ADAPT - Scuola di alta formazione sulle relazioni industriali e di lavoro Per iscriverti al Bollettino ADAPT clicca qui Per entrare nella Scuola di ADAPT e nel progetto Fabbrica dei talenti scrivi a: selezione@adapt.it
Bollettino ADAPT 3 maggio 2021, n. 17
L’Ispettorato Nazionale del Lavoro e il Garante per la protezione dei dati personali hanno recentemente sottoscritto un protocollo d’intesa per definire le modalità di reciproca cooperazione con riferimento agli aspetti di comune interesse relativi al trattamento dei dati personali nel contesto di lavoro, in particolare tramite strumenti tecnologici. Il protocollo avrà durata di due anni e potrà essere modificato o integrato d’intesa fra le Parti anche prima della scadenza, in base alle eventuali ulteriori necessità, andando così a costituire un sistema di collaborazione elastico rispetto allo scenario di riferimento.
L’esigenza di cooperazione sinergica tra l’Istituto e l’Autorità, come indicato nelle stesse premesse del protocollo, va individuata nella necessità di affrontare in maniera strutturata e sistematica, le «sfide connesse all’accelerazione dei processi di digitalizzazione dei sistemi di gestione dell’organizzazione del lavoro, della produzione e della erogazione dei servizi».
Il contesto pandemico ha avuto un ruolo significativo in termini di propulsione del processo di riflessione e di azione condivisa tra le istituzioni coinvolte. L’intensificarsi, per esigenze di contenimento della pandemia, di modalità di esecuzione della prestazione lavorativa a distanza (mediante ad esempio l’istituto del c.d. lavoro agile) con l’impiego di strumenti tecnologici pone o amplifica interrogativi e questioni che erano già emerse nel recente passato con riferimento a questo tema e che ora diventeranno strutturali dato che, verosimilmente, la pandemia ha segnato un punto di svolta rendendo probabilmente irreversibile il processo di deterioramento delle tradizionali categorie di luogo e tempo di lavoro.
I contenuti del protocollo
Le disposizioni del protocollo hanno un contenuto prettamente programmatico, ma in alcuni punti (soprattutto dall’impostazione dei lavori che traspare dalle previsioni contenute all’art. 2 del protocollo) si rilevano degli elementi di interesse che possono stimolare le riflessioni dell’interprete e degli operatori su quali siano i temi e gli ambiti maggiormente sensibili nel – prossimo – futuro del lavoro.
In particolare, le istituzioni firmatarie si impegnano nell’ambito del protocollo, a realizzare processi di stabile connessione tra le due Istituzioni, per assumere orientamenti condivisi su questioni specifiche, sia in una prospettiva interna di approfondimento e confronto, sia in una prospettiva esterna, implementando lo sviluppo sinergico e la coerenza delle decisioni dei due organismi (art.1).
Le attività di cooperazione reciproca e di consultazione verteranno poi, nel rispetto delle reciproche competenze, in maniera particolare sull’utilizzo di strumenti tecnologici nell’ambito del rapporto di lavoro, anche al di là della necessità dei casi in cui è previsto un parere formale, «concorrendo così all’individuazione delle soluzioni più idonee e coerenti con il quadro ordinamentale» (art. 2).
Le autorità si impegnano poi ad organizzare incontri periodici anche a distanza, su materie di interesse comune, almeno semestralmente, per intensificare lo scambio di informazioni e di esperienze valorizzando da un lato le prerogative del Garante e dall’altro la presenza capillare sul territorio nazionale dell’INL (art. 3).
Le istituzioni di impegnano, inoltre, a realizzare programmi di formazione (art. 5) e informazione per la condivisione e divulgazione di buone prassi e la prevenzione trattamenti di dati personali non conformi alla legislazione e regolamentazione applicabile, con particolare riferimento al tema del controllo a distanza dei lavoratori (art.4).
Il quadro normativo di riferimento. Serve un’azione legislativa radicale e organica (?)
Una breve riflessione conclusiva può essere condotta con riferimento al quadro normativo in cui il protocollo si colloca e che è espressamente richiamato nelle premesse del provvedimento stesso.
