La lettura della recentissimo monografia di Pasquale Chieco su Privacy e lavoro

ABSTRACT

La monografia, edita nella collana di Ricerche di Diritto del lavoro e di relazioni industriali, diretta da B. Veneziani, M.G. Garofalo e U. Carabelli, è dedicata all’analisi delle più rilevanti questioni –sistematiche ed operative- poste dalla emanazione della l. 31.12.1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali) in relazione alla gestione informatica (e non) delle informazioni concernenti il lavoratore.

In proposito, non vi è dubbio che l’amplissima nozione legale di dato personale (costituito da "qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante il riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale") insieme a quella altrettanto vasta di trattamento (che rinvia a "qualsiasi operazione o complesso di operazioni, svolti con o senza l’ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati") fanno sì che ogni attività del datore di lavoro il cui svolgimento implichi la raccolta e l’utilizzazione di informazioni concernenti il lavoratore cada nell’ambito di applicazione della l. n. 675/96 nonché della complessa disciplina che ne è derivata.

Tuttavia, un elemento sistematico di grande rilevanza sta nel fatto che la legge in questione salvaguarda espressamente le prescrizioni dello Statuto dei lavoratori nonché quelle altre "disposizioni di legge che stabiliscono divieti o limiti più restrittivi in materia di trattamento di taluni dati personali" (art. 43, 2° co.).

Ed è proprio questa norma di salvaguardia a costituire la base di partenza (cap. I) ed il costante punto di riferimento del percorso interpretativo e della costruzione dogmatica dell’A. che si sviluppa nel solco della specialità della disciplina lavoristica e, in particolare, dei limiti "conoscitivi" stabiliti dall’art. 8 st. lav., vero e proprio filtro attraverso cui selezionare gli spazi e modulare i limiti di applicazione delle disposizioni generali della legge 675/96. Ciò, anche in considerazione del mancato esercizio della delega conferita al Governo con la l. 31.12.1996, n. 676, nella parte in cui, tra gli altri interventi sector by sector, si disponeva che venisse data attuazione nel nostro ordinamento alla Raccomandazione del Consiglio d’Europa n. R(89)2 del 19.1.1989, che avrebbe costituito l’occasione per adeguare le disposizioni generali della l. 675/96 alle specifiche necessità e caratteristiche -strutturali e funzionali- del trattamento dei dati personali del lavoratore.

A parere dell’A., la specialità della disciplina lavoristica si manifesta, anzitutto, nel ridisegnare il rapporto tra libertà di trattamento del titolare della banca dati e libertà dal trattamento del soggetto a cui le informazioni si riferiscono (c.d. interessato). Per un verso, invero, il datore di lavoro non è libero di determinare gli scopi ed i contenuti del trattamento dei dati personali del proprio dipendente (o aspirante tale) in quanto gli uni e gli altri devono rispondere al divieto e, ancor più, ai limiti funzionali prescritti dall’art. 8 st. lav. che impone la connessione necessaria (esaltata dalla l. 675/96: v. infra) tra informazione e valutazione delle attitudini professionali. Per altro verso, la natura imperativa della norma statutaria vale a predeterminare l’ambito di rilevanza del consenso del lavoratore che varrà quale condizione di legittimazione al trattamento del datore di lavoro (ex art. 11, l. 675/96) solo in quanto quest’ultimo si svolga nel rispetto dei limiti da quella imposti.

Tuttavia, il ruolo del consenso è profondamente diverso a seconda che il trattamento riguardi dati di natura comune ovvero "sensibile" [Sono di natura sensibile "i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale" (art. 22, 1° co., l. 675), nonché "i dati personali idonei a rivelare provvedimenti di cui all’art. 686, commi 1, lettere a) e d), 2 e 3, del codice di procedura penale" (art. 24, l. 675)].

