Presto ci troveremo a far fronte alle nuove regole e adempimenti in materia di privacy; spesso questo diritto si mescola con la gestione dei rapporti di lavoro, rendendo difficile comprendere quali trattamenti sono legittimi e quali no: vediamo come la nuova privacy impatta (sotto diversi punti di vista) sul mondo dei rapporti di lavoro
Presto ci troveremo tutti a far fronte alle nuove regole e adempimenti in materia di privacy. Ma spesso il diritto alla privacy si mescola con la gestione dei rapporti di lavoro, rendendo difficile comprendere quali trattamenti sono legittimi e quali no.
Alla luce del nuovo Regolamento UE 2016/679, in vigore dal prossimo 25 maggio, verrà abrogato il D.Lgs. 196/2003, cd. Codice della Privacy, rendendo la situazione ancor più complicata in mancanza di specifiche disposizioni che adeguino le regole attualmente vigenti. In prima battuta però è possibile analizzare alcune di queste situazioni, strettamente correlate ai rapporti di lavoro.
Cambiano le regole: la privacy
Sempre più spesso si parla di privacy, e ciò in ragione del Regolamento UE 2016/679, che sarà operativo in Italia dal prossimo 25 maggio. Ma ancora tantissimi sono i dubbi irrisolti derivanti dall’applicazione di tale disciplina, che – abrogando la Direttiva 95/46/CE in materia di Protezione dei Dati Personali – farà in modo di abrogare nel nostro ordinamento il D.Lgs. n. 196/2003, cd. Codice in materia di Protezione dei Dati Personali, applicativo della Direttiva citata. Molti sono così i problemi che ci si trova ad affrontare in relazione all’applicazione di tale nuova disciplina, la quale – in relazione alla stretta correlazione della stessa al rapporto di lavoro – è necessario analizzare al fine di rispettare le prescrizioni fornite con il citato Regolamento.
Regolamento direttamente applicabile
Ma andiamo con ordine. Innanzitutto bisogna chiarire che il Regolamento UE 2016/679 si applicherà a partire dal 25 maggio 2018, definendo un quadro di principi fondamentali per utilizzare in maniera corretta i dati personali, anche in azienda. Così appare utile segnalare che nonostante la diffusione della notizia “ripresa anche da qualche testata giornalistica, che il Regolamento Europeo in materia di protezione dei dati personali sarebbe sostanzialmente inapplicabile, a causa di una pretesa mancata attuazione da parte della legislazione nazionale”, la Fondazione Studi del Consulenti del Lavoro con il Parere n. 1/2018 ha voluto segnalare che la scadenza del 25 maggio non potrà slittare; infatti, l’applicazione di un Regolamento piuttosto che di una Direttiva da parte dell’Unione Europea, comporta senz’altro che il cambiamento non riguarda solamente il contenuto delle regole da seguire, ma anche la modalità di applicazione delle stesse, in quanto i Regolamenti sono immediatamente applicabili e direttamente vincolanti in ogni loro parte per gli Stati membri e per i loro cittadini. Non è così previsto nessun passaggio ulteriore per l’attuazione delle norme fissate dal Regolamento in questione, nonostante la volontà espressa dal Legislatore di uniformare la legislazione italiana con le nuove disposizioni europee, attuata in parte con la L. n. 163/2017 che ha fornito una delega al Governo (ancora non attuata in via definitiva) per l’armonizzazione delle disposizioni nazionali sulla privacy a quelle presto in vigore con il nuovo Regolamento UE 2016/679.
[blox_button text=”SCOPRI IL NOSTRO PACCHETTO PRIVACY PER ESSERE PRONTO CON TUTTE LE NOVITA'” link=”https://www.commercialistatelematico.com/ecommerce/pacchetto-privacy-protezione-dati-personali-novita-regolamento-2018.html” target=”_self” button_type=”btn-default” icon=”” size=”btn-md” /]
Le nuove disposizioni
L’obiettivo di tale Regolamento è quello di fornire a tutti i cittadini maggiore trasparenza nella gestione dei dati, permettendo così a questi ultimi di avere un maggiore controllo sull’utilizzo dei propri dati personali.
In particolare si segnala la necessità di consenso esplicito per il trattamento dei dati sensibili, così come per le decisioni basate su trattamenti automatizzati: tale consenso deve essere fornito con misure idonee a configurare l’inequivocabilità del consenso, e nel caso di trattamento di dati sensibili (i quali godono di una maggiore tutela proprio perché potenzialmente idonei a rilevare dati riguardanti l’origine razziale, le convinzioni religiose, politiche, filosofiche, l’adesione a partiti, organizzazioni o sindacati, e finanche a entrare nel merito dell’orientamento sessuale o delle condizioni di salute del soggetto) esso deve essere un consenso esplicito. Va osservato che tutti i consensi raccolti prima del 25 maggio 2018 restano validi purché rispettino le caratteristiche previste dal Regolamento UE 2016/679; in caso contrario, sarà necessario adoperarsi prima del 25 maggio allo scopo di raccogliere nuovamente il consenso secondo le nuove modalità.
