di Luigi Beccaria |
Il Garante per la Protezione dei dati personali, ente di diritto italiano istituito nell’ormai lontano 1996, in concomitanza con il primo compiuto tentativo del nostro Paese di dotarsi di una normativa che regolamentasse quello che nasceva in America, quasi un secolo prima, come “the right to be let alone” (“il diritto ad essere lasciati soli”), si è distinto negli anni per pronunce che potremmo eufemisticamente definire dirompenti.
Se nella primavera scorsa abbiamo trattato il caso del temporaneo blocco inflitto a ChatGtp – caso praticamente unico in Europa –, con decisione che aveva in sé un che di antistorico, il Garante italiano, con provvedimento del 21 dicembre 2023, pubblicato solo nel febbraio 2024, sembrerebbe aver superato se stesso.
Il provvedimento del Garante sui metadati
In sostanza, il provvedimento, (ndr, successivamente soggetto a consultazione pubblica) prescrive la drastica riduzione, a massimo una settimana, con la possibilità di estensione del predetto orizzonte temporale di ben 48 ore, in casi di grave necessità, del tempo di conservazione, da parte del datore di lavoro, dei cosiddetti metadati relativi all’utilizzo degli account dei lavoratori.
Considerando che per “metadati” si intende, a titolo meramente esemplificativo, il giorno e l’ora di invio e la persona del mittente, ciò significa, senza essere troppo iperbolici, sostanzialmente vietare la conservazione delle e-mail, o almeno della possibilità di leggerle intelligibili. Tralasciando le facili ironie (mi sono imbattuto in colleghi dichiaratisi pronti a tornare alla comunicazione mediante pergamena vergata in ceralacca, da consegnarsi brevi manu al destinatario), appare ictu oculi evidente che l’applicazione di una simile previsione comporterebbe la sostanziale paralisi di ogni attività d’impresa e professionale, a prescindere dal settore di appartenenza e dalle dimensioni.
Dal mio specifico punto di osservazione, partecipando a uno studio di consulenza del lavoro dai cui account entrano ed escono centinaia di mail ogni giorno, è frequente imbattersi in clienti che chiedono chiarimenti su questioni magari relative a parecchi anni prima. Ma anche al di fuori degli studi professionali, qualsiasi azienda, anche la più piccola e “analfabeta digitale”, ha necessità di conservare le mail inviate dai propri lavoratori anche ad anni di distanza (e magari ad anni di distanza dalla cessazione del loro rapporto di lavoro). Sia a fini organizzativi, sia a fini produttivi, sia, cosa che l’esperienza e l’esercizio della professione mi hanno insegnato essere assai rilevante, ai fini probatori.
Il controllo dei lavoratori
L’aggancio normativo del provvedimento risulta essere il “sempiterno” art. 4 dello Statuto dei Lavoratori. Detta norma del 1970, nella sua formulazione originaria, ovviamente “vergine” dell’evoluzione tecnologica successiva, vietava i cosiddetti “controlli a distanza” mediante impianti audiovisivi di controllo. In seguito all’evoluzione tecnologica, la norma venne riscritta nel 2015, nel più ampio quadro di norme volte a modernizzare il mondo del lavoro ricordato come Jobs Act.
Distinguendo tra controlli vietati, quelli con impianti audiovisivi, percepiti come fonte di controllo occulto e potenzialmente ininterrotto ai danni della riservatezza dei lavoratori, da rendere leciti soltanto previo accordo sindacale o procedura autorizzativa presso la competente sede dell’Ispettorato del Lavoro, e controlli consentiti, quelli dei cosiddetti “strumenti di lavoro” (tra cui, ad esempio, il computer usato per finalità lavorative). Per questi ultimi sarebbe stato sufficiente fornire ai dipendenti un’informativa circa il tipo di trattamento svolto. E circa il rispetto dei principi fondamentali, nazionali e sovranazionali, in tema di trattamento dei dati: liceità, minimizzazione, pertinenza, proporzionalità. In sostanza, il provvedimento sembra ricondurre la conservazione, con possibili finalità di controllo, delle e-mail e dei relativi metadati alla prima fattispecie dell’art. 4 citato.
Costringendo quindi le aziende che intendano rimanere nella legalità (come caldamente consigliato, dato che le sanzioni pecuniarie sono estremamente severe e suscettibili anche di generare conseguenze penali) a effettuare un accordo sindacale, ovviamente non gratuito, oppure a fare richiesta di regolarizzazione presso l’Ispettorato. Considerando sia la natura non gratuita dell’accordo sindacale, sia la poca familiarità delle piccole aziende a conduzione familiare, che costituiscono il nerbo del tessuto economico del nostro paese, soprattutto al Nord, con l’ingresso dei sindacati in azienda, l’Ispettorato si troverà pieno di richieste. Ritardando così il momento in cui le aziende torneranno in bonis.
La necessità di un approccio sartoriale
Al di là degli spostamenti patrimoniali “obbligati” tutto sommato trascurabili che causerà (anche se alcune categorie ne beneficeranno più di altre), il provvedimento conferma un approccio legislativo, già intravisto con il Gdpr, che sta informando tutta la normativa nazionale. Si pensi alla titolarità effettiva delle aziende, che costringe, ad esempio, un socio di una società a socio unico, di cui è anche amministratore, a effettuare adempimenti per dichiarare di essere titolare effettivo della propria società.
Ovvero, vediamo il tentativo di applicare un vestito di taglia unica su realtà di entità molto diverse. La sensazione è che si facciano normative pensate per le grandi società (plurime nomine ai fini della sicurezza sul lavoro; procedure di whistleblowing; previsioni discendenti dal Regolamento UE n. 679/16), applicate più o meno indiscriminatamente a tutti. Con il risultato di “ritagliare” un vestito eccessivamente grande rispetto all’azienda che lo “indossa”.
A parere di chi scrive, l’evoluzione normativa dovrebbe essere più “sartoriale”. Valorizzando le peculiarità del nostro tessuto imprenditoriale e le distinzioni dimensionali e settoriali tra attività. Proprio come la riforma del diritto societario del 2003 effettuò un distinguo tra società per azioni e società e responsabilità limitata (la cui disciplina pregressa nel Codice Civile era pressoché la medesima) per valorizzare gli elementi distintivi, anche in tema di carico burocratico, che intercorrono tra realtà imprenditoriali di dimensioni diverse.
* Luigi Beccaria è avvocato e partner di Studio Elit. Collabora con l’Università degli Studi di Milano e con l’Università Cattolica del Sacro Cuore.
