Testo Integrale con note e bibliografia
1. Il decreto legislativo di “adeguamento” estivo alla privacy: aspetti di carattere generale
Il Consiglio dei Ministri, nella seduta dell’8 agosto , ha approvato in via definitiva il testo del decreto legislativo (ad oggi non ancora pubblicato in Gazzetta Ufficiale) recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)”. Il decreto (d.lgs. n. 101 del 2018) è stato pubblicato nella Gazzetta Ufficiale, Serie Generale, n. 205 del 4 settembre, ed entrerà in vigore il 19 settembre 2018.
Questo decreto, atteso da tempo, trova il suo fondamento giuridico nell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), con cui il Governo è stato delegato ad “adottare, entro sei mesi dalla data di entrata in vigore della presente legge, con le procedure di cui all’articolo 31 della legge 24 dicembre 2012, n. 234, acquisiti i pareri delle competenti Commissioni parlamentari e del Garante per la protezione dei dati personali, uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del regolamento (UE) 2016/679”.
Fermo quanto sopra, è noto che il Regolamento europeo in materia di “privacy” (pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016) è entrato in vigore il 24 maggio 2016 ed è divenuto pienamente applicabile il 25 maggio di quest’anno. I legislatori nazionali hanno avuto a disposizione, dunque, ben due anni di tempo per introdurre le norme specificative che si rendessero opportune. Ciononostante, la legge italiana di delegazione, oltre ad essere giunta con ampio ritardo rispetto ai tempi concessi dal legislatore europeo, è scaduta il 21 maggio 2018, senza che la bozza di decreto delegato, approvata in via preliminare dal Consiglio dei Ministri nella seduta del 21 marzo, venisse approvata nei termini.
La giustificazione del superamento del termine di scadenza fissato nella legge di delegazione è stata agganciata (come emerge dalle premesse al decreto legislativo approvato da ultimo) al fatto che lo schema di decreto è stato trasmesso alle Commissioni Parlamentari, che avrebbero dovuto esprimere il proprio parere entro quaranta giorni, solamente il 10 maggio, con conseguente mancata emissione tempestiva dei pareri previsti, donde, in forza dell’inciso finale dell’art. 31, co. 3, della legge n. 234 del 2012, il termine è stato inteso come prorogato di tre mesi, con nuova scadenza, dunque, entro il 21 agosto .
Occorre rilevare, in ordine a quanto sopra, che, a rigore, l’art. 31 della legge n. 234 del 2012, non concerne l’introduzione di norme specificative di regolamenti europei ma esclusivamente l’attuazione delle direttive. Tale rilievo lascia un ampio margine di incertezza circa la legittimità del decreto delegato, fermo restando che, sul punto, si potrà certamente sostenere che l’art. 31 della legge del 2012 può essere interpretato in senso non strettamente letterale e ricomprendere anche un regolamento -come quello in discorso- che consente ampi margini di intervento al legislatore interno.
Il decreto delegato, inoltre, è soggetto ai criteri direttivi imposti al Governo dal terzo comma dell’art. 13 della legge di delegazione, che sono i seguenti: “a) abrogare espressamente le disposizioni del codice in materia di trattamento dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, incompatibili con le disposizioni contenute nel regolamento (UE) 2016/679; b) modificare il codice di cui al decreto legislativo 30 giugno 2003, n. 196, limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento (UE) 2016/679; c) coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal regolamento (UE) 2016/679; d) prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali nell’ambito e per le finalità previsti dal regolamento (UE) 2016/679; e) adeguare, nell’ambito delle modifiche al codice di cui al decreto legislativo 30 giugno 2003, n. 196, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento (UE) 2016/679 con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse”.
