma, infatti, si deduce che per il mancato rispetto del disposto del comma 3 (ad esempio, non vengono date le informazioni necessarie) non si rischierà la sanzione penale ma le informazioni raccolte saranno inutilizzabili (il discorso è più complesso se si ipotizza una violazione degli adempimenti privacy, perché  potrebbero condurre  a violazioni autonomamente sanzionabili a norma del Codice della Privacy). Invece, per la violazione dei primi due commi, il datore di lavoro andrebbe incontro a sanzione penale, ma non incorrerebbe nell’inutilizzabilità: cioè, il datore che non seguisse la procedura di concertazione o autorizzazione potrebbe incappare nella sanzione di cui all’articolo 171 del Codice Privacy, ma le informazioni raccolte potrebbero comunque essere utilizzate per tutti i fini connessi al rapporto di lavoro.

Seguendo questa impostazione potremmo concludere che, ad esempio, potrebbero essere utilizzabili a tutti i fini connessi al rapporto di lavoro, le informazioni reperite dal datore di lavoro che abbia sottoposto a controllo la strumentazione informatica in dotazione ai dipendenti senza passare dal meccanismo di concertazione o autorizzazione disciplinato dal primo comma dell’articolo 4 dello Statuto, per aver erroneamente ritenuto di rientrare nell’ambito di esenzione che incide sugli  “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, ma si sia attenuto scrupolosamente al rispetto della normativa privacy e degli oneri informativi previsti dal comma 3 dell’articolo 4 dello Statuto dei Lavoratori.

Una lettura superficiale della norma che non tenesse adeguatamente conto dell’impatto del richiamo operato al Codice della Privacy dal comma terzo dell’articolo 4 dello Statuto dei Lavoratori, potrebbe certamente condurre una simile conclusione, ma si giunge a conclusione diametralmente opposta se si valuta scrupolosamente il richiamo operato dal terzo comma dell’art. 4 L. 300/70 al D. Lgs. 196/03.

La prima pronuncia del Garante post Jobs Act

Ed è proprio sotto il fuoco incrociato di questi richiami che si inscrive il recente provvedimento dell’Autorità garante per la protezione dei dati personali [doc. web n. 5408460] “Trattamento di dati personali dei dipendenti mediante posta elettronica e altri strumenti di lavoro” – Registro dei provvedimenti n. 303 del 13 luglio 2016.

Il Garante è stato chiamato a pronunciarsi su istanza del personale tecnico-amministrativo e docente di una Università, che lamentava la violazione della propria privacy e il controllo a distanza posto in essere dall’Ateneo, a seguito di verifiche indiscriminate sulla posta elettronica e sulla navigazione web del personale stesso. L’Autorità ha considerato il controllo operato dall’Ateneo in contrasto con il Codice della privacy e con lo Statuto dei lavoratori, vietando il monitoraggio massivo delle attività in Internet dei dipendenti.

La pronuncia segue la scia dei provvedimenti precedenti sia in ordine alla definizione di dato personale, sia in ordine alla legittimità dei controlli operati. Sebbene la lagnanza dei dipendenti fosse riferita a un trattamento iniziato nel periodo immediatamente precedente alla vigenza della novella dell’articolo 4 dello Statuto dei lavoratori operata dal Jobs Act, il Garante (in un passaggio che, a parere di chi scrive, è il più interessante della pronuncia), evidenzia come il trattamento non appaia conforme né al vecchio testo dell’articolo 4 dello Statuto dei Lavoratori né a quello novellato:  “Quanto alle specifiche caratteristiche del trattamento dei dati derivante dalla configurazione del sistema, si ritiene che questo, articolandosi anche in operazioni di controllo, filtraggio, monitoraggio e tracciatura delle connessioni e dei collegamenti ai siti internet esterni, peraltro registrati in modo sistematico e conservati per un ampio arco temporale, sia idoneo a consentire un controllo dell’attività e dell’utilizzo dei servizi della rete individualmente effettuato da soggetti identificabili. Ciò, nei casi in cui il trattamento sia posto in essere nei confronti dei dipendenti e in presenza del menzionato collegamento tra i dati relativi alla connessione e la persona utilizzatrice, consente di ricostruirne anche indirettamente l’attività e risulta, anche sotto questo profilo, in contrasto con il principio di liceità nonché con la rilevante disciplina di settore in materia di lavoro (artt. 11, comma 1, lett. a) e 114 del Codice e art. 4, l. 20 maggio 1970, n. 300). Tanto, sia con riguardo alla disciplina in materia di impiego di apparecchiature idonee al controllo a distanza dell’attività dei lavoratori vigente all’epoca in cui il trattamento è stato iniziato (…), sia con riguardo al quadro normativo risultante dalle modifiche intervenute per effetto dell’art. 23 del decreto legislativo 14 settembre 2015, n. 151.”

