La imminente applicazione del Regolamento europeo (GDPR) sulla protezione dei dati personali
Testo Integrale con note e bibliografia
A che punto siamo nel rapporto tra la tutela della riservatezza e degli altri diritti della personalità, da un lato, e la sua rilevanza nell’ambito della disciplina giuslavoristica dei rapporti di lavoro ?
Dispone l’ordinamento italiano di strumenti giuridici di nuova generazione ai fini di una composizione dei diversi diritti ed interessi in gioco, al passo con le sfide tecnologiche ?
Quali novità intervengono dall’Europa per effetto della piena applicazione del Regolamento comunitario sulla protezione dei dati personali che, a partire dal 25 maggio 2018, comporta una rivoluzione copernicana nel modo di gestire le informazioni da parte di qualunque soggetto pubblico o privato, anche per esigenze di gestione del rapporto di lavoro ?
Dobbiamo partire da una constatazione forse ovvia, ma comunque rilevante per rispondere a questi interrogativi.
La costante evoluzione delle nuove tecnologie è oggetto infatti, con ogni evidenza, di un’ulteriore e più incisiva accelerazione, grazie anche alla nuova generazione di nanotecnologie, e a tecniche innovative di produzione basate sull’intelligenza artificiale e lo sviluppo dell’ ”internet delle cose”. Il mondo del lavoro non poteva essere, e non sarà estraneo, a questi cambiamenti radicali che interessano in misura crescente l’intera gamma delle attività di produzione, scambio e di intermediazione, su scala planetaria. Si va ben oltre il noto fenomeno della globalizzazione delle attività produttive e commerciali e si è solo agli inizi di quella che è stata definita a ragione la quarta rivoluzione industriale, basata sulla robotica, sul Big Data e il Machine Learning.
Ciò, comporta un’inevitabile ricaduta su schemi contrattuali e sulla configurazione dei rapporti di lavoro, moltiplicando anche l’atipicità dei rapporti stessi, introducendo nuove forme di rapporto agile che non rendono sempre agevole l’individuazione del o dei datori di lavoro e inserendo nel rapporto di lavoro condizioni, modalità ed esigenze largamente condizionate dall’irrompere di ulteriori e più innovative tecnologie.
L’originaria automazione nei luoghi di lavoro sviluppatasi a partire dagli anni ‘60 ha determinato interessanti problematiche che riguardavano ad esempio la tutela della dignità sul posto di lavoro, il telelavoro, le modalità di prestazione del lavoro a domicilio in chiave di salvaguardia della confidenzialità delle attività di lavoro, ma anche di tutela della riservatezza del lavoratore a domicilio.
Poche disposizioni speciali dell’ordinamento giuslavoristico italiano, contenute successivamente anche nello Statuto dei lavoratori, sono state prese come spunto dalla dottrina per costruire un diritto alla riservatezza che in verità aveva magari cittadinanza a livello costituzionale, oppure in isolate disposizioni dei codici civile e penale o della legge sul diritto d’autore, ma che, per il resto, era oggetto di una costellazione frammentata che non permetteva una ricostruzione unitaria ed organica del medesimo diritto alla riservatezza nei vari settori, nonostante gli sforzi della dottrina al riguardo.
Successivamente, il passaggio dall’automazione all’informatica e lo sviluppo delle comunicazioni elettroniche hanno avuto un ennesimo effetto innovativo ai fini di una più marcata enucleazione di una sfera legittima di esplicazione della personalità del lavoratore sul luogo di lavoro inteso come ‘formazione sociale’. Si pensi ad esempio alla tematica del controllo a distanza rispetto all’uso di videoterminali equipaggiati necessariamente di codici di accesso oggetto di un monitoraggio capillare per ragioni di sicurezza e di verifica delle credenziali di utilizzo, o all’uso dei ‘cercapersone’ (pager) sul luogo di lavoro, al controllo anche per ragioni di sicurezza sull’uso degli strumenti affidati al lavoratore, in particolare di telefoni, computer portatili, tablet e smartphone al di fuori del luogo di lavoro o affidati a lavoratori ormai ‘ubiquitous computing’, come pure ai controlli effettuabili in caso di loro riparazione, sostituzione o aggiornamento. Si pensi, altresì, alle implicazioni in termini di privacy derivanti dai multiformi sistemi di rilevazione delle presenze, all’uso di tecniche biometriche, alla corretta gestione di informazioni anche sensibili inerenti alla tutela dell’incolumità fisica e della salute dei lavoratori o della popolazione, alla gestione delle cartelle sanitarie dei lavoratori, alla corretta utilizzazione dei dati riguardanti attività sindacali, alla congruità delle informazioni utilizzabili ai fini di reclutamento, all’accesso da parte del datore di lavoro a dati diffusi dai lavoratori stessi su fonti ‘aperte’ in Internet oppure, anche senza artifizi e raggiri, nell’ambito di social network.
