La disciplina in materia di protezione dei dati non prevede, nonostante l’opzione di cui all’art. 88 del reg. UE n. 679/2016, un sistema di riequilibrio della posizione debole del lavoratore rispetto alle prerogative del datore di lavoro. L’art. 4 comma 3 della legge n. 300/1970 nel disciplinare gli strumenti di controllo a distanza dell’attività dei lavoratori impone il rispetto della disciplina in materia di protezione dei dati che a sua volta rinvia alle regole processuali in materia di validità, efficacia ed utilizzabilità in giudizio dei mezzi di prova basati su un trattamento illegittimo di dati personali. Le norme processuali, tuttavia, difettano di una disciplina specifica sulla prova illecita. Soltanto il ricorso alla teoria delle c.d. prove incostituzionali e l’elaborazione giurisprudenziale delle condizioni di liceità dei controlli difensivi sembrano orientare l’interprete nel sistema attuale. Nel futuro si auspica, oltre all’attuazione dell’art. 88 del reg. UE n. 679/2016, l’istituzionalizzazione di un soggetto terzo che possa fungere da garante effettivo della posizione del lavoratore.
Data protection laws do not provide solutions to rebalance the position of the worker against the employer’s prerogatives, despite the option referred to in art. 88, reg. EU n. 679/2016. Article 4 par. 3 of the law n. 300/1970, regulating tools for remote control of workers‘ activity, refers to data protection rules, which in turn refers to procedural rules on validity, effectiveness and usability in court of evidence based on the unlawful processing of personal data. The procedural law, however, lack specific rules on unlawful evidence. Only the theory of the “unconstitutional evidence” and the case – law development of the conditions of lawfulness of the “defensive controls” seem to tackle the issue. Other solutions in the future can be the implementation of art. 88 reg. EU n. 679/2016 and the establishment of a third party who can effective guarantee the data protection rights of workers.
Keywords: data protection – privacy, tools for remote control of workers’activity – unlawful evidence – Statuto dei lavoratori – consent.
Articoli Correlati: inutilizzabilità dei dati personali - protezione dei dati personali - controllo a distanza - privacy
1. Introduzione - 2. La prova illecita - 3. Le prove incostituzionali - 4. Il rimando ‘a vuoto’ del Codice in materia di protezione dei dati personali alle norme processuali - 5. Il monitoraggio dei dipendenti nell’ambito dei rapporti di lavoro. Disciplina giuslavoristica ... - 5.1. … e tutela dei dati personali - 6. Utilizzabilità in giudizio delle informazioni acquisite dal datore di lavoro in violazione della normativa sulla protezione dei dati personali - 7. Conclusioni - NOTE
Il tema oggetto del presente contributo attiene all’ingresso e all’utilizzabilità in giudizio delle prove formate in violazione della normativa sulla protezione dei dati personali. La soluzione non è immediatamente e facilmente deducibile dalla normativa vigente, che, come si vedrà, risulta spesso carente e disordinata nella regolazione del fenomeno, posto che la tutela della sfera privata dell’individuo va contemperata con altri interessi, tra cui in particolare la necessità di garantire il giusto processo alle parti contrapposte. Questo tema presenta ulteriori criticità se riferito ai mezzi di prova acquisiti nel rito lavoro e formati nell’ambito dell’azienda, ove il rispetto della disciplina giuslavoristica si coordina con la normativa sulla protezione dei dati e su cui ci soffermeremo in questa sede [1].
Il giudice nel processo civile valuta se il mezzo di prova è rilevante ai fini del giudizio ossia se il thema probandum attiene al thema decidendum (artt. 115 e 183 comma 7, c.p.c.). La rilevanza della prova è quindi il criterio che consente al giudice di includere nel suo processo decisionale tutti gli elementi necessari a ricostruire nel modo più completo possibile la verità dei fatti su cui verte la causa. Tuttavia, per le “prove costituende” tale criterio concorre con quello di ammissibilità [2], che precede la valutazione in merito alla rilevanza del mezzo di prova e funge da filtro [3], operando in senso esclusivo [4]. Uno dei parametri che il giudice adopera nel valutare l’ammissibilità del mezzo di prova è la liceità dello stesso, qualità che è diretta conseguenza della sua genesi [5]. Ciò non avviene per le “prove precostituite” la cui produzione in giudizio non subisce un vero e proprio giudizio preventivo di ammissibilità [6]. Nondimeno, anche in questo caso, un atto mediante il quale, ad esempio, è stato acquisito un documento altrimenti indisponibile, geolocalizzato un soggetto, ritratto o registrato un aspetto della vita privata di un individuo prima dell’instaurazione del giudizio, ha in sé un «vizio sostanziale [che] tocca in radice la legittimità stessa del comportamento del privato, ed il momento antecedente al processo, in cui il mezzo di prova viene acquisito nella disponibilità della parte» [7]. Le azioni illecite, dirette a generare o acquisire un mezzo di prova non altrimenti disponibile alla parte, qualificano lo strumento processuale come “illecito”. Molto si discute sull’utilizzabilità delle c.d. prove illecite (di qualunque tipologia). Infatti, nell’ordinamento processuale civile [8] manca una specifica disposizione normativa che individui i caratteri della prova illecita e che preveda specifiche sanzioni [9]. La nozione più ampia di prova illecita, individuata dalla dottrina maggioritaria, riguarda le ipotesi di prove formate o acquisite in violazione di divieti posti dalle norme sostanziali e processuali [10]. Nondimeno, una parte della dottrina precisa che per la violazione delle norme processuali sarebbe più corretto far riferimento alla categoria giuridica della [continua ..]
