Il ruolo per i sindacati nell’assetto della privacy nelle aziende
Il Regolamento UE 2016/679 (GDPR) da tempo è entrato nella vita di chi vive in Europa (UE e SEE) e, sebbene alcuni facciano ancora difficoltà a comprenderne la portata di diritto di cittadinanza, tutti in genere vi poniamo più attenzione, sia nella veste di interessati, sia nella veste di attori nella gestione della privacy in organizzazioni del settore pubblico e privato. Quello che si intende qui iniziare ad approfondire è il ruolo che possono avere le organizzazioni sindacali con riguardo alla privacy.
Non ci sono molte previsioni normative o di soft law che attengano a tale aspetto. Quelle che subito vengono in mente sono:
- l’indicazione che il Garante fa in una delle Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato, laddove menziona espressamente i sindacati fra i titolari che sono tenuta alla nomina del RPD;
- il D.Lgs. 104/2022 (Decreto Trasparenza) di recepimento della Direttiva (UE) 2019/1152, “relativa a condizioni di lavoro trasparenti e prevedibili nell'Unione europea” laddove prevede, fra l’altro, che informazioni inerenti l’”utilizzo di sistemi decisionali o di monitoraggio automatizzati” debbano essere rese ai lavoratori e anche alle rappresentanze sindacali e che direttamente, o tramite questi ultimi, i lavoratori possano chiedere ulteriori informazioni oltre a quelle previste.
Per quanto attiene all’interlocuzione delle organizzazioni sindacali con le Autorità Garanti, in via generale si tratta di questioni inerenti alle modalità di trattamento di dati personali da parte di tali organizzazioni o della diffusione indebita di dati sull’appartenenza sindacale dato particolare ai sensi art. 9 GDPR). Ma si registrano già alcune questioni prettamente inerenti al trattamento di dati personali nell’ambito della gestione del rapporto di lavoro.
In particolare, ci si sofferma qui, per il merito e per la rilevanza, due provvedimenti emanati dalle Autorità Garanti spagnola e francese e in cui a ricorrere sono state direttamente organizzazioni sindacali:
- in Francia, la CNIL è stata interessata dal sindacato CGT-RATP circa un presunto illecito nel trattamento di dati nelle procedure di avanzamento dei lavoratori presso l’azienda di trasporti RATP. e, una volta appurata la fondatezza dei fatti, ha comminato alla RATP una sanzione di 400.000 euro.
- in Spagna, l’AEPD è stata interessata dal sindacato UGT circa un presunto illecito nel trattamento dei dati personali nel processo di assunzione dei dipendenti da parte di una branch di Amazon, (Amazon Road Transport Spain - Arts), con riguardo a dati del casellario giudiziario (dato protetto dall’art. 10 GDPR). Una volta appurata la fondatezza dei fatti, ha comminato alla ARTS una sanzione di 2.000.000 di euro.
Nel rimandare a successive occasioni una disamina di questi provvedimenti, quello che sta vedendo la luce è un ulteriore sfaccettatura per il ruolo del sindacato nelle relazioni industriali: il confronto con la parte datoriale 1) può e deve riguardare anche la realizzazione di un corretto assetto nel trattamento dei dati personali e 2) può essere perseguito anche ricorrendo ove necessario e con legittimità alle Autorità Garanti (nella fisiologia dei rapporti, laddove quello che dovrebbe essere il primo terreno di confronto, quello del confronto negoziale, non riesca a dare esiti favorevoli).
Il legislatore, da parte sua, sta riconoscendo – come nel Decreto “Trasparenza” - tale ruolo di tutela delle complessive condizioni di vita nelle organizzazioni, riconoscendo diritti informativi anche verso i sindacati.
Quello che stiamo osservando è un allargamento degli stakeholder legittimati ad agire per la tutela dei diritti degli interessati, anche in assenza di un incarico ad hoc. Giova in merito ricordare quanto reso noto sul portale di Federprivacy circa la legittimazione delle “Associazioni dei consumatori legittimate ad agire anche senza una concreta violazione della privacy e anche senza mandato specifico”, per questioni attinenti al commercio in cui il connesso trattamento di dati personali “sia idoneo a pregiudicare i diritti riconosciuti da tale regolamento a persone fisiche identificate o identificabili” , come sancito dalla CGUE nella sentenza del 29 aprile 2022 causa C-319/20.
Proseguendo su tale prospettiva, infine, in parallelo al coinvolgimento dei sindacati nella gestione della privacy, il ruolo del Data Protection Officer (Responsabile della Protezione dei Dati nella versione italiana del Regolamento UE) nei sindacati potrebbe in concreto evolvere: non solo come consulente e supervisore della privacy nei trattamenti interni al sindacato, ma anche come consulente delle organizzazioni sindacali verso valutazioni sulla compliance al GDPR a) dei trattamenti inerenti ai dati personali dei lavoratori rappresentati e b) dei trattamenti in generale delle imprese e delle P.A. in cui i soggetti rappresentati sono incaricati del trattamento e quindi, per tale via, coinvolti nella compliance al Regolamento europeao sulla protezione dei dati. Ciò, potrebbe essere un ulteriore contributo a rafforzare l’ecosistema privacy e, nel caso della P.A., rafforzarne il ruolo di guida.