ADAPT - Scuola di alta formazione sulle relazioni industriali e di lavoro Per iscriverti al Bollettino ADAPT clicca qui Per entrare nella Scuola di ADAPT e nel progetto Fabbrica dei talenti scrivi a: selezione@adapt.it
Il Provvedimento n. 3 del Garante per la protezione dei dati personali dello scorso 11 gennaio consente di effettuare una riflessione circa gli impatti operativi della vigente versione dell’art. 4 dello Statuto dei Lavoratori anche, e soprattutto, rispetto agli evidenti profili di integrazione con la disciplina normativa dettata in materia di protezione dei dati personali.
Il Provvedimento in questione è stato emanato all’esito di una richiesta di verifica preliminare presentata da una società (anche per conto delle altre società del Gruppo) ex art. 17 D. Lgs. n. 196/2003 (Codice in materia di protezione dei dati personali) con riferimento al trattamento dei dati personali dei propri dipendenti cui è stato assegnato un telefono aziendale. Tale trattamento avrebbe avuto la finalità di “controllo delle fatture del provider del servizio telefonico” nonché di “analisi dell’andamento complessivo dei consumi in modo da valutare nel tempo l’adeguatezza del contratto con il provider […] con l’obiettivo di ridurre i costi aziendali e ottimizzare la qualità del servizio” nonché di “rilevare eventuali situazioni anomale di consumi”. Il trattamento sarebbe stato effettuato mediante l’adozione di un sistema che avrebbe consentito la raccolta e l’elaborazione dei dati personali dei dipendenti da parte di una società inglese, specializzata nel settore, che la società richiedente si impegnava a designare responsabile del trattamento ai sensi dell’art. 29 del Codice.
Tralasciando in questa sede gli aspetti più tecnici e descrittivi del sistema (puntualmente indicati nel Provvedimento), è interessante constatare come il Garante, rilevato come l’operazione in questione rientri nel concetto di trattamento avente ad oggetto dati personali (dei dipendenti), ritenga che gli scopi perseguiti dalla società con l’installazione del sistema siano da qualificarsi quali leciti ai sensi di quanto previsto dall’art. 11, comma 1, lett. a) e b) del Codice (dati trattati in modo lecito e secondo correttezza; raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi), anche alla luce della riconducibilità dell’operazione alla tutela di esigenze organizzative e di sicurezza del patrimonio aziendale.
Con riferimento a tale ultimo aspetto, sottolineando quanto previsto dall’art. 4 Stat. Lav. in materia di controlli a distanza e la potenzialità del menzionato sistema di realizzare detto controllo, il Garante evidenzia come la società abbia stipulato un accordo con le rappresentanze sindacali nel quale è previsto il non utilizzo delle informazioni “per finalità ulteriori [… né] per finalità disciplinari”.
Nel Provvedimento si afferma inoltre che il trattamento sia da considerarsi lecito ed altresì rispettoso del principio di proporzionalità. Esso pertanto può essere effettuato nei confronti dei dipendenti anche in applicazione della disciplina sul c.d. “bilanciamento di interessi” (ai sensi dell’art. 24, comma 1, lett. g) del Codice), la quale, tra le cause di esclusione della prestazione del consenso nell’ambito del trattamento, individua un legittimo interesse del titolare al trattamento di tale tipologia di dati in relazione alle finalità rappresentate.
Alla luce del richiamo di tali principi, il trattamento può essere effettuato con esclusivo riferimento ai dati necessari, pertinenti e non eccedenti e, pertanto, potrà investire solo quei dati che costituiscono voci di spesa all’interno della fattura, comportando un impatto sui costi sostenuti dalla società. Il Garante ritiene inoltre che il tempo di conservazione dei dati relativi al traffico telefonico (da parte del fornitore del servizio), inizialmente prospettato dalla società in 12 mesi, in ossequio ai principi di necessità, pertinenza e non eccedenza, non possa essere superiore ai 6 mesi.
