Il rafforzamento (incremento) del diritto alla protezione dei dati nel Regolamento UE

accesso ai propri dati

Le nuove nozioni di “dato personale” e “trattamento” presenti nel Regolamento UE 2016/679 e definite nel primo paragrafo del presente capitolo, puntualizzando le prescrizioni riguardanti le condizioni generali del trattamento180 _{contenute nel Capo 2 della direttiva}

madre 95/46/CE inerenti i titolari del trattamento, mediante il riconoscimento dei diritti all’autodeterminazione informativa ed al controllo dei trattamenti sui dati personali determinando un generale potenziamento dei c.d. “diritti della personalità”.181

L’organizzazione della materia all’interno del Regolamento UE prevede nel Capo 2 (artt.5- 11) i “Principi” applicabili al trattamento dei dati personali e nel Capo 3 (artt.12-23) i c.d. “Diritti dell’interessato” (Trasparenza, modalità di trattamento, informazioni, accesso ai dati, rettifica e cancellazione).

Da una prima lettura del nuovo regolamento, emerge come l’impianto dei diritti del soggetto interessato viene confermato rimarcando la non applicabilità alle informazioni c.d. anonime ovvero che non si riferiscono a persone fisiche identificabili, così come mantengono validità i principi alla base della liceità del trattamento la cui condizione essenziale è rappresentata dal consenso dell’interessato, salvo alcune deroghe (art.7, Reg.UE 2016/679)182_.

Il legislatore europeo al Capo 2 del regolamento ( Principi) con l’art.5, introduce una sorta di decalogo dei principi cui deve attenersi l’attività di trattamento dei dati affermando che debba avvenire in modo lecito, corretto e trasparente, e che la raccolta dati sia svolta esclusivamente per finalità determinate, esplicite e legittime ed abbia come oggetto i soli dati adeguati, pertinenti e limitati per la realizzazione di tali finalità e che siano opportunamente aggiornati e conservati in modo da consentire l’identificazione dei soggetti interessati per un periodo non superiore al necessario così da garantirne la sicurezza e la protezione in casi di trattamenti illeciti e di evitarne la perdita e/o distruzione.

Si vieta, dunque, il trattamento dei dati c.d. sensibili183_{, salvo casi previsti nell’art.9 del Reg.}

180 _{Con la direttiva madre per quanto riguardava le condizioni del trattamento si faceva riferimento alla qualità}

dei dati, alla legittimità del trattamento, all’informazione dell’interessato, al diritto di accesso e di opposizione, alle deroghe ed alla riservatezza e tutela dei trattamenti.

181 _{OGRISEG C., Il Reg. UE 2016/679 e la protezione dei dati personali nelle dinamiche giuslavoristiche, in}

Labour e LawIssues, Vol.2, n.2, 2016,42

182 _{Si veda pag.67}

69 UE, e si rimarca il principio di necessità circa il trattamento di dati riguardanti condanne penali o reati (art.10 Reg. UE) che deve essere esercitato sotto la supervisione dell’autorità pubblica o del diritto dell’Unione che prevede opportune garanzie per gli interessati.

Il nuovo regolamento pone l’accento sul principio della trasparenza, in un’ottica di rispetto delle finalità e, quindi, occorre valutare attentamente gli scopi del trattamento al fine di stabilire correttamente quali dati possono essere trattati e quali no (principio di essenzialità dei dati).

La “liceità del trattamento” viene regolamentata dall’art. 6 del Reg. UE in base al quale il trattamento è lecito se esplicitamente consentito dal titolare oppure, se necessario per l’adempimento di obblighi contrattuali, per ragioni di interesse pubblico e per un interesse legittimo.

Tra i principali presupposti di liceità vi è il consenso da parte dell’interessato che, in base a quanto stabilito dall’art.7 del Reg. UE, deve essere sempre liberamente prestato oltre che specifico, informato ed inequivocabile.