Infatti, a differenza delle informazioni ascrivibili a quest’ultima categoria (v. oltre), la raccolta e l’uso da parte del datore di lavoro di dati di natura comune non sono condizionati all’assenso dell’interessato quando si svolgano per adempiere ad un obbligo posto dalla legge, da un regolamento o dalla normativa comunitaria, ovvero siano necessari per dare esecuzione agli obblighi derivanti da un contratto "del quale è parte l’interessato o per l’acquisizione di informative precontrattuali attivate su richiesta di quest’ultimo" [art. 12, lett. a) e b), l. 675/96]. Si tratta, invero, di ipotesi in grado di "coprire" integralmente i trattamenti effettuati dal datore di lavoro dalle quali, peraltro, deriva secondo l’A. la conseguenza che l’eventuale comportamento del lavoratore che si rifiuti di fornire dati comuni configuri (anche alla luce dell’art. 8 st. lav.) un vero e proprio inadempimento.

Tuttavia, a questo regime, fanno eccezione le operazioni di comunicazione e diffusione delle informazioni, sottoposte ad una specifica disciplina che consente di prescindere dal consenso dell’interessato solo ove esse avvengano (tra le altre ipotesi non direttamente rilevanti in materia) in adempimento di un obbligo di legge, di regolamento o di fonte comunitaria [art. 20, lett. c), l. 675/96]. In particolare, l’A. ritiene del tutto condivisibile (per diverse ragioni) la scelta del legislatore di non riproporre qui l’altra ipotesi di esenzione all’operatività della regola del consenso, quella legata all’adempimento di un obbligo contrattuale o precontrattuale (scelta fortemente contestata dalla dottrina giuslavorista)

Ciò comporta che anche le comunicazioni al sindacato dei dati comuni dei lavoratori siano soggette alla preventiva acquisizione del consenso degli interessati, ovviamente non necessario quando si tratti di fornire informazioni anonime (alias, non personali).

Questa conclusione, tuttavia, introduce ad una tematica di notevole spessore sistematico in quanto funge da introduzione alla questione (con la quale si chiude il I cap.) della stessa legittimità dei trattamenti effettuati ex novo dal datore di lavoro al fine di dare esecuzione agli obblighi di informazione previsti dalla parte c.d. obbligatoria del contratto collettivo. Una cosa, infatti, è la comunicazione (previo consenso) di informazioni ordinariamente detenute e trattate dal datore di lavoro, altra cosa è la raccolta di nuovi dati sul lavoratore ovvero l’esecuzione di operazioni di ulteriore elaborazione di quelli già detenuti, finalizzate alla comunicazione alle oo.ss.

In proposito, la conclusione proposta nel saggio, in base alle stesse definizioni della L. 675/96, è che tali trattamenti vadano correttamente inquadrati (e disciplinati) a partire dalla individuazione in capo alle oo.ss. della qualità di "titolari" dei trattamenti stessi. In altri termini, non il datore di lavoro, mero "incaricato", ma ognuno degli organismi sindacali nel cui interesse i dati dei lavoratori vengono assunti, elaboratori e, infine, comunicati, assumerebbe la qualità di soggetto "cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento" [art. 1, 2° co., lett. d), l. 675]. In tal modo, il baricentro della disciplina non sarebbe più rappresentato dalla speciale normativa destinata al datore di lavoro bensì da quella ordinariamente applicabile alle associazioni. In ogni caso, ove non si acceda a questa ricostruzione, il I cap. del saggio si conclude con l’argomentata opinione dell’A. secondo cui le operazioni datoriali di raccolta e di elaborazione di dati personali esclusivamente motivate dagli obblighi di informazioni verso le oo.ss. non sono legittime, poiché travalicano i limiti funzionali posti dall’art. 8 st. lav. e dall’art. 9 della l. 675/96.

Quest’ultima disposizione, in particolare, introduce il c.d. principio di finalità alla cui analisi è dedicato l’intero II cap. del libro. Esso impone che debba sussistere un rapporto di corrispondenza necessaria tra scopi "determinati, espliciti e legittimi" del trattamento e dati raccolti (art. 9, lett. b). Questi ultimi, in particolare, dovranno essere, oltre che "esatti e, se necessario, aggiornati" (art. 9, lett. c), "pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati" (art. 9, lett. d), e utilizzati "in modo lecito e secondo correttezza" (art. 9, lett. a).