Il Garante dispone dunque una serie di misure aggiuntive che la società dovrà adottare: per quanto attiene all’eventuale traffico telefonico anomalo, non sanzionabile disciplinarmente, si sottolinea come la società non abbia adottato una policy aziendale sulle condizioni di utilizzo delle sim assegnate ai dipendenti. Il disciplinare interno, da aggiornare periodicamente, dovrà riguardare anche gli altri profili di trattamenti che si intendono effettuare; non dovranno inoltre essere raccolti gli eventuali numeri relativi al traffico telefonico personale, assicurando in tal caso un separato sistema di tariffazione; il file relativo ai dati di fatturazione dovrà essere opportunamente protetto e i dati di fatturazione raccolti al fine di analizzare costi e consumi dovranno essere anonimizzati in modo da non consentire la re-identificazione degli interessati.
La società, prima dell’inizio del trattamento, ai sensi della normativa vigente dovrà:
- fornire ai dipendenti coinvolti l’informativa ai sensi dell’art. 13 del Codice;
- adottare le misure di sicurezza previste dagli artt. 31 e ss. del Codice al fine di preservare l’integrità dei dati trattati;
- designare il responsabile del trattamento ex 29 del Codice;
- predisporre le misure idonee a garantire l’esercizio dei diritti di cui agli artt. 7 e ss. del Codice.
Il Garante, ammettendo il trattamento ha quindi prescritto (nell’eventualità che lo stesso venga avviato) una serie di necessarie cautele e adeguamenti che la società (e le società del Gruppo, ciascuna per i propri dipendenti) sarà tenuta ad adottare tra cui:
- trattamento solo se la chiamata comporti costi specifici per la società;
- tempo di conservazione dei dati non superiore a 6 mesi;
- adozione di un disciplinare interno che regoli sia le condizioni di utilizzo delle sim, sia gli altri profili relativi ai trattamenti che si intendono effettuare;
- adozione delle tecniche di cifratura ed anonimizzazione.
Le determinazioni adottate dal Garante consentono, a parere di chi scrive, di porre l’accento sui molteplici fattori di integrazione tra la disciplina in tema di controlli a distanza di cui all’art. 4 dello Statuto dei Lavoratori nella sua formulazione attuale e quella posta a protezione dei dati personali.
Il Provvedimento, emanato evidentemente con riferimento al vigente art. 4, costituisce uno tra i primi parametri interpretativi della disposizione di cui al terzo comma del citato articolo, laddove si prevede che l’utilizzabilità delle informazioni raccolte ai sensi dei commi 1 e 2 a tutti i fini connessi al rapporto di lavoro sia subordinata alla consegna al lavoratore di un’adeguata informazione relativa alle modalità d’uso degli strumenti e di effettuazione dei controlli ad al rispetto di quanto disposto dal D. Lgs. n. 196/2003. Il Garante, sottolineando, seppur in maniera implicita, come il sistema di controllo delle fatture relative ai telefoni aziendali, non costituendo uno strumento “utilizzato dal lavoratore per rendere la prestazione lavorativa”, non sia esentato dal rispetto delle condizioni sostanziali (esigenze organizzative e produttive, sicurezza del lavoro e tutela del patrimonio aziendale) e procedurali (accordo sindacale o, in mancanza, autorizzazione amministrativa) previste dall’art. 4, comma 1, al fine di legittimare impiego ed installazione di impianti audiovisivi o di altri strumenti di potenziale controllo dell’attività dei lavoratori, esplicita una serie di indicazioni operative in tema di trattamento dei dati e di rapporto dello stesso con il loro utilizzo.
La società, così come puntualmente ricostruito nel Provvedimento, aveva infatti stipulato un apposito accordo con le rappresentanze sindacali avente ad oggetto il descritto sistema, in ragione del potenziale controllo a distanza sull’attività dei lavoratori e alla luce degli stessi scopi dell’installazione riconducibili ad esigenze organizzative e di tutela del patrimonio aziendale. Detto accordo, come accennato in precedenza, escludeva l’utilizzabilità delle informazioni raccolte sia per finalità ulteriori rispetto agli scopi del sistema, sia, soprattutto, per finalità disciplinari.