Su tutti questi temi, grazie alla legge 31 dicembre 1996, n. 675 e al ‘Codice’ del 2003 formalizzato con decreto legislativo 30 giugno 2003 n. 196 , l’Italia ha sviluppato importanti princìpi poi concretizzati in specifiche soluzioni e linee di orientamento dell’autorità garante italiana, i quali hanno fatto scuola su scala europea e, almeno in parte, resistono ancora all’inevitabile obsolescenza, nonostante il nuovo assetto tecnologico comporterà la necessità di un ‘tagliando’ nel breve periodo.
Anche questo più recente contesto, basato su specifici equilibri tra diritti della personalità del lavoratore e moderne esigenze produttive e di scambio, è quindi destinato ad una profonda rivisitazione, in ragione delle ulteriori innovazioni che introducono ad esempio la robotica sui posti di lavoro, o utilizzano l’intelligenza artificiale per creare profili-tipo di lavoratore e di quadro aziendale, o per analizzare con tecniche granulari, predittive o quantistiche curricula individuali, come pure fonti informative agevolmente accessibili in Internet.
Giorno dopo giorno, l’intelligenza artificiale irrompe nel processo di assunzione, o per la gestione delle prestazioni lavorative, per la loro valutazione, nonché per le promozioni. ‘Eso-scheletri’ ultraleggeri alleviano il lavoratore in chiave di fatica fisica o di movimenti di braccia o gambe ottimali, braccialetti elettronici di nuova generazione monitorano anche l’ansia e il battito cardiaco, impartiscono istruzioni al lavoratore per il migliore comportamento fisico in un determinato contesto, con conseguente tracciamento del comportamento non adesivo del lavoratore. Moderne attività di trasporto di persone oppure di cose, anche nel settore dell’alimentazione, pongono raffinati interrogativi sulla qualificazione stessa dell’attività (come dimostra il caso Uber ), nonché sulle legittime finalità di utilizzazione di dati analitici concernenti la localizzazione del lavoratore, elaborati per offrire un qualificato servizio clienti, o per prevenire contestazioni oppure per la più rapida distribuzione delle consegne.
Si aprono con palmare evidenza nuove sfide, arricchite anche dalla crescente delocalizzazione di attività lavorative fuori dell’Unione europea e dalla creazione di basi di dati aziendali dislocate fisicamente in agglomerati di holding in paesi terzi, che possono anche rendere meno agevole le attività di controllo da parte delle competenti autorità del nostro paese.
Si è assai lontani dal contesto di fondo in cui si è inserito lo Statuto dei lavoratori e la sua lungimirante disciplina sul controllo a distanza. La possibilità che esigenze di sicurezza o produttive possano comportare un controllo a distanza come effetto secondario del controllo stesso è divenuta in molti contesti la regola, anziché non l’eccezione. In altre parole, le moderne attività lavorative comportano, per default, un monitoraggio capillare dei più minimi dettagli delle attività stesse.
Ciò, non autorizza affatto l’abbandono del rispetto della dignità umana che non a caso è consacrato anche nell’articolo 2 del Trattato sull’Unione europea ed apre nuove prospettive soprattutto ai fini del rispetto dei princìpi di finalità, di trasparenza e di correttezza che sono alla base della moderna disciplina di protezione dei dati personali.
Alla vigilia del 25 maggio 2018, possiamo tornare quindi al terzo degli interrogativi menzionato nel preambolo di questo contributo: cosa fa l’Europa sul tema della riservatezza nel rapporto di lavoro ?
Prima di un breve excursus sulle più rilevanti indicazioni provenienti dapprima dalle comunità economiche europee e, ora dall’Unione europea, è d’obbligo un succinto riferimento al prezioso contributo pionieristico del Consiglio d’Europa in Strasburgo che ha portato al varo della Convenzione numero 108/1981 sulla protezione delle persone rispetto al trattamento automatizzato dei dati personali. La Convenzione è stata ratificata dal nostro paese tardivamente, e solo per effetto della legge numero 675 del 1976. Si tratta di uno strumento normativo che, almeno nel testo principale, non contiene alcun diretto riferimento ai rapporti di lavoro, sebbene nel Memorandum esplicativo indichi preziose interpretazioni soprattutto in materia di libertà del consenso e di trattamento dei dati sensibili sul luogo di lavoro. Il Consiglio d’Europa ha adottato il 18 maggio del 2018 un protocollo di modifica che tende a modernizzare la convenzione in linea con il nuovo quadro normativo dell’Unione Europea . L’Italia dovrà quindi aggiornare presto il proprio contesto normativo ed è augurabile che figuri tra le prime parti contraenti a sottoscrivere e, poi, a ratificare il protocollo stesso.
