GDPR e rapporto di lavoro subordinato

Plico di riviste

Le possibili interazioni tra la tutela della privacy e il controllo dei lavoratori rappresentano, ad oggi, un tema di estrema attualità in considerazione della sempre maggiore presenza di strumenti tecnologici nei luoghi di lavoro. In questa sede s’intende approfondire la disciplina del trattamento dei dati personali nel rapporto di lavoro in virtù del Regolamento europeo in materia di protezione di dati personali n. 679/2016 (noto con l’acronimo “GDPR”) entrato ufficialmente in vigore il 24 maggio 2016 nonché del D.lgs. 101/2018, pubblicato in Gazzetta Ufficiale il 4 settembre 2018, che ha adeguato il D.lgs. 196/2003 (il “Codice Privacy”) al GDPR.

Il primo richiamo in materia lavoristica è previsto al Considerando n. 52 del GDPR che, con riferimento al divieto di trattare categorie particolari di dati personali previsto dall’art. 9, paragrafo 1 del Regolamento stesso, consente una deroga quando è prevista dal diritto dell’Unione o degli Stati membri, nel rispetto di garanzie che siano idonee a proteggere i dati personali e altri diritti fondamentali. La deroga è limitata al caso in cui il trattamento sia effettuato nell’interesse pubblico. La prescrizione in esame fa espresso riferimento al trattamento dei dati personali nel settore del diritto del lavoro allorché avvenga per finalità inerenti alla salute, compresa la sanità pubblica e la gestione dei servizi di assistenza sanitaria e, soprattutto, al fine di assicurare la qualità e l’economicità delle procedure per soddisfare le richieste di prestazioni e servizi nell’ambito del regime di assicurazione sanitaria, o a fini di: archiviazione nel pubblico interesse, ricerca, statistici. La deroga dovrebbe anche consentire di trattare tali dati personali quando è necessario per accertare, esercitare o difendere un diritto in sede giudiziale, amministrativa o stragiudiziale.

Il rigore caratterizzante le deroghe è dimostrato inoltre dal considerando n. 54 del GDPR il quale prevede che il trattamento delle categorie particolari di dati può risultare necessario per motivi di interesse pubblico, nei settori della sanità pubblica, senza il consenso dell’interessato. La prescrizione specifica che il predetto trattamento non dovrebbe comportare che lo stesso avvenga per altre finalità da parte di terzi, tra i quali si segnalano i datori di lavoro.

Il GDPR, con il considerando n. 155, lascia agli Stati membri ampia discrezionalità sulla possibilità di prevedere norme specifiche per il trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro. Nello specifico per quanto riguarda le condizioni alle quali possono essere trattati i dati personali nei rapporti di lavoro sulla base del consenso del dipendente per finalità di assunzione, esecuzione del contratto di lavoro e ogni connesso trattamento.

Ne consegue che gli Stati membri hanno un’ampia discrezionalità in materia che, se da un lato fa sperare nell’adozione da parte dei legislatori nazionali di norme che prevedano una cornice di garanzie a protezione della riservatezza dell’interessato, tenuto conto anche della sempre maggior pervasività della tecnologia e dell’informatica nella realtà aziendale, dall’altro potrebbe comportare una carenza di uniformità e di armonizzazione all’interno dell’Unione Europea.

La garanzia prevista dall’art. 9, paragrafo 1, consistente nel divieto di trattare dati personali particolari che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale nonché dati genetici, biometrici, relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, viene derogata nei casi previsti dal paragrafo 2.

In materia lavoristica il trattamento dei predetti dati personali è lecito laddove sia necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, fatte salve appropriate garanzie per i diritti fondamentali e gli interessi dell’interessato.

L’articolo 9 del GDPR riprende l’elemento discrezionale di cui al considerando n. 155, che accorda agli Stati membri ampi margini di manovra sui casi in cui è possibile derogare al principio generale di cui al paragrafo 1 con riferimento ai dati personali dei lavoratori.

