Il nuovo Decreto Legislativo 101/2018 di armonizzazione al GDPR. La Cassazione sulla non validità del consenso dei lavoratori come presupposto per l’installazione di un impianto di videosorveglianza


1. Pubblicato in Gazzetta Ufficiale il Decreto Legislativo 101/2018 di armonizzazione della normativa nazionale al Regolamento Ue n. 679 del 2016 (“GDPR”)

È stato pubblicato in Gazzetta Ufficiale lo scorso 4 settembre il Decreto Legislativo di armonizzazione della normativa interna alle disposizioni del GDPR (il “Decreto” o il “Decreto 101”).Il Decreto, che modifica il D.lgs. 196/2003 (il “Codice Privacy”) entra in vigore il 19 settembre. Il nuovo quadro regolamentare per la protezione dei dati personali risulta quindi costituito dal GDPR, dal Codice Privacy modificato, dal Decreto 101, ma anche dalla legge 5/2018 (di riforma del telemarketing), nonché dal D.lgs. 51/2018 (relativo alla protezione dei dati personali nei trattamenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali).
Molto importanti sono le disposizioni transitorie del Decreto 101, a cominciare da quelle dedicate ai codici di deontologia e buona condotta e alle autorizzazioni generali vigenti.
Per i codici di condotta, l’articolo 20 del Decreto 101 prevede un doppio binario, il primo è dedicato ai codici relativi ai trattamenti in ambito statistico, storico, scientifico, giornalistico e per le investigazioni difensive, che dovranno essere assoggettati a revisione d’ufficio del Garante entro il 18 dicembre, previa consultazione pubblica di 60 giorni. Una volta rivisti, tali codici assumeranno la denominazione di “Regole deontologiche”.

Al secondo binario afferiscono invece i codici di deontologia che oggi disciplinano i trattamenti dei dati personali connessi ai sistemi d’informazioni creditizie e commerciali, la cui revisione è condizionata all’impulso delle associazioni di categoria promotrici (ANCIC, Confcommercio, Codacons ecc.). Queste organizzazioni dovranno sottoporre al Garante un progetto di revisione entro il 19 marzo 2019 e la loro revisione da parte del Garante dovrà concludersi entro il 19 settembre 2019. Nel frattempo, rimangono in vigore i codici nelle attuali formulazioni, ma solo in quanto compatibili con il GDPR, secondo il principio di supremazia del diritto dell’Unione Europea su quello nazionale.

Anche per le autorizzazioni generali emesse in passato per disciplinare casi ricorrenti di trattamenti di dati sensibili (es. di salute, idonei a rivelare opinioni politiche, adesione a sindacati ecc.) è previsto un procedimento di verifica di conformità al GDPR. In questo caso il Garante ha il compito, entro il 18 dicembre 2018, di revisionare le autorizzazioni generaliapprovate in precedenza per disciplinare il trattamento dei dati sensibili in ambito giuslavoristico, di dati relativi allasalute, genetici e biometrici. All’esito di tale verifica, le disposizioni compatibili con il GDPR confluiranno in un apposito provvedimento del Garante, mentre le altre cesseranno di avere efficacia dalla data di pubblicazione di tale provvedimento. In ogni caso, fino all’approvazione delle regole deontologiche e delle misure di garanzia che il Garante è tenuto ad approvare per i dati di salute, genetici e biometrici, sia per le disposizioni compatibili che per quelle incompatibili continueranno ad applicarsi le prescrizioni relative alla corrispondente categoria di dati e di trattamenti. Le altre autorizzazioni generali (quali quelle relative ai trattamenti delle associazioni e fondazioni, da parte dei liberi professionisti, degli investigatori privati) cessano di avere efficacia dal 19 settembre.

Tra le altre innovazioni introdotte dal Decreto 101 si evidenzia, in particolare:

– la fissazione del limite di età di 14 anni ai fini dell’espressione del valido consenso per il trattamento dei dati personali del minore in relazione all’offerta diretta di servizi della società di informazione (art. 2-quinquies);
– la scelta di ancorare alcuni trattamenti di dati particolari al concetto di “interesse pubblico rilevante” di cui all’art. 9, par. 2, lettera g) del GDPR, a prescindere dalla natura privatistica o pubblicistica del titolare del trattamento. Si vedano in particolare quei trattamenti che le scuole sia pubbliche che private svolgono per l’organizzazione dell’istruzione, o gli ospedali e le cliniche sia pubblici che privati effettuano nel contesto di sperimentazioni cliniche, o titolari sia pubblici che privati svolgono per instaurare e gestire rapporti di lavoro; tali trattamenti sono da un lato svincolati da ogni ipotesi di consenso dall’art. 2-sexies del Codice Privacy, ma dall’altro assoggettati ai limiti che la stesse legge è chiamata a prevedere (ove non già previsti);
–  la previsione di una particolare forma di “dichiarazione anticipata di trattamento digitale”, laddove l’art. 2-terdecies prevede la possibilità che gli interessati possano, mentre in vita, anticipatamente richiedere per iscritto ai fornitori di servizi dell’informazione (es. Linkedin, Facebook, Spotify, hosting providers, fornitori di servizi di giochi online, piattaforme di e-commerce, servizi di consulenza online ecc.) di inibire l’esercizio dei diritti privacy ai propri successori, mandatari o aventi causa; di talché un utente potrà disporre che il proprio fratello, o marito, o terzo beneficiario di una polizza assicurativa, non abbiano accesso al proprio profilo Facebook;
– la conferma dell’opportunità di prevedere un “organigramma privacy” interno all’assetto organizzativo del titolare/responsabile (art. 2-quaterdecies).

