FERMARE I SATRAPI

Il Diritto alla riservatezza tra tutela della persona, regole processuali ed esigenze di informazione

La tutela della privacy nei luoghi di lavoro

Sommario: 1.- Premessa normativa. 2.- Accesso in generale ai dati personali detenuti dal datore di lavoro e diritto di chiedere la rettifica e/o la cancellazione degli stessi. In particolare accessibilità delle valutazioni. 3.- L’utilizzazione di strumenti di videosorveglianza, informatici e di “tecnologie avanzate ” sul posto di lavoro e tutela della riservatezza dei lavoratori. 4.-Trattamento di dati relativi alle opinioni politiche, religiose o a dati attinenti lo stato di salute del dipendente. 5.- L’uso di Internet e della posta elettronica sul luogo di lavoro 6.- Brevi cenni alle altre disposizioni del codice in materia di lavoro e conclusioni.

1.- Premessa normativa

Il titolo della relazione che mi è stato assegnata mi ha indotto a riflettere sui confini da dare a questa breve chiacchierata.

Mi si chiede di illustrare “la tutela della privacy nei luoghi di lavoro” ed ho inteso quindi limitare la mia analisi agli aspetti relativi alla gestione vera e propria del rapporto senza soffermarsi quindi sulla fase che precede l’instaurazione del rapporto di lavoro stesso e dunque al trattamento dei dati con riguardo alla disciplina del mercato del lavoro introdotta con il d.lg. n. 276 del 2003 che pure ha sollevato e solleva una serie di questioni*.

Sul tema della tutela del diritto alla riservatezza dei lavoratori si sono da lungo tempo cimentati i commentatori¹. D’altra parte riferimenti normativi utili erano già rinvenibili nell’art. 2087 c.c., che impone al datore di lavoro di adottare le misure necessarie a tutelare tra l’altro ”la personalità morale dei prestatori di lavoro”.

Ma una vera e propria statuizione positiva del diritto alla riservatezza sul luogo di lavoro si ha con lo Statuto dei lavoratori.

La legge 300 del 1970 costituisce ancora oggi la cornice entro la quale obbligatoriamente si muove la più dettagliata disciplina della tutela del trattamento dei dati personali dettata dal Codice della Privacy.

Sebbene i principi generali in materia di trattamento dei dati personali vi siano già stati compiutamente illustrati, tuttavia alcune indicazioni di carattere generale sono utili a me stessa per tentare di non omettere riferimenti indispensabili.

In primo luogo la Carta dei Diritti Fondamentali dell’Unione Europea firmata a Nizza nel 2000 che nel capo II dedicato alle “Libertà”, ha sancito all’art. 15 la libertà “professionale” ed il diritto di lavorare da intendersi come “libertà di cercare un lavoro, di lavorare, di stabilirsi o di prestare servizi in qualunque Stato membro” e come diritto per i cittadini di paesi terzi di avere “condizioni di lavoro equivalenti a quelle di cui godono i cittadini dell’Unione”.

Inoltre la carta dedica ben 9 articoli (dal 27 al 35 del capo IV intitolato alla Solidarietà) all’individuazione di diritti che assicurino un sufficiente livello di dignità e garanzia sul luogo di lavoro.

Assoluta novità è poi la statuizione dell’art. 8 , sempre nel capo II, che da una definizione positiva del diritto alla protezione dei dati di carattere personale attribuendogli così rilievo costituzionale.

Questo viene individuato come il diritto di “ogni individuo” e, non semplicemente dei cittadini dell’Unione, a che i suoi dati siano trattati “secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge.”.

A ciò si accompagna il “diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica”. Va ricordato poi che la stessa disposizione prescrive che il rispetto dei principi dettati a tutela del diritto alla protezione dei dati personali è espressamente demandato al controllo di un’autorità indipendente².

Passando alla disciplina positiva della tutela della riservatezza con specifico riferimento al rapporto di lavoro si deve fare riferimento, nel quadro più generale del citato art. 2087 c.c. e dell’art. 1 dello Statuto - che, come a tutti noto, disciplina la libertà di opinione intesa come libera manifestazione del pensiero senza alcuna distinzione di opinioni politiche, sindacali e di fede religiosa - agli artt. 2,3,4,5,6 e 8 della legge n. 300 del 1970 che attengono ai limiti entro i quali il datore di lavoro può esercitare il suo potere di controllo avvalendosi di persone e/o strumenti tecnici (artt. 2-6) ed al divieto, sia all’atto dell’assunzione che nel corso del rapporto, di svolgere indagini su opinioni politiche religiose o sindacali del lavoratore oltre che “su fatti non rilevanti ai fini della valutazione dell’attitudine professionale” (art. 8).

In questa cornice più generale si inserisce la disciplina specifica dettata dal d.lg. 196/2003, il Codice in materia di protezione dei dati personali (il c.d. Codice della privacy) che si caratterizza per il tentativo di dare una compiuta ed esaustiva disciplina del trattamento dei dati personali.

