Proseguendo nelle riflessioni sull’introduzione nei contesti aziendali di un rappresentante dei lavoratori per la privacy, in questa sede si forniscono ulteriori spunti di approfondimento su una figura interna all’organigramma delle organizzazioni che potrebbe avere un ruolo di primo piano nella tutela dei dati personali di fronte a un utilizzo sempre più pervasivo dell’intelligenza artificiale.
In aggiunta, si avanza anche una proposta per un possibile testo di modifica normativa.
Indice degli argomenti
Il ruolo dell’IA nei processi di lavoro e sui lavoratori
Riflessioni dettate dalla constatazione del fatto che il mondo del lavoro è percorso da dinamiche evolutive continue sotto la spinta dell’innovazione tecnologica e, da ultimo e prepotentemente, dell’intelligenza artificiale (IA).
Se solo qualche anno fa si riteneva che molti dei lavori esistenti si sarebbero estinti nei successivi decenni ma che altri ne sarebbero nel contempo emersi, oggi si teme che l’IA ne spazzerà via molti prima che un adeguato turn-over riesca a creare nuove occasioni di lavoro, rendendo incerto il futuro soprattutto delle giovani generazioni.
Nel contesto emergente, le nuove tecnologie dell’IA possono avere refluenze tali non solo sui processi di lavoro ma anche sui lavoratori, anche sotto gli aspetti della privacy e della salute e sicurezza sul lavoro: in termini di opportunità per migliorare gli aspetti della sicurezza e in termini di rischi per l’impatto sulle condizioni di lavoro (cfr ad es. il recente documento “Strategie per la sicurezza e la salute” dell’Agenzia Europea per la salute e sicurezza sul lavoro – EU-OHSA).
Ciò rende ancor più articolata pure la gestione della privacy all’interno delle organizzazioni; a livello UE si è fra l’altro intervenuti con la Direttiva 2019/1152 relativa a condizioni di lavoro trasparenti e prevedibili, recepita in Italia con il D.lgs. 2022/104 che prevede specifici oneri informativi verso i lavoratori e le OO.SS. circa l’utilizzo di sistemi decisionali o di monitoraggio automatizzati afferenti a diversi aspetti della prestazione (con aspetti che implicano il trattamento di dati personali).
Il legislatore europeo, va aggiunto, già con la Direttiva UE 2002/14 (recepita con D.lgs. 2007/25) ha istituito un quadro generale relativo all’informazione e alla consultazione dei lavoratori, che prevede un quadro informativo sull’assetto delle imprese nei confronti delle OO.SS. e, nel caso di informazioni riservate ovvero non divulgabili ai lavoratori, cita anche gli “ esperti che eventualmente assistono” i rappresentanti dei lavoratori.
Una proposta di aggiornamento di GDPR e Codice privacy
Senza fare qui una elencazione delle diverse numerose norme riferibili ai diversi aspetti del mondo del lavoro, il richiamo alle predette norme intende essere spunto per una proposta di aggiornamento del GDPR o anche solo del Codice privacy, secondo cui le informazioni (anche dei lavoratori) devono essere raccolte e gestite in modo legale, trasparente e sicuro.
La norma che si propone alla riflessione è rivolta a dare una più sostanziale risposta alle esigenze dei lavoratori di tutela della loro privacy nell’ambito delle organizzazioni – pubbliche o private che siano – in cui operano, materia che, va da sé, teoricamente rientra nel cono d’attenzione anche delle OO.SS.
Per articolare convenientemente tale proposta è utile richiamare il D.lgs. 81/2008 sulla tutela della salute e della sicurezza nei luoghi di lavoro, l’art. 2087 del codice civile “tutela delle condizioni di lavoro”, la legge 4/2021 di ratifica ed esecuzione della Convenzione OIL sull’eliminazione della violenza e delle molestie sul luogo di lavoro che fra l’altro impegna gli Stati che la ratificano ad “adottare leggi e regolamenti che definiscano e proibiscano la violenza e le molestie nel mondo del lavoro, inclusi violenza e molestie di genere” e il D.lgs. 24/2023 sul whistleblowing.
I dati personali dei dipendenti comprendono non solo informazioni afferenti alle competenze professionali e alle expertise maturate sul lavoro, alle dinamiche individuali degli aspetti retributivi e previdenziali, a informazioni diverse relative alla sfera del lavoratore come quelle inerenti allo stato anagrafico, ai familiari, alla salute (per la parte sostanziale trattate in esclusiva dal medico competente), alla iscrizione a sindacati.