L’Autorità si preoccupa quindi di delimitare l’ambito di applicabilità del comma 2 dell’articolo 4 dello Statuto dei Lavoratori (e sul punto, sebbene indubbiamente di interesse, si rinvia alla lettura del provvedimento) per concludere che “Ciò considerato, i sistemi ed applicativi in uso presso l’Università esulano senza dubbio dal perimetro degli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” e comportano, quindi, un trattamento in contrasto con quanto previsto dal predetto art. 4.”  per poi dichiarare “illecito il trattamento descritto in motivazione in violazione degli articoli 3, 11, comma 1, lett. a) e d), 13 e 114 del Codice nonché dell’art. 4,  l. n. 300/1970 con la conseguente inutilizzabilità dei dati trattati in violazione di legge, ai sensi dell’art. 11, comma 2 del Codice”;

Come si vede l’inutilizzabilità dei dati, in presenza della violazione dell’articolo 4 comma 2 del Codice, si trae da una fonte esterna allo Statuto dei Lavoratori: essa deriva, come è di norma, dall’articolo 11 del Codice della Privacy, il quale dispone che “i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati”.

Il richiamo al Codice della Privacy operato dal comma 3 dell’articolo  4 dello Statuto dei Lavoratori, pertanto, opera un’estensione delle ipotesi di inutilizzabilità dei dati che travalica la violazione del comma stesso e riconduce nel terreno più ampio presidiato dall’articolo 11 del Codice della Privacy. Rafforzando, peraltro, il richiamo già operato dall’articolo 114 del Codice della Privacy stesso, che già attraeva l’intero articolo 4 anche nell’ambito di operatività della tutela dei dati personali. Si è creato, quindi, un doppio legame tra Codice della Privacy e controllo del lavoratore, che non è privo di conseguenze: qualsiasi violazione dell’articolo 4 L. 300/70 importerà l’impossibilità di utilizzare i dati per tutti i fini connessi al rapporto di lavoro.

Un altro aspetto della pronuncia in commento che merita interesse è ciò che manca nel provvedimento:  il fatto, cioè, che il Garante non inviti l’Ateneo ad avvalersi delle procedure dell’articolo 4 comma 1 per rendere conforme il trattamento dei dati personali dei dipendenti al dettato normativo.  Come mai?

La risposta, probabilmente, è che, nella prospettiva dell’Autorità, sottoporre il trattamento alla procedura di concertazione / autorizzazione non renderebbe comunque  il trattamento conforme all’impianto normativo; il trattamento è infatti è considerato dal Garante anche non pertinente, eccedente e contrario al principio di necessità: in ottemperanza ai principi di necessità, pertinenza e non eccedenza, invece, occorre evitare di trattare dati personali quando lo scopo che si persegue può essere raggiunto anche evitando il trattamento, e tali ostacoli non si possono circumnavigare attraverso procedure di concertazione.