Una prima osservazione di carattere terminologico mi sembra opportuna.

Già con la legge 675 del 1996, che ha recepito la direttiva comunitaria, il concetto di tutela della “riservatezza” subisce un mutamento di prospettiva.

Come si usa dire la privacy non è più quel diritto che nel mondo anglosassone veniva efficacemente descritto come “right to be let alone” (diritto ad essere lasciato solo) ma si tramuta piuttosto in un controllo positivo dei flussi dei dati da parte del soggetto interessato (nel nostro caso del lavoratore).

In un contesto come quello del rapporto di lavoro dove la raccolta di dati personali è indispensabile e del tutto fisiologica allo svolgimento del rapporto stesso la riconosciuta possibilità per il lavoratore dipendente di avere il “controllo” delle informazioni raccolte dal datore di lavoro e di condizionarne l’utilizzazione rafforza senza dubbio la tutela non solo della riservatezza in senso più stretto ma anche della identità personale del lavoratore che nel contesto lavorativo ha diritto non solo di limitare la diffusione di notizie che lo riguardano ma anche di proiettare una sua “immagine” il più possibile aderente alla realtà.

Tornando alla disciplina positiva contenuta nel Codice, le disposizioni a cui fare riferimento per definire il quadro normativo applicabile ai rapporti di lavoro sono ovviamente quelle di carattere generale delle quali si è già parlato (nozione di dato personale, tipologie dei dati, principi generali sul trattamento, informativa, consenso finalità, modalità, etc, individuazione dei soggetti che effettuano il trattamento, misure di sicurezza, diritti dell’interessato, strumenti di tutela e rimedi), ma anche e soprattutto alcune più specifiche norme che si riferiscono direttamente al rapporto di lavoro. In particolare gli articoli da 111 a 116, raccolti nel titolo VIII dedicato al lavoro e alla previdenza sociale.

A questo riguardo due precisazioni mi sembrano necessarie.

In primo luogo, va evidenziato che il legislatore ha scelto di demandare la disciplina di dettaglio del trattamento dei dati da parte di datori di lavoro sia pubblici che privati ai codici deontologici, che le associazioni di categoria maggiormente rappresentative dovranno predisporre su impulso dell’Autorità Garante alla quale sarà demandata la verifica di conformità delle disposizioni ai principi generali in materia di trattamento dei dati (cfr. art. 111).

Non v’è dubbio che quello del codice deontologico sia uno strumento di regolazione che meglio può adeguare la disciplina di dettaglio alle concrete e peculiari esigenze dei rapporti di lavoro³. E tuttavia allo stato siamo per così dire ancora ai buoni propositi in quanto la redazione dei codici in materia di lavoro e di previdenza, per quanto è a mia conoscenza, è ancora di là da venire. Allo stato può essere utile segnalare che il Garante con regolamento attuativo delle procedure per la sottoscrizione dei codici deontologici⁴, ha ritenuto di porre in evidenza, seppure nei limiti consentiti dall’art. 12 del Codice che riserva alle organizzazioni maggiormente rappresentative dei titolari del trattamento e dunque dei datori di lavoro, un pregnante ruolo di controllo e intervento a quei soggetti che abbiano un interesse qualificato nel settore in cui il codice troverà applicazione e dunque , per quanto qui interessa ai lavoratori verosimilmente nelle formazioni associative nelle quali sono riuniti ( leggi organizzazioni sindacali). Di fatto, come è agevole immaginare, non si tratterà di un percorso semplice.

Tanto premesso, allo stato, gli indicatori legali di riferimento per datori di lavoro e lavoratori sono proprio le norme dello Statuto e del Codice.

In tale ambito occorre distinguere tra datori di lavoro pubblici e privati.

Ed infatti mentre i primi, in quanto soggetti pubblici, non sono tenuti a chiedere né il consenso dell’interessato né l’autorizzazione al Garante neppure per il trattamento dei dati sensibili pur potendo procedere al trattamento solo se lo stesso è previsto da una disposizione di legge che specifichi i tipi di dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite.

Si noti che diversamente i dati non possono essere trattati affatto.

I secondi, al pari di tutti i titolari di trattamento privati, sono in via generale assoggettati all’intera disciplina che riguarda il trattamento dei dati.

Quanto ai datori di lavoro pubblici, si applicano ovviamente ed in via generale le disposizioni relative al trattamento effettuato da tutti i soggetti pubblici.