Proprio quest’ultimo aspetto, unitamente alle indicazioni dettate in ordine al trattamento dei dati, consente di effettuare una riflessione circa l’interazione tra i due sistemi di norme. Per quanto infatti attiene ai profili di connessione tra la disciplina dei controlli a distanza e la normativa privacy, con riferimento alle questioni relative all’attuale formulazione dell’art. 4 dello Statuto, e in attesa della piena operatività del Regolamento UE 2016/679, il Provvedimento lascia intendere come la profonda interazione, corroborata anche dall’espresso richiamo testuale del Codice da parte del terzo comma dell’art. 4, non sia legata in maniera esclusiva ai profili di utilizzabilità delle informazioni raccolte (in base all’art.4). In altri termini, anche se l’art. 4 subordina l’utilizzabilità delle informazioni raccolte ai sensi dei primi due commi alla condizione secondo cui “sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”, il dettato normativo in tema di privacy continua a dispiegare la sua piena applicabilità anche oltre detto concetto di utilizzabilità. Gli spazi di prevalenza dell’art. 4 vigente rispetto alla normativa del D. Lgs. 196/2003 (dettati dal suo essere norma speciale e cronologicamente posteriore), come sottolineato da parte della dottrina[1], risiederebbero in buona sostanza nella operazione di raccolta dei dati effettuata grazie a strumenti legittimante installati o utilizzati dal lavoratore; nella richiamata utilizzabilità a tutti i fini connessi al rapporto di lavoro delle informazioni legittimamente acquisite e nella non necessità del consenso del lavoratore per il trattamento dei dati.
Al netto di tali specificazioni la cogenza delle disposizioni del D. Lgs. n. 196/2003 è del tutto confermata. Il trattamento dei dati personali del lavoratore dovrà dunque avvenire sempre nel rispetto di quanto dettato in tema di modalità del trattamento stesso (liceità, correttezza, pertinenza, non eccedenza), principi ad esso applicabili (es. necessità e proporzionalità), regole (es. necessità dell’informativa) e diritti dell’interessato. Il rispetto delle disposizioni del Decreto include naturalmente anche tutte le determinazioni ed i Provvedimenti emanati dal Garante, i quali (si può supporre) si mostreranno coerenti al nuovo dettato normativo dell’art. 4.
Questa breve e parziale analisi induce, alla luce dei profili richiamati ed in attesa altresì dei futuri approdi sul tema da parte della giurisprudenza di legittimità, ad iniziare a focalizzare il ragionamento in materia di controlli a distanza e del loro rapporto con la disciplina in materia di protezione dei dati personali dall’idea di esplicito divieto di controllo (per come definito nella versione originaria della norma statutaria) a quella di disciplina ed utilizzo a tutti i fini connessi al rapporto di lavoro di quei dati che sono stati raccolti proprio grazie agli strumenti di controllo legittimamente adoperati. Così come evidenziato nel Provvedimento, l’accordo sindacale, qui limitativo dell’utilizzo di quei dati, ben può diventare mezzo per la loro disposizione (sempre nel rispetto di quanto previsto dall’art. 4, comma 3) in tutti i casi di impiego ed installazione di strumenti di controllo per la cura di quelle esigenze sostanziali individuate dalla legge. La prospettiva appena delineata, anche se in maniera ancora embrionale, è connotata da un ulteriore grado di incisività se si guarda invece ai c.d. strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa, i quali, come noto, sono esentati dal rispetto di quanto previsto dal primo comma dell’art. 4.
Le determinazioni giurisprudenziali, i futuri orientamenti del Garante e gli assestamenti della contrattazione collettiva assumeranno dunque un carattere di decisiva importanza nella normazione sostanziale di quei dati legittimamente raccolti e non più ontologicamente preclusi dalla norma.
Scuola di dottorato in Formazione della persona e mercato del lavoro
Università degli Studi di Bergamo
@E_A_Pititto
[1] Cfr. sul punto, per una compiuta analisi, G. Proia, Trattamento dei dati personali, rapporto di lavoro e l’«impatto» della nuova disciplina dei controlli a distanza, in Rivista Italiana di Diritto del Lavoro, fasc. 4, 2016, p. 547 e ss.
Scarica il PDF 