Come si leggeva già nella nota ministeriale di chiarimento, la novella dell’articolo 4 era destinata  a rafforzare la posizione del lavoratore imponendo “per quanto più specificamente riguarda gli strumenti di lavoro, che venga data al lavoratore adeguata informazione circa le modalità di effettuazione dei controlli, che, comunque, non potranno mai avvenire in contrasto con quanto previsto dal Codice privacy (…)” E il Codice Privacy annovera tra le norme inderogabili anche principi generali. Come il Garante stesso ha osservato correttamente in fase di audizione sugli schemi di decreti legislativi attuativi del c.d. Jobs Act – 9 e 14 luglio 2015, “il principale argine a un utilizzo pervasivo dei controlli sul lavoro sarà nella conformità alle norme del Codice. (…)

Essenziali, in particolare:

– il principio di necessità– secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi in relazione alle finalità perseguite;

– il principio di correttezza che deve informare il trattamento in ogni suo profilo;

– la necessaria determinatezza, legittimità ed esplicitazione del fine perseguito dal trattamento, che dovrebbe concorrere a un’interpretazione “adeguatrice” del terzo comma del nuovo articolo 4 ;

– i principi di pertinenza e non eccedenza dei dati trattati, che impongono una minimizzazione nel ricorso al trattamento dei dati personali secondo le effettive necessità e con le modalità meno invasive possibile;

– il divieto di profilazione;

– la necessaria legittimazione soggettiva al trattamento, che impone di limitare ai soli soggetti preposti l’autorizzazione allo svolgimento di attività di monitoraggio sul lavoro;

• il rinvio, di cui all’art. 113, al divieto, sancito dallo Statuto, di indagini “sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”.

Si tratta peraltro di principi tratti dalla Direttiva 95/46/CE trasmigrati anche nel Regolamento generale sulla protezione dei dati, destinati quindi a permanere quando il richiamo al Codice della Privacy operato dallo Statuto dei Lavoratori si tramuterà nel richiamo al Regolamento (ed infatti, è in ottica evolutiva che, sempre in fase di audizione, si legge l’invito del Garante ad adottare soluzioni di privacy by design). Di fronte a un trattamento dubbio, pertanto, e non solo in presenza di una violazione dell’articolo 4 dello Statuto dei Lavoratori, ma anche quando la procedura sia stata del tutto regolare, e persino quando siano stati assolti tutti gli oneri informativi e apparentemente adempiuti gli obblighi che derivano dal Codice della Privacy, anche un solo lavoratore avrà la facoltà di adire il Garante (con costi davvero limitati) per accertare che il trattamento sia necessario, pertinente, non eccedente e corretto rispetto al fine perseguito – per chiedere, insomma, un controllo sostanziale che s’insinui sotto la superficie liscia della correttezza formale. Ove il Garante ritenesse che il trattamento sia stato posto in essere in violazione dei principi sopra elencati, il trattamento verrebbe bloccato con le conseguenze nel caso (non sfugga, nel provvedimento sopra commentato, come il Garante si sia riservato l’apertura di un autonomo procedimento volto all’accertamento di violazioni amministrative e abbia ordinato la trasmissione degli atti all’Autorità Giudiziaria per i profili di competenza).

A circa un anno di distanza dalla riscrittura dell’articolo 4 dello Statuto dei Lavori operata col Jobs Act, si cominciano a raccogliere i primi frutti, ma l’innesto nel Codice della Privacy potrebbe avere effetti inattesi se, prima di lanciarsi in iniziative che potrebbero comportare il controllo dell’attività lavorativa, non si valuta adeguatamente la disciplina posta a presidio dei dati personali.

Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.

Il GDPR per le piccole (e piccolissime) imprese
07/07/2018

GDPR: le utilità gratuite per implementarlo
09/02/2018

Regolamento UE  2016/679: che fine fa il responsabile interno?
19/11/2017

La figura del DPO, nomina posizione e compiti
08/11/2017

Possibili effetti dell’estensione della data retention a 6 anni
12/09/2017

Eccezione per trattamenti a fini personali nel RGPD
08/06/2017