Simmetricamente, la Corte europea dei diritti dell’uomo ha adottato un numero rilevante di pronunce applicative e interpretative dell’articolo 8 della Convenzione sulla salvaguardia dei diritti dell’uomo e delle libertà fondamentali che, redatto negli anni ’50, si riferisce espressamente alla protezione della vita privata, ma che è stato progressivamente applicato nel tempo anche in riferimento alla protezione dei dati personali. Questa giurisprudenza, nelle more dell’adesione dell’Unione europea alla Convenzione stessa, prevista dall’articolo 6 del Trattato, assume già una particolare rilevanza perché, in base al paragrafo 3 del medesimo art. 6, l’Unione europea riconosce già oggi i diritti, le libertà e i princìpi sanciti nella Convenzione come facenti parte del diritto dell’Unione in quanto princìpi generali, e come interpretati dalla Corte di Strasburgo. Ciò, comporta anche nel mondo del lavoro un diverso modus operandi, dovendo l’interprete prestare ben altra attenzione a recenti pronunce che indicano soluzioni operative di estrema attualità .
Fino al 24 maggio 2018, avrà applicazione la Direttiva 95/46/CE del Consiglio dell’Unione e del Parlamento europeo che, oltre un ventennio fa, ha operato una prima armonizzazione dei diversi ordinamenti nazionali in materia di riservatezza e protezione dei dati personali, sulla base di un approccio largamente dedicato al mercato interno (art. 100A del Trattato di allora) e ispirato a favorire la migliore attuazione delle altre disposizioni in materia di libera circolazione di persone, merci, persone, servizi, capitali e professioni. La direttiva-madre del 1995 è stata accompagnata da una sola altra direttiva-figlia inizialmente sulle telecomunicazioni e successivamente sulle comunicazioni elettroniche, volta a particolarizzare e a completare le disposizioni della direttiva-madre in riferimento a un settore specifico nel quale erano richieste chiarimenti e specificazioni nel rispetto della direttiva-madre.
La Direttiva-madre prevedeva analoghi interventi di specificazione in qualunque settore, ed è per questo che, alla fine degli anni ‘90, venne esplorata la possibilità di una Direttiva-figlia in materia di rapporti di lavoro.
Un qualificato lavoro preparatorio venne coordinato dal prof. Spiros Simitis, qualificato giurista tedesco eletto per primo nel 1972 in Germania come garante del Land dell’Assia. All’epoca, è prevalso tuttavia a Bruxelles un orientamento scettico rispetto al varo di una iniziativa legislativa in materia di privacy nel rapporto di lavoro, sulla base di una duplice preoccupazione volta, da un lato, a non offuscare il ruolo leader della Direttiva-madre e, dall’altro, all’eventualità che la Direttiva-figlia potesse portare ad un arretramento dei livelli di tutela dei lavoratori.
Per circa un ventennio, quindi, la tematica della privacy nel rapporto di lavoro è stata affidata all’attenzione e allo zelo dei legislatori nazionali chiamati a recepire la Direttiva-madre stessa il che, anche in materia di rapporti di lavoro, non ha favorito una particolare armonizzazione.
La Direttiva 95/46/CE ha conseguito senz’altro importanti obiettivi per un primo stadio di armonizzazione delle leggi degli Stati membri, ma ha avuto inevitabilmente alcuni limiti legati alla diversità delle attività di recepimento, conseguenti anche ai diversi contesti culturali e giuridici dei singoli paesi.
Nella Direttiva-madre si ritrovano limitati riferimenti alla tematica del rapporto di lavoro, principalmente per quanto attiene al principio della libertà del consenso al trattamento dei dati personali che la Direttiva stessa vuole essere informato, specifico e non alterato da circostanze che rendano non paritaria, sul piano sostanziale della posizione delle parti in gioco, ovvero della persona cui si riferiscono i dati e del ‘titolare del trattamento’.
Il più importante riferimento nella Direttiva-madre del ‘95 utile in materia riguarda la possibilità (art. 8) che la legislazione nazionale possa derogare in determinati contesti al principio del consenso, ovvero possa impedire al titolare del trattamento di basare il trattamento stesso sul consenso del lavoratore.