Ora, l’interazione di queste prescrizioni con la normativa lavoristica (a partire dall’art. 8 st. lav.), vale anche qui a costruire ulteriori ed importanti tratti della "speciale" regolamentazione riservata alla raccolta e alla gestione dei dati personali dei lavoratori.

Questa, invero, a parere dell’A. si articola, in primo luogo, nella necessaria "frantumazione" dei diversi trattamenti operati dal datore di lavoro in quanto l’esecuzione del contratto non può assurgere a funzione-cornice entro cui effettuare indistintamente operazioni di raccolta, registrazione, elaborazione, comparazione ecc. delle informazioni concernenti il lavoratore. Ciò, peraltro, non significa escludere la loro (legittima) circolazione entro i diversi archivi aziendali, in quanto lo stesso art. 9 consente che i dati raccolti per un determinato scopo possano essere utilizzati "in altre operazioni di trattamento non incompatibili". Nozione, quest’ultima, di non facile lettura che, tuttavia, può essere colta e delimitata a partire dai caratteri di liceità, di pertinenza e di non eccedenza che il dato personale (ri)utilizzato deve possedere in relazione allo scopo (diverso da quello di raccolta) di volta in volta perseguito.

In secondo luogo, l’interazione dell’art. 8 st. lav. con l’art. 9, l. 675/96, impone di delimitare radicalmente il disposto dell’art. 17, 2° co., della legge lì dove consente l’adozione di decisioni (c.d. automatizzate) "che implichino una valutazione del comportamento umano" frutto di un trattamento automatizzato dei dati personali "volto a definire il profilo o la personalità dell’interessato".

In terzo luogo, i suddetti referenti normativi consentono di individuare il momento di maturazione del c.d. "diritto all’oblio" che comporta la trasformazione in forma anonima o la distruzione dei dati una volta raggiunto lo scopo per il quale erano stati raccolti e registrati. A tal proposito, in ragione dell’affermazione che scopo immanente quanto coessenziale dei trattamenti datoriali è quello di dare prova dell’adempimento degli obblighi ovvero del corretto esercizio dei diritti, l’A. sostiene che il diritto all’oblio maturi (salvo diversa determinazione legale) in coincidenza con lo spirare del termine di prescrizione.

Altra tematica di grande rilievo (alla quale è interamente dedicato il III cap.) è quella attinente alla disciplina riservata ai dati di natura sensibile la cui specificità consiste nella introduzione (ex art. 22, l. 675/96), ai fini del loro trattamento, di due requisiti di legittimazione: il consenso (sempre) necessario e scritto dell’interessato e l’autorizzazione del Garante per la protezione dei dati personali.

Circa il primo requisito, esso manifesta interamente in questa disciplina tutta la sua rilevanza sistematica in quanto è espressione della "signoria" dell’interessato sulle informazioni che lo riguardano e si pone quale condizione interdittiva al concreto esercizio della libertà del titolare di trattarle. Ovviamente, specie con riferimento a rapporti che, come quello di lavoro, sono caratterizzati da un squilibrio di potere e di forza a vantaggio del titolare, la manifestazione volitiva dell’interessato non è garanzia di effettività della sua libertà di autodeterminazione, a maggior ragione quando il consenso si ponga quale "passaggio" necessario per ottenere un bene o un servizio a cui l’interessato aspiri. Ciò, tuttavia, secondo l’A. non giustifica le critiche, a tratti radicali, che sono emerse nel dibattito giuslavoristico. Per un verso, infatti, la necessità di esprimere il consenso al trattamento di specifici dati per determinati scopi, è elemento che, in concreto, innalza la soglia di attenzione e di consapevolezza del lavoratore rispetto all’uso di informazioni sul suo conto di particolare delicatezza. Per altro verso, la configurazione della manifestazione volitiva dell’interessato quale requisito di legittimazione al trattamento vale a qualificarne l’esercizio in termini di vero e proprio diritto sicché (diversamente che per i dati comuni) il diniego del lavoratore non sarà mai suscettibile di essere sanzionato sul piano contrattuale, potendo dare luogo solo a fattispecie di impossibilità sopravvenuta.

