Il 25 maggio 2018 ha acquisito piena efficacia nel territorio dell’Unione europea il Regolamento Generale sulla Protezione dei Dati 2016/679, approvato definitivamente dal Consiglio e dal Parlamento europeo in data 27 aprile 2016. Per mezzo di tale intervento, il legislatore europeo ha inteso dotarsi di una disciplina organica idonea, peraltro, ad assicurare – quanto meno negli intenti dei proponenti – una forma di omogeneità applicativa nella totalità degli Stati europei. Invero, con la Direttiva 95/46/CE, cui si deve, con riferimento all’ordinamento italiano, la successiva approvazione del Decreto legislativo 30 giugno 2003, n. 196 (Codice della Privacy), si era registrata negli anni una significativa difformità nel recepimento dei singoli Stati.
Sulla base di quanto riscontrabile direttamente nel testo del regolamento, in particolare, la predetta Direttiva si sarebbe rivelata insufficiente ad eliminare la percezione in capo ai cittadini dell’Unione della sussistenza di concreti rischi per la protezione delle persone fisiche, con particolare riferimento alle operazioni compiute telematicamente. In tal senso, ad un’applicazione diversificata tra i vari ordinamenti – resa inevitabile dalla scelta, quale fonte del diritto, dello strumento della direttiva – sarebbe conseguito un vero e proprio ostacolo alla “libera circolazione dei dati personali all’interno dell’Unione” e, con ciò, un possibile “freno all’esercizio delle attività economiche su scala dell’Unione” (considerando n. 9). Per quanto, quindi, residui un ampio margine di manovra dei singoli Stati membri nell’emanazione di leggi ad hoc dotate di un maggior grado di dettaglio e atte a regolare specifiche condizioni di trattamento dei dati, il ricorso allo strumento del regolamento ha permesso l’emersione di una disciplina che, a prescindere dalla nazionalità o dal luogo di residenza, consenta di addivenire ad uno standard minimo di diritti azionabili dalle persone fisiche e di obblighi posti in capo agli operatori economici.
Ciò premesso, l’assetto normativo che va configurandosi si presta ad avere ricadute dotate di una certa rilevanza anche – e, probabilmente, soprattutto – con riferimento al rapporto di lavoro, posto che la garanzia di riservatezza dei dipendenti approntata, tra gli altri, dall’art. 4 dello Statuto dei Lavoratori unita alle prescrizioni di cui al D.Lgs. 30 giugno 2003, n. 196 e alle pronunce del Garante della Privacy non sempre hanno, negli anni, prodotto interpretazioni concordanti in merito alla liceità del trattamento dei dati acquisiti in costanza di rapporto, ai limiti alla loro utilizzabilità e alla potenziale attitudine al controllo dell’attività lavorativa di taluni strumenti di volta in volta individuati.
Orbene, occorre preliminarmente rilevare come, tra le novità presenti nel Regolamento, sia rinvenibile una nuova definizione di dato personale, che finisce per configurarsi come una “qualsiasi informazione riguardante una persona fisica identificata e identificabile”, intendendosi quale “identificabile”, la persona che possa individuarsi sulla base di un “nome, un numero di identificazione, dati relativi all’ubicazione” ovvero – e, in ciò, può riscontrarsi un primo elemento inedito – “un identificativo online” (art. 4). In termini giuslavoristici, possono quindi ritenersi senz’altro rientranti nell’ambito di applicazione della normativa, oltre, come noto, alle informazioni sul lavoratore relative al proprio rapporto contrattuale con il datore, ai dati anagrafici, ai dati sanitari, agli eventuali procedimenti giudiziari, anche quegli elementi rilevabili via web mediante l’utilizzo degli strumenti informatici aziendali e direttamente ricollegabili al dipendente (si pensi, a titolo meramente esemplificativo alla casella di posta elettronica aziendale, oggetto, peraltro, della recente pronuncia della Corte Europea dei Diritti dell’uomo, n. 61496/08 del 2017).
