La raccomandazione CM/Rec (2015)5 del Consiglio d'Europa sul trattamento dei dati nel contesto del rapporto di lavoro: alcuni spunti di riflessione per il caso Italia

La raccomandazione CM/Rec (2015)5 del Consiglio d’Europa sul trattamento dei dati nel contesto del rapporto di lavoro: alcuni spunti di riflessione per il caso Italia

di Marcoccio Gloria

Versione PDF del documento

Introduzione

Il Consiglio d’Europa (Council of Europe, COE) il primo Aprile 2015 ha adottato una importante raccomandazione  – CM/Rec(2015)5in tema di trattamento dati personali nel contesto del rapporto di lavoro, con particolare attenzione per gli aspetti derivanti dall’uso delle nuove tecnologie e  strumenti  di comunicazione elettronica nel trattamento di dati ed informazioni, che possono comportare specifici rischi per i diritti e le libertà fondamentali dei lavoratori nonché  violazioni al rispetto della loro privacy e dignità umana.

Il tema è di innegabile interesse in Italia soprattutto in questo periodo di grande attesa e ampio discutere sul Job Act e relative questioni riguardo le possibilità di controllo remoto dei lavoratori ex art 4 legge 300/70 mediante i nuovi strumenti di comunicazione ed elaborazione delle informazioni (ICT Information & Communication Technology), utilizzati anche al di fuori dei contesti lavorativi.

La Raccomandazione del Consiglio di per se non comporta requisiti normativi  di natura obbligatoria, ma in quanto espressione comune dei 47 paesi membri COE che l’hanno votata, rappresenta un importante punto di riferimento e di influenza, ben più che di principio astratto, cui le rilevanti legislazioni nazionali sono chiamate ad allinearsi.

Struttura della Raccomandazione ed alcuni punti di attenzione

La Raccomandazione è strutturata in due parti, la prima presenta, oltre allo scopo ed alcune definizioni di base, gli 11 principi generali che andrebbero rispettati nel trattamento dei dati dei lavoratori nel contesto del rapporto di lavoro:

–  3. Rispetto per i diritti la dignità e le liberta fondamentali delle persone

–  4. Applicazione dei principi di trattamento dati

–  5. Raccolta e conservazione dei dati

–  6. Uso interno dei dati (da parte del datore di lavoro)

–  7. Comunicazione dei dati e utilizzo dei sistemi ICT da parte delle organizzazioni di rappresentanza dei lavoratori

–  8. Comunicazione esterna dei dati (da parte del datore di lavoro)

–  9. Trattamento di dati sensibili

– 10. Trasparenza nel trattamento dei dati

– 11. Diritti di accesso  e di rettifica dei dati e di opposizione al trattamento

– 12. Sicurezza dei dati

– 13. Conservazione dei dati

la seconda parte invece riporta i principi specifici per “Particolari forme di trattamento” che sono appunto quelle più direttamente connesse agli utilizzi di particolari sistemi ICT che possono determinare condizioni di effettivo impatto sulla sfera privata del lavoratore nel contesto lavorativo:

– 14. Uso di internet e comunicazioni elettroniche sul luogo di lavoro

– 15. Sistemi informativi e tecnologie per il controllo del lavoratore, videosorveglianza inclusa

-16. Dispositivi in grado di rilevare la posizione geografica del lavoratore

– 17. Meccanismi interni di reporting (nel riferire possibili condotte illecite)

-18. Dati Biometrici

– 19. Test ed analisi di natura psicologica e similari procedure

-20. Altri trattamenti che pongono specifici rischi per i diritti dei lavoratori

-21. Misure aggiuntive

Interessante notare che la Raccomandazione prevede espressamente la possibilità di ricorrere alla emanazione di Codici di Condotta come strumenti di implementazione dei suoi principi. Certamente un tale approccio, se ottenuto come risultato condiviso tra autorità competenti ed organizzazioni di settore di rappresentanza sia dei lavoratori sia dei datori di lavoro, potrebbe essere ritenuto valido da molteplici punti di vista.