Il ruolo del rappresentante dei lavoratori per la privacy
La tutela della privacy, così come quella della salute e sicurezza sul lavoro, è essenziale per un ambiente di lavoro dove le persone si possano sentire tutelate nei loro interessi e rispettate nella loro diversità. E come il D.lgs. 81/2008, prevede il rappresentante dei lavoratori per la sicurezza assegnandogli molteplici attribuzioni (art. 50), parallelamente in tema di tutela dei dati personali un Rappresentante dei lavoratori per la privacy potrebbe innalzare la complessiva tutela della privacy dei dipendenti.
Tale figura, che ha trovato spazio anche nella dottrina troverebbe fondamento nella congiunta considerazione:
- della rilevanza pervasiva e crescente della materia in un contesto, quello del lavoro, che vede crescere le soluzioni di intelligenza artificiale adottate nei processi;
- dello stretto legame fra privacy e ambiente di lavoro inclusivo e aperto alla valorizzazione delle diversità;
- dell’art. 4 dello Statuto dei lavoratori che riguardo forme di controllo a distanza prevede, in alcuni casi, uno specifico iter (accordo con le OO.SS. o autorizzazione INL).
Tale rappresentante sarebbe un presidio di garanzia: un primo interlocutore per l’organizzazione e il responsabile della protezione dei dati (RPD/DPO) ove nominato (in caso contrario emergerebbe ancor più la sua utilità come propositiva controparte del datore di lavoro).
Come già in precedenza sostenuto, analogamente all’ambito salute e sicurezza sul lavoro, dove il rappresentante dei lavoratori può interloquire con le altre figure coinvolte fra cui il responsabile del servizio di prevenzione e protezione (assimilabile al RPD).
Agevolerebbe anche le OO.SS. che pure potrebbero incontrare difficoltà nella disponibilità di idonee expertise in materia (ancorché in generale tenute alla nomina del RPD ma, ove nominato, deputato alla consulenza a supervisione dei trattamenti delle singole OO.SS.).
Ovviamente il rappresentante dei lavoratori per la privacy interverrebbe con riguardo a ciò che concerne i lavoratori: esulando dal loro intervento la privacy afferente i processi di business basati sul trattamento di dati personali diversi da quelli dei lavoratori stessi (così come gli RLS non sono, ad es., competenti sui rischi per la salute e sicurezza sul lavoro connessi agli output erogati da una organizzazione, pubblica o privata che sia).
Le possibili interazioni all’interno dei contesti aziendali
Va da sé che l’interazione del Rappresentante con le OO.SS. potrebbe poi condurre queste ad attivarsi direttamente in tema di privacy ove ritenuto necessario, analogamente a quanto avviene nell’ambito della salute e sicurezza sul lavoro.
A supporto di tale proposta è che le OO.SS. potrebbero, come nel caso della salute e sicurezza sul lavoro, non disporre di professionalità esperte in tema di privacy per vagliare l’impatto sui processi e sulle relazioni di lavoro derivanti da innovazioni tecnologiche e/o organizzative. Per cui degli esperti che assistano le OO.SS. – come pure menzionati nel citato D.lgs. 2007/25 – troverebbero ragion d’essere.
Il Rappresentante dei lavoratori per la privacy non andrebbe visto come sostitutivo del RPD, essendo diverse le finalità, così come il Rappresentante dei lavoratori per la sicurezza svolge, nell’ambito della salute e sicurezza sul lavoro, un ruolo diverso dal Responsabile per il servizio di prevenzione e protezione nominato dal datore di lavoro.
Nel box seguente approfondiamo in maniera più articolata questa proposta.
Perché un Rappresentante dei lavoratori per la privacy?
- Crescita della consapevolezza sulla privacy. La nomina di un Rappresentante dei lavoratori per la privacy (RLP) può garantire una maggiore attenzione e controllo sulla gestione dei dati personali dei dipendenti all’interno delle aziende. Il RLS può monitorare e assicurarsi che le politiche di privacy siano effettivamente applicate, riducendo il rischio di violazioni dei dati e migliorando la protezione della privacy.