Ad ogni modo, in ossequio alle prescrizione del Regolamento, le Pubbliche Amministrazioni, da un lato, e le imprese, dall’altro, sono chiamate all’adozione di particolari misure a salvaguardia della riservatezza che giova singolarmente esaminare.
Il principio di accountability
Si segnala, in primo luogo, l’adozione del principio di accountability quale pilastro fondamentale della nuova concezione di privacy europea. In particolare, tradotto letteralmente “responsabilità” o “responsabilizzazione”, trattasi di un approccio al tema della riservatezza richiedente una nuova concezione culturale e organizzativa a livello aziendale. In particolare, a tale nuovo approccio si deve l’abbandono di una modalità di tutela dei dati basata principalmente sulla presenza di misure minime di sicurezza e obblighi in negativo, in favore di misure attive che delineino, all’interno del contesto aziendale, un’organizzazione complessiva di misure giuridiche e tecniche idonee a vario titolo a proteggere adeguatamente i dati personali. Ciò comporta, in primo luogo, maggiori oneri posti in capo al titolare del trattamento dei dati, che sarà chiamato, al netto del rischio di sanzioni, a dimostrare di essersi dotato di uno specifico modello organizzativo conforme al Regolamento europeo in oggetto. Per quanto residui a favore del titolare un comunque ampio margine di discrezionalità della scelta delle misure e metodologie di tutela adeguate, questi sarà, in ogni caso, chiamato, in linea generale, a motivare e documentare compiutamente l’adozione delle stesse. Va da sé che, come peraltro espressamente disciplinato all’art. 24 del Reg., ogni scelta organizzativa deve essere ponderata sulla base della specifica “natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento”, tenendo, altresì, conto dei possibili rischi “aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche”.
Quanto sopra si presta indubbiamente a favorire la posizione del singolo lavoratore, nella propria relazione contrattuale, posto che lo stesso potrà astrattamente contare su un modello di tutela della propria riservatezza predeterminato, che consenta a questi un pieno esercizio dei propri diritti. Ciò vale, in particolare, ove ai nuovi strumenti delineati dal Regolamento (consistenti, con riferimento al principio di accountability, principalmente in adempimenti formali e a sistemi di responsabilità), si accompagnino misure di sicurezza effettive.
La nuova figura del Data Protection Officer
Al Regolamento in oggetto si deve, tra gli altri, l’introduzione di una particolare figura professionale, di cui le imprese saranno chiamate a dotarsi, che tende a sovrapporsi ovvero ad affiancarsi al titolare del trattamento di cui al Codice della Privacy. Il c.d. Data Protection Officer (DPO), tradotto “responsabile della protezione dei dati”, potrà individuarsi tra i lavoratori già alle dipendenze dell’azienda o della Pubblica Amministrazione ovvero esternamente mediante la stipula di un contratto di servizi.
Tale figura sarà, in particolare, obbligatoria nelle aziende pubbliche e nelle imprese private all’interno delle quali il trattamento possa presentare specifiche criticità, ossia richiedenti “il monitoraggio regolare e sistematico degli interessati su larga scala” ovvero “di categorie particolari di dati personali” (art. 37), tra cui le informazioni idonee a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, la salute, la vita sessuale, l’orientamento sessuale e dati biometrici e genetici (i c.d. dati sensibili). Trattasi di una figura pressoché già presente negli ordinamenti angolassoni, ove talvolta nelle imprese può notarsi la presenza di un Chief Privacy Officer, di un Privacy Officer ovvero di un Data Security Officer. Una volta individuato, da parte dell’azienda, il DPO di riferimento, tale decisione andrà tempestivamente comunicata, a norma dell’art. 37, all’autorità di controllo (per l’Italia, come noto, il Garante della Privacy). Il professionista ricoprirà un ruolo di rilievo nel contesto aziendale; lo stesso andrà, infatti, puntualmente e adeguatamente coinvolto “in tutte le questioni riguardanti la protezione dei dati personali” (art. 38) e, per tutte le informazioni raccolte nell’espletamento dei propri compiti e per qualsivoglia esigenza di adeguamento dell’organizzazione, questi avrà la facoltà di riferire direttamente al vertice gerarchico dell’impresa, “bypassando”, quindi, il titolare del trattamento e finendo, di fatto, per rappresentare un vero e proprio sovrintendente in materia di privacy.