Occorrerà quindi valutare se l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione di un consenso non necessario (art.7, comma 4). Inoltre se è compreso in una dichiarazione scritta ad oggetto multiplo184 _{, il consenso è}

efficace se “richiesto in modo chiaramente distinguibile dalle altre materie, in forma

comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro” (art.7

comma 2)185_{ed il titolare ha il diritto di revocarlo in qualsiasi momento, non pregiudicando}

la liceità del trattamento basato sul consenso svolto prima della revoca (art.7, co.3).

All’interno del Capo 3186 _{, invece, il regolamento disciplina i “Diritti dell’interessato”}

prestando fin da subito molta attenzione ai criteri da rispettare per la redazione delle “informative” finalizzate ad ottenere un valido consenso informato e consapevole, il che comporta anche un ripensamento, da parte delle aziende, delle informazioni da consegnare ai lavoratori sulle modalità d’uso degli strumenti e sull’effettuazione dei controlli187_.

184 _{Si fa riferimento a situazioni nella quali il trattamento viene svolto per più fini e non per un unico scopo.} 185 _{Si vedano le indicazioni del Garante Privacy, il quale ritiene valido il consenso ottenuto prima dell’entrata}

in vigore del Regolamento UE (25 maggio 2018) solo nel caso presenti tutte le caratteristiche prima citate, altrimenti occorrerà raccogliere un nuovo consenso che sia conforme al regolamento in base a quanto previsto dal comma 2 dell’art.7.

186 _{Il Capo 3 del Reg.UE 2016/679 viene suddiviso in 5 sezioni inerenti argomenti tra loro diversi: “Trasparenza}

e modalità” (art.12); “Informazioni e accesso ai dati personali”(artt.13-15); “Rettifica e cancellazione”(artt.16- 20); “Diritto di opposizione e processo decisionale automatizzato per le persone fisiche”(artt.21-22); “Limitazioni”(art.23)

70 L’informativa fornita all’interessato, secondo quanto indicato dall’art.12 del Reg.UE, deve utilizzare un linguaggio chiaro e semplice ed essere concisa, trasparente, intelligibile, e facilmente accessibile.

Le informazioni sono fornite principalmente per iscritto ma sono ammessi anche altri mezzi, come quelli elettronici, o su specifica richiesta dell’interessato possono essere fornite anche oralmente purché sia comprovata con altri mezzi l’identità dell’interessato.188

Il diritto a ricevere un’adeguata informativa189 _{viene valorizzato e potenziato nel nuovo}

Regolamento ed assume autonoma rilevanza anche nei casi in cui non è espressamente necessario ottenere il consenso da parte dell’interessato, ribaltando la tradizionale normativa della privacy in cui l’informativa era prevista solo qualora il trattamento fosse legittimo in presenza del consenso dell’interessato.190

Inoltre i contenuti dell’informativa vengono distinti a seconda che i dati siano raccolti presso l’interessato (art.13 Reg.UE) oppure no (art.14 Reg.UE), con la previsione di informazioni aggiuntive in questo secondo caso.

Infatti, nel caso in cui i dati sono stati raccolti direttamente presso l’interessato l’informativa va data prima di effettuare la raccolta dei dati rispettando tassativamente le analitiche prescrizioni indicate all’interno dell’art.13, mentre se i dati non sono stati direttamente ottenuti dall’interessato, quest’ultimo ha il diritto di ricevere dal titolare o responsabile del trattamento, entro massimo un mese dalla comunicazione dei dati a terzi, tutte le informazioni previste dal successivo art.14 rappresentate da: identità e dati di contatto del titolare e del responsabile; finalità del trattamento e la sua base giuridica; categoria dei dati personali oggetto di trattamento; eventuali destinatari dei dati; l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo (e con quali strumenti avverrà il trasferimento); il periodo di conservazione dei dati personali (o il suo criterio di determinazione); l’esistenza del diritto dell’interessato a chiedere l’accesso ai proprio dati, oppure la rettifica, l’aggiornamento, la cancellazione; l’esistenza del diritto per

lavoratore), cit., 27

188 _{Occorre considerare anche il caso previsto dall’art.12 comma 7 che ammette anche l’utilizzo di “icone”}

standardizzate al fine di presentare i contenuti dell’informativa in forma sintetica, che però va fornita in combinazione con l’informativa estesa.

