25 Maggio 2016

Regolamento europeo privacy: nuove modifiche al controllo dei lavoratori

di Alessandro Rapisarda

 

Con comunicato stampa del 4 maggio 2016, il Garante della privacy informa che sono stati pubblicati nella Gazzetta Ufficiale dell’Unione europea (G.U.U.E.) del 4 maggio 2016 il Regolamento europeo sulla protezione dei dati personali (Regolamento Generale sulla protezione dei dati n.679/16) e la Direttiva che regola i trattamenti dei dati personali nei settori di prevenzione, contrasto e repressione dei crimini. Il Regolamento entra in vigore il 20° giorno successivo alla pubblicazione in Gazzetta, quindi il 24 maggio 2016.

Il Garante precisa che le norme del Regolamento non troveranno immediata applicazione dal 24 maggio 2016; tuttavia, da quel giorno inizierà a decorrere il termine di due anni entro i quali tutti gli Stati Membri dovranno adeguare le norme nazionali in materia di privacy alle prescrizioni regolamentari. Il Regolamento UE n.679/16, quindi, troverà automatica e diretta applicazione dal 25 maggio 2018, con conseguente disapplicazione di tutte le norme nazionali che fossero in contrasto con lo stesso. La Direttiva, invece, sarà vigente dal 5 maggio 2016, con conseguente impegno a carico degli Stati membri di recepire le relative disposizioni nel diritto nazionale entro 2 anni.

Il nuovo “pacchetto protezione dati” garantirà maggiori opportunità e tutele per cittadini e imprese, adeguando una normativa europea che risale ormai agli anni ’90, cioè a un’epoca in cui molte delle nuove tecnologie attuali non esistevano e internet era ancora alle origini.

In particolare, il nuovo Regolamento introdurrà una legislazione in materia di protezione dati uniforme e valida in tutta Europa, affrontando temi come il diritto all’oblio e alla portabilità dei dati e stabilendo anche criteri che da una parte responsabilizzano maggiormente imprese e enti rispetto alla protezione dei dati personali e, dall’altra, introducono notevoli semplificazioni e sgravi dagli adempimenti per chi rispetta le regole.

Il Regolamento europeo sulla privacy si basa, come la disciplina precedente, sul consenso e sull’informativa, ma con alcune specificazioni interessanti. Il trattamento dei dati personali è, infatti, lecito se l’interessato ha espresso il suo consenso. Vi sono casi però, specificamente previsti, nei quali il consenso può non esserci. Il titolare del trattamento deve fornire all’interessato un’informativa dettagliata ossia una serie di informazioni che illustrino con cura le modalità del trattamento.

Quali sono i nuovi obblighi informativi per professionisti e imprese? E quali i soggetti esclusi?

Il principio del consenso, ossia il fatto che i dati di un soggetto siano trattati, nella maggior parte dei casi (e soprattutto a fini pubblicitari) solamente se vi è stata una manifestazione di volontà libera ed esplicita in tal senso, e l’obbligo (precedente) di un’informativa dettagliata, ossia di una serie di informazioni che illustrino con cura le modalità del trattamento, sono sempre stati i due pilastri della disciplina della protezione dei dati.

Il principio da cui si parte è che ogni trattamento è lecito se l’interessato ha espresso il suo consenso al trattamento o se esso è necessario per l’esecuzione di un contratto, per l’adempimento di un obbligo legale, per la salvaguardia di interessi vitali per una persona fisica, per l’esecuzione da parte del titolare di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, per il perseguimento di un legittimo interesse ove non prevalgano i diritti e le libertà del soggetto interessato. Vi sono casi, quindi, nei quali il consenso può non esserci, ma sono indicati specificamente nel testo.

Il consenso, laddove risulti quindi necessario, deve contenere particolari presupposti, e nello specifico deve essere libero, informato e per iscritto, “in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro”. Il titolare del trattamento, inoltre, deve essere sempre in grado di “provare” che l’interessato ha prestato detto consenso. Tale “prova”, o dimostrazione, può essere fornita ad esempio mostrando moduli o documenti fatti sottoscrivere ad hoc.

Altro passaggio importante è che l’interessato ha sempre diritto di revocare il consenso in qualsiasi momento e deve sempre essere informato di tale diritto e possibilità di revoca. L’informativa deve sottendere a un principio di trasparenza, prevista dall’art.5, co.1, lett.a) del Regolamento.

Tra le modifiche proposte dal Regolamento ci sono, innanzitutto, le informazioni che il titolare del trattamento deve fornire all’interessato: devono sempre essere rese in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.

Il titolare deve fornire all’interessato, in particolare, una lunga serie di informazioni, elencate agli artt.13 e 14 del Regolamento.

L’art.13 del Regolamento, in particolare, fornisce un’elencazione di tutte le informazioni che il titolare deve fornire all’interessato qualora i dati personali siano raccolti presso di lui, da fornire anche in caso di modifica delle finalità di un trattamento già in essere; l’art.14 elenca quelle da rendersi ove i dati non siano ottenuti presso l’interessato. In quest’ultimo caso, le informazioni devono essere fornite entro un tempo ragionevole dall’ottenimento dei dati personali e, al più tardi, entro un mese.

Le prescrizioni dall’Europa pongono, quindi, due tipologie diverse di informativa a seconda che i dati siano o meno raccolti presso l’interessato.

Si riprende anche la questione dell’esclusione dall’obbligo dell’informativa laddove:

  • l’interessato disponga già delle informazioni, la loro comunicazione risulti impossibile o richieda uno sforzo sproporzionato;
  • l’ottenimento o la comunicazione siano “espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato”;
  • i dati personali debbano rimanere riservati.

Il nuovo quadro normativo impegnerà, in via generale, i professionisti a rivedere e a predisporre la documentazione relativa ai propri mandati, ma soprattutto, per quanto concerne l’aspetto giuslavoristico, all’alba del novellato art.4 dello Statuto dei Lavoratori, impegnerà gli operatori del settore in un’attenta gestione di alcune dinamiche afferenti il controllo dei lavoratori. Il rischio sempre più imminente è che la legittimità dei controlli passi proprio dall’adeguata informativa fornita ai lavoratori dipendenti.