Quali specifiche funzioni possono inquadrarsi, a norma del Regolamento, in capo al DPO?
Ebbene, seppur nell’ambito di un’attività ad ampio raggio, il Regolamento specifica (all’art. 39) taluni – e non esaustivi – compiti a questi demandati:
- “informare e fornire consulenza al titolare del trattamento” in merito alla disciplina europea posta a tutela della privacy, con riferimento, in particolare, al Regolamento 2016/679;
- sensibilizzare e formare il personale aziendale che possa ritrovarsi a trattare dati personali o a svolgere attività di controllo;
- cooperare, quando necessario, con il Garante della Privacy, fungendo da punto di contatto tra lo stesso e l’impresa;
- “fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati”, nonché sorvegliarne l’effettivo svolgimento.
Ciò detto, occorre rilevare come, nell’inevitabile incertezza interpretativa derivabile dalla genericità delle norme richiamate, il Garante della Privacy sia recentemente intervenuto a precisare, in particolare, il livello di qualificazione professionale da valutarsi con riferimento alla selezione del DPO. Con una nota del 28 luglio 2017, infatti, il Garante, esprimendosi in merito alla richiesta di un’azienda sanitaria e nel ribadire la generale prescrizione di cui all’art. 37 del Reg. 2016/679 (“è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”), ha chiarito come il livello di conoscenze specialistiche richieste debba parametrarsi sulla base della complessità e del volume di dati sensibili trattati in azienda. Possono, invero, senz’altro essere prese in considerazione le esperienze formative, quali “master, corsi di studio e professionali” e, con esclusivo riferimento alle Pubbliche Amministrazioni, viene in rilievo altresì la conoscenza delle norme, sostanziali e processuali, di diritto amministrativo. Seppur in assenza di un apposito albo dei Responsabili della Protezione dei Dati e di una specifica modalità di abilitazione allo svolgimento dei compiti di cui sopra, a dire del Garante, devono per di più aver rilievo elementi inerenti le relative qualità personali, come il possesso di “elevati standard deontologici”, tra cui correttezza, lealtà e integrità di condotta.
Il registro delle attività del trattamento
Ogni azienda titolare del trattamento sarà, poi, chiamata all’assolvimento dell’obbligo di tenere un registro delle attività di trattamento, nonché di effettuare una valutazione d’impatto sulla protezione dei dati personali. Quest’ultima, in particolare, andrà svolta in seguito alla redazione, da parte del Garante, di un pubblico elenco in cui saranno inserite le tipologie di trattamento soggette all’obbligo di valutazione. Quanto al registro predetto, lo stesso rappresenta uno degli adempimenti necessari alla concretizzazione del c.d. principio di accountability precedentemente richiamato. Infatti, all’interno di tale documento dovranno annotarsi, da parte del titolare, i trattamenti posti in essere in azienda, con un aggiornamento costante e con specifico riferimento alle relative finalità, alle categorie di destinatari, all’eventuale trasferimento di dati, accompagnati, ove possibile, da “una descrizione generale delle misure di sicurezza tecniche e organizzative” adottate (art. 30). Un simile strumento, che lo stesso regolamento nega aver natura di mero adempimento formale quanto più “parte integrante di un sistema di corretta gestione dei dati personali”, si presta ad assumere un’importanza fondamentale quale elemento probatorio circa la corretta organizzazione dell’impresa ai fini della liceità dei trattamenti e dell’adeguatezza delle misure di sicurezza, anche – e, probabilmente, soprattutto – al fine di evitare la comminazione di sanzioni che, come si vedrà in seguito, appaiono del tutto ingenti. E’, peraltro, data facoltà al Garante della Privacy, di richiederne, in ogni momento, l’esibizione per compiere accertamenti di varia natura.