- Partecipazione attiva dei lavoratori. Coinvolgere i lavoratori attraverso un loro Pappresentante specifico per la privacy permette di aumentare la consapevolezza e l’impegno di tutti i dipendenti rispetto alla protezione dei dati personali. Il RLS può anche fungere da intermediario tra i dipendenti e il titolare, facilitando la comunicazione e la risoluzione di problematiche relative alla privacy.
- Conformità normativa e riduzione del rischio legale. La presenza di un RLP può aiutare le organizzazioni a mantenere un alto livello di conformità con il GDPR e altre normative sulla protezione dei dati, riducendo il rischio di sanzioni legali e danni alla reputazione. Un controllo più rigoroso e continuo sulle pratiche di gestione dei dati personali può prevenire incidenti e garantire un ambiente di lavoro più sicuro e conforme.
Rapporto RLS e OO.SS.
Il rapporto tra il Rappresentante dei Lavoratori per la Privacy (RLP) e le OO.SS. dovrebbe essere di collaborazione stretta e coordinata. Ecco alcuni punti che possono delineare questo rapporto:
- Collaborazione e supporto reciproco: il RLP dovrebbe lavorare a stretto contatto con le organizzazioni sindacali – in particolare con i relativi RPD e con gli esponenti che presiedono alla privacy policy delle OO.SS. – per garantire che le preoccupazioni e i diritti dei lavoratori in materia di privacy siano adeguatamente rappresentati e protetti. Le organizzazioni sindacali possono fornire supporto al RLP attraverso risorse, formazione e consulenza legale.
- Confronto regolare: il RLP dovrebbe interagire con le organizzazioni sindacali su tutte le questioni relative alla protezione dei dati personali dei lavoratori. In questo modo, le organizzazioni sindacali potrebbero includere le problematiche relative alla privacy nelle loro negoziazioni e nei loro interventi a favore dei lavoratori, con l’apporto tecnico del RLP..
- Formazione e sensibilizzazione: le organizzazioni sindacali possono svolgere un ruolo fondamentale nella formazione e nella sensibilizzazione dei lavoratori riguardo ai loro diritti in materia di protezione dei dati personali. Il RLP può collaborare con le organizzazioni sindacali per sviluppare e implementare programmi di formazione mirati.
- Monitoraggio e vigilanza: le organizzazioni sindacali possono permettere una più articolata conoscenza al RLP delle pratiche organizzative relative alla protezione dei dati personali dei lavoratori. Questo può includere la partecipazione a verifiche delle OO.SS. per assicurare che le politiche di privacy siano rispettate.
- Gestione delle segnalazioni e delle controversie: in caso di violazioni della privacy o altre problematiche, il RLP e le OO.SS. possono lavorare insieme per gestire le segnalazioni dei lavoratori, garantendo un supporto adeguato e la protezione dei diritti dei dipendenti. Le organizzazioni sindacali possono anche fornire assistenza legale e rappresentanza ai lavoratori in caso di controversie.
- Integrazione nelle contrattazioni collettive: le OO.SS. possono integrare le questioni relative alla protezione dei dati personali nelle contrattazioni collettive, assicurando che le politiche di privacy siano parte integrante degli accordi di lavoro. Il RLP può fornire input preziosi e supportare le negoziazioni con la sua expertise specifica
Un’alternativa al rappresentante dei lavoratori per la privacy
Un’ipotesi alternativa alla creazione di questa nuova figura potrebbe consistere nell’ampliamento delle competenze del RPD ex-GDPR, assegnandogli almeno altre due compiti fra quelli più articolati previsti per il RPD afferente le Organizzazioni UE ai sensi del Regolamento UE 2018/1725 ovvero:
- “Garantire che i trattamenti non arrechino pregiudizio ai diritti e alle libertà degli interessati” (art. 45.1 lett h).
- “Il responsabile della protezione dei dati può, inoltre, di propria iniziativa o a richiesta del titolare del trattamento o del responsabile del trattamento, del comitato del personale interessato o di qualsiasi persona, indagare sulle questioni e sui fatti direttamente collegati con l’esercizio delle sue funzioni di cui viene a conoscenza e riferire in merito alla persona che lo ha incaricato dell’indagine o al titolare o al responsabile del trattamento” (art.45.2).
A supporto (almeno) di questa seconda ipotesi valga la considerazione che: il legislatore è lo stesso, gli interessati sono gli stessi, il diritto è lo stesso, cambia la natura dei titolari (le organizzazioni UE) ma le tutele dovrebbero essere le stesse.
