L’applicazione della privacy al rapporto di lavoro nei provvedimenti del Garante
5. La natura e gli effetti dei provvedimenti adottati dal Garante
Le considerazioni che precedono e, soprattutto, l’analisi svolta sulle pronunce rese dall’Autorità garante, impongono, ora, di analizzare la effettiva relazione esistente tra la tutela giurisdizionale e quella offerta dal Garante stesso117.
Al riguardo, giova, anzitutto, rilevare che il principio della “alternatività” delle tutele è contemplato dal codice della privacy esclusivamente nell’ipotesi in cui si vogliano far valere i diritti di cui all’articolo 7 del decreto legislativo n. 196 del 2003 (accesso, rettifica, cancellazione dei dati personali e opposizione al trattamento degli stessi)118.
117 Sul tema, vedi P. TULLINI, Tecnologie informatiche in azienda: dalle linee-
guida del Garante alle applicazioni concrete, in P.TULLINI (a cura di), Tecnologie
della comunicazione e riservatezza nel rapporto di lavoro, in Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F.GALGANO, cit. pp. 123 ss..
118 Che, testualmente, recita: “l'interessato ha diritto di ottenere la conferma
dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
L'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
L'interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la
conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
L’articolo 145 del codice, infatti, stabilisce che i diritti di cui all’articolo 7 possono essere fatti valere sia dinanzi all'autorità giudiziaria, che con ricorso all’Autorità garante. Fermo restando che, come previsto dalla norma stessa, il ricorso a quest’ultima autorità non può essere proposto nel caso in cui, per il medesimo oggetto e tra le stesse parti, sia già stata adita l'autorità giudiziaria. Cosi come, nell’ipotesi inversa, la presentazione del ricorso al Garante rende improponibile un'ulteriore domanda dinanzi all'autorità giudiziaria tra le stesse parti e per il medesimo oggetto.
Di alternatività, invece, non sembra potersi parlare nell’ipotesi del diverso procedimento contemplato dall’articolo 142 del codice, che prevede la possibilità di rivolgersi all’Autorità garante, tramite “reclamo”, per rappresentare una violazione della disciplina rilevante in materia di trattamento di dati personali119.
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
L'interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale”.
119 In un provvedimento del 2 aprile 2008 il Garante ha respinto la richiesta di sospendere il procedimento, avviato tramite reclamo, in ragione di una asserita connessione pregiudiziale con una azione esercitata presso il Tribunale del lavoro, avente ad oggetto l’accertamento della legittimità del recesso intimato nelle medesima vicenda di trattamento dei dati personali.
Tuttavia, non può essere messo in dubbio che l’attività di natura “contenziosa” esercitata dall’Autorità garante vada classificata come mera attività di “vigilanza amministrativa”120.
Ed infatti, stante la disposizione contenuta nel secondo comma dell’articolo 102 della Costituzione121, risulterebbe evidente la violazione del precetto costituzionale laddove venisse riconosciuta all’Autorità garante anche una competenza di natura “giurisdizionale”. Già con riferimento al ruolo del Garante di cui alla precedente legge n. 675 del 1996 la Cassazione122 nel 2002 precisava che era legittimato a partecipare al giudizio “per far valere il medesimo
interesse pubblico specifico che la legge ha affidato a detta autorità predisponendo, dinanzi ad essa, un procedimento che, per quanto strutturalmente caratterizzato dal contraddittorio dei soggetti coinvolti – il «titolare», il «responsabile» e l’«interessato» - e funzionalmente proteso alla tutela dei diritti della persona, si connota come amministrativo e non pone il garante in una posizione di terzietà assimilabile a quella del giudice nel processo”.
Il principio è stato reiterato in una decisione del 2004123 nella quale si dà anche atto della modifica legislativa intervenuta, con la sostituzione dell’Autorità al posto del Garante, che non muta, però, i termini della questione.
Al Garante, pertanto, non può spettare il compito di controllare il “comportamento” posto in essere dal datore di lavoro (nei casi sopra
120 V. FERRANTE, Competenze dell’Autorità garante e controlli difensivi, in Arg.
dir. lav., 2006, p. 1155.