La scelta di mantenere in vigore il d.lgs. n. 196 del 2003 si è imposta successivamente all’approvazione (nella riunione del Consiglio dei Ministri del 21 marzo 2018) di una prima bozza di decreto delegato che prevedeva, al contrario, un’abrogazione integrale del “vecchio” codice privacy; questa prima impostazione venne criticata perché ritenuta in contrasto con l’art. 76 della Costituzione, atteso che la legge n. 163 del 2017, presa alla lettera, autorizza solamente l’abrogazione delle disposizioni del Codice privacy che siano incompatibili con il Regolamento. L’originaria prospettiva di procedere all’abrogazione integrale del Codice privacy si fondava, tuttavia, sulla sottolineatura della profonda diversità di approccio che caratterizza il Regolamento europeo rispetto alla vecchia disciplina. Mentre quest’ultima è informata ad una impostazione più burocratico-paternalista, il Regolamento è caratterizzato dal principio della “responsabilizzazione” (“accountability”): il legislatore europeo non ha inteso imporre obblighi precostituiti a carico del titolare, ma l’obbligo di introdurre misure appropriate ed efficaci per attuare i principi di protezione dei dati, con l’onere di dimostrare, su richiesta, che le misure adottate sono proporzionate ed efficaci.
Il decreto di agosto realizza una revisione delle norme del d.lgs. n. 196 del 2003, che ne esce, così, rimaneggiato. Il Governo ha operato sul testo del “vecchio” Codice privacy in due direzioni: da un lato eliminando quanto ritenuto incompatibile con il Regolamento, e, dall’altro lato, introducendo nuove disposizioni “integrative”.
L’emanazione del decreto legislativo di adeguamento lascia, dunque, aperti diversi profili problematici: anche a volersi ammettere la legittimità costituzionale del decreto, infatti, occorrerà verificare, volta per volta, la compatibilità della normativa interna, contenuta nel d.lgs. n. 196 del 2003, nella sua duplice, convivente, veste emendata e conservata, con il Regolamento europeo.
2. La funzione “specificativa” del decreto legislativo “privacy” nella prospettiva (gius-lavoristica) dell’art. 88 Reg.
Il senso di una delega finalizzata all’adeguamento dell’ordinamento interno alla disciplina contenuta in un Regolamento europeo trova giustificazione nel fatto che, pur nonostante la diretta applicabilità in tutti gli Stati membri dell’Unione europea ai sensi dell’art. 288 TFUE, nel caso di specie il Reg. 2016/679 presenta, per alcune parti, ampie lacune, mentre, per altre parti, lascia un certo margine di intervento agli Stati Membri .
Il Regolamento in parola, più in particolare, mantiene espressamente una competenza “specificativa” agli Stati Membri, come emerge chiaramente dal testo del considerando 10, a mente del quale: “per quanto riguarda il trattamento dei dati personali per l’adempimento di un obbligo legale, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l’applicazione delle norme del presente regolamento”.
Con riferimento, in particolare al trattamento dei dati nell’ambito dei rapporti di lavoro, il Regolamento attribuisce ai legislatori nazionali il potere di introdurre norme interne finalizzate ad “assicurare la protezione dei diritti e delle libertà” (cfr. art. 88 Reg.) .
Il problema centrale attiene ai margini di discrezionalità riconosciuti agli Stati membri ai fini dell’adozione delle norme interne di “specificazione ulteriore” della disciplina in materia.
Al riguardo, invero, si deve considerare che l’art. 1 del Regolamento (adottato sulla base dell’art. 16 del TFUE e dunque secondo la procedura legislativa ordinaria), nel disciplinare oggetto e finalità della normativa di settore (consistente nello stabilire “norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati”), delinea espressamente una griglia di bilanciamento tra i diritti e le libertà fondamentali implicate dalla materia del trattamento dei dati personali (e quindi, principalmente, avendo riguardo alla “Carta di Nizza”, diritto al rispetto della vita privata e familiare - art. 7 - e diritto alla protezione dei dati personali - art. 8 - da un lato, e libertà d’impresa - art. 16 - e libera circolazione dei dati nel territorio dell’UE, dall’altro).
Il sistema configurato dall’art. 1 si pone, evidentemente, in diretta relazione con la clausola limitativa di cui all’art. 52, par. 1, della Carta dei diritti fondamentali dell’UE, come dimostra il considerando 4 del Regolamento (direttamente connesso all’art. 1), ove si legge che “il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”.
Nel corpo del Regolamento si ritrova una selezione (aprioristicamente effettuata dal legislatore europeo) dei criteri valoriali da assumere a fondamento dell’operazione di bilanciamento a cui i legislatori nazionali (ancor prima degli interpreti) devono attenersi nel coniugare le istanze personalistiche con quelle di protezione del mercato in ogni caso in cui sia (permesso e) necessario intervenire con norme interne “specificative”.