Le informative privacy a partire dal prossimo 25 maggio dovranno contenere i dati di contatto del RPD (Responsabile della Protezione dei Dati, in inglese definito come Data Protection Officer o DPO), la base giuridica del trattamento, qual è il suo interesse legittimo, nonché se si trasferiscono dati personali in paesi terzi e secondo quali strumenti. Se Inoltre tale trattamento comporta processi decisionali automatizzati come la profilazione, l’informativa dovrà specificarlo esplicitamente.
Nuova Privacy e rapporto di lavoro: controlli a distanza
Entrando più nel merito del tema che qui specificamente interessa, e cioè la gestione del rapporto di lavoro e le implicazioni che lo stesso ha con riferimento al diritto alla privacy, bisogna segnalare che sicuramente le disposizioni del Regolamento si applicano anche al trattamento di dati nel rapporto di lavoro.
I collegamenti tra lavoro e privacy sono tantissimi, basti ricordare ad esempio l’articolo 4 dello Statuto dei lavoratori, che si ricollega notevolmente alle disposizioni in materia di protezione dei dati personali derivanti da attività di videosorveglianza o da utilizzo di strumenti tecnologici. Per tale motivo, si pongono dei problemi che è necessario tenere in considerazione, prima ancora della pubblicazione di specifiche linee guida da parte del Legislatore ovvero dei Provvedimenti di prassi del Garante, i quali – si spera – daranno maggiore chiarezza alle disposizioni in questione.
Senza voler entrare nel merito di ciascun Provvedimento del Garante si vuole anticipare che sul tema anche di recente, numerosi sono stati gli interventi: basti pensare alle varie prescrizioni fornite in ordine alla corretta gestione della conservazione della posta elettronica dei dipendenti.
In relazione alla grande importanza del tema di cui all’art. 4 St.Lav. con riferimento al coordinamento del medesimo al nuovo Regolamento, si cercherà così di analizzarne il contenuto anche alla luce delle delucidazioni fornite dal Garante Privacy con la “Guida all’applicazione del Regolamento Europeo in materia di protezione dei dati personali”. Così si ricorda innanzitutto che – sebbene la disciplina dell’art. 4 fosse rimasta immutata fin dal 1970 – il Jobs Act ha fatto in modo di apportare delle modifiche che fossero perfettamente in linea con il cambiamento tecnologico e informatico avvenuto in ambito lavorativo.
Così a seguito della modifica gli strumenti dai quali possa derivare un controllo a distanza dell’attività dei lavoratori possono essere installati per esigenze organizzative e produttive, per la sicurezza del lavoro ovvero per la tutela del patrimonio aziendale, escludendo però gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e gli strumenti di registrazione degli accessi e delle presenze, per i quali, al contrario dei primi, non è necessario procedere preventivamente a richiesta di autorizzazione dall’ITL o accordo con le rr.ss. Ma non è tutto: il più importante collegamento tra tale disciplina con quella della privacy risiede nell’introduzione, da parte dell’art. 23 del D.Lgs. n. 151/2015, del comma terzo, il quale prevede espressamente che “Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”. Da quanto detto finora si comprende come, seppur non sia necessario da un punto di vista strettamente applicativo un intervento del Legislatore, esso sia nella pratica auspicabile in modo da fornire direttive certe agli operatori del settore e di conseguenza ai datori di lavoro.