D’altronde, come evidenziato da un esperto della materia, «In Europa le sanzioni per il lavoro irrogate da quando c’è il GDPR sono 59 milioni» e tale questione «diventerà ancora più centrale con l’intelligenza artificiale».
Una delle sanzioni più rilevanti, pari a oltre 35 milioni di euro, comminata in Germania dal Commissario per la protezione dei dati e la libertà d’informazione di Amburgo – venuto a conoscenza della questione da notizie di stampa – riguardava il pluriennale illecito trattamento di dati afferenti alla vita privata dei dipendenti, emerso per un errore di configurazione; come ha riportato l’EDPB “The combination of collecting details about their private lives and the recording of their activities led to a particularly intensive encroachment on employees’ civil rights”.
Che si intenda seguire o meno, a livello normativo, una o entrambe le accennate ipotesi resta comunque necessario che le OO.SS. pongano la dovuta attenzione alle questioni della privacy: in primo luogo a tutela della riservatezza dei lavoratori iscritti ma anche con riguardo alla dialettica sindacale con le organizzazioni – datore di lavoro.
In particolare, in casi di patologia non risolubili al tavolo negoziale, dovrebbero vagliare anche se rivolgersi (in Italia tramite segnalazione ex-art 144 del Codice privacy, non potendo d’iniziativa presentare reclami in base all’articolo 142 del predetto Codice) al Garante privacy per dirimere aspetti lesivi del diritto alla riservatezza dei propri rappresentati, come ad es. avvenuto in Spagna ove nel 2019 un sindacato si è rivolto all’AEPD, Garante spagnolo, per far cessare una prassi afferente alla richiesta di certificazione su precedenti penali, vicenda che si è conclusa con una sanzione pecuniaria e con la cessazione della citata prassi.
Ipotesi di norma modificativa del GDPR o del Codice privacy
Articolo XX – Competenze e facoltà del Rappresentante dei Lavoratori per la Privacy
- Il Rappresentante dei Lavoratori per la Privacy (RLP) è designato dai lavoratori all’interno dell’organizzazione – pubblica o privata – per rappresentarli in tutte le questioni relative alla protezione dei dati personali che li riguardano.
- Il RLP ha le seguenti competenze e facoltà:
- Accedere alla documentazione dell’organizzazione relativa alle politiche di protezione dei dati personali dei lavoratori e ai relativi piani di attuazione.
- Monitorare l’applicazione delle norme interne ed esterne relative alla protezione dei dati personali dei lavoratori, segnalando eventuali non conformità agli organi interni preposti e, ove non trovino adeguato riscontro, alle autorità competenti.
- Partecipare alle riunioni periodiche in cui si discutono le misure di protezione dei dati personali dei lavoratori, proponendo miglioramenti e modifiche necessarie.
- Essere consultato preventivamente su tutte le decisioni che possono avere un impatto sulla privacy dei dati personali dei lavoratori.
- Promuovere e coordinare programmi di formazione e sensibilizzazione per i lavoratori in materia di protezione dei propri dati personali.
- Interagire, ove nominato, con il Responsabile della Protezione dei Dati (RPD) e con le altre figure interne ed esterne all’organizzazione coinvolte nel trattamento di dati del personale, per contribuire a garantire una gestione coordinata ed efficiente dei dati personali dei lavoratori.
- Segnalare qualsiasi violazione della privacy dei dati personali dei lavoratori alle autorità di vigilanza competenti, qualora l’organizzazione non fornisca adeguate ragioni e/o assuma adeguate misure correttive.
- Poter ricevere e trattare le segnalazioni dei lavoratori riguardo a problematiche o violazioni della privacy dei propri dati personali, garantendo l’anonimato e la protezione del segnalante.
- Il titolare è tenuto a fornire al RLP tutte le risorse e gli strumenti necessari per svolgere efficacemente le sue funzioni, inclusa la formazione specifica e il tempo adeguato per l’espletamento dei compiti previsti.
- Il RLP non può essere discriminato né subire ritorsioni per l’esercizio delle sue funzioni.
Conclusione
L’introduzione del rappresentante dei lavoratori per la privacy – auspicabilmente in Europa, ma comunque almeno in Italia – potrebbe dare un forte impulso non solo a una gestione dei dati dei lavoratori rispettosa della privacy ma anche, va da sé, a una più trasparente gestione e sviluppo delle persone in un contesto di più trasparente interazione fra organizzazioni e lavoratori.