Per quanto strano possa sembrare, fino all'entrata in vigore del Regolamento 2016/69 la normativa sulla privacy preesistente non assegnava in maniera chiara alle autorità nazionali di controllo (come il nostro Garante) dei poteri specifici. Solo con il Regolamento sono stati disciplinati in maniera chiara e trasparente i poteri attribuiti alle autorità di controllo, e quindi anche al Garante per la protezione dei dati personali, attraverso la dettagliata definizione dell'articolo 58.
Nella vecchia Direttiva 95/46 infatti, solo l'articolo 28.3 attribuiva alle autorità di controllo tre poteri: il potere investigativo, il potere di intervento e di controllo preliminare, nonché il potere di promuovere azioni giudiziarie. Si trattava di un unico comma all'interno di un articolo che disciplinava natura e ruolo delle autorità, una sorta di obiter dictum all'interno di un contesto più generale.
Lo stesso codice privacy (D.Lgs 196/2003) nel Capo II della Parte Terza attribuiva al Garante solo dei compiti (art. 154) e non dei veri e propri poteri. Certo, l'art. 143 conferiva al Garante il potere prescrittivo e coercitivo nei confronti di uno o più titolari per rendere i rispettivi trattamenti conformi alla legge, ordinandone il blocco o vietando in tutto od in parte dei trattamenti in contrasto "con rilevanti interessi della comunità". Questi poteri, però, apparentemente erano da esercitarsi nell'ambito di un procedimento per reclamo, il titolo dell'articolo 143 essendo, per l'appunto, "procedimento per reclami".
In altre parole, dalla lettera dell'articolo sembra potersi logicamente concludere che questi poteri coercitivi fossero da esercitarsi esclusivamente nell'ambito di un reclamo o di un procedimento nei confronti di un singolo soggetto, senza che la norma quindi conferisse all'Autorità un potere regolamentare erga omnes. Cosa diversa, infatti, rispetto al potere coercitivo esercitato all'interno di un reclamo e quindi di uno specifico procedimento nei confronti di un titolare, è il più generale potere regolamentare vero e proprio, che necessita di un delega vera e propria..
La realtà, lo sappiamo, è stata totalmente diversa, ed il Garante ha utilizzato la dizione alquanto ambigua dell'articolo 143 per emanare dei provvedimenti generali, che a ben vedere non erano previsti da alcuno degli articoli del vecchio codice privacy. Così, nel tempo, si sono susseguiti vari provvedimenti generali: abbiamo avuto il provvedimento sugli amministratori di sistema, quello sulle carte di fedeltà, sui trattamenti nell'ambito di lavoro, solo per citarne alcuni tra i più significativi.
Il Garante, cioè, ha creato una vera e propria legislazione secondaria, nel totale silenzio delle istituzioni e senza che nessuno si domandasse da dove derivasse questo potere regolamentare, questo potere di emettere legislazione secondaria. Sorge il dubbio, purtroppo fondato, che questo sia avvenuto per la totale assenza del legislatore e/o della politica: la privacy non porta voti, è una legge che a livello politico (e non solo) pochi hanno capito e di cui quindi non è stata compresa la portata. Questa mancanza di attenzione è stata sapientemente sfruttata dall'Autorità, che quindi, come detto sopra, si è creato uno spazio che più logicamente altri avrebbero dovuto ricoprire.
Non c'è però da farne un dramma: attraverso i suoi provvedimenti va dato atto che il Garante ha saputo fare ciò che il legislatore non ha saputo o voluto fare, coprendo un vuoto normativo ed interpretativo e disciplinando una materia altrimenti negletta, mettendo ordine e garantendo ai cittadini una tutela altrimenti negata, in un mondo in cui l'invasività delle tecnologie è diventata via via sempre più totale, ed oramai pervade la nostra vita quotidiana in un modo difficilmente immaginabile al legislatore del 2003 (ed ai suoi successori).
La pervasività della normativa sulla privacy (usiamo questo termine ormai diffuso a tutti i livelli, al posto di quello, più corretto, di tutela dei dati personali) ha cominciato a farsi sentire proprio dalla entrata in vigore del Codice Privacy, nel 2003. A partire da quella data i ricorsi al Garante hanno cominciato a moltiplicarsi, ed il Garante è dovuto intervenire su vari fronti: dal diritto all'oblio al direct marketing, dalla videosorveglianza alla sanità, dalle centrali rischi all'uso dei dati biometrici, non c'è campo della moderna vita economica che non sia stato toccato dalle decisioni del Garante, sia in seguito a segnalazioni o reclami, che ad investigazioni del Garante stesso.
