L’introduzione in Italia di una specifica normativa che si prefiggesse la finalità di apprestare una tutela ai dati personali è stata tardiva. Si può anzi affermare che si è resa necessaria a seguito dell’entrata in vigore dell’Accordo di Schengen per la progressiva soppressione dei controlli sulle persone alle frontiere degli Stati firmatari, che, all’art. 117 della Convenzione di applicazione di tale accordo, prevedeva “per quanto riguarda il trattamento automatizzato
di dati personali trasmessi in applicazione del presente titolo, ciascuna Parte contraente prenderà, al più tardi al momento dell’entrata in vigore della presente Convenzione, le disposizioni nazionali necessarie per raggiungere un livello di protezione dei dati di natura personale almeno uguale a quello derivante dai principi della Convenzione del Consiglio d’Europa del 28 gennaio 1981 sulla protezione delle persone nei riguardi del trattamento automatizzato dei dati di natura personale”.
E’ stato, quindi, per adempiere a questo impegno, la cui mancata realizzazione avrebbe impedito l’applicazione dell’Accordo sulla libera circolazione, che il Parlamento italiano ha approvato nel 1996 la legge n. 675 relativa alla “tutela della persona e di altri
soggetti rispetto al trattamento dei dati personali”. Tale legge
trasferiva in Italia il contenuto della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Vi è da dire che uno dei principali
motivi che ha indotto all’adozione di tale direttiva è stato di carattere economico, attuare cioè una normativa unitaria che contemperasse la libertà di circolazione delle informazioni, anche quelle collegate alle libertà economiche contenute dei Trattati della Comunità, con i diritti fondamentali della persona, al fine di porre le migliori condizioni per la realizzazione di un mercato interno comune.
E’, quindi, motivo di riflessione osservare che da una disciplina che, nelle intenzioni di coloro che l’avevano concepita, doveva essere di ancora maggiore stimolo allo sviluppo economico, derivino, soprattutto nell’applicazione che ne viene fatta, rigidità che, quanto meno, non agevolano l’economia italiana a sviluppare un suo spazio nel mercato comune.
Non ci si sofferma oltre sul contenuto della legge del 1996 in quanto quasi tutte le disposizioni legislative che presentano interesse ai fini delle presenti valutazioni sono state riprodotte nel successivo testo legislativo che viene a disciplinare la materia e, quindi, è su di esse ci si soffermerà.
Il primo gennaio 2004, infatti, è entrato in vigore il decreto legislativo n. 196 del 200359 (codice in materia di protezione dei dati personali60), emanato con l’intenzione di ricomporre, in maniera unitaria ed organica, le numerose disposizione relative al tema della
privacy e che riunisce, in un unico testo, sia la legge n. 675 del 1996
59 Cfr. art. 186, legge n. 196 del 2003.
60 Nella relazione diffusa, in data 30 dicembre 2003, dall’Autorità Garante per la protezione dei dati personali viene riferito che “il Testo Unico è ispirato
all’introduzione di nuove garanzie per i cittadini, alla razionalizzazione delle norme esistenti e alla semplificazione degli adempimenti e sostituirà la legge «madre» sulla protezione dei dati, la legge n. 675 del 1996”.
(abrogata dalla norma del 200361), che gli altri decreti, regolamenti e codici succedutisi negli anni62.
Il testo si apre con una chiara affermazione di principio, che riproduce l’art. II-8, comma primo, della Carta dei diritti fondamentali dell’Unione Europea, secondo cui “chiunque ha diritto alla protezione
dei dati personali che lo riguardano”. Concetto ulteriormente
rafforzato dal successivo articolo 2, che afferma, al primo comma, come il codice sulla privacy persegue l’obiettivo di garantire “che il
trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali”.
