Federazione Sindacati Indipendenti

Privacy sul lavoro, come tutelare i dati personali sul web

L’avvento delle nuove tecnologie e il loro impiego, sempre più massiccio, nei luoghi di lavoro, impone di considerare la tutela della privacy un bene primario della persona, analogamente a quanto avviene per il diritto all’integrità fisica e del patrimonio. Per tale ragione, si rende necessaria la previsione di sanzioni di carattere penale o amministrativo, anche a carico delle imprese utilizzatrici, al fine di prevenire il rischio di trattamenti illeciti, da parte delle stesse, dell’enorme quantità di dati che avranno a disposizione per mezzo di tali tecnologie.

La legge di bilancio 2017 ha approvato, tra l’altro, il piano Industria 4.0: un intervento da 13 miliardi di risorse pubbliche per le micro, piccole e medie imprese che investono nello sviluppo delle nuove tecnologie. Con il termine Industria 4.0 si intende la cosiddetta “quarta rivoluzione industriale”, a seguito della quale si avrà un insieme di tecnologie che, grazie a internet, saranno combinate in modo sistemico in nuovi processi produttivi.

Il conseguente avvicendamento a cui assisteremo fra la risorsa informatica e il lavoro umano, già in atto, andrà compiendosi anche tramite la disponibilità di dispositivi wireless che ricorrono a un impiego sempre più insistente di dati e informazioni, generati non solo dal web, dai dispositivi mobili e dai social media, ma anche dalle stesse macchine: componenti e sistemi meccanici digitalizzati e interconnessi ai fini della produzione (il cosiddetto Internet of things: IoT).

Tra i problemi più complessi che presenta l’industria 4.0 c’è quello che riguarda la natura dei dati personali che verranno utilizzati nell’organizzazione del nuovo modello di produzione. In particolare, per quanto riguarda le implicazioni che queste tecnologie produrranno sui luoghi di lavoro, le macchine, per mezzo di sensori e telecamere, potranno registrare una quantità enorme di dati, diventando così una sorta di Grande fratello, che osserva il luogo di lavoro e quindi, fosse anche indirettamente, i lavoratori.

Rispetto alla complessità della materia e all’urgenza di individuare una serie di norme che tutelino il diritto alla privacy dei lavoratori a fronte della diffusione di queste nuove tecnologie, il nostro ordinamento giuridico si attarda su una disciplina inadatta a costituire un valido deterrente per le imprese, multinazionali e non, attratte dalla possibilità di disporre di una quantità enorme di dati e informazioni cui attingere per regolare la propria azione sul mercato, ma anche, con tutta probabilità, per scegliere e controllare il proprio personale dipendente.

Infatti, oltre alle norme di diritto civile che intervengono a tutela del lavoratore, laddove questi subisca un danno dal trattamento dei propri dati personali, le sanzioni previste dall’ordinamento per questo tipo di condotte illecite sono ancora troppo blande per contenere l’azione degli operatori del mercato più facoltosi e spregiudicati.

In particolare, tali sanzioni sono rinvenibili nel codice della privacy e, in senso lato, negli articoli 616 e seguenti del codice penale. Per quanto riguarda gli illeciti penali previsti dal codice della privacy, particolarmente rilevante è quello di cui all’art. 167, il quale, sotto la rubrica “trattamento illecito di dati”, punisce il trattamento illecito di dati personali, sensibili o giudiziari, al fine di trarne per sé o altri un profitto, ovvero per arrecare nocumento, un danno, a terzi.

In una recente sentenza della Corte di Cassazione, è stato stabilito che il “nocumento” previsto dall’articolo 167 del codice privato deve essere inteso come un pregiudizio giuridicamente rilevante subito dalla persona alla quale si riferiscono i dati o le informazioni protette, che può essere di natura sia patrimoniale che non patrimoniale (cfr. Cass. pen. n. 15221/2016).