Occorre, in proposito, sottolineare come siano escluse dall’ambito di operatività dell’obbligo di cui sopra, le imprese e le organizzazioni che abbiano alle proprie dipendenze meno di 250 lavoratori. Residua, in ogni caso, un buon margine di incertezza interpretativa in merito a tale esenzione, posto che lo stesso Regolamento, nell’esonerare le piccole e medie aziende da tale adempimento, ne richiede comunque la stesura ove, a prescindere dal numero di dipendenti, queste diano luogo a trattamenti che possano presentare un “rischio per i diritti e le libertà dell’interessato” (art. 30, comma 5) ovvero includano dati sensibili o dati personali relativi a condanne penali. Appare del tutto evidente come dalla genericità della norma possa, con buona probabilità, dedursi una portata dell’esenzione assai ridotta.
Il diritto all’oblio
Tra le previsioni più attese vi è senz’altro l’esplicita – e inedita – regolamentazione del diritto all’oblio. Le persone fisiche, in particolare, possono vedersi cancellati “senza ingiustificato ritardo” (art. 17) i propri dati personali da parte del titolare del trattamento, ogniqualvolta: gli stessi non risultino più necessari alla luce delle relative e predeterminate finalità; l’interessato revochi il consenso o si opponga al trattamento in assenza di altri fondamenti giuridici che lo legittimino; i dati siano stati acquisiti in maniera illecita. Ove una delle condizioni richiamate sia da ritenersi sussistente, il titolare del trattamento è chiamato ad una cancellazione integrale, comprendente anche ogni link informatico o copia/riproduzione di altro tipo. Deve, con ciò, ritenersi rientrante nell’ambito di applicazione di tale obbligo anche la necessaria deindicizzazione dei dati, ossia la relativa eliminazione dai motori di ricerca.
La codicizzazione del diritto all’oblio si presta ad offrire maggiori tutele anche ai dipendenti, ma – occorre precisare – richiede, in ogni caso, un bilanciamento con altri principi di rilevanza comunitaria, tra cui il diritto di informazione, come a più riprese osservato dalla giurisprudenza europea e nazionale. La configurazione della fattispecie si deve, infatti, agli approdi dell’elaborazione giurisprudenziale degli ultimi anni. In particolare, si segnala la pronuncia della Corte di Giustizia europea del 2014 (C-131/12), con la quale i giudici europei hanno affermato, nel riconoscere un generale diritto alla deindicizzazione di un dato personale rintracciabile in Internet, come la cancellazione debba intendersi esclusa se la notizia cui si richiede l’eliminazione sia attuale e di interesse pubblico (in senso totalmente analogo, si legga Corte di Cassazione, sentenza n. 23771 del 3 dicembre 2015). Anche in virtù di tale pronunce, lo stesso Regolamento si preoccupa di specificare come il diritto all’oblio possa ritenersi limitato, ove: la conservazione del dato sia imposta dal necessario esercizio del diritto di espressione e informazione; per adempiere un obbligo legale; “per eseguire un compito di interesse pubblico o nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento, per motivi di interesse pubblico nel settore della sanità pubblica, a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, ovvero per accertare, esercitare o difendere un diritto in sede giudiziaria”, con una valutazione e un opportuno bilanciamento da operarsi in sede giurisdizionale.