Tuttavia, il testo normativo, imperniato sulla regola della corretta e preventiva informativa63, sulla necessità del consenso dell’interessato, o dell’autorizzazione del Garante per la protezione dei dati personali, e corredato da rigorose disposizioni relative alla elaborazione, custodia e diffusione dei dati acquisiti, non contiene una
61 Cfr. art 183, legge n. 196 del 2003.
62 Per una analisi organica della disciplina del 2003, vedi AA. VV., La nuova
disciplina della privacy, commentario diretto da S.SICA E P.STANZIONE, Bologna, Zanichelli, 2004; P.BORGHI,G.MIELI, Giuda alla privacy nel rapporto di lavoro, Roma, Bancaria editrice, 2005; .BARRACO,A.SITZIA,La tutela della privacy nei rapporti di lavoro, in Monografie di diritto del lavoro, dirette daM. MISCIONE, Roma, Ipsoa, 2008; F.CARDARELLI,S.SICA,V.ZENO-ZENCOVICH, Il codice dei
dati personali - temi e problemi, Milano, Giuffrè, 2004; AA. VV., Il Codice in
materia di protezione dei dati personali, a cura di J. MONDUCCI e G. SARTOR, Padova, Cedam, 2004; G. ELLI, R. ZALLONE, Il nuovo codice della privacy.
Commento del d. lgs. 30 giugno 2003, n. 196, Torino, Giappichelli, 2004.
63 Vedi C.TACCONE, Controlli a distanza e nuove tecnologie informatiche, in Arg. dir. lav., 2004, pp. 299 ss.
specifica e dettagliata regolamentazione dei trattamenti concernenti i rapporti di lavoro64.
Ed infatti, le norme riguardanti espressamente lo svolgimento del rapporto di lavoro, contenute nel titolo ottavo del testo di legge (“lavoro e previdenza sociale”), hanno ad oggetto, oltre ad i codici di deontologia e di buona condotta, promossi dal Garante per la gestione dei rapporti di lavoro e previdenziali (art. 111), la individuazione dei trattamenti ritenuti di “rilevante interesse pubblico” (art. 112)65, la
64 Sul carattere composito della disciplina posta a tutela della riservatezza dei lavoratori e sulla interazione tra la disciplina di “settore” contenuta nella legge n. 300 del 1970 e la disciplina “generale” in tema di privacy, vedi A.BELLAVISTA, La
disciplina della protezione dei dati personali e i rapporti di lavoro, in Diritto del lavoro, Commentario diretto da F. CARINCI, tomo II, Il rapporto di lavoro
subordinato: costituzione e svolgimento, a cura di C.CESTER, Torino, 2007 e M. AIMO, Privacy, libertà di espressione e rapporto di lavoro, cit.
65 Tale norma afferma che “si considerano di rilevante interesse pubblico, ai sensi
degli articoli 20 e 21, le finalità di instaurazione e gestione da parte di soggetti pubblici di rapporti di lavoro di qualunque tipo, dipendente o autonomo, anche non retribuito o onorario o a tempo parziale o temporaneo, e di altre forme di impiego che non comportano la costituzione di un rapporto di lavoro subordinato. Tra i trattamenti effettuati per le finalità di cui al comma 1, si intendono ricompresi, in particolare, quelli effettuati al fine di:
a) applicare la normativa in materia di collocamento obbligatorio e assumere personale anche appartenente a categorie protette;
b) garantire le pari opportunità;
c) accertare il possesso di particolari requisiti previsti per l'accesso a specifici impieghi, anche in materia di tutela delle minoranze linguistiche, ovvero la sussistenza dei presupposti per la sospensione o la cessazione dall'impiego o dal servizio, il trasferimento di sede per incompatibilità e il conferimento di speciali abilitazioni;
d) adempiere ad obblighi connessi alla definizione dello stato giuridico ed economico, ivi compreso il riconoscimento della causa di servizio o dell'equo indennizzo, nonché ad obblighi retributivi, fiscali o contabili, relativamente al personale in servizio o in quiescenza, ivi compresa la corresponsione di premi e benefici assistenziali;
e) adempiere a specifici obblighi o svolgere compiti previsti dalla normativa in materia di igiene e sicurezza del lavoro o di sicurezza o salute della popolazione, nonché in materia sindacale;
f) applicare, anche da parte di enti previdenziali ed assistenziali, la normativa in materia di previdenza ed assistenza ivi compresa quella integrativa, anche in
tutela del rapporto di lavoro domestico e del telelavoro (art. 115)66 e, soprattutto, contengono un espresso rinvio alle norme contenute negli articoli 4 e 8 dello statuto dei lavoratori (gli articoli 113 e 114, intitolati “raccolta di dati e pertinenza” e “controllo a distanza”, si limitano a stabilire che “resta fermo quanto disposto”, rispettivamente, “dall’articolo 8 della legge 20 maggio 1970, n. 300” e “dall’art. 4 della legge 20 maggio 1970, n. 300”)67.