189 _{La funzione essenziale era già stata evidenziata sia nel sistema generale di tutele previsto dalla direttiva}

madre 95/46/CE che dall’art.13 del d.lgs.196/2003 contenuto nel Codice della privacy

190 _{La differenza sta nel fatto che mentre prima l’informativa aveva rilevanza solo nei casi in cui era previsto}

il consenso, con il nuovo regolamento acquista rilevanza anche nei casi nei quali non è necessario ottenere il consenso dell’interessato per procedere al trattamento.

71 l’interessato ad opporsi al trattamento, a revocare il suo consenso al trattamento e a proporre reclamo; la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico; l’esistenza di un processo decisionale automatizzato, compresa la profilazione.191

L’adeguatezza di tali informazioni permetterà di potenziare il “diritto di accesso” all’archivio contenente i propri dati, ora disciplinato nell’art.15 del regolamento sulla base delle modifiche apportate ai contenuti previsti nella direttiva madre e codificati nell’art.7 del d.lgs. 196/2003.192

L’art.15 del Reg.UE, riprendendo l’art.12 sull’adeguatezza dell’informativa, stabilisce che nel caso l’interessato eserciti il diritto di accesso ai propri dati il titolare del trattamento dovrà informarlo entro e non oltre un mese dalla richiesta e, nel caso di ritardo dovrà obbligatoriamente giustificarsi precisandone sia i motivi sia proporre il reclamo all’Autorità Garante e/o giudiziaria.

La corretta e trasparente informativa, inerente ai controlli e alla tipologia di dati raccolti e conservati dal datore, permetterà al lavoratore di esercitare i propri diritti rafforzando la propria posizione nelle relazioni giuslavoristiche.193

Il Garante della Privacy tramite numerosi provvedimenti aveva cercato di ribadire l’obbligo per le aziende private194 _{di facilitare l’accesso dei dipendenti agli archivi aziendali}

contenenti tutti i dati personali puntualizzando che, in caso di mancata attuazione, si sarebbero applicate le sanzioni penali previste dal Codice privacy oltre al pagamento di un risarcimento, ma solo in seguito alla sentenza n.2397 della Corte di Cassazione 195 _{del 4}

febbraio 2014 il diritto di accesso è divenuto un vero e proprio diritto soggettivo del dipendente.

Recentemente la Cassazione ha riconfermato la fonte contrattuale di tale diritto soggettivo196_,

ritenendo l’obbligo del datore di consentire l’accesso ai dati personali come presupposto degli obblighi di buona fede e correttezza tra le parti del rapporto di lavoro ai sensi

191 _{PERON S., Il nuovo Regolamento Privacy UE 679/2016: linee essenziali, reperibile su}

www.personaedanno.it/articolo/il-nuovo-regolamento-privacy-ue-679-2016-linee-essenziali-sabrina-peron

192 _{Il codice della privacy considerava il diritto di accesso prevalentemente con riferimento al rapporto di lavoro}

di pubblico impiego.

193 _{OGRISEG C., Il Reg. UE 2016/679 e la protezione dei dati personali nelle dinamiche giuslavoristiche, in}

Labour e LawIssues, Vol.2, n.2, 2016, 44ss

194 _{Il codice della privacy regolamentava il diritto di accesso ai dati personali solo in riferimento ai rapporti di}

lavoro nel settore pubblico senza considerare l’ambito privato limitandone di conseguenza l’applicabilità.

195 _{Consultabile su www.lexscripta.it}

72 dell’art.1175 e 1375 c.c. oltre a quanto previsto nelle disposizioni contenute nei contratti collettivi riguardo al diritto del dipendente di prendere liberamente visione dei propri fascicoli personali.197

Il rafforzamento dei diritti di riservatezza del dipendente all’interno del Regolamento UE 2016/679 garantirà una maggiore protezione dei dati personali solo se si sarà in grado di regolamentare anche le conseguenze, tra le quali quelle processuali, circa l’inutilizzabilità da parte del datore di tutte le informazioni acquisite violando il codice della privacy.

73

4. I nuovi diritti dell’interessato e gli obblighi per i Titolari e i Responsabili del