Sul punto l’art. 1 del Regolamento è chiaro.
Se da un lato il par. 2 afferma che “il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”, dall’altro lato il par. 3 (a mente del quale “la libertà di circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali”), letto in combinazione con il considerando 4, afferma il carattere recessivo del diritto alla protezione dei dati personali a fronte di esigenze di “interesse pubblico” o di tutela dei diritti fondamentali riconosciuti dalla Carta europea, tra i quali rientra necessariamente il “diritto di impresa” di cui all’art. 16.
L’art. 1 del Regolamento, dunque, fornisce una (almeno) duplice indicazione interpretativa: a) le norme di protezione dei diritti e delle libertà fondamentali delle persone fisiche (ed in particolare il diritto alla protezione dei dati personali) sono quelle contenute nel Regolamento, donde gli Stati membri non possono introdurre limitazioni o divieti ulteriori che impattino sulla libera circolazione dei dati personali; b) rispetto ai valori di riferimento oggetto di bilanciamento, tra principio personalistico e tutela della libera circolazione dei dati, quest’ultimo viene dichiarato come prevalente.
Ne risulta, come riconosciuto da parte della più recente civilistica, un “capovolgimento degli equilibri tra diritti e libertà fondamentali finora riscontrati”, che apre la strada ad un possibile “sovvertimento” del principio personalistico . Uno scenario, questo, che non può che rinnovare l’attenzione rispetto alla teoria dei “controlimiti”, intesi come argine rispetto a possibili violazioni dei principi fondamentali dell’ordinamento domestico da parte delle fonti sovranazionali.
Per quanto interessa, tuttavia, lo specifico profilo del bilanciamento dei diritti e delle libertà fondamentali nella prospettiva del sistema giuslavoristico, la situazione si presenta parzialmente diversa.
Il già richiamato art. 88 Reg., infatti, nel riconoscere agli Stati membri uno spazio di intervento “specificativo” (facoltativo) in ordine al “trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro”, precisa che le norme interne “più specifiche” sono destinate ad “assicurare la protezione dei diritti e delle libertà” (par. 1), e “includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro” (par. 2).
Il testo definitivo dell’art. 88, rispetto alle versioni che si sono succedute nel corso dei lavori di approvazione del Regolamento, presenta alcune rilevanti differenze di cui pare opportuno tener conto.
La versione originaria (art. 82 della proposta di regolamento COM(2012)0011) recava il seguente testo: “nei limiti del presente regolamento, gli Stati membri possono adottare con legge norme specifiche per il trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da accordi collettivi, di gestione, pianificazione e organizzazione del lavoro, salute e sicurezza sul lavoro, e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro”.
L’emendamento proposto, sul punto, il 21 novembre 2013, dalla Commissione per le libertà civili, la giustizia e gli affari interni proponeva la seguente modifica: “In conformità delle norme del presente regolamento e nel rispetto del principio di proporzionalità, gli Stati membri possono adottare tramite disposizioni giuridiche norme specifiche per il trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro, in particolare, ma non esclusivamente, per finalità di assunzione e candidatura all'interno di un gruppo di imprese, esecuzione del contratto di lavoro, compreso l'adempimento degli obblighi stabiliti dalla legge e da accordi collettivi, in linea con il diritto e le prassi nazionali, di gestione, pianificazione e organizzazione del lavoro, salute e sicurezza sul lavoro, e ai fini dell'esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro. Gli Stati membri possono acconsentire a che gli accordi collettivi specifichino ulteriormente le disposizioni di cui al presente articolo”.
Ora, dal confronto tra le diverse versioni e il testo definitivo emerge chiaramente come in quest’ultimo sia stato soppresso ogni riferimento ai limiti costituiti dal regolamento e dal principio di proporzionalità, tutt’ora presenti, invece, per quanto concerne le materie della libertà di espressione e informazione (art. 85), del trattamento e accesso del pubblico ai documenti ufficiali (art. 86), del trattamento del numero di identificazione nazionale (art. 87), dei trattamenti a fini di archiviazione (art. 89), degli obblighi di segretezza (art. 90) e delle norme di protezione dei dati vigenti presso Chiese e Associazioni religiose (art. 91).
