Il Codice di condotta per il settore delle Agenzie per il Lavoro, emanato ai sensi dell'art. 40 del GDPR, riguarda soggetti imprenditoriali iscritti nell'apposito albo che è articolato in cinque sezioni: agenzie di somministrazione di tipo generalista, di tipo specialista, agenzie di intermediazione, agenzie di ricerca e selezione del personale, agenzie di supporto alla ricollocazione professionale.

Salutata da molti con comprensibile scetticismo, la decisione di adeguatezza adottata dalla Commissione UE lo scorso 10 luglio intende riportare un cielo sereno sopra i trasferimenti dei dati verso le imprese titolari/responsabili stabilite negli USA, trasferimenti 'funestati' tre anni fa e per la seconda volta da una sentenza della Corte di Giustizia dell'Unione Europea, la c.d. “Schrems II” del 16 luglio 2020, che invalidò il Privacy Shield.

La recente sentenza della terza sezione penale della Corte di Cassazione (la 13102 del 14 marzo 2023), di cui oggi scriviamo, consentirà di ribadire criteri certo non nuovi ma ancora abbondantemente sottovalutati o ignorati.

Non sono mancate in dottrina (e sussistono, tuttora) opinioni formatesi nel senso di sostenere come, con l'innesto della tutela del patrimonio aziendale tra le finalità tipiche ex art. 4, comma 1, Legge 300/1970 (c.d. Statuto dei Lavoratori), entro le quali, a condizione di un accordo sindacale o della autorizzazione amministrativa, è concesso al datore di lavoro di installare impianti dai quali possa derivare il controllo a distanza dell’attività dei lavoratori, la categoria dei controlli difensivi, di fonte giurisprudenziale, non ha/avrebbe più ragione di esistere.

Con la nota n. 2572 del 14 aprile 2023 l'Ispettorato Nazionale del Lavoro ha fornito una serie di indicazioni in merito ai provvedimenti con cui sono autorizzate, ai sensi dell'art. 4, Legge n. 300/1970 (d'ora in poi solo 'art. 4'), le installazioni di impianti/strumenti da cui derivi anche la possibilità di controlli a distanza dei lavoratori. L'espresso riferimento agli orientamenti del Garante per la protezione dei dati personali è frutto della convergenza tra norme giuslavoristiche e norme data protection.

In principio (si fa per dire) fu la sentenza C-311/18 della Corte di Giustizia dell'Unione Europea (c.d. “Schrems II”, del 16 luglio 2020) che invalidò di colpo (pur non essendo il classico fulmine a ciel sereno) lo Scudo Privacy (Privacy Shield), gettando milioni di operatori pubblici e privati in Unione Europea nelle ambasce di trasferimenti di dati personali 'senza rete' verso operatori stabiliti negli USA.

Il proposito di questo articolo è precisare la relazione tra il regolamento interno (aziendale) che abbia ad oggetto l'uso di beni e strumenti di lavoro (ed il controllo a distanza, se del caso), da un lato, e il codice disciplinare, dall'altro. La fissazione da parte datoriale di regole mirate a stabilire limiti e modalità d'uso di beni/strumenti in dotazione ai lavoratori per lo svolgimento delle mansioni è cruciale rispetto agli obiettivi di efficienza e di sicurezza delle attività, ovviamente anche di trattamento dei dati personali.

Una maledizione aleggia sul DPO da sempre, o meglio, da quando gli articoli da 37 a 39, con l'intero Regolamento UE 2016/679 (GDPR), sono entrati in vigore (e, dopo due anni, divenuti applicabili). Discende immediatamente dal primo paragrafo dell'art. 37 che stabilisce, al ricorrere di una delle tre fattispecie individuate dalle lettere a), b) e c), l'obbligatorietà della designazione del Data Protection Officer.

Complice l'ampia disponibilità di strumenti e dispositivi acquisibili a buon mercato, nelle relazioni sociali si è diffusa la prassi di registrare (per lo più all'insaputa del o degli interlocutori di turno) le conversazioni, anche telefoniche e in videoconferenza. Siccome la presunzione (sovente) implicita in certe condotte - espressioni di propositi non sempre o necessariamente apprezzabili - è che esse siano corrette, domandiamoci che cosa sia effettivamente consentito fare e non fare con riferimento alla normativa in materia di protezione dei dati personali (esulando dalla presente trattazione la eventuale rilevanza delle stesse rispetto ad altri profili giuridici, a cominciare da quello penale).

Il tema del presente contributo è il turbamento o la modificazione che la guerra iniziata lo scorso 24 febbraio (con le reazioni che ne sono seguite da parte della Unione Europea in termini di provvedimenti di divieti di vendite e/o acquisti, di esportazioni ed importazioni di determinati beni e/o servizi) abbia prodotto e produrrà anche in fatto di trasferimenti di dati personali, sotto il profilo giuridico e con riguardo ai rischi concreti che possono/potrebbero correre i dati personali oggetto di trasferimento (e i diritti degli interessati, naturalmente).