Il legislatore degli anni ‘70 era ben consapevole di quante informazioni concernenti i lavoratori il datore potesse conoscere durante lo svolgimento del rapporto di lavoro. Lo Statuto dei lavoratori (l. n. 300/1970) contiene infatti norme sostanziali e procedurali che limitano le possibilità di controllo sul lavoro e vietano l’acquisizione di notizie non necessarie. All’epoca non era ancora emersa la prospettiva della protezione dei dati personali e del diritto all’autodeterminazione informativa, ma le norme dello Statuto sull’esercizio dei poteri già contribuivano a definire una sfera di informazioni, appunto riservate, sottratte all’ingerenza datoriale per il fine di tutelare la dignità e libertà dei lavoratori.

In seguito, l’apparato di regole dedicato alla protezione dei dati personali (a partire dalla direttiva 95/46/CE), ha costituito un argine essenziale all’invadenza delle tecnologie digitali nella vita delle persone e dei lavoratori in particolare. La normativa attualmente contenuta nel Regolamento generale per la protezione dei dati (GDPR) ruota attorno alla figura dell’“interessato”, che potrà anche essere un lavoratore, tutte le volte in cui un trattamento di dati lo renda identificato o identificabile. Il modello scelto dal legislatore europeo e riprodotto nel nostro ordinamento prevede che il trattamento dei dati debba avvenire nel rispetto di una serie di principi generali, quali la liceità, correttezza e trasparenza, la raccolta della minore quantità possibile di dati rispetto alla finalità per cui il trattamento viene effettuato, la conservazione per un tempo limitato e in condizioni di integrità. Il GDPR riconosce altresì all’interessato il diritto di accesso, di rettifica, di cancellazione e contiene altre previsioni di carattere sostanziale e procedurale finalizzate all’obiettivo di garantire continuativamente l’autodeterminazione della persona sulle informazioni che la riguardano.

La tutela del dato e delle caratteristiche personali che nel dato sono racchiuse è perseguita attraverso una disciplina che opera entro il rapporto titolare-interessato con l’eventuale intervento dell’Autorità di controllo (come accade in caso di reclamo dell’interessato), ma senza il coinvolgimento diretto del sindacato. Mancano ad esempio rappresentanti sindacali con funzioni di controllo e verifica dell’operato datoriale come invece è previsto nell’ambito della normativa a tutela della salute e sicurezza dei lavoratori. In effetti, poiché l’apparato legislativo per la tutela della privacy pone al centro il dato personale, il soggetto interessato e i suoi diritti, le tutele sono strutturate sul piano individuale e, all’apparenza, lo spazio per un intervento sindacale è ridotto.

Bisogna tuttavia considerare un aspetto. Le situazioni in cui viene maggiormente messa a repentaglio la riservatezza dei lavoratori derivano da decisioni imprenditoriali rispetto alle quali il sindacato svolge normalmente attività di contrattazione collettiva oppure è in grado di manifestare dissenso attraverso l’uso dell’azione collettiva: l’impiego di strumenti di analytics o di algorithmic management, di apparecchiature per il controllo digitale, o ancora il ricorso alla realtà potenziata o al metaverso sono modifiche organizzative che possono essere discusse in sede sindacale. Se poi si considera che il funzionamento di questi strumenti è possibile grazie al trattamento di ampie e indefinite quantità di dati, nei casi in cui la strumentazione automatizzata intervenga nella gestione dei rapporti di lavoro, l’azione della negoziazione collettiva può espandersi anche alla definizione di regole per una adeguata gestione del trattamento dei dati personali.

Detto in altri termini, v’è spazio per un controllo collettivo delle decisioni imprenditoriali che si estenda anche alle modalità di gestione del trattamento dei dati. D’altra parte, il dato è personale e indissolubilmente legato a un individuo, ma il trattamento dei dati è sempre più frequentemente un trattamento massivo di grandi quantità di dati. Non si può dunque negare che si tratti di un fenomeno che interessa ampi gruppi di persone, rispetto al quale il sindacato è portatore di uno specifico interesse collettivo.

Nell’ambito degli sforzi per rendere le tecnologie digitali più trasparenti è presente una apertura, anche se ancora debole, per un possibile coinvolgimento del sindacato nella definizione delle regole per il trattamento dei dati personali. Le previsioni di maggiore interesse sono quelle contenute nell’art. 1 bis, d. lgs. n. 152/1997 introdotto ad opera del cd. “decreto trasparenza” (d. lgs. n. 104/2022)1. Si tratta di nuovi obblighi di informazione cui è tenuto il datore in corrispondenza all’uso di sistemi decisionali o di monitoraggio automatizzati rivolti sia ai lavoratori che ai sindacati e in particolare alle rsa, rsu oppure alle sedi territoriali delle OO.SS. comparativamente più rappresentative sul piano nazionale (art. 4, co. 6, d. lgs. n. 104/2022). Gli obblighi di informazione collettivi non sono tuttavia propedeutici rispetto ad una vera e propria consultazione in relazione ai termini d’uso del sistema algoritmico. Un obbligo di informazione preliminare rispetto alla successiva specifica consultazione in relazione al funzionamento dei sistemi automatizzati si può ricavare invece, almeno con riferimento alle imprese medio grandi, dal d. lgs. n. 25/2007. L’art. 4, co. 3, lett. c) già dispone un obbligo di informazione nei confronti del sindacato che può ritenersi esteso anche all’introduzione di sistemi automatizzati, quale atto rientrante nelle “decisioni dell’impresa che siano suscettibili di comportare rilevanti cambiamenti dell’organizzazione del lavoro”.

In considerazione dell’introduzione dei diritti di informazione, può dirsi che l’ordinamento non preclude, e anzi timidamente sostiene, un’azione negoziale che sia rivolta ad ogni aspetto connesso all’uso dei sistemi digitali e di intelligenza artificiale, compreso quello concernente le modalità di trattamento dati. L’obbligo informativo in merito all’introduzione di sistemi automatizzati e alle logiche che ne guidano il funzionamento introdotti dal Decreto trasparenza non a caso è stato ritenuta dal Garante privacy «pienamente compatibile con quanto previsto dall’art. 88 del Regolamento, in quanto introduce, a livello nazionale, misure più appropriate e specifiche, con riferimento all’attuazione, nel contesto lavorativo, del principio di trasparenza»2. La norma in questione, nondimeno, assegna anche alla contrattazione collettiva il compito di definire più elevati standard di tutela, così confermando l’utilità di una adeguata circolazione di informazioni a sostegno della negoziazione collettiva anche sui diritti e le libertà collegate al trattamento dei dati.

1 Si attende altresì l’approvazione della proposta di direttiva sul lavoro mediante piattaforma digitale (COM 2021)762 final) che contiene norme sulla trasparenza dei sistemi algoritmici (artt. 6-10). La proposta di Regolamento sull’Intelligenza artificiale (COM(2021)206 final) invece non contiene alcun riferimento all’intervento dei sindacati.

2 Questioni interpretative e applicative sul Decreto trasparenza del 24 gennaio 2023.

Annamaria Donini, docente Diritto del lavoro Università di Genova