La peculiarità testuale dell’art. 88, nella sua versione definitiva, non può che essere intesa nel senso di sganciare la disciplina del trattamento dei dati nell’ambito dei rapporti di lavoro dal sistema di gerarchia di valori “stabilizzata” dall’art. 1, riconsegnando la materia ad un criterio di bilanciamento mobile da operarsi rispettando i criteri di proporzionalità, necessità e finalità come ricostruiti dalla giurisprudenza della Corte di Giustizia e della Corte europea dei diritti dell’uomo.
Dal ragionamento sin qui svolto deriva una prima notazione: il Regolamento 2016/679 non introduce alcuna disciplina di settore relativamente alla materia della “privacy” nei rapporti di lavoro , ma lascia agli Stati membri un ampio spazio di discrezionalità consentendo loro la possibilità di introdurre norme “più specifiche”, sganciate dalla griglia di valori gerarchicamente ordinata dal sistema generale del Regolamento.
Una conferma di quanto sopra pare rinvenirsi nel punto 10(c) del “Pilastro Sociale Europeo” approvato al Vertice sociale di Göteborg il 16 novembre 2017, a mente del quale “Workers have the right to have their personal data protected in the employment context”.
Un’affermazione così netta, se certamente può essere letta come un segno di scarsa attenzione per la materia , esprime, tuttavia, l’implicita consapevolezza della complessa sistemazione delle fonti operata dal legislatore comunitario, ed allo stesso tempo svolge l’importante funzione di ribadire la centralità del diritto alla protezione dei dati personali nel contesto delle relazioni di lavoro. Ne discende, dunque, una indiretta conferma della diversa prospettiva valoriale istituita con riferimento alla materia lavoristica rispetto all’impostazione generale codificata nell’art. 1 Reg.
L’assenza di una presa di posizione puntuale da parte del Pilastro Sociale è, del resto, compensata dalla “Opinion” 2/2017, adottata l’8 giugno 2017 dal Gruppo di lavoro europeo in materia di protezione dei dati personali, e relativa al trattamento dei dati personali nel lavoro .
Questo documento, estremamente interessante, ed aperto all’applicazione anche al di fuori dei confini del lavoro subordinato (“This Opinion is intended to cover all situations where there is an employment relationship, regardless of whether this relationship is based on an employment contract” ), svolge l’espressa funzione di fornire linee guida per l’attuazione della “delega” di cui all’art. 88 Reg. .
Da tutto quanto sopra si è detto emerge l’estrema importanza dell’intervento normativo di dettaglio demandato dall’art. 88 Reg. agli Stati nazionali, soprattutto in un caso, come quello italiano, in cui il legislatore ha operato, nel 2015, e quindi immediatamente prima dell’approvazione del Regolamento, una modifica della disciplina relativa ai controlli sui lavoratori (art. 4 St. lav.) che si regge su di un espresso rinvio al decreto legislativo di attuazione della direttiva europea sulla privacy, abrogata dall’art. 94 del Regolamento (si ricordi, sul punto, che il decreto legislativo n. 196 del 2003 era stato emanato in base alla legge delega n. 127 del 2001, come modificata e prorogata dalla legge n. 14 del 2003; la delega del 2001 a sua volta prorogava la delega di cui alla legge n. 679 del 1996, affidando al Governo il compito di recepire le direttive privacy realizzando un testo unico).
Riassumendo, dunque, il decreto di adeguamento interno, in relazione alla materia del trattamento dei dati personali nell’ambito dei rapporti di lavoro avrebbe dovuto svolgere la delicata funzione di stabilire un criterio di bilanciamento tra riservatezza e libertà d’impresa sulla base, sostanzialmente, del parametro di cui all’art. 41, co. 2 Cost., al fine (previsto dall’art. 88 Reg.) di “assicurare la protezione dei diritti e delle libertà” tramite “misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati”.
3. Il nuovo testo dell’art. 111 del Codice privacy: la mancata attuazione dell’art. 88 Reg. e la marginalizzazione del contratto collettivo
Nel decreto di agosto la norma che si occupa del trattamento dei dati personali nell’ambito dei rapporti di lavoro, e che dovrebbe svolgere la funzione sopra indicata, è l’art. 9, co. 1, lett. b), che modifica nei termini che seguono il testo dell’art. 111 del d.lgs. n. 196 del 2003: “Il Garante promuove, ai sensi dell’articolo 2-quater, l’adozione di regole deontologiche per i soggetti pubblici e privati interessati al trattamento dei dati personali effettuato nell’ambito del rapporto di lavoro per le finalità di cui all’articolo 88 del Regolamento, prevedendo anche specifiche modalità per le informazioni da rendere all’interessato” .