Tra le novità che caratterizzano la Raccomandazione,  nel suo intento di rappresentare i punti nodali dei nuovi contesti e strumenti lavorativi, sono di particolare rilievo queste indicazioni rivolte al datore di lavoro:

  • non richiedere al lavoratore/candidato l’accesso a sue informazioni disponibili nei social network cui aderisce (principio 5.3)
  • l’attenzione alla delimitazione di finalità e proporzionalità dei trattamenti nei casi, sempre più frequenti, di acquisizioni o distaccamenti di rami di azienda (principio 6.4)
  • la trasparenza nel fornire al lavoratori una chiara e completa descrizione delle categorie dei loro dati trattati nei sistemi ICT aziendali (principio 10.3)
  • l’attenzione nel bilanciare le esigenze investigative dell’azienda (si pensi ad esempio alle responsabilità dell’ente ex D.Lgs 231/01) con l’esercizio dei diritti dei lavoratori (principio 11.7)
  • l’attenzione nel conservare il minimo indispensabile i dati acquisiti da parte di candidati in relazione ad una determinata offerta di lavoro e nel cancellarli se il candidato lo richiede (principio 13.2, di portata non certo banale nel settore del mercato del lavoro)
  • in sede di conclusione del rapporto di lavoro:  gestire la chiusura e regolamentare l’accesso alle informazioni scambiate dal lavoratore mediante strumenti aziendali (e mail ma non solo) (principio 15.1 sicuramente di non banale applicazione)
  • in occasione dell’introduzione di nuovi sistemi ICT aziendali da cui possa derivare  controllo sui lavoratori: procedere con una preventiva consultazione  con le rappresentanze dei lavoratori (principio 15.1, questo aspetto sarà discusso più avanti in questo articolo)
  • in caso di azioni legali tra lavoratore e datore di lavoro: espressamente prevista la possibilità che i lavoratori possano ricevere una copia delle registrazioni effettuate dai sistemi ICT aziendali da cui possano derivare controlli sui lavoratori (principio 15.3)
  • per i trattamenti connessi ai sistemi ICT aziendali: richiesta l’attenzione specifica per sistemi aziendali di geolocalizzazione dei lavoratori (principio 16), le procedure whistleblowers (principio 17), i meccanismi da attivare come Privacy Impact Analysis (PIA, come ampiamente prevista dalla futura regolamentazione UE sulla protezione dei dati) e come disciplina di sistematica informazione, consultazione e/o accordo con le rappresentanze dei lavoratori (principi 20 e 21) per particolari tipi di sistemi e condizioni.

Le principali corrispondenze nella normativa italiana

Va subito evidenziato che per i paesi UE che sono anche membri COE l’impianto comune della normativa europea in materia di protezione dati personali (l’attuale direttiva 95/46/CE seppure recepita in modo diverso nei 28 paesi UE) insieme all’operato ed i provvedimenti emanati dalle singole autorità nazionali per la privacy, offrono già una base di  sintonia con i principi indicati nella Raccomandazione, mentre invece per altri paesi COE il processo di allineamento normativo, ripetiamo volontario e non obbligatorio, potrebbe essere più complesso da attuare.

Per quanto concerne l’Italia, la normativa di riferimento ed in vigore è costituita  dal Codice Privacy D.Lgs 196/03, i provvedimenti specifici adottati dal Garante Privacy, ed ovviamente l’art 4 delle legge 300/70 con il quale è disciplinata ad oggi la possibilità di utilizzare sistemi che comportino indirettamente il controllo remoto sui lavoratori – previo accordo con le rappresentanze sindacali, in difetto del quale è previsto il ricorso a procedura autorizzativa che il datore di lavoro dovrà attivare con i competenti uffici per il Lavoro.

Principi di qualità e  minimizzazione nel trattamento (art 3 ed 11 del Codice Privacy), Informativa (art 13 del Codice Privacy), Consenso (art 23, 24, 26 del Codice Privacy), Esercizio dei diritti degli Interessati (art 7 e seguenti del Codice Privacy), misure organizzative (art 29 e 30 del Codice Privacy), misure di sicurezza minime e commensurate ai rischi specifici (Allegato B e art 31 del Codice Privacy) rappresentano l’impianto di base che già ad oggi, opportunamente declinato nel contesto lavorativo, fornisce una solida struttura di allineamento ai principi espressi dalla Raccomandazione. In particolare poi l’art 17 del Codice Privacy – Verifica Preliminare del Garante Privacy  – ad oggi rappresenta il processo da seguire quando il datore di lavoro (titolare di trattamento dei dati) intende effettuare un trattamento dei dati del lavoratore che possa comportare specifici rischi per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità di trattamento o agli effetti che il trattamento di per se può determinare. Inoltre l’art 113 del Codice Privacy (Controllo a distanza, con rimando diretto all’art 4 della legge 300/70) ed il successivo art.114 (Telelavoro e lavoro a domicilio), forniscono la  generale delimitazione del campo d’azione del datore di lavoro nell’effettuare particolari trattamenti di dati nel contesto lavorativo.