Con riferimento ai trattamenti dei dati personali nell’ambito del rapporto di lavoro (Titolo VIII), si evidenzia:

– l’espresso riferimento alla disciplina di cui agli artt. 4, 8 e 10 della legge 300/1970 (Statuto dei Lavoratori);
–  la conferma circa la non necessità del consenso del lavoratore per il trattamento dei dati contenuti nel suo curriculum vitae; il nuovo Codice Privacy sottolinea altresì che l’informativa ex art. 13 del GDPR dovrà essere fornita al candidato a posizioni lavorative al momento del primo contatto utile (art. 111-bis).

Si segnala inoltre un’importante scelta sistematica del legislatore interno (art. 2-octies del Codice Privacy), che ha chiarito come anche soggetti privati possano trattare dati relativi a condanne penali e reati, ma solo sulla base e nei limiti previsti da leggi (o regolamenti delegati), in particolare nel campo dell’adempimento di obblighi e dell’esercizio di diritti in materia di diritto del lavoro eanche per finalità di antiriciclaggio e verifica dei requisiti di onorabilità previsti per l’assunzione di certe cariche sociali in determinate società regolamentate o per la partecipazione a gare pubbliche.

Per quanto attiene, invece, al profilo sanzionatorio, il nuovo Codice Privacy prevede che vengano penalmente sanzionati fatti tipici diversi da quelli precedentemente previsti, sotto le seguenti rubriche: trattamento illecito di dati personali (art. 167); comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala (art. 167-bis); acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (art 167-ter); falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante (art. 168); violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori  (art. 171).

Ulteriori previsioni di particolare interesse riguardano infine eventuali violazioni della normativa accertate dal Garante ma non ancora definite con un’ordinanza di ingiunzione al 25 maggio 2018, che possono essere sanate tramite il pagamento di un forfait, entro il prossimo 18 dicembre 2018, e la trattazione di affari pregressi. In quest’ultimo caso e nel caso in cui un’istanza per una verifica preliminare al Garante risulti ad oggi inevasa, al fine di vederla esaminata sarà necessario dichiarare il proprio interesse a che ciò avvenga. Il termine per farlo è di sessanta giorni a partire dall’avviso che il Garante è tenuto a pubblicare sul proprio sito entro e non oltre il 4 ottobre, dunque la dichiarazione andrebbe prodotta al più tardi entro il 3 dicembre 2018.

2. La Corte di Cassazione interviene nuovamente sul tema del trattamento dei dati dei dipendenti tramite videosorveglianza, negando la validità della base giuridica del consenso dei lavoratori

Con la sentenza 38882/2018 recentemente depositata la Cassazione ribadisce che il consenso scritto dei lavoratori non può costituire un valido presupposto per l’installazione di impianti di video sorveglianza, essendo questa condizionata da una precisa scelta legislativa ad accordo sindacale o autorizzazione dell’ispettorato del lavoro. Stabilisce infatti la Suprema Corte nella sentenza in esame che “la fattispecie incriminatrice di cui all’art. 4 dello Statuto dei lavoratori è integrata con l’installazione di un sistema di videosorveglianza potenzialmente in grado di controllare a distanza l’attività dei lavoratori, anche quando, in mancanza di accordo con le rappresentanze sindacali aziendali e di provvedimento autorizzativo dell’autorità amministrativa, la stessa sia stata preventivamente autorizzata per iscritto da tutti i dipendenti”.

La Cassazione, specificando che l’assenza dei menzionati presupposti configura il reato di cui agli articoli 4 e 38 dello statuto dei lavoratori, sembra abbandonare definitivamente un proprio precedente orientamento difforme espresso nella sentenza Banti (22611/2012), nella quale aveva al contrario statuito che il consenso scritto dei lavoratori fungeva da scriminante del reato (sostanzialmente identico) previsto dalla versione pre jobs act dello statuto dei lavoratori (legge 300/1970).


Download the document