IL NUOVO REGOLAMENTO EUROPEO CHE ENTRERÀ IN VIGORE NEL 2018 NON MUTERÀ TANTO I CONTENUTI SOSTANZIALI DELLA PROTEZIONE DEI DATI PERSONALI (SALVA L’INTRODUZIONE DEL DIRITTO ALL’OBLIO), QUANTO LA STRUMENTAZIONE PER ASSICURARNE L’EFFETTIVITÀ – CON QUALCHE ECCESSO, A MIO MODO DI VEDERE

Testo integrale dell’intervista a cura di Barbara Millucci, pubblicata con alcuni tagli per ragioni di spazio sul Corriere Economia del 24 ottobre 2016 – In argomento v. anche Ancora sui controlli a distanza nel Jobs Act

 .

Professor Ichino, il Jobs Act funziona o no?
Se mi chiede quali siano i dati sui livelli occupazionali, le rispondo che, al di là delle oscillazioni mensili, negli ultimi due anni i lavoratori dipendenti occupati sono aumentati di 604mila unità, per due terzi a tempo indeterminato. Detto questo, però, va anche detto che nessuno può seriamente affermare un nesso causale tra questo aumento e la riforma del lavoro del 2014-2015, piuttosto che con gli incentivi economici alle assunzioni a tempo indeterminato, o con la pur debole ripresa della crescita del prodotto interno lordo.

Con il nuovo articolo 4 dello Statuto, modificato dal Jobs Act, le aziende potranno dunque controllare computer, tablet e cellulari, così come i badge dei lavoratori, senza che sia necessario un accordo sindacale o un’autorizzazione del Ministero?
Il discorso è diverso, a seconda che si tratti di strumenti aziendali di lavoro, oppure di strumenti di proprietà del lavoratore. In quest’ultimo caso la direzione aziendale non ha alcun potere di controllo. Nel primo caso, invece, ovviamente sì: se l’imprenditore dota l’auto aziendale di un dispositivo satellitare, o il dipendente di un computer collegato in rete con il resto dell’organizzazione aziendale, lo fa evidentemente per consentire l’interazione in tempo reale, e quindi in qualche misura anche il controllo circa il luogo in cui si trova o quel che sta facendo il lavoratore. Imporre che l’uso di questi strumenti sia soggetto ad autorizzazione sindacale preventiva significherebbe introdurre un regime di cogestione aziendale molto penetrante, che non c’è in nessun Paese del mondo.

Quali sono i limiti che le aziende non devono oltrepassare?
Quando l’azienda autorizzi il dipendente a utilizzare il pc, oppure il cellulare, o il tablet, anche per comunicazioni personali, private, quelle comunicazioni sono protette da una norma costituzionale e dal codice penale. Il dipendente ha l’onere di tenere ben separata la propria corrispondenza personale da quella d’ufficio; ma quando questa separazione sia ben definita, la cartella che la contiene non può essere aperta da nessuno senza il suo permesso. In ogni caso, di qualsiasi utilizzazione di dati, anche legittimamente rilevati ed elaborati ai fini della normale attività aziendale, i lavoratori interessati devono essere informati preventivamente.

25 maggio 2018 entra in vigore il nuovo Regolamento UE sulla protezione dei dati. Cosa cambierà in Italia nel rapporto aziende/lavoratori?
Sul piano sostanziale, la nostra disciplina interna della materia è complessivamente già in linea con la nuova disciplina europea che entrerà in vigore, salvo un principio nuovo che il Regolamento introduce, peraltro già enunciato dalla Corte di Giustizia: quello del diritto all’oblio, cioè del diritto della persona a eliminare ogni traccia nel web e negli archivi di notizie ad essa ricollegabili, sulle quali non sussista un interesse apprezzabile altrui alla reperibilità o conoscibilità. Il Regolamento aggiunge anche una nuova disciplina, cui dovremo adeguare l’ordinamento interno, in materia di portabilità dei dati e di configurazione dei sistemi secondo criteri di protezione della privacy by design e by default.

Un’altra innovazione importante recata dal regolamento, però, è costituita dal registro dei trattamenti.
Questo fa parte della nuova normativa strumentale. L’ordinamento europeo vuole che chiunque detenga e gestisca una banca-dati, escluse quelle che riguardano soltanto la gestione interna nelle aziende fino a 250 dipendenti, si iscriva a questo registro, presso l’Autorità competente, la cui funzione consiste nel promuovere la trasparenza del trattamento dei dati, quindi la conoscibilità di chi lo opera, con quali metodi e a quali fini. Se posso esprimere la mia opinione a questo riguardo, mi pare eccessivo aver esteso l’obbligo di registrazione per le aziende sopra i 250 dipendenti, anche solo per il data-base relativo ai dipendenti: è ovvio che qualsiasi azienda medio-grande gestisce un data-base per la gestione del personale.

Le aziende inadempienti verranno multate?
Il nostro ordinamento sarà obbligato a presidiare con delle sanzioni efficaci gli adempimenti previsti nel Regolamento: è probabile che la prossima legge comunitaria contenga una delega al Governo per l’adozione delle misure necessarie per l’adeguamento dell’apparato sanzionatorio alle novità portate dal Regolamento.

E la nuova figura del data protection officer?
L’impresa iscritta al registro dovrà designare la persona responsabile del rispetto delle regole concernenti la raccolta, la conservazione e il trattamento dei dati personali per cui l’impresa stessa è iscritta al registro.

Diritto alla disconnessione. Cosa cambierà per le aziende?
Questo è un principio che, nel nostro ordinamento interno, verrà introdotto con la legge, in discussione in questi giorni in Senato, sul lavoro autonomo e il lavoro agile: cioè quello che per determinati segmenti temporali giornalieri, settimanali o mensili, si svolge senza vincoli di coordinamento spazio-temporale, ma in collegamento telematico a distanza con l’organizzazione aziendale. In Commissione è stato accolto un mio emendamento che introduce il diritto della persona interessata a un periodo di almeno 11 ore al giorno di disattivazione degli strumenti di comunicazione telefonico o informatico.