Cina: novità e scenari sulla protezione dei dati personali dei lavoratori con la nuova 'PIPL’
A poco più di un mese dalla sua entrata in vigore la legge cinese sulla protezione dei dati personali, la Personal Information Protection Law (PIPL), ha attirato l’attenzione degli studiosi di privacy di tutto il mondo considerato il suo impatto potenziale nelle relazioni commerciali internazionali. Promulgata il 20 agosto 2021, ed entrata in vigore il 1° novembre di quest’anno, la PIPL è stata già da molti considerata una pietra miliare, con capofila il GDPR, nell’evoluzione della data protection.
Come già avvenuto in diversi Stati degli USA, il Governo di Pechino ha plasmato la PIPL sulla struttura organica ed eclettica del Regolamento europeo 679/2016 occupandosi, nei suoi 74 articoli contenuti in 8 capitoli, della data protecion partendo dai principi fondamentali del trattamento delle informazioni personali sino al regime sanzionatorio.
Gioco forza la PIPL, oltre alle similitudini, presenta caratteristiche differenti rispetto al GDPR sia nel senso di previsioni aggiuntive sia in termini di assenza di taluni istituti che caratterizzano il Regolamento europeo per la protezione dei dati personali, anche in ambito HR.
Nelle diverse sezioni troviamo, oltre ai principi generali ed i diritti degli interessati, le modalità di trattamento in alcune specifiche situazioni tra cui il rapporto di lavoro. Infatti, il datore di lavoro sarà tenuto a rispettare le disposizioni della PIPL in qualità di titolare del trattamento dei dati personali dei propri dipendenti. Già dall’instaurazione del rapporto lavorativo il datore di lavoro effettua un trattamento (art. 3, PIPL) di dati personali (art. 4, PIPL) riguardanti il lavoratore, e pertanto dovrà assicurarsi di informare il prestatore specificando quali basi sono a fondamento del trattamento (art. 13, PIPL).
A proposito delle basi giuridiche del trattamento la PIPL, in ambito lavoristico, contempla oltre al consenso del prestatore di lavoro alcune previsioni simili al GDPR, ovvero: esecuzione precontrattuale o contrattuale; adempimenti obbligatori ex lege (es. previdenza); gestione dei dati nei casi di pubblico interesse (es. sanità) o di interesse vitale dell’interessato. Oltre a queste previsioni che possono ritenersi lecite e legittime, se viste dalla prospettiva del c.d. bilanciamento degli interessi, sono presenti alcune previsioni che destano qualche preoccupazione relativamente alla tutela della riservatezza del lavoratore: in particolare, mi riferisco al c.d. ‘consenso separato’ ed all’utilizzo delle informazioni pubbliche presenti sui social media.
Con riferimento al consenso separato che deve essere esplicito, informato e libero può ritenersi adeguato fin quando adottato per talune situazioni come nel caso di pubblicazione della propria immagine sul sito internet della società; ma comincia a vacillare nelle previsioni più articolate di utilizzo dei dati dei lavoratori. Si pensi, ad esempio, alla fruizione da parte del datore di lavoro, di sistemi di identificazione biometrica pubblica.
Quest’ultimo è il caso dell’accesso alle informazioni raccolte dalle telecamere di videosorveglianza pubblica ed utilizzate dal datore di lavoro per gestire i flussi e l’identificazione del personale presente nei luoghi di lavoro (es. hall di un edificio pubblico) in situazioni che esulano da quelle connesse alla pubblica sicurezza previste all’art. 26, PIPL.
È ovvio, per chi si occupa di privacy in ambito HR, che il consenso nel rapporto di lavoro non sarà mai caratterizzato da libera volontà e che non dovrebbe essere utilizzato per queste tipologie di trattamento dei dati personali del lavoratore se non come extrema ratio e con solide garanzie di trasparenza e sicurezza.
Con riguardo all’utilizzo delle informazioni rese pubbliche dal prestatore di lavoro sui social network le perplessità e i timori relativi alla tutela della sfera privata del lavoratore permangono nonostante la PIPL faccia riferimento ai principi di ragionevolezza e conformità della legge in parola.
Infatti, il datore di lavoro potrà utilizzare i dati dei social network (WeiBo, Douyin, YouKu, ed altri) per scopi ‘ragionevoli’ ma non specificati dalla norma. Dunque, alla base della perplessità v’è la genericità della terminologia e la mancata tipizzazione da parte del legislatore delle situazioni in cui possa considerarsi lecito un siffatto trattamento (es. controlli difensivi o legittimo interesse).
Anche questo aspetto, per i giuslavoristi, cozza con l’esperienza occidentale e italiana dello Statuto dei Lavoratori, nonostante le ultime pronunce giurisprudenziali italiane abbiano smussato gli angoli alla tutela tout court della sfera privata del lavoratore (sui social media) in contrapposizione agli interessi legittimi del datore di lavoro.
Ulteriore inquietudine, a parere di chi scrive, è la genericità dei tratti caratteristici della persona responsabile della protezione delle informazioni personali (omologo cinese del DPO o RPD) prevista all’art. 52, PIPL che appare privata della terzietà e gravata dalla responsabilità per il proprio operato. Una figura modellata in questi termini non fornisce ulteriori garanzie al lecito trattamento dei dati personali dei prestatori di lavoro né uno schermo alle pressioni esterne, siano esse private che pubbliche.
Ovviamente, questo non deve scoraggiare poiché se la Repubblica Popolare Cinese – notoriamente conosciuta per le attività di sorveglianza di massa dei propri cittadini (e non solo) – ha deciso di conformarsi al trend occidentale di protezione dei dati personali è lodevole. Bisogna adesso attendere alcune norme attuative e l’effettiva applicazione del PIPL, compreso il connesso regime sanzionatorio, per saggiarne la tenuta della legge e la sostanziale capacità di tutela dei dati personali sia in generale che in ambito lavorativo.
