Le sanzioni previste dalla disciplina della GDPR si applicano anche alle violazioni nei rapporti di lavoro, impattanti su dati personali. Ne discende che la conoscenza del diritto della privacy è necessaria ed inevitabile per chi deve applicare il diritto del lavoro. E’ quanto chiarito dal Garante della privacy con l’ingiunzione n. 231 del 2023, meramente confermativa di un approccio, che non è ancora stato compreso a pieno dai datori di lavoro ed anche da parte dei lavoratori. Inoltre, nelle contestazioni plurime di illeciti privacy, il principio di completezza della motivazione richiede di specificare i passaggi del calcolo della sanzione applicata in concreto.

Alle violazioni della disciplina del rapporto di lavoro, impattanti su dati personali, si applicano le sanzioni della disciplina della privacy. Le prescrizioni e i divieti, dalla cui inosservanza deriva una punizione ai sensi del Regolamento Ue sulla protezione dei dati n. 2016/679 (GDPR), sono, pertanto, rinvenibili in qualunque fonte normativa relativa ai doveri del datore di lavoro e al contratto di lavoro, nei limiti in cui implichino il trattamento di dati personali. Ciò è una conseguenza della atipicità dell’illecito privacy, drammaticamente rivelata dal combinato disposto degli articoli 5 e 83 GDPR (da un lato) e di ciascuna norma del diritto positivo, concernente posizioni giuridiche attive e passive relative al datore di lavoro o concernenti il rapporto di lavoro (se implicano il trattamento di dati personali). Nel diritto vivente la conoscenza del diritto della privacy è, pertanto, necessaria ed inevitabile per chi deve applicare il diritto del lavoro. Questo è l’orientamento ormai consolidato nelle pronunce delle ingiunzioni del Garante per la protezione dei dati personale, tra cui la n. 231 del'1° giugno 2023, meramente confermativa di un approccio, che, nonostante la sua granitica affermazione, non è ancora stato compreso a pieno dai datori di lavoro e anche da parte dei lavoratori. Trattamenti dei dati non conformi al GDPR e relative sanzioni Per necessità di chiarezza, è opportuno andare subito al nocciolo della questione, spiegando tutti i passaggi: tutti i trattamenti dei dati non conformi al GDPR sono sanzionati dal GDPR con una sanzione amministrativa; la non conformità può consistere nella illiceità del trattamento, non altrimenti descritta o specificata (articolo 5 GDPR); l’illiceità può, conseguentemente, essere eteronoma rispetto al GDPR e cioè può essere la violazione di una norma diversa dal GDPR; in conclusione, il trattamento di dati in violazione di una norma diversa dal GDPR comporta l’applicazione dell’art. 83 GDPR. L’ingiunzione n. 231/2023 del Garante italiano della privacy percorre questo cammino sino in fondo a proposito dell’art. 4 dello Statuto dei lavoratori. Nella vicenda, oggetto dell’ingiunzione, un datore di lavoro ha installato un sistema di videosorveglianza ed ha utilizzato apparecchi biometrici senza che fossero state attivate le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o, in alternativa, autorizzazione dell’Ispettorato del lavoro). Ciò, spiega il Garante, risulta in contrasto con la legge n. 300/1970, considerato che, nel caso di installazione di un impianto di videosorveglianza o di altri strumenti (come quelli che rilevano caratteristiche biometriche delle persone, device elettronici), dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori, è necessario il rispetto della specifica procedura descritta normativamente volta ad ottenere, in caso di assenza di rappresentanze sindacali aziendali, il rilascio di una apposita autorizzazione da parte dell'Ispettorato del lavoro. Peraltro, prosegue il ragionamento del Garante, Il rispetto della procedura di garanzia prevista dallo Statuto dei lavoratori costituisce un requisito essenziale per la correttezza dei trattamenti dei dati personali dei lavoratori in azienda. Violare la procedura imposta dall’art. 4 della legge 300/1970, deduce il Garante, configura pertanto la violazione del principio di liceità del trattamento (articolo 5, GDPR). Tutto ciò ha condotto all’applicazione di una sanzione amministrativa pecuniaria (stabilita in un importo finale per tutta una serie di violazioni). Fin qui la mera descrizione della regola di decisione applicata costantemente dal Garante della privacy. Dal piano della mera parafrasi dell’apparato motivazionale delle ingiunzioni del Garante si deve passare ora a una analisi dei possibili effetti. Effetti della decisione del Garante privacy La più rilevante conseguenza è che quanto detto a proposito degli obblighi relativi agli impianti di controllo indiretto dei lavoratori vale per qualsiasi obbligo di qualsiasi altra fonte. Tutte le fonti di condotte obbligatorie, attive od omissive, ovviamente se impattano