L’art. 88 del Regolamento generale sulla protezione dei dati (UE/2016/679), conferisce agli Stati membri un’ampia delega per l’adozione di norme più specifiche per assicurare la protezione dei diritti e delle libertà, con riguardo al trattamento dei dati personali dei dipendenti, nell’ambito dei rapporti di lavoro.
La delega del legislatore comunitario non è stata, però, particolarmente sviluppata dal legislatore nazionale.
Il Decreto n. 101/2018, che ha modificato il d.lgs. 196/2003 per renderlo coerente con il nuovo quadro sovranazionale, infatti, propone sostanzialmente l’impostazione precedente che vedeva il Garante per la protezione dei dati personali quale soggetto promotore dell’adozione di specifiche regole deontologiche sul tema (Art. 111, D. Lgs. 196/2003). Anche se questa impostazione risulta coerente con una parte della normativa comunitaria in esame che prevede un coinvolgimento qualificato delle autorità garanti nazionali e una valorizzazione del ruolo dei codici di condotta, gli obiettivi sottesi alla delega di cui all’art. 88 sono senz’altro più ambiziosi e mirano alla istituzione di un sistema di norme interne, legislative e contrattual-collettive, più strutturato.
Ciò senza considerale le perplessità, sollevate anche dalla dottrina, circa l’idoneità dei codici di condotta ad integrare il sistema interno, considerando che si tratta di fonti che non sono abilitate a questo scopo dallo stesso art. 88 del GDPR. Pertanto, la loro funzione nel sistema delle fonti interne dovrebbe ritenersi comunque integrativa e non dotata della stessa cogenza che la normativa comunitaria attribuisce alla fonte legale e contrattuale.
Con particolare riferimento al trattamento dei dati nell’ambito del rapporto di lavoro, gli attuali principali riferimenti che si riscontrano nel Codice Privacy post GDPR sono costituiti dagli artt. 113 e 114 ), con i quali il legislatore si è limitato a richiamare quanto disposto dall’articolo 8 della legge 20 maggio 1970, n. 300 nonché dall’articolo 10 del decreto legislativo 10 settembre 2003, n. 276.
Il quadro normativo in materia di trattamento dei dati personali nell’ambito del rapporto di lavoro è quindi attualmente costituito in prevalenza da quelle norme cardine del sistema statutario che, pur rappresentando dei riferimenti imprescindibili e di portata significativa, risultano riferiti ad uno scenario non più attuale.
Ci si riferisce, in particolare:
– all’art. 4 della legge 20 maggio 1970, n. 300 che detta la disciplina in materia di controlli a distanza dei lavoratori mediante strumenti tecnologici e prevede la competenza dell’INL, in mancanza di accordo sindacale, al rilascio dell’autorizzazione preventiva necessaria per installare impianti audiovisivi e altri strumenti dai quali derivi anche la possibilità di controllo a distanza dei lavoratori per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale;
– all’art. 8 della legge 20 maggio 1970, n. 300 che sancisce il divieto, per il datore di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale dello stesso;
– all’art. 10 del Decreto legislativo 10 settembre 2003, n. 276, che vieta alle agenzie per il lavoro e agli altri soggetti pubblici e privati autorizzati o accreditati di effettuare qualsivoglia indagine o comunque trattamento di dati dei lavoratori a fini discriminatori;
Resta sullo sfondo il dubbio che questo sistema giuridico, eccezion fatta per l’art. 4 dello Statuto che è stato riformato in tempi recenti, colga effettivamente le caratteristiche del lavoro contemporaneo e sia ancora funzionale a garantire sia i diritti della persona che lavora, che l’efficienza e la chiarezza delle regole per valorizzare e attuare processi di modernizzazione del sistema produttivo. Probabilmente il legislatore nazionale sarà chiamato a valorizzare maggiormente la portata della delega di cui all’art. 88 del GDPR per risolvere alcuni problemi di effettività delle regole vigenti (soprattutto relative all’art. 8 dello Statuto) e magari ripensare ad un sistema moderno e organico di regole in tema di trattamento dei dati personali dei lavoratori.
Antonella Mauro
Avvocato giuslavorista
Dottore di ricerca in Formazione della persona e mercato del lavoro,
Università degli Studi di Bergamo