L’elaborazione dottrinale [15], così come gli orientamenti giurisprudenziali [16] sul tema della prova illecita presentano incertezze e oscillazioni interpretative. Nondimeno, si è delineato nel tempo un orientamento, che occorre valorizzare, per il quale la rilevanza delle prove illecite trova come limite invalicabile il dettato costituzionale nella parte in cui tutela i “diritti di libertà dei cittadini” [17]. Si delinea così la categoria giuridica delle prove illecite perché incostituzionali (c.d. prove incostituzionali) [18]. Nel classificare e distinguere le libertà dell’individuo è sorta sul finire del XIX secolo la necessità di individuare una categoria giuridica nuova: la privacy [19], che annovera un insieme di diritti riconducibili alla “riservatezza” [20], intesa come “diritto alla illesa intimità privata” [21] ovvero come “diritto alle vicende personali” [22] od anche come “diritto alla vita privata” [23] (ius solitudinis). Nel corso degli studi sul tema e con l’avvento della digitalizzazione, ci si è resi conto che limitare la privacy al diritto alla riservatezza sarebbe stato riduttivo rispetto alle ‘nuove’ necessità dell’individuo di controllo procedimentalizzato sulle proprie informazioni e di circolarizzazione delle informazioni in un mercato regolamentato [24]. De iure condendo si avverte la necessità di giungere ad una disciplina che contempli la “governance” completa del dato [25]. Quanto al diritto vigente, il reg. UE n. 679/2016 del Parlamento europeo e del Consiglio del 27 aprile 2016, c.d. GDPR, reca oggi una estesa disciplina del diritto alla protezione dei dati personali, ove per “dato” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile [26]. Si tratta di norme cui viene accordata copertura costituzionale, da rinvenirsi per alcuni negli artt. 13, 14 e 15 Cost., per altri anche nell’art. 2 della Carta [27]. Tali principi costituzionali rappresentano un nucleo di norme inviolabili «capace di orientare l’evoluzione giuridica, attraverso la realtà conflittuale dei diritti» [28]. Pertanto, nell’ammissione di un mezzo di prova il giudice non potrà far a meno di valutare se [continua ..]
L’art. 2 decies del d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, introdotto dal d.lgs. 10 agosto 2018, n. 101, di adeguamento della normativa nazionale al reg. UE n. 679/2016, prevede che «I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati, salvo quanto previsto dall’articolo 160-bis». L’art. 160-bis citato, anch’esso introdotto dal d.lgs. n. 101/2018, prevede che «La validità, l’efficacia e l’utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali». Come già rilevato, però, non esiste una disposizione processuale specifica in materia di prove illecite e soltanto l’elaborazione dottrinale e giurisprudenziale, è riuscita mediante l’elaborazione della categoria delle “prove incostituzionali” ad interpretare in maniera coerente il fenomeno della produzione probatoria in violazione della normativa sulla protezione dei dati personali. Le citate novità normative, seppur non risolutive, compiono comunque importanti passi in avanti nella disciplina della materia. Nella originaria formulazione del d.lgs. n. 196/2003, l’art. 11, comma 2 (ad oggi abrogato) non rinviava all’art. 160 (testo previgente). Ciò implicava che tra il primo, ai sensi del quale: «I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati» (art. 11, comma 2, abrogato) e il secondo, per cui «La validità, l’efficacia e l’utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali non conforme a disposizioni di legge o di regolamento restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale» (art. 160, testo previgente), non vi era alcun collegamento espresso. Ciò tuttavia non esclude che il collegamento sussistesse in fatto, ma certamente con l’adeguamento della normativa nazionale al reg. UE n. 679/2016, l’art. 2 decies del d.lgs. n. 196/2003 rinvia espressamente al nuovo art. 160 bis istituendo, almeno [continua ..]