Con riferimento al trattamento di dati personali relativo all’ambito dei rapporti di lavoro, la norma cardine è l’art. 88 del GDPR. Il paragrafo 1 prevede che gli Stati membri possano prevedere, con legge o tramite contratti collettivi, norme specifiche con riguardo a tutte le finalità connesse al rapporto di lavoro per assicurare la protezione dei diritti e delle libertà dei dipendenti individuando una serie di ambiti nei quali il potere di controllo o di ingerenza del datore di lavoro sui dati dei dipendenti deve essere limitato. Ancora una volta viene riservata agli Stati membri ampia discrezionalità, che si concretizza nella possibilità di utilizzare contratti collettivi e accordi aziendali, per disciplinare il trattamento dei dati personali nei rapporti di lavoro. Un limite al margine discrezionale accordato agli Stati membri e alla potenziale discrasia tra le normative nazionali si sostanzia sulla predominante esigenza di tutelare i diritti fondamentali degli interessati così come previsto all’articolo 88, paragrafo 2. Il contemperamento dell’esigenza di funzionalità dell’impresa che il datore di lavoro persegue, anche attraverso il controllo dell’operato dei lavoratore da un lato, e la salvaguardia della sfera privata del lavoratore dall’altro, spetta al Legislatore nazionale, il quale deve tener conto dell’incessante evoluzione tecnologica e della conseguente mutevolezza dei rischi connessi.

L’atteso intervento del Legislatore italiano, necessario al fine di adeguare il testo del Codice Privacy alle prescrizioni del GDPR, si è concretizzato con l’adozione del D.lgs. 101/2018 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.

L’articolo 9 del D.lgs. 101/2018 ha modificato la parte II, titolo VIII, del Codice Privacy relativa ai trattamenti di dati personali effettuati nell’ambito dei rapporti di lavoro. La nuova formulazione dell’articolo 111 del Codice Privacy supera il riferimento all’adozione, da parte dei soggetti pubblici e privati che trattano dati personali nel rapporto di lavoro, dei codici di condotta che vengono sostituiti da regole deontologiche fatto salvo il dovere del datore di lavoro, quale titolare del trattamento dei dati del dipendente di fornire specifiche informazioni, predisponendo un’apposita informativa, adeguate ai trattamenti connessi all’esecuzione del rapporto di lavoro.

L’inciso “prevedendo anche specifiche modalità per le informazioni da rendere all’interessato”, previsto nell’ultima parte della norma, fa sì che la libertà delle forme prevista dall’articolo 111 non pregiudichi il diritto dell’interessato di essere adeguatamente informato ai sensi degli artt. 13 e 14 del GDPR sul trattamento dei suoi dati personali. Il predetto intervento normativo, per quanto attiene alle modalità specifiche da utilizzare per le informazioni sul trattamento dei dati personali da rendere al lavoratore tiene conto del prevalente indirizzo giurisprudenziale che riconosce la liceità delle operazioni di trattamento, relative all’acquisizione e al trattamento dei dati nonchè al controllo dei lavoratori, nel caso in cui il datore abbia efficacemente messo a conoscenza l’interessato sull’informativa privacy aziendale (Lopéz Ribalda e altri c. Spagna (Ric. nn. 1874/13 e 8567/13), Bărbulescuc. Romania [GC], 61496/08).

Il nuovo articolo 111-bis prevede che le informazioni di cui all’articolo 13 del GDPR debbano essere fornite, dal datore di lavoro, al momento del primo contatto utile successivamente all’invio spontaneo del curriculum da parte dell’interessato. Inoltre, per l’esecuzione delle misure precontrattuali adottate su richiesta dell’interessato ovvero per l’esecuzione di un contratto non è dovuto il consenso al trattamento dei dati personali presenti nel curriculum. Non si tratta di una novità rispetto alla disciplina nazionale previgente ma di un intervento diretto ad armonizzare la disciplina in materia.

Alla luce del framework privacy in vigore, ciascun datore di lavoro ha la facoltà di adottare discrezionalmente regole deontologiche, in applicazione del principio di accountability a cui è ispirato l’intero GDPR, che tengano in considerazione le peculiarità del settore merceologico di riferimento e la concreta realtà imprenditoriale. La valutazione attuata dal datore di lavoro non può, tuttavia, prescindere dalla tutela dei diritti fondamentali dell’interessato.

In conclusione, per quanto concerne il trattamento dei dati personali nei rapporti di lavoro, si può affermare che il GDPR e il D.lgs. 101/2018 si pongano in continuità con la normativa nazionale previgente.

Scritto da