Anche il Garante Privacy con diversi provvedimenti generali nel corso di questi anni ha contribuito a determinare il complesso articolato che il datore di lavoro in quanto titolare di trattamento dati deve osservare, tra i quali, il Provvedimento del 2014 sui dati biometrici, il Provvedimento del 2010 in materia di Videosorveglianza, Il Provvedimento del 2007 sull’utilizzo di internet e posta elettronica sul luogo di lavoro, le linee guida del 2006 nel trattamento dei dati nel contesto di lavoro pubblico e privato e le Autorizzazioni generali riguardo il trattamento dei dati sensibili/giudiziari (in particolare le Autorizzazioni n.1 e n.2).

I punti nodali degli adempimenti nei  rapporti con le rappresentanze sindacali e le autorità privacy

In particolare l’insieme dei principi 15 (controllo indiretto), 16 (geolocalizzazione), 18 (dati biometrici),  20 (trattamenti con specifici rischi per i diritti e le libertà fondamentali) e 21 (misure aggiuntive) evidenziano le complessità che devono essere affrontate a livello di rapporti tra datore di lavoro, lavoratori, rappresentanze dei lavoratori ed autorità competenti per la privacy.

In generale per tutti i sistemi ICT che trattano dati dei lavoratori la Raccomandazione indica sempre la necessità per il datore di lavoro di procedere con una analisi mirata ad individuare possibili impatti per i diritti e le libertà fondamentali dei lavoratori: se individuati si prospetta il preventivo accordo con le rappresentanze dei lavoratori (principio 20).

Per i due casi di trattamento: dati biometrici e dati di geolocalizzazione, risulta sufficientemente chiaro e oggettivamente condivisibile che in conseguenza della natura critica di questi trattamenti in termini di impatti sul diritto alla privacy, sulle libertà fondamentali e sulla dignità del singolo, la Raccomandazione richieda il rango massimo di contromisure (nel rispetto delle applicabili leggi nazionali), includendo tra queste quelle previste dal principio 21:

-completa ed aggiornata informativa ai lavoratori

-adozioni di appropriate misure interne aziendali (protocolli procedurali, misure di sicurezza,…)

-preventiva consultazione tra datore di lavoro e rappresentanze dei lavoratori: quando da tale consultazione emerge la possibilità che possano essere violati  i diritti del lavoratore alla sua privacy e dignità, procedere con l’accordo tra datore di lavoro e rappresentanze dei lavoratori

-consultazione dell’autorità nazionale competente per la privacy

Diversamente, per il caso dei sistemi aziendali che trattano dati del lavoratore per finalità organizzative, produttive e connesse alla sicurezza del lavoro ma dai quali possa derivare un controllo sui lavoratori (principio 15), tra le misure addizionali del principio 21, la Raccomandazione individua come certamente necessaria almeno la consultazione tra datore di lavoro e rappresentanze dei lavoratori.

La soluzione normativa per un tale complesso non si prospetta facile né da progettare né tantomeno da attuare nel rispetto dei diversi ruoli e competenze in gioco (in Italia: il Garante Privacy con la Verifica Preliminare ex art 17 Codice Privacy e la possibilità di individuare casi di bilanciamento interessi tra datore di lavoro e lavoratori ai fini dell’esenzione del consenso ex art 24 Codice Privacy, le rappresentanze sindacali con l’attuale procedura ai sensi dell’art 4 della legge 300/70 e possibili sue  variazioni a seguito di quanto previsto dal Job Act).

In ogni caso la Raccomandazione offre senz’altro alcuni spunti per poter delineare una soluzione normativa rispettosa dei diritti e degli interessi dei lavoratori e dei datori di lavoro, tenendo comunque presente  l’esigenza di valorizzare i contributi da parte delle autorità competenti e delle organizzazioni di rappresentanza, ma con procedure e tempistiche adeguate alle dinamiche del mondo del lavoro.

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!