Nell’ampia tutela a protezione dei dati personali, prevista dall’impianto normativo del Reg.Ue 679/2016 e provvedimenti collegati, non è sfuggita ai legislatori la peculiarità della connessione tra norme lavoristiche e diritto alla riservatezza nel contesto delle relazioni di lavoro.

Già nell’art. 88 del Reg. UE n. 2016/679 – dedicato al trattamento dei dati nell'ambito dei rapporti di lavoro - si affida a ciascuno Stato membro il compito di prevedere, tramite leggi o contratti collettivi, discipline più specifiche per assicurare la protezione dei diritti e delle libertà con riferimento al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro. Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune e i sistemi di monitoraggio sul posto di lavoro.

E’, tuttavia, nel Parere dell’8 giugno 2017 del Gruppo di lavoro WP29 (Opinion 2/2017 on data processing at work) che più esplicitamente i Garanti europei chiariscono i termini della protezione dei dati personali dei dipendenti nelle aziende private e negli enti pubblici.

Considerata la forte disparità di potere tra datore di lavoro e lavoratore, si ritiene improbabile che, in questo caso, possa essere il consenso la base giuridica capace di legittimare il trattamento dei dati. Poiché la normativa prevede che il consenso prestato debba essere libero, cosa complicata dalla vulnerabilità del dipendente, i Garanti europei suggeriscono di utilizzare la necessità dell’adempimento normativo o contrattuale come base giuridica per trattare i dati dei propri collaboratori, oppure il legittimo interesse del datore di lavoro mantenendo un attento bilanciamento con i diritti e le libertà dei lavoratori secondo i principi di necessità e proporzionalità. Ma entrano nel merito anche di altri importanti elementi: la consultazione dei profili social dei lavoratori dovranno essere limitate ai soli profili professionali (Linkedin ad esempio), escludendo la vita privata, anche di possibili candidati a posizioni lavorative aperte; si disapprova l’uso di sistemi di videosorveglianza idonei a identificare i lavoratori tramite tratti somatici e a coglierne le espressioni facciali; si suggerisce di offrire connessioni WiFi ad hoc e definire spazi riservati – su computer e smartphone, su cloud e posta elettronica – per l'invio e la conservazione di comunicazioni personali, non accessibili ai datori di lavoro se non in casi eccezionali; si impone che gli strumenti di geolocalizzazione siano utilizzabili per finalità strettamente aziendali con possibilità di disattivazione temporanea in caso di circostanze "private" che giustifichino lo spegnimento; si fa divieto di utilizzare i dati ricavabili dai Wearable Devices (dispositivi indossabili) al fine di monitorare lo stato di salute e l’attività fisica dei propri lavoratori.

Anche i provvedimenti successivi a completamento dell’impianto normativo del Reg.UE 679/2016 – il Decreto Legislativo 101/2018 di adeguamento alla normativa nazionale del GDPR e il Provvedimento del Garante per la Protezione dei dati personali del 5 giugno 2019, Prescrizioni relative al trattamento di categorie particolari di dati dei lavoratori - non lasciano dubbi sulla volontà dei legislatori europei di rendere effettiva una tutela ulteriore della popolazione attiva in età di lavoro. Ma accanto alle tematiche già affrontate rimangono ancora aperte una serie di questioni che attengono all’individuazione di modalità per passare dalla tutela formale alla tutela sostanziale. Di seguito qualche esempio.

L’articolo 8 dello Statuto dei Lavoratori vieta al datore qualsiasi indagine, schedatura, classificazione in relazione alle opinioni politiche, religiose o sindacali e su fatti non rilevanti al fine della valutazione dell’attitudine professionale del dipendente. Ma come estendere questa tutela anche a indagini realizzate sulla mappa di contatti social del lavoratore? Alla prudenza di un singolo individuo nella gestione del proprio profilo pubblico, tesa ad evitare la diffusione di foto e opinioni eccessivamente “dichiarative”, potrebbe corrispondere invece una gestione opposta da parte della propria “mappa sociale” di contatti con i quali perlopiù si condividono opinioni e interessi. Come evitare che la visualizzazione di questi elementi in un profilo aperto, porti, per associazione, ad individuare attività o opinioni del dipendente utilizzabili, eventualmente, anche a fini discriminatori, nell’ambito dei rapporti di lavoro?

Non va dimenticato, tra l’altro, lo scarso sviluppo del contenzioso giudiziario su tematiche inerenti discriminazioni in ambito lavorativo fondate su informazioni ricavate con strumenti tecnologici. Il sistema per chiedere l’accertamento dell’eventuale discriminazione non è sempre di agevole gestione per il lavoratore, non solo per la difficoltà di avere contezza e consapevolezza di un accesso non autorizzato alle proprie informazioni personali che non lascia tracce evidenti della violazione, ma anche per la difficoltà di assolvere all’onere della prova relativamente ad ambiti non solo immateriali ma oscuri ai più.