Questi si riassumono nella :

• previsione di un limite generale costituito dal necessario ed esclusivo perseguimento del fine istituzionale da cui discende l’esenzione in via generale dall’obbligo di richiedere all’interessato (leggi dipendente pubblico) il consenso al trattamento dei suoi dati (art. 18);

• deroga alla disciplina generale sulla comunicazione dei c.d. dati comuni tra soggetti pubblici, anche in mancanza di una norma di legge o di regolamento, ove questa sia necessaria ancora una volta al perseguimento della funzione istituzionale (eccezion fatta per le comunicazioni o diffusioni di dati a privati che sono ammesse solo nel caso di espressa previsione legale o regolamentare) (art. 19);

• esenzione dal richiedere il consenso e l’autorizzazione al Garante ove il trattamento sia effettuato per finalità di rilevante interesse pubblico;la disciplina è dettata, per il trattamento dei dati sensibili e giudiziari da parte del datore di lavoro pubblico in relazione a rapporti di lavoro di qualunque tipo (dipendente, autonomo, retribuito o non retribuito, parziale, temporaneo etc.) (artt. 20 e 21 e 112 comma 1).

Le finalità di rilevante interesse pubblico sono poi riportate dall’ art. 112 che al secondo comma le indica con un sufficiente grado di dettaglio:

• applicazione della normativa sul collocamento (lett.a);

• garanzia delle pari opportunità ai dipendenti (lett.b);

• accertamento dei requisiti per l’accesso all’impiego o per il mutamento del rapporto già instaurato (sospensione o risoluzione del rapporto, trasferimenti per incompatibilità, conferimento di abilitazioni) (lett.c);

• attività connesse alla definizione dello stato giuridico o economico (compreso equo indennizzo, obblighi retributivi, fiscali, contabili corresponsione di premi o di benefici assistenziali e ciò anche per il personale in quiescenza) (lett.d);

• adempimenti connessi alla normativa in materia di igiene e sicurezza del lavoro, sicurezza e salute della popolazione , materia sindacale (lett. e); accertamenti di responsabilità civile, disciplinare e contabile ed adempimenti connessi all’esame dei ricorsi amministrativi (lett. g);

• partecipazione a giudizi, procedure arbitrali o di conciliazione (lett.h);

• salvaguardia della vita e dell’incolumità delle persone (lett. i);

• gestione dell’anagrafe dei dipendenti e applicazione delle norma in materia di assunzione di incarichi da parte di dipendenti pubblici o di collaboratori o consulenti (lett.l);

• applicazione della normativa in materia di contabilità e rapporti di lavoro a tempo parziale (lett. m);

• svolgimento attività di indagine e ispezione presso soggetti pubblici (lett. n); valutazione della qualità dei servizi resi e dei risultati conseguiti (lett. o).

Altre disposizioni ancora prevedono un regime differenziato per i soggetti pubblici tanto che alcuni commentatori hanno ritenuto di individuare nell’ambito del Codice un vero e proprio Statuto del datore di lavoro pubblico.

Quanto ai datori di lavoro privati, lo si è detto valgono le regole generali in materia di informativa, consenso, comunicazione, diffusione, etc in materia di trattamento dei dati sia per quanto riguarda i dati comuni che per quanto riguarda i dati sensibili.

Tuttavia anche per loro, se si procede ad una accurata lettura delle norme del Codice, è possibile ricavare alcune semplificazioni.

Ad esempio l’art. 24 lett. b) esclude il consenso al trattamento dei dati nel caso in cui tale trattamento sia necessario “per eseguire obblighi derivanti dal contratto del quale è parte l’interessato”. Ne consegue si deve escludere l’obbligo di richiederlo per l’esecuzione di tutte le obbligazioni connesse allo svolgimento del rapporto di lavoro di cui il lavoratore costituisce la parte interessata.

Ugualmente la comunicazione o diffusione dei dati del lavoratore è consentita ove necessitata da un obbligo di legge.

Se poi per i dati sensibili è in via generale necessario il consenso scritto dell’interessato, tuttavia ove titolari del trattamento siano associazioni, enti o organismi senza scopo di lucro, anche non riconosciuti a carattere politico (compresi i partiti), filosofico, religioso o sindacale il trattamento può essere effettuato senza il consenso dell’interessato, ferma la necessità della previa autorizzazione da parte del Garante, quando sia connesso al perseguimento di scopi individuati nell’atto costitutivo e nello statuto e per quelli che derivano da un contratto collettivo e riguardino soggetti e riguardi soggetti che in relazione alle finalità dell’ente “abbiano contatti regolari con l’associazione” (art. 26 comma 4 lett. a); stesse modalità sono previste anche per i dati comuni (art. 24 lett. h).

Ancora l’art. 26 comma 4 lett. d) deroga all’obbligo di richiedere il consenso ove il trattamento sia necessario per adempiere a obblighi o compiti previsti dalla legge, da regolamenti, da normativa comunitaria “per la gestione del rapporto di lavoro” anche con riguardo alla materia dell’igiene e sicurezza del lavoro, previdenza, assistenza sempre nei limiti dell’autorizzazione del Garante e nel rispetto della disciplina dettata dai codici deontologici.