applicazione del decreto legislativo del Capo provvisorio dello Stato 29 luglio 1947, n. 804, riguardo alla comunicazione di dati, anche mediante reti di comunicazione elettronica, agli istituti di patronato e di assistenza sociale, alle associazioni di categoria e agli ordini professionali che abbiano ottenuto il consenso dell'interessato ai sensi dell'articolo 23 in relazione a tipi di dati individuati specificamente;
g) svolgere attività dirette all'accertamento della responsabilità civile, disciplinare e contabile ed esaminare i ricorsi amministrativi in conformità alle norme che regolano le rispettive materie;
h) comparire in giudizio a mezzo di propri rappresentanti o partecipare alle procedure di arbitrato o di conciliazione nei casi previsti dalla legge o dai contratti collettivi di lavoro;
i) salvaguardare la vita o l'incolumità fisica dell'interessato o di terzi;
l) gestire l'anagrafe dei pubblici dipendenti e applicare la normativa in materia di assunzione di incarichi da parte di dipendenti pubblici, collaboratori e consulenti; m) applicare la normativa in materia di incompatibilità e rapporti di lavoro a tempo parziale;
n) svolgere l'attività di indagine e ispezione presso soggetti pubblici; o) valutare la qualità dei servizi resi e dei risultati conseguiti.
3. La diffusione dei dati di cui alle lettere m), n) ed o) del comma 2 è consentita in forma anonima e, comunque, tale da non consentire l'individuazione dell'interessato”.
66 A norma dell’art. 115 del d. lgs. n. 196 del 2003 il datore di lavoro, nell’ambito del rapporto di lavoro domestico e del telelavoro, “è tenuto a garantire al
lavoratore il rispetto della sua personalità e della sua libertà morale”.
67 L’ultima disposizione contenuta nel titolo VIII, l’art. 116, ha ad oggetto gli istituti di patronato e di assistenza sociale, ai quali riconosce, per lo svolgimento delle loro attività e nell’ambito del mandato conferitogli, l’accesso alle banche dati degli enti eroganti le prestazioni “in relazione a tipi di dati individuati
In questo modo, se da un lato viene espressamente mantenuto in vigore il sistema previgente68, contenuto nelle norme dello Statuto dei lavoratori, dall’altro si aggiungono, anche per ciò che concerne la regolamentazione del rapporto di lavoro, tutte le disposizioni e tutti gli adempimenti imposti dalla nuova disciplina generale. Disposizioni ed adempimenti che finiscono per estendere, in maniera esponenziale, sia l’oggetto della tutela apprestata, che lo stesso ambito delle condotte ritenute rilevanti.
E che, così facendo, rendono la disciplina inerente la salvaguardia della privacy nell’ambito del rapporto di lavoro eccessivamente composita e, per certi versi, quasi “barocca”69.
A dimostrazione di ciò è sufficiente analizzare i principi cardine introdotti (o ribaditi) dal decreto legislativo n. 196 del 2003 e “tradurli” all’interno delle dinamiche aziendali.
E così, l’art. 3 del codice della privacy, affermando il principio della “necessità” nel trattamento dei dati70, sembrerebbe legittimare solamente quelle attività, coinvolgenti l’utilizzazione di dati personali dei lavoratori, che non solo siano eseguite a fronte di un interesse
68 Il terzo comma dell’art. 184 del d.lgs. n. 196 del 2003, peraltro, stabilisce espressamente
che “restano ferme le disposizioni di legge e di regolamento che stabiliscono divieti o limiti più restrittivi in materia di trattamento di taluni dati personali”.
69 Come è stato autorevolmente rilevato, numerose disposizioni contenute nel d.lgs. n. 196 del 2003 paiono imporre al datore di lavoro “obblighi ispirati ad un vuoto
formalismo, posto che, in molte ipotesi, l’effettivo consenso del lavoratore al trattamento di quei dati è già implicito in altri atti da questi posti in essere”, cfr.
M.PERSIANI,G.PROIA,Contratto e rapporto di lavoro, cit., p. 106.
70 L’art. 3 del d.lgs. n. 196 del 2003 dispone che “i sistemi informativi e i
programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità”
meritevole di apprezzamento (e che siano rispettose dei criteri impartiti dalle norme statutarie), ma che rivestano, allo stesso tempo, anche il carattere della indispensabilità.