I ricorsi in materia di lavoro al Garante privacy - Una materia su tutte, però, sta cominciando a prevalere sulle altre: i ricorsi in materia di lavoro. Lavoratori colpiti da sanzioni disciplinari sempre più spesso si rivolgono al Garante per invocare la non utilizzabilità dei dati che hanno portato alle sanzioni, per bloccarne il trattamento o per eccepire la violazione delle norme dello Statuto dei Lavoratori in materia di controllo a distanza. Il procedimento davanti al Garante è pur sempre molto più rapido rispetto al contenzioso tradizionale, ed ottenere una pronuncia positiva permette al reclamante di agire in una ovvia posizione di vantaggio. Va poi detto che il Garante sempre più spesso ha dovuto sanzionare i datori di lavoro, accogliendo le tesi del lavoratore ricorrente.
Ma non è questo il punto, anzi: va detto, senza remore, che spesso si resta meravigliati dalla ingenuità (vogliamo essere buoni) del datore che non ha fornito alcuna informativa, che effettua controlli vietati, che pubblica dati che dovrebbero restare riservati, e via discorrendo. Sembra, spesso, di assistere ad uno spettacolo dell'assurdo, dove chi si è impegnato da anni su questa materia resta incredulo quando legge che un titolare ha asserito di non sapere che il MAC-address è un dato personale, o che installare certi dispositivi richiede l'accordo sindacale o che chi non ne aveva il diritto ha avuto accesso ai dati sanitari che dovrebbero essere consultati esclusivamente dal medico competente. I comportamenti in violazione delle più banali e semplici norme in materia di privacy lascia a volte stupiti, ma è, purtroppo, la realtà dei fatti.
Ma quello che sta succedendo, sempre più spesso è un altro fenomeno, in qualche modo simile all'allargamento di potere che abbiamo illustrato prima. Così come il garante ha occupato uno spazio che il legislatore e la politica avevano lasciato libero, così ora sta entrando sempre più spesso ad occuparsi ed a decidere in materia di lavoro non valutando il trattamento in sè, ma occupandosi della fattispecie giuslavoristica vera e propria.
Qui c'è bisogno di tornare al dato legislativo: l'articolo 88 del Regolamento stabilisce che gli stati membri possono prevedere "norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro," e che ogni Stato Membro ha l'obbligo di comunicare "alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro il 25 maggio 2018".
In altre parole, lo stato membro può disciplinare i trattamenti e, ovviamente la disciplina dei trattamenti ricade sotto la competenza del Garante. Va da sé che non risulta che l'Italia abbia comunicato alcunchè entro il 25 maggio 2018, ma transeat.
Sempre in tema di dato legislativo, il codice privacy, agli art 113 e 114 richiama lo Statuto dei Lavoratori, con la seguente dizione (identica, praticamente in tutti e due gli articoli): il testo, rispettivamente è "Resta fermo quanto disposto dall'art. 8 della Legge 20 Maggio 1970, n. 300 …omissis" e "Resta fermo quanto disposto dall'art. 4 della Legge 20 Maggio 1970, n. 300".
Ma la dichiarazione di continuo vigore di una norma costituisce titolo per attribuire competenza al Garante sulla interpretazione di quella norma? Se la competenza del Garante è quella sui trattamenti svolti durante il rapporto di lavoro, ed esclusivamente sui trattamenti, a questo dovrebbe attenersi l'Autorità. Vorremmo sia chiara una cosa: non è intenzione di chi scrive di entrare nel merito delle decisioni prese dal Garante, ma di porre il quesito: può il Garante stabilire se (ad esempio) una certa fattispecie costituisce violazione dell'articolo 4, o non dovrebbe, piuttosto, essere questa materia di competenza del giudice del lavoro? Ricordiamo, a titolo di esempio, che proprio su questa materia il Garante ha emesso un recente provvedimento che, apoditticamente e senza alcun approfondimento specifico, stabilisce che il mantenere i metadati della posta elettronica costituisce una violazione dell'articolo 4 SdL: può il Garante dare una definizione così generica di cosa costituisce controllo a distanza, e di conseguenza sanzionare il titolare che non si sia adeguato?
Anche perché, se è vero quanto abbiamo osservato all'inizio, cioè che il Garante, con i suoi provvedimenti ha riempito un vero e proprio vuoto normativo, lo stesso non può dirsi in materia di lavoro. Ad esempio, in nessuna delle decisioni del Garante si fa riferimento alla teoria, i cui limiti la Corte Suprema ha definito oramai con chiarezza, dei c.d. "controlli difensivi", che il Garante non ci risulta abbia mai preso in considerazione. Giusta o sbagliata che questa teoria sia, oramai è stata definita dalla S.C. (che ne ha certo limitato la portata, ma non la ha esclusa del tutto, anzi).
Fonte: Il Sole 24 Ore - di Zallone Raffaele e Andrea Stanchi
Altri articoli
