Nuove tecnologie e privacy del lavoratore

privacy avvocato bresciaA seguito dell’importante – e sempre in evoluzione – innovazione tecnologica intervenuta negli ultimi tempi, la tutela della privacy, anche in ambito lavorativo, ha assunto un carattere di primaria importanza.

Il legislatore è così intervenuto adottando misure e sanzioni idonee a garantire e prevenire le violazioni della privacy.

Anche la normativa lavoristica si è conformata a tali mutamenti posto che, rendendo la tecnologia accessibile al datore di lavoro dati del lavoratore un tempo invalicabili, lo Statuto dei Lavoratori (legge n. 300 del 1970) mostrava i primi cedimenti.

Preliminarmente, è doveroso considerare che la nostra Costituzione, all’art. 41, prevede la libertà di iniziativa economica del datore di lavoro, intesa come potere di dettare regole per l’esecuzione del lavoro che i lavoratori sono tenuti a rispettare.

Di conseguenza, il datore di lavoro ha il potere di controllare che i propri dipendenti svolgano l’attività conformemente alle regole dallo stesso impartite.

Tuttavia, tale libertà trova il suo limite nel diritto del lavoratore al rispetto della riservatezza, della dignità personale ed infine del diritto di libertà di espressione e comunicazione.

Da qui l’esigenza del contemperamento dei diritti contrapposti e quindi la regolamentazione dei poteri del datore di lavoro, la cui disciplina è prevista dallo Statuto dei Lavoratori (L. n. 300 / 1970).

In particolare, gli articoli 4 e 8 della L. n. 300/1790 hanno la finalità di tutelare i lavoratori dai controlli invasivi nell’ottica di garantire la sfera di riservatezza in osservanza degli artt. 1, 2, 13, 14 e 15 della Costituzione.

L’art. 4 limita il cd. controllo a distanza dell’attività del lavoratore e l’art. 8 vieta al datore di lavoro l’indagine su opinioni (politiche, religiose o sindacali) del proprio dipendente.

L’art. 4 ha poi perseguito la sua finalità attraverso la previsione di una procedura autorizzativa che deve aver luogo presso l’Ispettorato del lavoro o in sede sindacale: in virtù dell’art. 23, D.lgs. n. 151/2015[1] (conosciuto anche come Jobs Act), tale procedura è obbligatoria solo per impianti e strumenti per i quali derivi anche la possibilità di controllo a distanza, ma non anche agli strumenti di lavoro da cui può comunque derivare un controllo, come ad esempio dispositivi mobile, pc o tablet: ciò in quanto l’utilizzo di tali strumenti è così immanente alla prestazione che, secondo il Legislatore, viene meno l’utilità di una qualsiasi procedura per autorizzarlo.

Ecco che, gli artt. 4 e 8 della L. n. 300/1970, devono essere letti in combinato disposto con la disciplina sulla privacy, dunque con il D.lgs. n. 196/2003, modificato dal Regolamento UE 679 del 2016 per effetto del D.lgs. 10 agosto 2018, n. 101, entrato in vigore il 19 settembre del 2018.

Il Regolamento Europeo 2016/679 (noto anche come GDPR) ha avuto il compito di armonizzare il diritto europeo in materia di privacy.

Uno dei pilastri sul quale si fonda il suo impianto normativo è il principio dell’accountability che si traduce in una responsabilizzazione del titolare del trattamento dei dati, il quale non è un mero esecutore di misure imposte da una norma, bensì diviene responsabile delle misure operative e tecniche che riterrà opportune, efficaci ed adeguate per salvaguardare i dati che tratta.

Ecco che, come si anticipava, la tutela della privacy del lavoratore deve osservare, sulla scorta del principio dell’accountability, altri due principi fondamentali: quello della privacy by design e quello della privacy by default.

Tali principi sono disciplinati dall’art. 25 del Reg. UE e sono caratterizzati da un approccio concettuale innovativo che impone alle aziende l’obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti e le corrette impostazioni a tutela dei  dati personali.

Il principio di privacy by design[2] è basato sulla valutazione del rischio (risk based approach) con il quale viene determinata la misura di responsabilità del titolare o del responsabile del trattamento; esso tiene conto della natura, della portata del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti.

Il principio di privacy by default (cd. prevenzione per impostazione predefinita) prevede, invece, la trattazione da parte delle imprese di dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario per i fini perseguiti.

L’introduzione di tali due principi, da un lato, obbliga le imprese a predisporre una valutazione di impatto privacy ogni volta che avviano un progetto che prevede un trattamento di dati e, dall’altro lato, impone al titolare dei dati del lavoratore di trattarli minimizzando i rischi di un loro trattamento illecito.

Per trattamento illecito dei dati si intende la violazione dei seguenti principi:

  • Principio di necessità: i sistemi informativi ed i programmi informatici devono essere configurati riducendo al minimo l’utilizzazione dei dati personali e di dati identificativi in relazione alle finalità perseguite.
  • Principio di correttezza: le caratteristiche essenziali dei trattamenti devono essere note ai lavoratori.
  • Principio di pertinenza e non eccedenza: i trattamenti devono essere effettuati per finalità determinate, esplicite e legittime (il datore di lavoro deve trattare i dati “nella misura meno invasiva possibile”).

*********************

In conclusione si può affermare che, nonostante siano stati previsti e definiti i principi fondamentali per il corretto trattamento dei dati in ambito professionale, in ragione della continua evoluzione della tecnologia, le descritte misure (nazionali ed europee) a tutela della privacy del lavoratore saranno destinate ad indebolirsi sistematicamente, comportando continui interventi da parte del legislatore.

[1] Modificato dal D.lgs. n. 185/2016 (cd. decreto correttivo).

[2] Il concetto di privacy by design risale al 2010, già presente negli Usa e Canada e poi  adottato nel corso della trentaduesima Conferenza Mondiale dei Garanti Privacy. La definizione fu coniata da Ann Cavoukian, Privacy Commissioner dell’Ontario (Canada).

Condividi l'articolo:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *