La normativa privacy, sia italiana che europea, ha tra i propri principi cardine quello della “adeguata informativa” quale presupposto per ogni trattamento di dati personali.
Del resto, il diritto alla protezione dei propri dati personali è innanzitutto diritto della persona fisica a mantenere il controllo sulla circolazione delle informazioni personali che la riguardano.
E perché tale controllo possa essere effettuato, è indispensabile che l’interessato sia adeguatamente informato su chi sta trattando i suoi dati e per quali finalità, sui soggetti terzi ai quali tali dati potrebbero essere trasferiti, su quali diritti possa esercitare con riguardo ai predetti dati.
Il diritto all’informativa è riconosciuto anche al lavoratore nei confronti del datore di lavoro, con riguardo al trattamento dei suoi dati nell’esecuzione del rapporto di lavoro.
Con particolare riguardo alla materia giuslavoristica, va ricordato che nell’art. 4 dello Statuto dei Lavoratori, come novellato nel 2015 dal Jobs Act, presupposto per l’utilizzo da parte del datore di lavoro dei dati raccolti attraverso strumenti di lavoro (anche informatici/telematici, quali tablet, pc, smartphone, ecc. nonché attraverso strumenti di registrazione degli accessi e delle presenze), è garantire una adeguata informazione sulle modalità d’uso degli strumenti e sulle modalità di effettuazione del controllo.
Il passaggio nevralgico del “nuovo” art. 4 dello Statuto, con riguardo ai dati raccolti dal datore attraverso i predetti strumenti è quindi la necessaria “trasparenza del controllo”.
Se la filosofia dello Statuto dei Lavoratori del 1970 era imperniata sulla procedimentalizzazione del potere di controllo dell’imprenditore in chiave collettiva (presupponendo per l’installazione di determinati strumenti con potenzialità di controllo, l’accordo con il Sindacato o l’autorizzazione del Ministero), oggi la nuova norma valorizza la dimensione individuale (propria, del resto, di un diritto quale quello alla tutela della propria riservatezza).
Per comprendere quanto sia fondamentale la “adeguata informazione” nel rapporto di lavoro, val la pena segnalare un passaggio di un recente provvedimento del Garante per la protezione dei dati personali, n. 547 del 22 dicembre 2016: “….il datore di lavoro, pur avendo la facoltà di verificare l’esatto adempimento della prestazione lavorativa ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve in ogni caso salvaguardarne la libertà e la dignità e, in applicazione dei principi di liceità e correttezza dei trattamenti di dati personali, informare in modo chiaro e dettagliato circa le consentite modalità di utilizzo degli strumenti aziendali e l’eventuale effettuazione di controlli anche su base individuale… L’assenza di una esplicita policy al riguardo può determinare una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione”.
Ciò detto, visto che il Legislatore del 2015 non specifica cosa si intenda per “adeguata informazione”, quale parametro non può che utilizzarsi la definizione di “informativa” fornita dalla normativa italiana e europea in materia di privacy.
Il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, specifica molto più nel dettaglio rispetto al Codice della Privacy italiano le caratteristiche dell’informativa, che deve innanzitutto avere forma concisa e trasparente; occorre utilizzare un linguaggio chiaro e semplice.
Il Regolamento punta quindi ad una semplificazione della informativa, che la renda agevolmente intellegibile per l’interessato, tant’è che “sponsorizza” la cosiddetta informativa “stratificata”, in particolare attraverso l’impiego di icone associate a contenuti più estesi, che devono essere facilmente accessibili.
Sarà quindi necessario individuare un ragionevole compromesso tra l’esigenza di completezza e adeguatezza, da un lato, e quella di semplificazione e chiarezza, dall’altro.
L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online: si vedano art. 12, paragrafo 1, e considerando 58), anche se sono ammessi “altri mezzi”, quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui sopra (art. 12, paragrafo 1).
Il titolare deve specificare i dati di contatto del Data Protection Officer, ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti.
Vanno ovviamente specificate le finalità del trattamento e le modalità dello stesso, il che permette all’interessato di verificare ex post che non siano trattati dati “eccedenti” rispetto alle finalità dichiarate e, in caso contrario, di azionare gli strumenti di tutela che la legge gli offre.
Il Regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente“: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.
Se il trattamento comporta “processi decisionali automatizzati”, l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.
Nel caso dell’informazione in materia di “strumenti di lavoro” e potenziali controlli da fornirsi al lavoratore ai sensi dell’art. 4 Statuto dei Lavoratori, l’individuazione delle finalità ed una corretta, chiara e trasparente esplicitazione delle stesse costituirà per i datori di lavoro un momento “chiave” al fine di garantire l’utilizzabilità dei dati raccolti, nonché per evitare azioni giudiziali da parte dei dipendenti.
È poi consigliabile sfruttare l’occasione del necessario adeguamento delle proprie policy interne alla normativa giuslavoristica ex art. 4 Statuto dei Lavoratori (come novellato nel 2015) per allinearsi sin d’ora alle nuove indicazioni e prescrizioni europee innanzi richiamate, in vista della piena applicazione del Regolamento a decorrere dal 25 maggio 2018.