Tale disposizione è il frutto dell’esperienza italiana che ha portato a creare le condizioni per salvaguardare la norma dello Statuto dei lavoratori sul controllo a distanza e sulla selettività e pertinenza delle informazioni raccolte ai fini della costituzione rapporto di lavoro: in base allo Statuto, tali disposizioni non sono infatti aggirabili con il consenso del lavoratore.
Poche altre disposizioni della Direttiva-madre contengono riferimenti alla possibilità per gli Stati membri di rendere lecito un trattamento di dati non consensuale, per ragioni di tutela della salute o di adempimento di obblighi di lavoro.
Tuttavia in Italia, come si è detto, la legge del 1996 e poi il Codice del 2003 hanno consentito una intensa attività ‘giurisprudenziale’ del Garante, che si è esplicata anche nel varo di autorizzazioni generali al trattamento dei dati personali nel rapporto di lavoro, e ad escludere il trattamento di dati genetici in questo contesto.
Il Regolamento europeo del 2016 si muove in una linea di continuità rispetto alla Direttiva del 95, ma comporta corpose innovazioni. Il Regolamento tiene conto del nuovo ruolo ‘costituzionale’ dei Trattati di Lisbona, intende fare un passo in avanti rispetto alla limitata armonizzazione del 1995 e, in terzo luogo, vuole tener conto del nuovo quadro tecnologico, anche al fine di orientare meglio le nuove disposizioni al principio della neutralità tecnologica.
Mentre per quanto riguarda le definizioni normative e i princìpi generali di correttezza e liceità del trattamento non vi sono novità rivoluzionarie come pure a proposito della tutela amministrativo-giurisdizionale e della qualità dei dati, significative garanzie vengono introdotte a proposito, anzitutto, per quanto riguarda il consenso al trattamento dei dati personali.
Il consenso rimane infatti uno, ma non l’unico, possibile presupposto di legittimità del trattamento dei dati personali. Tuttavia, la sua richiesta dovrà essere più attenta e più selettiva, e richiesto solo laddove l’interessato sia veramente nella condizione di esprimere una libera manifestazione di volontà, senza alcun effetto negativo nel caso in cui ritenga di non prestarlo.
Viene rafforzato il principio secondo il quale laddove determinati trattamenti personali siano indispensabili per l’attuazione di obblighi contrattuali il consenso non ha ragion d’essere, potendo anche essere revocabile in ogni momento. Viene anche rafforzato il principio secondo cui la libertà del consenso comporta un’autentica situazione di parità tra le parti, di tal ché il rapporto di lavoro non viene considerato di regola come appropriato per l’utilizzo di questo possibile requisito del trattamento.
A supportare questa ferma indicazione di una maggiore selettività nella ricerca del consenso del lavoratore ai fini del trattamento dei dati personali, compaiono anche altre disposizioni che, come in passato, fanno riferimento alla medicina preventiva, al welfare e ad obblighi normativi in materia di sicurezza del lavoro, previdenza e assistenza sociale.
Di significativa applicazione anche nel settore del lavoro è l’obbligo giuridico di intraprendere una policy di ‘accountability’ in base alla quale qualunque titolare del trattamento, incluso il datore di lavoro e le società di mediazione e intermediazione nei rapporti di lavoro, sono tenuti ad andare oltre la mera ‘compliance’ e a dotarsi di una propria politica di inserimento della gestione dei dati personali nell’ordinaria gestione manageriale.
Data la sua natura giuridica, il Regolamento europeo entra in integrale applicazione senza necessità di norme di attuazione, prevale su ogni altra qualsivoglia norma nazionale in contrasto e può comportarne anzi la caducazione; non tollera poi ‘norme fotocopia’ a livello nazionale e, infine, legittima il legislatore nazionale al varo di quelle sole misure volte a permettere al Regolamento di funzionare meglio a livello nazionale, nei limiti di quanto analiticamente stabilito dal Regolamento stesso.
Il Regolamento lascia spazio a livello nazionale a norme che introducano obblighi giuridici, permette come già era accaduto nel 1995 di limitare, restringere o differire l’esercizio di determinati diritti dell’interessato ai fini della tutela di altri importanti diritti; sebbene permette poi di specificare o chiarire alcuni presupposti giuridici nei limiti di quanto compatibile con il Regolamento, in linea di massima crea una legge a livello europeo che marginalizza tutte le altre disposizioni a livello nazionale.