121 Che, come noto, vieta al legislatore ordinario l’istituzione di giudici straordinari o di giudici speciali.
122 Cass., 20 maggio 2002 n. 7341, in Guid. Dir., 2002, p. 28. 123 Cass., 25 giugno 2004 n. 11864, in Dir. giust., 2004, p. 48.
riferiti, le tecniche e le modalità di “controllo” da questi poste in essere), quanto, piuttosto, di verificare la legittimità del trattamento dei dati personali che, anche a seguito dei comportamenti attuati, può essere effettuato.
Ne deriva che gli “ordini” impartiti dal Garante possono essere idonei ad inibire il trattamento dei dati124, ma non rilevano sulla legittimità dei comportamenti posti in essere dal datore di lavoro125. Del resto, ragionando diversamente, e, cioè, volendo attribuire un “potere” diverso ed ulteriore alle decisioni rese dall’Autorità garante, si giungerebbe ad attribuire funzioni giurisdizionali o paragiurisdizionali a quest’ultima ed a consentire al lavoratore di scegliere l’“autorità” dinanzi alla quale far accertare la presunta illiceità della condotta posta in essere a suo danno. Risultati, questi, che si porrebbero in aperto contrasto anche con il disposto del primo comma sia dell’articolo 24 sia dell’articolo 25 della Costituzione126.
124 Sul tema, vedi A.CATAUDELLA, Accesso ai dati personali, riserbo e controllo
nell’attività di lavoro, in Arg. dir. lav., 2000, pp. 139 ss.
125 Vedi anche G.BUTTARELLI, Profili generali del trattamento dei dati personali, in G. SANTANIELLO (a cura di), La protezione dei dati personali, in Trattato di
diritto amministrativo, diretto da G. SANTANIELLO, vol. XXXVI, Padova, 2005, pp. 85 ss.
126 V. FERRANTE, Competenze dell’Autorità garante e controlli difensivi, cit., p. 1157. Secondo l’Autore, la “coerenza” del sistema sta proprio nell’aver istituito un soggetto dotato dei poteri idonei ad amministrare i diritti che la legge sopravvenuta si trova a costituire, mentre “apparirebbe non solo costituzionalmente illegittima,
ma altresì illogica,
una soluzione che concentrasse avanti alla Autorità garante tutte le controversie nelle quali è implicato il trattamento dei dati personali”. Soluzione illogica, questa,
Le competenze di natura “contenziosa” affidate all’Autorità garante, quindi, possono assumere rilievo solamente in una prospettiva di “vigilanza amministrativa” che proietta inevitabilmente e necessariamente nel futuro gli effetti dei suoi accertamenti.
Elemento, questo, che, a ben vedere, emerge dall’analisi delle stesse pronunce rese dal Garante, ove, infatti, viene decretato, con i limiti propri dei provvedimenti amministrativi, il divieto di trattare “ulteriormente” i dati raccolti, senza nulla disporre, però, per il passato127.
Peraltro, se a ciò si aggiunge che la stessa disciplina contenuta nel decreto legislativo n. 196 del 2003 ha il solo scopo di tutelare e di salvaguardare il trattamento dei dati e non di modificare anche il regime probatorio, “che rimane fondato sulla necessità di poter
accertare lo svolgimento dei fatti, anche quando questi riguardano la sfera più intima del soggetto”128, è lecito ritenere che le competenze demandate all’Autorità garante, “proiettandosi nel futuro”, non dovrebbero neanche, in virtù del principio della separatezza dei poteri e del numero chiuso degli organismi giurisdizionali previsto dal 2° comma dell’articolo 102 della Costituzione, invadere e “sconfinare” nell’ambito della tradizionale tutela giurisdizionale.
finirebbe per garantire “alla tutela del dato una speciale garanzia, del tutto
sovrastante rispetto agli altri interessi coinvolti nelle vicende giuridiche oggetto di esame”.