In buona sostanza, l’apertura della giurisprudenza alla tutela delle lesioni di natura non patrimoniale, rende l’art. 167 cod. priv. uno strumento particolarmente flessibile per la tutela della riservatezza dei lavoratori, i quali, diversamente, potrebbero dimostrare l’esistenza di un danno patrimoniale solo in presenza di provvedimenti disciplinari come licenziamento o demansionamento (cioè l’assegnazione di mansioni inferiori alle proprie qualifiche), mentre secondo la citata decisione della Cassazione, sono ricompresi nell’art. 167 cod. priv., a titolo di esempio, anche i danni di natura morale conseguenti il trattamento illecito dei propri dati ad opera del datore di lavoro. Ma di questo aspetto parleremo in modo più approfondito nel prossimo post.

Abbiamo già parlato della tutela della privacy, approfondiremo adesso cosa significa per il lavoratore. Oltre a quanto detto, bisogna aggiungere che quello regolamentato dall’art. 167 del codice privato è un reato procedibile d’ufficio, a significare che il procedimento penale può essere originato anche dalla comunicazione della notizia di reato pervenuta alla Procura competente da parte di terzi estranei al trattamento.

Tale circostanza assume particolare rilevanza proprio nell’ambito dei rapporti di lavoro, consentendo al lavoratore oggetto del trattamento illecito di dati di “non esporsi” presso il datore di lavoro con una denuncia all’Autorità giudiziaria, la quale, pertanto, può anche essere sporta dai rappresentanti delle organizzazioni sindacali (Oo. Ss.) all’interno dell’azienda.

L’innovazione tecnologica e l’utilizzo sempre più diffuso di dati personali dei consumatori e dei lavoratori per finalità economiche, impone infatti anche alle organizzazioni sindacali di dirigere i propri sforzi sul tema della privacy nei luoghi di lavoro.

Nonostante la descritta “duttilità” dell’art. 167 cod. privacy, tuttavia, sul punto si registra una scarsa giurisprudenza dei giudici penali italiani, a testimoniare un insufficiente ricorso dei lavoratori e soprattutto delle Oo.Ss. alla denuncia, la quale, per le ragioni sopra esposte, può invece costituire una tutela efficace per la privacy dei lavoratori avverso il trattamento effettuato da persone fisiche, quali ad esempio il datore di lavoro, il dirigente o il collega.

Al fine di colmare tale lacuna e di ricomprendere quindi nel paradigma sanzionatorio così descritto anche il trattamento illecito di dati personali effettuato da persone giuridiche o a vantaggio delle stesse, a decorrere dal 25 maggio 2018, entrerà in vigore il regolamento generale sulla protezione dei dati (General data protection regulation-Regolamento Ue 2016/679, Gdpr), che sostituirà il codice della privacy vigente e con il quale la Commissione europea ha definito una disciplina unitaria per la protezione dei dati personali all’interno dell’Unione europea.

Le novità introdotte con il Regolamento riguarderanno, oltre agli enti pubblici, anche le aziende che, avendo uno stabilimento all’interno dell’Ue, trattano dati personali, indipendentemente dal fatto che il trattamento sia effettuato nell’Ue stessa.

Senza entrare nel merito della nuova normativa, vale la pena considerare che, per quanto concerne il sistema sanzionatorio, il Regolamento ha aumentato l’ammontare delle sanzioni amministrative pecuniarie, che potranno arrivare fino ad un massimo di 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo, rimettendo a ciascuno Stato membro le valutazioni inerenti all’introduzione di sanzioni di tipo penale.

Vedremo dunque nel futuro, in concreto, come verrà recepito questo nuovo impianto normativo all’interno di ciascuno Stato, ma fin d’ora possiamo dire che la particolare afflittività delle sanzioni previste dal Regolamento, determinerà certamente la necessità per le imprese e gli enti pubblici di porre la massima attenzione al rispetto della privacy dei dipendenti e dei consumatori e, al tempo stesso, fornirà ai lavoratori e alle Organizzazioni sindacali uno strumento particolarmente efficace, unitamente a quelli di natura penale già presenti nel nostro ordinamento, per resistere nel confronto che nascerà sul terreno, del tutto nuovo, della tutela dei dati personali nell’epoca dell’industria 4.0.

Fonte
di Francesca Garisto * e Fabio Savoldelli
ilfattoquotidiano.it