di Antonio Vargiu
Alla fine il 25 maggio 2018 è arrivato, ma al traguardo tutti sembrano esserci arrivati con il classico”fiatone”.
Eppure il preavviso non è stato così breve come qualcuno ci vuole far credere: il regolamento Ue 2016/679 sulla protezione dei dati personali è stato approvato –come indica la sigla- nell’aprile del 2016. Dopodichè –nel maggio del 2016- il testo è stato riportato nella nostra Gazzetta ufficiale, entrando quindi in vigore, ma con la previsione della sua completa efficacia solo a partire dal 25 maggio del 2018, cioè due anni dopo!
Lo scopo di questo Regolamento è quello di unificare il sistema della protezione dei dati in tutta Europa, con la definizione di una serie di misure per migliorarne la trasparenza nella gestione e nel controllo.
La corsa delle aziende e delle società è volta tutta a “mettersi in regola”, anche perché le sanzioni previste sono piuttosto severe, come possiamo vedere nell’apposita tabella.
GDPR (General Data Protection Regulation – Regolamento Generale sulla Protezione dei Dati): le sanzioni amministrative pecuniarie.
Queste possono raggiungere anche i 10 milioni di euro o, se superiore, il 2% del fatturato mondiale nei casi di, a titolo esemplificativo:
| – violazione delle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione; |
| – trattamento illecito di dati personali che non richiede l’identificazione dell’interessato; |
| – mancata o errata notificazione e/o comunicazione di un data breach (1) all’Autorità nazionale competente; |
| – violazione dell’obbligo di nomina del DPO (Data Protection Officer, cioè il responsabile della protezione dei dati; |
| – mancata applicazione di misure di sicurezza. |
L’importo può salire fino a 20 milioni di euro, o alternativamente, sino al 4% del fatturato mondiale dell’impresa, nei casi di:
| – inosservanza di un ordine, di una limitazione provvisoria o definitiva concernente un trattamento, imposti da un’Autorità nazionale competente; |
| – trasferimento illecito cross-border di dati personali ad un destinatario in un Paese terzo. |
La tutela dei dati personali dei lavoratori
Ma a noi quello che interessa in modo particolare è la tutela dei lavoratori e per un motivo molto semplice, che non ci stanchiamo mai di ricordare a noi stessi e agli altri, anche a quelli che fanno finta di non capire (vedi alcune norme del jobs act): nel rapporto tra datore di lavoro e lavoratore, quest’ultimo è la parte debole e spesso ricattabile con la minaccia di perdere il posto di lavoro.
Per questo lo Statuto dei lavoratori in Italia rimane una conquista storica ed irrinunciabile.
In questo senso è orientato anche l’art.9 del GDPR Europeo, non certo redatto da “rivoluzionari” o da “estremisti”, ma dal “gruppo di lavoro articolo 29”(2).
Quell’articolo sancisce, infatti, “un generale divieto di trattare dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.
In queste parole non sentiamo riecheggiare molte delle espressioni presenti nel nostro Statuto?
Col nuovo regolamento europeo, quindi, non si parla più di “dati sensibili”, ma di dati soggetti a trattamento speciale. Sono quei dati la cui tutela ha lo scopo di garantire la libertà di pensiero e di opinione, la dignità della persona e la libertà da possibili discriminazioni. Per i dati sensibili la Convenzione 108 prevede una tutela rafforzata, cioè prescrive un consenso esplicito
perché riguarda aspetti particolarmente privati dell’individuo che possono essere usati a fini discriminatori.
“Gruppo art.29”: un quadro dei principi fondamentali.
Chiudiamo questo primo articolo sottolineando alcuni importanti principi contenuti nel documento del “Gruppo”.
Diritto al rispetto della vita privata e della dignità del lavoratore.
Per questo motivo, al di là di ogni tipo di contratto applicato, il lavoratore dovrà essere informato sulle modalità di trattamento dei dati personali in maniera chiara, semplice ed esauriente, soprattutto nel caso siano previste forme di controllo dell’attività lavorativa e facendo salve le ulteriori garanzie previste dalla legislazione nazionale.
Proporzione tra controllo e finalità perseguita.
Questo è un principio fondamentale da applicare in ogni circostanza. Un esempio è dato dagli strumenti di geolocalizzazione, che possono essere usati solo per finalità strettamente legate al lavoro che si svolge (ma qui anche la normativa italiana e l’interpretazione dell’Ispettorato nazionale del lavoro è chiara). Viene anche aggiunta l’indicazione di dare la possibilità al lavoratore, se necessario, di disattivare il localizzatore (“gps”).
Il controllo della posta elettronica e di internet.
Viene riconosciuto un legittimo interesse dell’azienda a ridurre i rischi di attacchi al proprio sistema informatico e ai propri dati riservati, ma comunque non si può spiare la posta dei dipendenti o la loro navigazione su internet. A questo proposito è molto importante l’informazione preventiva ai lavoratori sulle procedure e regole da seguire (policy aziendali).
Il controllo dei social networks.
Le aziende devono limitare la consultazione o il monitoraggio dei social networks ai soli casi riguardanti gli aspetti professionali dei dipendenti o candidati all’assunzione, con esclusione di ogni riferimento alla vita privata.
Spazi riservati per documenti o comunicazioni personali.
Una proposta del “gruppo dei garanti” rivolta alle aziende è quella di fornire ai propri dipendenti degli “spazi riservati”.
Ad esempio: connessioni wifi dedicate, appositi spazi su computer e smartphone, su cloud e posta elettronica, ovviamente non accessibili ai datori di lavoro.
Il consenso del lavoratore non basta per legittimare il trattamento dei dati personali.
Il dato di partenza è questo: tra il datore di lavoro e il dipendente c’è disparità di potere a favore del primo.
Non basta, quindi, acquisire il consenso dei lavoratori per il trattamento dei loro dati. E’ invece opportuno bilanciare il proprio legittimo interesse alla sicurezza con i diritti e le libertà dei lavoratori, facendo ricorso a normative di legge o di contratto.
Queste sono alcune prime notazioni. Naturalmente torneremo sull’argomento, affrontando ad esempio anche il tema della nomina del responsabile aziendale della protezione dei dati e del suo necessario rapporto con le rappresentanze sindacali aziendali.
(1) Cosa si intende esattamente per Data Breach (violazione dei dati)?
Secondo il Regolamento Europeo (art. 4, c. 12) per «violazione dei dati personali» si deve intendere ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
(2) Il Gruppo di lavoro articolo 29 (Working Party article 29 o WP29 o Comitato europeo per la protezione dei dati col nuovo regolamento europeo) è il gruppo di lavoro comune della autorità nazionali di vigilanza e protezione dei dati.
E’ un organismo consultivo indipendente, composto da un rappresentante della varie autorità nazionali, dal Garante europeo della protezione dei dati, nonché da un rappresentante della Commissione. Il presidente è eletto dal Gruppo al suo interno ed ha un mandato di due anni, rinnovabile una volta.