A differenza di altri contesti giuridici, in cui può svilupparsi il fenomeno della prova illecita per violazione della normativa in materia di protezione dei dati, in azienda tale problema assume dei confini particolari per la circostanza che fra lavoratore e datore di lavoro sussiste una asimmetria di potere, che complica il legittimo trattamento dei dati dei dipendenti da parte del datore di lavoro. È necessario, quindi, domandarsi quali informazioni, in merito all’attività svolta dal dipendente, il datore di lavoro può acquisire e su che basi e a quali condizioni tali informazioni possano essere utilizzate contro lo stesso lavoratore, ad esempio, nel caso di violazione di segreti aziendali o dell’obbligo di fedeltà [38]. Il tema è stato affrontato dalla giurisprudenza con esiti altalenanti [39]. Le decisioni si caratterizzano per la differente applicazione del “criterio di gerarchia mobile”, in forza del quale il giudice svolge un bilanciamento nella tutela dei diritti in gioco rispetto allo specifico thema probandum [40]. Tale criterio, nella materia lavoristica, deve però fare i conti con una disposizione che regola espressamente il rapporto con la disciplina in materia di protezione dei dati: l’art. 4 della legge 20 maggio 1970, n. 300, c.d. Statuto dei lavoratori, sui controlli a distanza dei lavoratori svolti attraverso strumenti tecnologici [41]. La norma subordina l’acquisizione di informazioni «per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale» a tre concorrenti condizioni: la prima dettata dall’esistenza di un accordo sindacale o di un’autorizzazione proveniente dall’Ispettorato del lavoro [42]; la seconda consistente nell’adeguata informazione del lavoratore in merito alle modalità d’uso degli strumenti e di effettuazione dei controlli e l’ultima data dal rispetto della normativa in materia di protezione dei dati [43]. Inoltre, le informazioni acquisite dal datore di lavoro mediante gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e per registrare gli accessi e le presenze ai sensi dell’art. 4, comma 2, della legge n. 300/1970 possono essere utilizzate dal datore di lavoro a prescindere dalle finalità e dagli accordi sindacali o dalle autorizzazioni di cui al comma 1 [continua ..]
La necessità di rispettare la disciplina in materia di tutela dei dati con riferimento a tutte le informazioni acquisite ai sensi dell’art. 4 della legge n. 300/1970 espressamente prevista dal medesimo art. 4, comma 3, pone almeno tre principali questioni applicative: (i) i rapporti tra “l’adeguata informazione delle modalità d’uso degli strumenti e dell’effettuazione dei controlli” che il datore di lavoro deve fornire al lavoratore ai sensi dell’art. 4, comma 3 ed il diritto di informazione di cui all’art. 13 del reg. UE n. 679/2016; (ii) l’individuazione della corretta base giuridica in forza della quale il datore di lavoro può procedere al trattamento dei dati del dipendente ai sensi degli artt. 6 e 9 del reg. UE n. 679/2016; (iii) l’effettivo ambito applicativo dell’art. 4, comma 3, della legge n. 300/1970 nella parte in cui prevede che le informazioni raccolte ai sensi dei commi precedenti: “sono utilizzabili a tutti i fini connessi al rapporto di lavoro … nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”. Quanto alla prima questione, l’adeguata informativa che il lavoratore deve ricevere in merito alle modalità d’uso degli strumenti e all’effettuazione dei controlli non coincide con l’informativa che il titolare del trattamento fornisce all’interessato al momento dell’acquisizione dei dati ai sensi dell’art. 13 del reg. UE n. 679/2016. Essendovi più framework legislativi da rispettare, segnatamente le condizioni previste dall’art. 4 della legge n. 300/1970 e la disciplina in materia di protezione dei dati, la valutazione della legittima acquisizione del dato va effettuata in base a tutti i framework. Ciò significa che i contenuti delle due informative andranno integrati, di modo che il dipendente, oltre a ricevere tutte le informazioni prescritte dall’art. 13 del reg. UE n. 679/2016, sia adeguatamente informato rispetto ai meccanismi di funzionamento degli strumenti di controllo, anche mediante mezzi che facilitano tale comprensione, quali ad esempio video interattivi [46]. Quanto all’individuazione della base giuridica su cui fondare il trattamento dei dati, occorre muovere dal presupposto che ogni trattamento effettuato dal datore di lavoro necessita di una sua propria base giuridica, che tuttavia può essere comune [continua ..]