[blox_button text=”SCOPRI IL NOSTRO PACCHETTO PRIVACY PER ESSERE PRONTO CON TUTTE LE NOVITA'” link=”https://www.commercialistatelematico.com/ecommerce/pacchetto-privacy-protezione-dati-personali-novita-regolamento-2018.html” target=”_self” button_type=”btn-default” icon=”” size=”btn-md” /]
Il bilanciamento degli interessi
I chiarimenti forniti finora dal Garante Privacy in merito all’applicazione del Regolamento UE 679/2016 hanno in qualche modo chiarito alcuni dubbi sorti: infatti, sulla base della “Guida all’applicazione del Regolamento Europeo in materia di protezione dei dati personali” emanata da parte del Garante per la Protezione dei Personali, è stato possibile fare una prima ricostruzione di quali disposizioni manterranno la loro piena applicabilità nell’ambito del rapporto di lavoro; tra queste si ricorda soprattutto che si confermano i requisiti indicati da parte dell’autorità nei provvedimenti riguardanti il bilanciamento degli interessi (come stabilito anche da parte del Gruppo “articolo 29” in materia), per il quale si intende quel meccanismo che permette l’individuazione di esigenze contrapposte che necessitano di essere bilanciate, e che comportano la ricerca di un punto di incontro; da una parte si ha così la necessità di tutelare l’attività imprenditoriale che potrebbe essere messa a rischio dall’attività posta in essere dal dipendente, mentre dall’altra si avrebbe l’interesse del dipendente alla tutela della riservatezza dei propri dati personali, anche sul posto di lavoro: ciò, in sostanza, significa che anche alla luce della nuova disciplina andrà effettuata una ponderazione tra il diritto dell’interessato a mantenere integre la propria sfera personale e la propria riservatezza, e il diritto di tutela da parte del datore di lavoro. Così – ha ritenuto il Garante – continuerà a spiegare i propri effetti nonostante l’applicazione della nuova disciplina, quanto previsto dall’articolo 24, comma 1, lettera g), del D.Lgs. n. 196/2003, in quanto perfettamente in linea con la nuova disciplina.
Rilevazione delle immagini senza consenso?
In linea con il nuovo Regolamento è la possibilità che permangano delle casistiche nelle quali la rilevazione delle immagini a scopo di videosorveglianza può avvenire anche senza consenso, qualora esse siano effettuate allo scopo di perseguire un legittimo interesse del titolare o di un terzo attraverso la raccolta di mezzi di prova o perseguendo fini di tutela di persone o beni rispetto alle aggressioni, furti, rapine, danneggiamento, atti di vandalismo, o finalità di prevenzione di incendi o di sicurezza sul lavoro.
Informativa a doppio binario per videosorveglianza e sistemi biometrici
In considerazione del fatto che il nuovo Regolamento supporta il concetto di informativa stratificata, è possibile senza alcun dubbio fare riferimento anche ai Provvedimenti del Garante che riguardano le prescrizioni previste per l’utilizzo associato di sistemi biometrici e videosorveglianza in istituti bancari, per i quali è previsto un sistema di utilizzo di tali strumenti a seguito di informative chiare e non ambigue, prevedendo un modello di informativa minima (ad es. cartelli grafici che segnalano gli strumenti) che i titolari del trattamento potranno utilizzare in corrispondenza di varchi di accesso, ad es. nel caso delle strutture della banca, che deve essere integrato con una informativa più ampia esposta all’interno dei locali (che entri nel dettaglio del trattamento; ciò significa nei fatti che dovrà essere previsto l’impiego di icone associate a contenuti più estesi, i quali dovranno essere facilmente accessibili, promuovendo al contempo l’utilizzo degli strumenti elettronici per garantirne la massima diffusione e semplificazione nella divulgazione). In attesa della definizione da parte della Commissione di icone standardizzate, sarà così possibile continuare a utilizzare le icone che nel corso del tempo il Garante ha divulgato.
Ruolo e responsabilità di titolare e responsabile
Ultima nota di questa breve disamina riguarda la figura del titolare, del responsabile e dell’incaricato al trattamento. Si segnala infatti che nella nuova disciplina sia il titolare che il responsabile del trattamento avranno specifiche caratteristiche e responsabilità ben definite nella gestione dei dati personali. In particolare si segnala che le disposizioni riguardanti gli incaricati del trattamento presenti nel Codice per la Protezione dei Dati Personali, D.Lgs. n. 196/2003 risultano ancora essere in linea con quanto previsto dal nuovo Regolamento UE 2016/679, il quale ha introdotto il principio di “responsabilizzazione di titolari e responsabili del trattamento” con misure atte a garantire proattivamente l’osservanza del Regolamento nella sua interezza. Infatti, il Garante ha ritenuto che tali figure, secondo il Codice per la Protezione dei Dati Personali, possono mantenere in essere la struttura organizzativa e le modalità di designazione degli incaricati così come stabilite dal Codice, in quanto perfettamente in linea con quanto previsto dal nuovo Regolamento presto in vigore.
12 aprile 2018
Antonella Madia
***
[blox_button text=”SCOPRI IL NOSTRO PACCHETTO PRIVACY PER ESSERE PRONTO CON TUTTE LE NOVITA'” link=”https://www.commercialistatelematico.com/ecommerce/pacchetto-privacy-protezione-dati-personali-novita-regolamento-2018.html” target=”_self” button_type=”btn-default” icon=”” size=”btn-md” /]
