Una recente ordinanza del Tribunale di Udine, sezione lavoro, ha stabilito la legittimità del licenziamento effettuato dal datore di lavoro, nei confronti di un dipendente colpevole di aver rifiutato la firma dell’ “atto di designazione a incaricato per le persone autorizzate al trattamento di dati personali ai sensi del decreto legislativo 30 giugno 2003 numero 196 (codice privacy) e successive modifiche”.
L’ordinanza ripercorre le ragioni giuridiche e sostanziali del datore di lavoro e rappresenta un’ottima finestra su quella che è la struttura e l’approccio corretto alla formalizzazione dei ruoli privacy all’interno di un’azienda.
Punto centrale del provvedimento disciplinare del datore di lavoro, ossia la sospensione del dipendente, è quello dell’intrinsecità delle mansioni assegnate al lavoratore, ossia mansioni non correlate direttamente alla normativa privacy ma connesse al trattamento di dati personali delle persone fisiche (nel caso di specie si parla di un caposquadra portalettere). Si tratta di un concetto se vogliamo banale ma di difficile comprensione in molte realtà aziendali, soprattutto quando manchi una certa cultura alla privacy.
La necessaria conseguenza di qualsiasi attività lavorativa collegata al dato personale è quella di istruire i dipendenti e di sincerarsi che gli stessi agiscano in ottemperanza alla normativa vigente (ossia al GDPR ed ai pochi articoli del Codice della Privacy ancora in vigore). In altre parole, qualora una mansione tratti, in tutto o in parte, il dato personale di un individuo, si è di fronte ad un trattamento dei dati e quindi scattano in capo al Titolare tutte le necessarie attività di compliance.
La firma della nomina ad Autorizzato al Trattamento è perciò, nel caso di sovrapposizione tra mansione e trattamento, un atto unilaterale imposto dal datore di lavoro, con il quale quest’ultimo rende edotto il dipendente delle responsabilità e delle modalità di utilizzo del dato, attraverso un procedimento che assume carattere sia sostanziale che formale.
Spunti di riflessione dalla sentenza
La sentenza non entra molto nel dettaglio delle questioni dottrinali inerenti alla privacy, ma fornisce comunque alcuni interessanti spunti di riflessione. Tra tutti c’è la conferma – non che fosse argomento dibattuto, ma è sempre bene trovare certezze giurisprudenziali – dell’inglobamento del ruolo di “incaricato” del trattamento all’interno del novellato “soggetto designato”, così come introdotto dal D.Lgs. 101/2018, art. 2 quaterdecies. Si tratta, come noto, del Decreto Legislativo di entrata in vigore del GDPR, il quale ha riportato integralmente il dettato normativo europeo, con alcune integrazioni nazionali.
Il Tribunale di Udine non ha ritenuto di dover entrare nella discussione ancillare relativa alla necessarietà del soggetto designato come ruolo interno all’azienda. Il testo normativo effettivamente parla di possibilità (Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità), ma al tempo stesso l’attribuzione “espressa” di compiti connessi alla privacy ha generato vivaci dibattiti inerente alla sostanziale obbligatorietà della nomina, nel momento in cui il dipendente operi un trattamento sul dato.
Ruoli prvacy: evitare la semplice compliance formale
Probabilmente la soluzione preferibile, per le aziende, è quella di evitare la semplice compliance formale, optando al contrario per una gestione dei dati sostanziale ed in linea con i principi di accountability e di privacy by design e by default. In altri termini, a prescindere dalla nomina separata quale soggetto designato – che ben potrebbe essere assorbita dalla puntuale specificazione delle mansioni (e quindi dei trattamenti) contenuta nel contratto di lavoro – si dovrebbe sempre garantire che i propri dipendenti siano correttamente formati in materia di protezione dei dati, oltreché dotati di istruzioni precise e adeguate al trattamento svolto. Chiaro è che la sostanza, per ovvi motivi di dimostrabilità, è meglio accompagnata dalla forma: nel fornire le istruzioni e la formazione, è consigliabile che il datore di lavoro possa tenere traccia della consegna e dell’effettiva presa in carico della documentazione da parte del dipendente.
La forma scelta per la nomina del soggetto designato
Un altro punto di attenzione all’interno dell’ordinanza è quello relativo alla forma scelta per la nomina del soggetto designato. L’articolo quaterdecies stabilisce che Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta. A rigore letterale, il comma non fa altro che liberare la forma della nomina, lasciando che siano le modalità operative e sostanziali a regolamentare la disciplina da un punto di vista organizzativo. Si tratta di un approccio che ben si sposa con il fil rouge del GDPR, notoriamente improntato su un taglio più concreto o comunque di ampio respiro (appunto, l’accountability nella sua forma più pura).
Il Tribunale opta per un’applicazione più stringente invece, avvalorando la tesi dell’omologazione della nomina a soggetto designato, secondo i principi generali dell’ordinamento, alla forma scelta per il rapporto intercorrente tra i soggetti (e quindi la forma scritta).
Una presa di posizione non inamovibile, poiché sancita da un Tribunale ed in via incidentale rispetto al petitum, ossia la correttezza del licenziamento, ma che ferma alcuni punti interessanti anche solo come best practices: preferire sempre una nomina espressa ed optare per la forma scritta della stessa.
Obblighi privacy e le ricadute giuslavoristiche
Le conclusioni a questa disamina possono sembrare scontate, ma in realtà attengono alla necessità, per le aziende, di prestare particolare attenzione per quanto concerne gli obblighi privacy e le correlate ricadute giuslavoristiche. Quando si ha a che fare con i dati personali è obbligatorio analizzarne il flusso e, soprattutto, capire in che modo questo flusso coinvolga i dipendenti. Da questo discende l’onere di far sottoscrivere contratti che contengano mansioni adatte anche al trattamento dei dati personali, integrando successivamente le stesse con le opportune accortezze. Queste accortezze si traducono nella nomina a soggetto designato, all’interno del quale è fondamentale integrare a livello privacy (ma non sostituire o aggiungere di sana pianta) il contenuto già esplicitato nel contratto di lavoro in un’ottica di trasparenza e formazione del dipendente, con particolare riguardo alle eventuali istruzioni operative impartite dal Titolare. In altri termini, come già ripetuto: accountability e sostanza, oltre che forma.