Le ulteriori previsioni
Occorre, altresì, esaminare taluni degli ulteriori elementi di novità disciplinati dal legislatore europeo. In particolare, al predetto Regolamento si deve una nuova determinazione dell’ambito territoriale di applicazione. A norma dell’art. 3 le disposizioni a tutela della privacy si applicheranno, infatti, anche ove il trattamento sia concretamente effettuato al di fuori del territorio dell’Unione ma con riferimento ad uno stabilimento aziendale situato all’interno e, ancora, ove i dati si riferiscano ad un interessato che si trovi nell’Unione ma vengano trattati da un titolare “o da un responsabile del trattamento che non” sia “stabilito nell’Unione”. Ciò comporta, in ambito giuslavoristico, maggiori garanzie offerte ai lavoratori delle multinazionali che, al netto della presenza o meno all’interno del territorio europeo delle figure individuate dall’impresa quali titolari del trattamento, godranno di una tutela della propria riservatezza ad ampio raggio.
Si registra, altresì, l’implementazione degli oneri informativi. Allorquando, infatti, i dati non siano raccolti direttamente presso l’interessato, questi ha diritto ad un’adeguata informativa in merito, tra gli altri aspetti, a:
- “l’esistenza del diritto di revocare il consenso in qualsiasi momento”;
- il diritto a provvedere alla presentazione di un reclamo al Garante;
- informazioni sulla logica utilizzata dall’impresa titolare del trattamento in un eventuale processo decisionale automatizzato;
- il diritto di richiedere al titolare la rettifica o la cancellazione dei dati (il c.d. “diritto all’oblio” precedentemente richiamato) e, altresì, il diritto alla portabilità dei dati (art. 14).
Ne consegue una necessaria rivisitazione dei modelli di informativa attualmente utilizzati dalle aziende con riferimento all’utilizzo di particolari strumenti dai quali possa discendere un controllo dell’attività lavorativa, nonché delle specifiche modalità di effettuazione.
L’apparato sanzionatorio
Passando, da ultimo, all’esame delle sanzioni (amministrative pecuniarie) applicabili in caso di violazioni del Regolamento, giova rilevare come l’art. 83 individui due gradi di gravità cui far conseguire l’irrogazione. In particolare, è prescritta:
- una sanzione fino a euro 10.000.000 ove la violazione riguardi: le condizioni applicabili al consenso dei minori, i trattamenti non richiedenti l’identificazione dell’interessato, l’intera disciplina dei titolari del trattamento e dei responsabili della protezione, le norme sulla sicurezza dei dati esulla certificazione;
- una sanzione fino a euro 20.000.00 ove la violazione riguardi: i principi di base del trattamento, i diritti degli interessati, il trasferimento dei dati a destinatari di Paesi terzi o organizzazioni internazionali, l’inosservanza di un ordine o limitazione posto dal Garante della Privacy.
E’, poi, affidato ai singoli Stati il compito di individuare ulteriori sanzioni, di natura prevalentemente penale, purché, a mente dell’art. 84 Reg., siano “effettive, proporzionate e dissuasive”.
Ciò detto, va altresì rilevato come il Regolamento, oltre a sancire espressamente il diritto al riconoscimento di un risarcimento (art. 82) di eventuali danni patiti in forza di una violazione regolamentare innanzi all’Autorità giudiziaria dello Stato membro di riferimento, si preoccupi di ripartire specificatamente tale responsabilità tra i soggetti che concretamente effettuino il trattamento. In particolare, a rispondere saranno sia i titolari del trattamento che i responsabili, con la specificazione che i secondi saranno chiamati al risarcimento esclusivamente ove la violazione riguardi proprie specifiche attribuzioni. Questi risultano, invero, esonerati da qualsivoglia obbligo di ristoro, come noto, ove dimostrino che l’evento dannoso non sia agli stessi imputabile.
In definitiva, si osserva come le decisioni dell’Autorità di controllo (per l’Italia, come detto, il Garante della Privacy) possano per esplicita previsione regolamentare (art. 78) essere impugnate da chiunque vi abbia interesse “dinanzi alle autorità giurisdizionali dello Stato membro in cui l’autorità di controllo è stabilita”.