In ogni caso, a dare maggiore "spessore" alla tutela del lavoratore vi è l’autorizzazione del Garante il cui preventivo rilascio costituisce l’altro requisito di legittimazione per procedere al trattamento dei dati di natura sensibile.

In proposito l’Authority ha provveduto al rilascio di provvedimenti generali di durata annuale per "categorie di titolari o di trattamenti" (art. 41, 7° co, l. 675/96), tra i quali l’aut. n. 1/1999 in vigore al momento di pubblicazione della monografia, avente ad oggetto "il trattamento dei dati sensibili nei rapporti di lavoro" (la nuova aut. n.1/2000 del 29.9.2000, ha un contenuto identico alla precedente).

Si tratta di una disciplina di particolare complessità, anche per le interazioni con le altre autorizzazioni generali (concernenti ad es. i trattamenti svolti dai consulenti del lavoro) il cui ambito di applicazione, oltre ad abbracciare tutte le tipologie di contratti di lavoro e di formazione, include anche ai lavoratori autonomi (consulenti, liberi professionisti, agenti, rappresentanti, mandatari, collaboratori che effettuano prestazioni coordinate e continuate, persone fisiche che ricoprono cariche sociali, associati in partecipazione ecc.), con effetti rilevanti in termini di allargamento delle norme e delle garanzie poste a tutela dei lavoratori subordinati anche a queste figure di collaboratori del datore di lavoro.

Peraltro, molto opportunamente, l’aut. n. 1/1999 (così come la n.1/2000) è destinata, oltre che ai datori lavoro, anche alla "attività svolta dal medico competente in materia di igiene e di sicurezza del lavoro" [punto 1), par. 2°], il quale sembra perciò assumere la qualità formale di titolare del relativo trattamento.

Circa la disciplina, va preliminarmente segnalato come essa salvaguardi espressamente, come già la l. 675/96, i limiti posti in particolare dall’art. 8 st. lav., dall’art. 6 della l. n. 135/1990 (in tema di accertamenti su infezioni da virus HIV) nonché "le norme i materia di pari opportunità o volte a prevenire discriminazioni", che costituiscono, pertanto, l’orizzonte normativo entro il quale la regolamentazione dell’Authority dichiara di porsi.

In questo contesto, il punto 3) dell’autorizzazione individua espressamente e tassativamente gli scopi per il cui perseguimento il datore di lavoro può effettuare il trattamento dei dati sensibili del lavoratore che, nel complesso, sono in grado di far fronte a tutte le necessità legate all’amministrazione dei contratti di lavoro.

In proposito, nella monografia viene analizzato ognuno degli scopi tipizzati dal Garante, ponendo in risalto le particolari e delicate problematiche che alcuni di essi pongono (ad es. in tema di gestione dei dati da parte di imprese di tendenza o finalizzata all’esercizio dei diritti in sede giudiziaria ovvero all’adempimento degli obblighi informativi posti dai contratti collettivi, anche aziendali), e viene altresì affrontata la questione della portata normativa dell’ulteriore elencazione di tipologie di dati e di finalità di cui al punto 4) dell’aut.: elencazione ritenuta dall’A. non tassativa ma meramente esemplificativa.

Il IV cap. è poi dedicato alla particolare regolamentazione riservata dalla l. 675/96 ai trattamenti operati dai soggetti pubblici. Infatti, la gestione dei dati comuni da parte della P.A. è consentita solo per lo svolgimento di funzioni istituzionali nel rispetto dei limiti stabiliti dalla legge o dai regolamenti (art. 27, 1° co.), mentre per i dati sensibili è sempre necessaria una "espressa disposizione di legge nella quale siano specificati i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite" (art. 22, 3° co.). Ne consegue che nessun rilievo la legge attribuisce al consenso dell’interessato.

Ebbene, del tutto irragionevolmente tale disciplina trova applicazione anche ai trattamenti dei dati personali (comuni e sensibili) dei dipendenti della P.A., con la conseguenza che risulta profondamente contraddetto il processo di privatizzazione dei rapporti di lavoro di cui ai decreti legislativi n. 29/1993 e n. 80/1998 e, in ultima analisi, si profilano seri dubbi sulla legittimità costituzionale dell’assetto che ne deriva.