Si aprirà quindi una sfida a livello operativo e interpretativo poiché è possibile che anche a proposito del Regolamento si verifichino quelle incongruenze conoscitive ed operative che sono registrate nell’ultimo ventennio in materia di privacy e rapporto di lavoro.
In altre parole, non parlando la Direttiva del 95 del rapporto di lavoro, alcuni operatori in materia hanno interpretato questo silenzio normativo ritenendo che la Direttiva stessa e il Codice del 2003 non fossero di loro diretto interesse, salvo scoprire successivamente il loro diretto impatto.
La Direttiva del ‘95 e l’odierno Regolamento si applicano infatti -orizzontalmente e senza necessità di norme attuative di settore- a qualunque attività pubblica privata che comporti un trattamento di dati personali, comprese quindi quelle attinenti al rapporto di lavoro: regolando pertanto diritti, libertà ed adempimenti solo in termini generali possono dare nuovamente spazio a distrazioni interpretative.
L’ Italia è in ritardo nel varo delle misure di accompagnamento del Regolamento che avrebbero dovuto essere comunicate a Bruxelles entro il 25 maggio 2018. Il decreto legislativo di attuazione della legge delega è tuttora all’esame delle Camere, è stato oggetto di diverse versioni ed è stato redatto con una tecnica legislativa piuttosto controversa. Un successivo contributo su questa stessa Rivista potrà consentire di affrontare meglio un’analisi delle novità attinenti singoli princìpi e nuovi diritti ed obblighi per i datori di lavoro, compresi quelli attinenti ai princìpi del privacy by design e del privacy by default.
Interessa però concludere questa prima disamina introduttiva facendo riferimento ad un importante articolo del Regolamento, il n. 88, il quale include la materia del rapporto di lavoro tra quelle nelle quali (si tratta del capitolo IX del Regolamento) il legislatore europeo riconosce che per effetto della diversità culturale e della storia giuridica dei paesi membri gli stessi possono ravvisare il bisogno di mantenere, modificare o introdurre ex novo specifiche regole giustificate da questa peculiarità.
Il rapporto di lavoro è una di queste aree, assieme quelle attinenti alla libertà di stampa, all’accesso documenti amministrativi, ai numeri di identificazione personale su base nazionale, alla ricerca storica scientifica e alla statistica. L’articolo 88 prevede che la tutela dei diritti delle persone sui luoghi di lavoro possa essere arricchita da previsioni introdotte anche attraverso accordi collettivi; quindi, non è indispensabile regolare per legge alcune specifiche situazioni come d’esempio l’organizzazione del lavoro, le pari opportunità, la diversità sul luogo di lavoro e il pieno sviluppo della personalità dei lavoratori. Il paragrafo 2 dell’art. 88 opera un preciso riferimento alla necessità di salvaguardare la dignità, i legittimi interessi e i diritti fondamentali dei lavoratori con particolare riguardo alla trasparenza del trattamento, al possibile trasferimento di dati nell’ambito di una holding o di un gruppo di imprese che siano coinvolte in una comune attività economica.
Si tratta ovviamente di disposizioni che devono essere notificate alla Commissione europea ai fini di uno scrutinio della loro compatibilità con il Regolamento, ma che potrebbero offrire all’Italia la possibilità di mantenere in essere la nostra importante tradizione giuridica in materia, nonostante il passo avanti in chiave di armonizzazione europea che ha comportato anche un minimo di cessione di sovranità nei riguardi del legislatore europeo.
L’art. 88 offre in altre parole un’opportunità che l’attuale legislatore delegato italiano non ha potuto sviluppare, considerati anche i tempi ristrettissimi della delega legislativa. È di primaria importanza che, superato il delicato snodo del 25 maggio, si torni su questi temi, sul piano non solo interpretativo ed operativo, ma anche normativo per verificare quali fonti più opportune siano utili per preservare ed arricchire la specificità del quadro giuridico italiano.
Non si tratta infatti di procedere necessariamente all’introduzione di nuove norme legislative o di delegare a contratti collettivi tematiche difficilmente oggetto di libera negoziazione: si può anche fare riferimento alla preziosa esperienza delle autorizzazioni del Garante, ai codici di deontologia e di buona condotta adottati con il contributo di tutti i soggetti interessati e controinteressati, come pure a linee guida del Garante quali quelle varate il 1° aprile del 2007 sul tema dei controlli sui lavoratori , le quali hanno dimostrato di poter fornire un vitale contributo alla materia.
Il 25 maggio 2018 quindi non è un punto di arrivo, ma il punto di partenza per straordinarie opportunità che spetta a tutti noi saper cogliere in maniera attenta.