127 Cfr. i provvedimenti dell’Autorità garante precedentemente esaminati.
128 V. FERRANTE, Competenze dell’Autorità garante e controlli difensivi, cit., p. 1157, il quale, efficacemente, rileva che, ove così non fosse, si arriverebbe alla conseguenza per cui, in un procedimento penale, l’imputato sarebbe “legittimato a
rivolgersi all’Autorità ogni qual volta sorgesse questione circa la liceità dei sistemi di investigazione”.
In questi termini, la coerenza del sistema sarebbe rinvenibile in una Autorità proposta a controllare, con provvedimenti di natura amministrativa, la legittimità del “trattamento” dei dati personali effettuato, eventualmente inibendolo per il futuro. Ove per “trattamento” dei dati, in base alla stessa definizione contenuta nel codice della privacy, deve intendersi “qualunque operazione o
complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati”129.
Ferma restando, però, una originaria ed indiscussa competenza della giurisdizione ordinaria in merito alla valutazione della legittimità dei comportamenti posti in essere.
Al riguardo, è particolarmente interessante quanto previsto dal primo comma dell’art. 152 del codice in cui si prevede che “tutte le
controversie che riguardano, comunque, l’applicazione delle disposizioni del presente codice, comprese quelle inerenti ai provvedimenti del Garante in materia di protezione dei dati personali o alla loro mancata adozione, nonché le controversie previste dall’articolo 10, comma 5, della legge 1° aprile 1981, n. 121, e successive modificazioni, sono attribuite all’autorità giudiziaria ordinaria”.
Poiché, come si è visto, l’Autorità è un Organo che ha poteri di tipo amministrativo, può sembrare irrituale che avverso le sue decisioni sia prevista la giurisdizione del giudice ordinario. Vi è anche da dire che l’art. 145 definisce “ricorso” l’atto con cui l’interessato può adire la detta Autorità per far valere sue posizioni soggettive. Tra l’altro, era allora vigente la lettera b) dell’art. 7 della legge n. 205 del 2000 che attribuiva alla giurisdizione esclusiva del giudice amministrativo le controversie (anche relative a diritti soggettivi) aventi per oggetto “gli atti, i provvedimenti e i comportamenti” delle Pubbliche amministrazioni e dei soggetti ad esse equiparati. Probabilmente, essendo, come si è detto, una normativa che risente molto degli influssi degli altri Stati europei, ha inciso la circostanza che non in tutti è previsto un giudice amministrativo. In ogni caso, si tratta di una soluzione che coincide con quanto deciso dalla Corte costituzionale nella sentenza n. 204 del 2004 in cui è stata dichiarata l’illegittimità costituzionale della citata lettera b) dell’art. 7 della legge n. 205 del 2000 per una non consentita, ai sensi dell’art. 103 della Costituzione, estensione della giurisdizione del giudice amministrativo nel campo dei diritti soggettivi anche nei casi in cui la Pubblica amministrazione non agisce con poteri autoritativi.
In termini estremamente chiari definisce il rapporto tra giurisdizioni la sentenza delle Sezioni Unite della Cassazione n. 8487 del 2011 nella quale si afferma che “la controversia tra il titolare del
trattamento di dati personali e l’Autorità Garante per la protezione dei dati personali, concernente la legittimità del rifiuto da quest’ultimo opposto alla richiesta, avanzata dal titolare, di autorizzazione ad eseguire un contributo dai richiedenti l’accesso ai
dati, è devoluta alla giurisdizione del giudice ordinario, ai sensi dell’art. 152 del d. lgs 30 giugno 2003, n. 196. Infatti, posto che la chiara scelta operata dal legislatore tramite l’art. 152 citato non contrasta con l’art. 103 Cost., non essendo vietata l’attribuzione al giudice ordinario della cognizione anche degli interessi legittimi, la materia dell’accesso ai dati personale e dei costi di esercizio di tale diritto presenta una inestricabile interferenza tra i diritti ed interessi legittimi, con la netta prevalenza dei primi sui secondi, là dove, inoltre, il bilanciamento che deve operare l’Autorità Garante è, eminentemente, tra interessi privati (quelli degli interessati ai dai trattabili e quelli delle imprese detentrici), mancando, quindi, una vera e propria discrezionalità amministrativa”.130