L’art. 11, sancendo l’obbligo di “pertinenza”, di “non eccedenza” e, soprattutto, di “correttezza” nel trattamento dei dati, imporrebbe al datore di lavoro non solo di operare il trattamento dei dati in maniera lecita e nei limiti delle effettive necessità aziendali, ma anche di rendere note ai lavoratori le caratteristiche del trattamento stesso. Limiti, questi, tanto più stringenti ove si consideri che le eventuali violazioni di tali disposizioni sono sanzionate dal decreto legislativo n. 196 del 2003 con la inutilizzabilità dei dati acquisiti71.
Gli articoli 13 e 23 del codice, poi, prescrivendo una necessaria e preventiva “informativa”72, nonché il “consenso” dell’interessato, per poter legittimamente effettuare il trattamento dei dati personali, sembrerebbero idonei a vanificare la gran parte delle “attività” poste in essere dal datore di lavoro. Attività che (si pensi alle lecite attività di controllo esercitate dal datore di lavoro), se rispettose dei precetti imposti dal codice, oltre che, ovviamente, dei “divieti” imposti dallo
71 Cfr. art. 11, secondo comma, d.lgs. n. 196 del 2003.
72 I commi 5 e 5 bis dell’art. 13 prevedono che la informativa non è dovuta solamente quando: “i dati sono trattati in base ad un obbligo previsto dalla legge,
da un regolamento o dalla normativa comunitaria”, “i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento”, “l'informativa all'interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile” e “in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro”.
Statuto dei lavoratori, difficilmente potrebbero raggiungere gli scopi per i quali sono, normalmente, preordinate.
In sostanza, da tale disciplina composita, frutto della “somma” della specifica normativa lavoristica contenuta nella legge n. 300 del 1970 con quella di carattere generale contenuta nel codice della
privacy, discende un sistema incentrato su un vero e proprio
“protagonismo dell’interessato”73, ove le finalità di tutela perseguite, ponendosi dichiaratamente dalla parte del soggetto titolare del diritto alla riservatezza, non sembrano realizzare a pieno il necessario contemperamento dei contrapposti interessi. Contemperamento che, al contrario, costituiva l’obiettivo primario delle norme contenute nello Statuto dei lavoratori.
Anche per tale ragione, la tutela “multilivello”74 così elaborata, essendo fondata su norme caratterizzate da impostazioni differenti e, per certi versi, antitetiche75, determina la possibile insorgenza di conflitti e di problemi applicativi derivanti proprio dall’interazione tra le due discipline.
Ed infatti, nel contesto normativo poc’anzi accennato, non costituisce una ipotesi remota la possibilità che un “controllo” legittimo in base alla disciplina statutaria possa dar luogo ad una raccolta di dati personali attuata mediante modalità non conformi alle
73 S.RODOTÀ, Conclusioni, in V.CUFFARO,V.RICCIUTO,V.ZENO-ZENCOVICH (a cura di), Trattamento dei dati e tutela della persona, Milano, Giuffrè, 1998, p. 295. 74 R.DE LUCA TAMAJO, Introduzione, in P.TULLINI (a cura di), Tecnologie della
comunicazione e riservatezza nel rapporto di lavoro, in Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F.GALGANO, Padova, Cedam, 2010, p. 1.
75 Cfr. L. PERINA, L’evoluzione della giurisprudenza e dei provvedimenti del
garante in materia di protezione dei dati personali dei lavoratori subordinati, cit.,
disposizioni enunciate dal codice della privacy. Così come, allo stesso modo, ben potrebbe verificarsi l’ipotesi opposta, ove l’acquisizione dei dati, lecita secondo le regole dettate dal decreto legislativo n. 196 del 2003, incorra, però, in un divieto stabilito dalla disciplina settoriale.
In tale quadro, ove anche il versante del “contenzioso” è imperniato su una tutela “multilivello” (accanto alla tradizionale tutela giudiziaria si affianca quella prestata dalla Autorità garante per la protezione dei dati personali), è principalmente alle scelte effettuate dagli interpreti del dato normativo che bisogna volgere lo sguardo per comprendere se, nella prassi applicativa, è stata effettivamente raggiunta una equilibrata sintesi.