Alla stessa difficoltà è esposto anche il contenzioso contro attività che invece pure sarebbero vietate al datore di lavoro ma che sono comunque di scarsa individuazione e tanto più di scarsa evidenziabilità da parte del lavoratore. Si pensi ai dispositivi che consentono, analizzando la pressione esercitata dalle dita sulla tastiera, di rilevare lo stato di ansia e stanchezza dell’utilizzatore oppure all’uso dei dati ricavabili dai dispositivi indossabili per monitorare lo stato di salute o il rendimento dei propri dipendenti. Quale lavoratore potrà essere in grado di capire, denunciare e tanto più dimostrare in giudizio che un’eventuale discriminazione in termini di progressione di carriera o un licenziamento può derivare dall’incrocio tra informazioni rilevabili dai propri profili social e dal monitoraggio dei dati personali contenuti nei dispositivi aziendali?

E, ancora, lì dove un provvedimento  sia preso da un essere umano ma a valle di un processo di elaborazione di informazioni eseguito da una cosiddetta learning machine, a chi imputare gli effetti della condotta discriminatoria? Pur essendo infatti l'essere umano il responsabile dell’organizzazione all’interno della quale si sarebbe prodotta la discriminazione, le learning machines sono caratterizzate da una modalità di apprendimento automatico dai dati e dall’esperienza che fa sì possano arrivare a soluzioni non ipotizzabili a priori da chi le ha programmate, e quindi in quel caso l'umano sarebbe ritenuto responsabile per una discriminazione da esso non voluta.

Da quanto sopra sommariamente esposto, è evidente, quindi, come la pervasività delle tecnologie sia oggi così accentuata da non poter configurare realisticamente comportamenti individuali dei lavoratori in grado di impedire sia la dispersione di informazioni personali che il loro utilizzo – in maniera integrata e connessa – per finalità diverse da quelle per le quali sono stati conferiti. E questo arricchisce di nuove problematicità la contrapposizione tra le potenzialità fornite al processo produttivo dalle tecniche avanzate di analisi e le istanze di tutela dei lavoratori.

Già il Regolamento impone di adottare strumentazioni tecnologiche che siano in grado di realizzare una protezione dei dati «per impostazione predefinita» (privacy by design e by default), senza lasciare alcuna discrezionalità nel momento successivo del trattamento dei dati. Secondo l’art. 25 il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Gli strumenti tecnologici utilizzati, pertanto, devono essere in grado di escludere sia i dati che non possono essere lecitamente trattati che quelli che non corrispondono al principio di necessità, attribuendo così alla tecnologia una funzione indiretta di tutela delle posizioni giuridiche.

Sempre nel Regolamento, tra gli elementi attestanti la legittimità di trattamento è inoltre prevista la valutazione d’impatto preventiva, una misura di tutela che prevede un test di proporzionalità tra il legittimo interesse del datore di lavoro, le tecnologie adottate volte al suo perseguimento e i diritti di riservatezza dei lavoratori.

Questi elementi, però richiedono consapevolezza per esercitare diritti, cosa non sempre semplice per i singoli individui nell’ambito dell’innovazione tecnologica. La complessità dello scenario, quindi, rimanda alla necessità di riflettere su modelli di tutela che contemplino dimensioni “sovraindividuali” di intervento, per le quali, a solo titolo esemplificativo, se ne segnalano qui due: il coinvolgimento di soggetti collettivi (quali potrebbero essere le organizzazioni di rappresentanza sindacale) ai quali delegare poteri di controllo e segnalazione alle autorità competenti nel caso in cui sorga un fondato sospetto di potenzialità lesive o discriminatorie nei confronti dei diritti dei lavoratori; la previsione di  soggetti individuali, presenti a livello territoriale, di connessione e mediazione (ad esempio sul modello delle consigliere provinciali di parità) tra lavoratori e datori di lavoro pensati in un’ottica di promozione di azioni positive, diffusione di conoscenza e scambio di buone prassi, sostegno all’attuazione delle indicazioni della normativa privacy e dell’Autorità Garante.

Ma a monte di tutto, in un’ottica di privacy mainstreaming, sarebbe necessario un percorso di integrazione sistematica nelle pratiche organizzative, mobilitazione, sensibilizzazione e formazione basato sull’assunto che solo se si sviluppa conoscenza e consapevolezza sia delle potenzialità che degli effetti deleteri che l’immensa quantità di dati personali carpiti o volontariamente ceduti, che virtualmente immettiamo costantemente nel sistema, può avere sulla vita reale di ciascuno