Le informazioni acquisite da parte del datore di lavoro in violazione della normativa in materia di tutela dei dati personali e prodotte in giudizio quali mezzi di prova contro il lavoratore, possono essere dichiarate dal giudice “inutilizzabili” per illiceità del trattamento? Occorre distinguere almeno due scenari. Il primo si profila nel caso in cui il datore di lavoro abbia svolto controlli c.d. difensivi in assenza delle condizioni di legittimità elaborate dalla giurisprudenza di legittimità. Quindi ad esempio senza applicare, nemmeno formalmente, la normativa in materia di tutela dei dati personali. In questi casi la giurisprudenza di merito ha iniziato a riconoscere “effetto preclusivo sull’efficacia probatoria dei dati raccolti nell’ambito del rapporto di lavoro e quindi del processo civile che questo abbia per oggetto” [70]. Il secondo scenario riguarda il caso in cui le informazioni siano state acquisite previo formale consenso del lavoratore. Sul punto mancano orientamenti giurisprudenziali consolidati. Tuttavia, il criterio della vicinanza o disponibilità dei mezzi di prova di cui al par. 1 dell’art. 7 del reg. UE n. 679/2016 impone al datore di lavoro, in caso di contestazione da parte del lavoratore, l’onere di provare che il consenso sia stato prestato secondo le condizioni previste dalla legge, quindi per ciò che maggiormente rileva in maniera informata e libera. Inoltre l’art. 24, par. 1, del reg. UE n. 679/2016 prevede che il titolare del trattamento è tenuto a mettere in atto tutte le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento viene effettuato conformemente alle prescrizioni di legge. È evidente che l’onere non potrebbe dirsi assolto con la sola produzione delle informative firmate dal lavoratore, in quanto il consenso potrà dirsi informato solo se il datore di lavoro dimostra di aver offerto tutti gli strumenti necessari alla comprensione del trattamento. Il datore di lavoro dovrà altresì dimostrare la libera prestazione del consenso e quindi, in base ad un onere probatorio particolarmente gravoso, che il lavoratore non avrebbe subito conseguenze pregiudizievoli nel caso di mancata prestazione del consenso. Sarà quindi il giudice, anche mediante l’esercizio dei suoi poteri istruttori (art. 421 c.p.c.), a valutare se [continua ..]
Ripercorrendo quanto sin ora argomentato: la normativa giuslavoristica posta a tutela del lavoratore individua quali informazioni sono acquisibili da parte del datore di lavoro in costanza di svolgimento del rapporto e a quali fini, prevedendo specifiche procedure e l’adeguata informazione del lavoratore in merito ai controlli cui è sottoposto. Al contempo la normativa giuslavoristica rinvia alla disciplina in materia di protezione dei dati che a sua volta delimita i dati acquisibili ed individua le condizioni di liceità del trattamento; ancora la normativa sulla protezione dei dati rinvia alle regole processuali al fine di sanzionare le violazioni verificatesi a seguito di ingresso in giudizio di prove basate sul trattamento illegittimo di dati personali; infine, le norme processuali difettano di una disciplina specifica sulla prova illecita. Ne consegue, pertanto, che ogni valutazione sull’illiceità del mezzo istruttorio è rimessa all’equo apprezzamento del giudice, il quale dovrà anzitutto valutare se il mezzo è stato generato o acquisito in violazione delle normative sostanziali in materia di protezione dei dati. In secondo luogo, il giudice dovrà stabilire le conseguenze derivanti dall’acquisizione in giudizio di un siffatto mezzo di prova. L’unica bussola in questo sistema sembra rappresentata dall’elaborazione dottrinale e giurisprudenziale della categoria delle c.d. prove incostituzionali e dalle condizioni di legittimità dei controlli difensivi, anch’esse di elaborazione giurisprudenziale. A ciò s’aggiunga che nell’ambito del rito del lavoro il legislatore ha ritenuto che per gli squilibri economici ed informativi esistenti sul piano sostanziale tra le parti in causa il principio della disponibilità dei mezzi di prova, sul quale è improntato il sistema processuale civile, dovesse essere derogato a favore dell’attribuzione al giudice di poteri inquisitori volti a facilitare la prova dei fatti controversi. Di contro, la disciplina in materia di protezione dei dati non prevede – nonostante la menzionata opzione di cui all’art. 88 del Regolamento – un sistema di riequilibrio della posizione debole del lavoratore, che nella prassi è spesso tenuto a prestare il proprio consenso al trattamento di tutti i dati che il datore di lavoro intende acquisire, al fine di ottenere o mantenere il [continua ..]
Iscrivendoti alla newsletter di Giappichelli non riceverai spam, ma bensì gli aggiornamenti sulle nuove uscite di tuo interesse, sconti e iniziative promozionali.
Copyright G. Giappichelli Editore - 2020
ISSN 0025-4959- Massimario di Giurisprudenza del Lavoro (Online)
Iscrizione al R.O.C. n. 25223
Per informazioni: ufficioabbonamenti@giappichelli.it