con dati personali, comportano la sottoposizione di quella condotta all’accertamento sanzionatorio in base al GDPR, anche se di per sé non riguardano istituti direttamente normati dal GDPR. In sostanza, il diritto della privacy prevede obblighi tipici previsti dal GDPR (informative, valutazioni di impatto privacy, notificazioni e comunicazioni di data breach, registri dei trattamenti, ecc.): la violazione di questi obblighi conculca direttamente il bene giuridico della protezione dei dati. Nel contempo, il diritto della privacy prevede, mediante la porta spalancata dall’art. 5, obblighi non espressamente previsti dal GDPR, ma dallo stesso richiamati attraverso il principio di liceità: evidentemente, per lo meno al momento della genesi normativa di questi obblighi, il legislatore ha avuto in animo di rispondere all’esigenza di tutelare beni giuridici diversi dalla privacy. L’espandibilità dell’apparato sanzionatorio del GDPR, a questo punto, sta sotto gli occhi di tutti e, probabilmente, fino ad ora, solo l’abbinamento di un saggio self-restraint, dal lato law enforcement, e di una distratta o voluta inconsapevolezza, dal lato dei soggetti coinvolti, ha impedito la conflagrazione delle questioni teoriche e pratiche, che presentano la complessità di veri e propri enigmi, quali il rapporto tra le discipline sanzionatorie settoriali e quelle sovrastrutturali del Gdpr (concorso o specialità?) oppure la proporzionalità delle sanzioni Gdpr in sé e per sé considerate. Peraltro, la mancata manifestazione di una criticità in dimensioni di sistematica preoccupazione, non deve illudere i singoli protagonisti di un concreto episodio di vita. È, infatti, certamente plausibile che un lavoratore presenti un reclamo al Garante per la protezione dei dati a fronte di un qualsiasi inadempimento di prescrizioni della disciplina giuslavoristica, che coinvolga i suoi dati personali. Ed è altrettanto lineare che quel lavoratore faccia valere, ai sensi dell’art. 82 Gdpr, la violazione di prescrizioni della disciplina giuslavoristica quale violazione del Gdpr meritevole del risarcimento del danno, anche sotto il profilo del trattamento dei dati personali. I datori di lavoro e i loro consulenti faranno bene a entrare in questo meccanismo, ad oggi in gran parte dormiente, che evidenzia il trasversalismo della disciplina della privacy e della sua tendenza a pan-sanzionare tutte le possibili violazioni occorse nel trattamento di dati personali, una per una. Si potrebbe tentare di arginare queste impostazioni, argomentando che le reazioni sanzionatorie, previste dall’apparato sanzionatorio della disciplina della privacy, possono scattare solo quando c’è in gioco il bene giuridico della privacy/protezione dei dati e non quando si perseguono altri interessi tutelati dall’ordinamento. Peraltro, quest’ultima è una riflessione dialettica ai limiti del sofisma, che finisce per legittimare qualsiasi decisione, di qualsiasi contenuto, senza scrupoli nomofilattici e senza timori delle difformità per casi simili. Importo delle sanzioni L’ingiunzione, qui commentata, presenta un’altra peculiarità degna di essere discussa, non estranea al modo di agire delle autorità europee preposte alla protezione dei dati. Ci si riferisce alla sola determinazione sintetica, in unica cifra, dell’importo finale della sanzione amministrativa, applicato in concreto a una pluralità di violazioni, senza riferimento ai calcoli intermedi. Nelle ingiunzioni, al riguardo, si richiama il paragrafo n. 3 dell’art. 83 GDPR, ai sensi del quale: “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave.”. Tenuto a mente questo, si consideri anche l’art. 166 del codice della privacy, il quale, a riguardo dei procedimenti sanzionatori, prescrive l’applicazione dell’art. 18 della legge n. 689/1981. Questo articolo impone alle autorità competenti a irrogare sanzioni amministrative, se ritengono fondato l'accertamento, di determinare, con ordinanza motivata, la somma dovuta per la violazione e di ingiungerne il pagamento. Per quanto possa essere ritenuto marginale, partendo dal tenore letterale delle disposizioni, e in particolare dal numero singolare usato per il sostantivo “violazione”, ed enfatizzando una interpretazione garantista delle disposizioni stesse discende che nelle ingiunzioni pronunciate per una pluralità di violazioni: 1) sia sempre espressamente indicata la violazione più grave in concreto commessa (articolo 83, paragrafo 3 Gdpr); 2) sia sempre indicata la sanzione per ciascuna violazione (afferendo ciascun elemento del computo alla esattezza e completezza della motivazione). Copyright © - Riproduzione riservata

Fonte: https://www.ipsoa.it/documents/quotidiano/2023/09/22/trattamento-dati-personali-lavoratori-violazioni-statuto-applicano-sanzioni-previste-gdpr