In ogni caso, pur scontando questa grave contraddizione, l’applicabilità alla P.A. della disciplina statutaria e degli altri limiti approntati dall’ordinamento lavoristico consente all’A. di sostenere che lo speciale regime di tutela riservato al lavoratore trovi alla fine modo di affermarsi anche nei confronti dell’agire pubblicistico (in subiecta materia) del datore di lavoro pubblico. Ed anzi, tale tutela risulta per alcuni versi rafforzata per ciò che concerne i dati di natura sensibile, sottoposti alla specifica disciplina di cui al d. lgs. 11.5.1999, n. 135 (Disposizioni integrative della legge 31 dicembre 1996, n. 675, sul trattamento dei dati sensibili da parte di soggetti pubblici). Ciò, non tanto con riferimento alla disposizione espressamente dedicata ai rapporti di lavoro (art. 9) che pecca di eccessiva genericità, quanto piuttosto in relazione alle prescrizioni generali (artt. 2, 3 e 4) che introducono modalità e cautele particolarmente incisive nella gestione dei dati sensibili.

Nel ripercorrere i tratti salienti della l. n. 675/96 e del suo impatto nel trattamento dei dati personali dei lavoratori, l’A. ritiene che un ruolo di primissimo piano competa ai diversi meccanismi attraverso i quali viene realizzata quella "procedimentalizzazione" del potere informatico del datore di lavoro, oggetto del V ed ultimo cap. del libro.

In proposito, piuttosto che la notificazione del trattamento che il datore di lavoro deve effettuare al Garante, assumono particolare rilievo tutti quei passaggi procedurali (quali l’informativa all’interessato, la nomina e l’assegnazione formale dei compiti ai responsabili ed agli incaricati del trattamento, le misure di sicurezza di cui al d.p.r. 28.7.1999, n. 318) grazie ai quali si realizza l’obiettivo di rendere trasparente la gestione informatica dei dati personali dei lavoratori. Obiettivo di trasparenza culminante nei c.d. "diritti informatici" (art. 13, l. 675/96) che garantiscono al lavoratore interessato di ottenere dal datore di lavoro ovvero dal responsabile la comunicazione "in forma intellegibile" dei dati trattati e della loro origine "nonché della logica e delle finalità su cui si basa il trattamento" [art. 13, 1° co., lett. c), n. 1]. Il tutto, al fine di verificare la correttezza dell’attività e delle operazioni compiute e, se del caso, di richiedere (all’A.G.O. o al Garante) "la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge", oppure "l’aggiornamento, la rettificazione ovvero, qualora vi abbia interesse, l’integrazione dei dati" [art. 13, 1° co., lett. c), nn. 2 e 3].

Non vi è dubbio, tuttavia, che un ulteriore e, forse, decisivo elemento di effettività nell’attuazione di questi diritti risieda nella possibilità offerta al lavoratore interessato di delegarne (per iscritto) l’esercizio "a persone fisiche o ad associazioni" (art. 13, 4° co., l.675/96). Invero, l’esercizio in forma collettiva dei diritti informatici rappresenta l’evoluzione più avanza dei meccanismi di controllo nei confronti dei "padroni dell’informazione" e chiama alla ribalta, nella nostra materia, il ruolo delle organizzazioni sindacali che appaiono, naturaliter, come i soggetti destinatari della delega. Del resto, che i soggetti collettivi abbiano un posizione strategica deriva dalla stessa Raccomandazione n. R(89)2 del 18.1.1989 lì dove prevede che, prima dell’installazione di sistemi automatizzati per la raccolta e l’uso dei dati personali dei lavoratori, il datore di lavoro debba attivare una procedura di informazione e consultazione dei rappresentati dei lavoratori, espressamente finalizzata a ricercare l’accordo.

Di qui, la necessità che venga rimesso in moto il processo di attuazione della raccomandazione, avviato ma non portato a termine con la legge delega n. 676/1996. Nel frattempo, l’A. è dell’opinione che i sistemi informatizzati di trattamento dei dati personali dei lavoratori rimangano soggetti alla disciplina dettata dall’art. 4 st. lav.