Il recepimento del GDPR in Italia con il decreto attuativo n 101/2018 Profili critici.

In attuazione del Regolamento europeo 679/2016 il Parlamento ha emanato il decreto attuativo n. 101 del 10 agosto 2018, che modifica il d.lgs 196/2003 per adeguarlo119 _{alle nuove regole.}

Non essendo questa la sede per analizzare nel dettaglio le novità introdotte in tutti i settori del diritto alla privacy italiana120_{, ci si limiterà ad analizzare le}

modifiche che hanno interessato l’ambito dei controlli a distanza operati sui luoghi di lavoro.

Preliminarmente va osservato che il Regolamento UE ha lasciato un ampio margine di discrezionalità agli Stati membri nel disciplinare norme e regole per i trattamenti di dati personali effettuati nell’ambito dei rapporti di lavoro. Infatti, l’art. 88 del GDPR recita “Gli Stati membri possono prevedere, con legge o

tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro (…). Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati (…)”121_.

119 _{Il decreto viene emanato in virtù della legge 25 ottobre 2017, n. 163, recante delega al}

Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea (in particolare l’art. 13 delega il Governo all’emanazione di uno o più decreti legislativi di adeguamento del quadro normativo nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016), della

legge 24 dicembre 2012, n. 234, recante norme generali sulla partecipazione dell’Italia alla formazione e all’attuazione della normativa e delle politiche dell’Unione europea.

Si precisa che l’art. 22, comma 13 del suddetto decreto attuativo dispone: “Per i primi otto mesi

dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.”

Pertanto, è da ritenere che per i primi otto mesi (a partire dal 4 settembre 2018) il Garante sarà più “clemente” ed “attento” nell’erogare le sanzioni, tenendo in considerazione i normali tempi tecnici necessari affinché gli operatori del diritto recepiscano le regole.

120 _{Per avere un quadro completo delle novità introdotte rispetto alla vecchia normativa si}

rinvia alla tabella di raffronto riportata alla fine del presente lavoro.

121 _{Per completezza si riporta l’intero art. 88: “Gli Stati membri possono prevedere, con legge o tramite}

contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di

Le norme interne dovranno includere misure specifiche ed appropriate a salvaguardia della dignità umana degli interessi legittimi e dei diritti fondamentali dei lavoratori, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro.

Il decreto attuativo, pertanto, ha adeguato il nuovo Codice a tali indicazioni modificando (e abrogando per taluni versi) il titolo VIII, rubricato adesso “trattamenti nell’ambito del rapporto di lavoro.”

Il nuovo art. 111 lascia ampio spazio al Garante nella promozione di regole deontologiche per i soggetti, pubblici e privati, che effettuano un trattamento di dati personali, e nella indicazione delle modalità specifiche con cui informare i lavoratori del trattamento stesso122_.

Sarà quindi il Garante a dover indicare nei prossimi mesi le concrete modalità di comportamento del datore di lavoro e le concrete modalità di predisposizione dell’informativa.

L’art. 113 continua a sancire che nella raccolta e acquisizione dei dati da parte del datore di lavoro vige il divieto di indagini sulle opinioni e il divieto di trattamenti discriminatori, all’uopo la norma richiama gli articoli 8 della legge 20 maggio 1970, n. 300, e 10 del decreto legislativo 10 settembre 2003, n. 276.

assunzione, esecuzione del contratto di lavoro, compreso l'adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonchè per finalità di cessazione del rapporto di lavoro.

2. Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro.

3. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro il 25 maggio 2018 e comunica senza ritardo ogni successiva modifica.”

122 _{Si osservi che il D.lgs 101/2018 attribuisce nuove ed ampie competenze al Garante}

Privacy in ogni campo. L’autorità, oltre ad essere onerata dei molteplici compiti attribuitile dal GDPR dovrà anche emanare specifici provvedimenti per il trattamento di particolari categorie di dati (biometrici, genetici e relativi alla salute), individuare ogni due anni specifiche e adeguate misure di sicurezza, adottare linee guida che promuovano in favore di piccole e medie imprese “modalità semplificate” di adempimento degli obblighi del titolare di trattamento.

Resta quindi il divieto per il datore di lavoro di effettuare, attraverso l’acquisizione di dati personali, indagini sulle opinioni politiche, religiose o sindacali del lavoratore, o su ogni altro fatto non rilevante ai fini della valutazione dell'attitudine professionale del lavoratore.

In materia di controlli a distanza, si noti come il legislatore italiano abbia modificato la rubrica del capo III del titolo VIII, il quale non reca più l’intestazione “Divieto di controllo a distanza e telelavoro”, ma “Controllo a distanza,

lavoro agile e telelavoro”, con ciò recependo le modifiche introdotte da Jobs Act

che, come evidenziato più volte, hanno portato alla eliminazione di un generale ed esplicito divieto di controllo a distanza.

L’art. 114, nella sostanza123_{, non ha subito modifiche, continuando a sancire}

che “Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300.” Pertanto, le modifiche apportate dalla nuova disciplina in materia di dati personali non modificano né intaccano il quadro di regole imposte con la riforma del Jobs Act.

Volendo fare delle considerazioni può osservarsi che il nuovo decreto n. 101/2018 non si caratterizza né per innovazione né per certezza giuridica. Posto che lo stesso non ha fatto altro che operare un restyling delle precedenti regole, sarebbe stato più opportuno riscrivere il Codice Privacy.

Il legislatore non ha sfruttato l’occasione per specificare i principi generali imposti dal Regolamento Europeo, lasciando che l’interprete del diritto debba destreggiarsi in ricostruzioni tra norme nazionali e sovranazionali.

Probabilmente, il legislatore italiano non era ancora pronto per emanare un quadro organico di regole sul trattamento di dati personali. Tuttavia, ci si auspica che sarà il Garante a fornire indicazioni operative sull’applicazione del GDPR, quanto meno in materia del trattamento sanzionatorio per il trattamento illegittimo di dati.

123 _{Di fatti, l’unica modifica che ha riguardato la norma sui controlli a distanza è meramente}

formale: la rubrica passa da “controllo a distanza” a “Garanzie in materia di controllo a distanza”.

5. Alcuni rilievi problematici sull’acquisizione e il trattamento di dati