La scelta operata dal legislatore delegato si muove in una prospettiva di perfetta continuità rispetto al passato: delegando il Garante viene procrastinata nel tempo l’introduzione delle regole “specifiche” in ambito lavoristico .
Questa opzione, che verosimilmente intende evitare un intervento legislativo frettoloso e non sufficientemente meditato, sconta un significativo scollamento rispetto alla ratio della norma di riferimento del Regolamento.
Il vecchio testo dell’art. 111 del Codice privacy, infatti, aveva il suo referente normativo nell’art. 27 della direttiva 95/46/CE, a norma del quale “Gli Stati membri e la Commissione incoraggiano l'elaborazione di codici di condotta destinati a contribuire, in funzione delle specificità settoriali, alla corretta applicazione delle disposizioni nazionali di attuazione della presente direttiva, adottate dagli Stati membri”.
Ad un esame più approfondito del sistema della direttiva del 1995 era possibile, già in passato, svolgere alcuni rilievi critici nei confronti dell’opzione seguita dalla normativa italiana, atteso che il Governo era stato più volte, successivamente all’emanazione della legge n. 675 del 1996, delegato ad emanare decreti legislativi correttivi e integrativi, con i quali avrebbe dovuto introdurre discipline settoriali specifiche, tra cui una normativa appositamente rivolta a regolamentare il trattamento dei dati personali nell’ambito del rapporto di lavoro.
Tale regolamentazione di settore, per espressa previsione delle leggi delega via via succedutesi, avrebbe dovuto essere costruita sulla base dei principi contenuti nella Raccomandazione del Consiglio d’Europa n. R (89)2 del 18 gennaio 1989, oggi sostituita dalla Racc. n. R(2015)5, sui dati utilizzati per finalità di lavoro , a mente dei quali il “diritto alla privacy” dei lavoratori è indissolubilmente legato alla valorizzazione del ruolo delle rappresentanze sindacali, oltre che dell’auto-controllo e dell’auto-determinazione dei lavoratori in materia. L’istanza primaria della Raccomandazione (quella del 1989 così come quella del 2015) consiste nell’introduzione di meccanismi di controllo collettivo, di informazione e consultazione dei lavoratori o dei relativi rappresentanti. Questa prospettiva, perfettamente coerente con la promozione del dialogo sociale prevista dall’art. 151 TFUE, coincide anche con gli obblighi imposti dalla direttiva 2002/14/CE, ed in particolare con la necessità di informare e consultare i lavoratori in merito alle decisioni atte a determinare “cambiamenti sostanziali nell’organizzazione dei lavoro” (art. 4, par. 2, lett. c) della direttiva); il legislatore italiano, ad oggi, ha omesso di valorizzare il dialogo sociale in materia, addirittura muovendosi in direzione opposta esonerando dalle procedure di codeterminazione previste dall’art. 4 St. lav. l’introduzione degli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”.
La soluzione prescelta, in Italia, è stata (già nel 2003) quella di delegare al Garante il compito di realizzare la normativa di settore tramite i c.d. codici di deontologia e buona condotta, che, come noto, non sono mai stati adottati .
Il decreto di agosto 2018 mantiene la stessa impostazione.
La scelta di rinviare il compito di introdurre la “legislazione” di settore, nella materia in discorso, ai codici di deontologia, è criticabile, sia con riferimento alla normativa precedente al Regolamento europeo, sia, a maggior ragione, oggi.
L’art. 12 del Codice privacy (che sostituiva il vecchio art. 31, co. 1, lett. h), della legge n. 675 del 1996), oggi spostato, dal d.lgs. n. 101 del 2018, sostanzialmente mantenendone lo stesso contenuto, all’art. 2-quater del Codice “riformato”, conferiva - e continua a conferire - al Garante il potere di promuovere la sottoscrizione di codici di deontologia e buona condotta, nell’ambito delle categorie interessate, di verificarne la conformità alle leggi e ai regolamenti nonché di contribuire a garantirne la diffusione e il rispetto .
Il Codice privacy ha potenziato il ruolo dei codici di deontologia e buona condotta come fonte di diritto oggettivo, considerato in particolare che, a norma del comma 3 dell’art. 12 (ora art. 2-quater, comma 4), “il rispetto delle disposizioni contenute nei codici di cui al comma 1 costituisce condizione essenziale per la liceità e correttezza del trattamento dei dati personali effettuato da soggetti pubblici e privati”.
Questa norma interna non collimava con il sistema della direttiva comunitaria n. 95/46/CE, il cui art. 27 incentivava sì l’adozione di codici di condotta, ma al precipuo fine di “contribuire, in funzione delle specificità settoriali, alla corretta applicazione delle disposizioni nazionali di attuazione” della direttiva medesima. L’art. 27 della direttiva prevedeva che gli Stati membri dispongano che “le associazioni professionali e gli altri organismi rappresentanti altre categorie di responsabili del trattamento, che hanno elaborato i progetti di codice nazionali o intendono modificare o prorogare i codici nazionali esistenti, possono sottoporli all’autorità nazionale», la quale dovrà “accertare, in particolare, la conformità dei progetti che le sono sottoposti alle disposizioni nazionali di attuazione” della direttiva; inoltre, “qualora lo ritenga opportuno, l’autorità nazionale raccoglie le osservazioni delle persone interessate e dei loro rappresentanti”.
Confrontando la disposizione comunitaria con la normativa di trasposizione nel nostro ordinamento (nel testo antecedente la modifica dell’agosto 2018), è possibile evidenziare come a livello comunitario già venisse attribuito ai codici un ruolo più ridotto rispetto a quello che agli stessi è stato attribuito nel nostro ordinamento. La direttiva, infatti, attribuiva rilievo primario (cfr. i “considerando” n. 23 e 68) alla promulgazione di leggi settoriali sulla tutela dei dati personali, incoraggiando, come intervento complementare, ma non alternativo, quello dell’autoregolamentazione .
I codici, nel sistema della direttiva comunitaria, avevano dunque la limitata funzione di “contribuire alla corretta applicazione” delle disposizioni in materia di tutela dei dati attraverso la “specificazione” della normativa medesima all’interno dei diversi settori, con un compito “di “facilitazione” rispetto all’applicazione della normativa, e non anche quello integrativo/sostitutivo della normativa generale, che si vedrà essere assunto oggi dai codici nostrani” .
Con il Regolamento europeo la discrepanza tra l’impostazione europea e quella interna risulta ancora più evidente : i codici di condotta continuano ad essere destinati a “contribuire alla corretta applicazione del […] regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese”, ma con riferimento ai trattamenti nell’ambito dei rapporti di lavoro il potere di introdurre le norme specificative di cui si è detto più sopra è stato espressamente attribuito agli Stati membri “con legge o tramite contratti collettivi” (art. 88, par. 1, Reg.).
La funzione “specificativa”, in materia, non spetta, dunque, ai codici di condotta (che, tra l’altro, non hanno efficacia generalizzata se non alle condizioni, assai complesse, di cui all’art. 40 Reg.), ma, in alternativa, al legislatore o alla contrattazione collettiva.
La centralità della competenza attribuita alla contrattazione collettiva dal Regolamento europeo del 2016 non può essere sottovalutata .
Il legislatore italiano, con il decreto di agosto, non coglie alcuna delle sollecitazioni imposte dal Regolamento europeo: non interviene “con legge” e non attribuisce un ruolo primario e diretto alla contrattazione collettiva nel processo di elaborazione della normativa di dettaglio.
Alle organizzazioni rappresentative dei lavoratori viene mantenuto un ruolo solo indiretto, seppure imprescindibile, atteso che il processo di adozione dei codici di deontologia è condizionato dalla necessaria e centrale partecipazione delle istanze collettive, e sul Garante continua a gravare l’oneroso compito di selezionare i soggetti “rappresentativi” delle categorie interessate .
È facile immaginare che, come in passato, i codici di deontologia in materia di trattamento dei dati nell’ambito dei rapporti di lavoro continueranno a non essere adottati in quanto difficilmente il Garante scioglierà il nodo relativo alla rappresentatività dei soggetti coinvolti nella redazione dei codici stessi.