Rapporti di lavoro

Tutele e responsabilità del responsabile della protezione dei dati

di Sergio Barozzi

La notizia, di questi giorni, della vicenda di un lavoratore che a suo tempo denunciò alcune malversazioni dell'allora presidente di Ferrovie Nord, oggi a giudizio per peculato e truffa, ma che si è visto costretto, a suo dire, a pagarne "le conseguenze: prima il vuoto intorno a lui, poi la perdita del lavoro", spinge a qualche riflessione.

Che la questione sia rilevante lo dimostra il fatto che se ne è spesso occupata anche la giurisprudenza, ultima sentenza da segnalare la n. 22375 del 26 settembre 2017 della Cassazione Sezione Lavoro, con la quale è stato annullato un licenziamento comminato al lavoratore che aveva denunciato all'autorità giudiziaria il proprio superiore per fatti che si erano poi rivelati insussistenti e penalmente irrilevanti. Secondo la Corte infatti possono portare al licenziamento solo le denunce calunniose o la consapevolezza della insussistenza dell'illecito da parte del lavoratore, purché sia garantita la riservatezza sulla denuncia presentata. Si tratta, se vogliamo, della versione più aggressiva del whistleblowing di cui, a riprova dell'importanza del tema, si discute in questi giorni alla Camera, che sta valutando se introdurre un provvedimento che imponga ad aziende e amministrazioni di istituire un organo e procedure capaci di raccogliere, attraverso un canale riservato, le segnalazioni di possibili malversazioni e di distinguerle da delazioni diffamatorie.

La riflessione è oggi particolarmente attuale stante l'introduzione della figura del Data Protection Officer (DPO) o Responsabile della protezione dei dati (anche se questa definizione ufficiale utilizzata dal legislatore nazionale può essere fonte di fraintendimenti ed è quindi preferibile la denominazione inglese) da parte del nuovo regolamento europeo sulla protezione dei dati personali che entrerà in vigore il prossimo maggio.

Si tratta di una figura che si inserisce in un quadro più ampio: quello dei dipendenti che vanno a ricoprire ruoli "terzi" o di "autorità indipendenti" all'interno della azienda. Un problema niente affatto nuovo, in parte infatti, anche se con sfaccettature diverse, si è già posto per i delegati alla sicurezza e appunto dei responsabili wistleblowing.

Secondo il legislatore il DPO, che può anche essere un dipendente dell'azienda che tratta i dati, dovrebbe agire per tutelare l'interesse dei soggetti titolari del dato, e non quello della azienda da cui è nominato. Quindi dovrebbe essere una figura indipendente, il che, qualora sia un lavoratore subordinato, costituisce chiaramente un ossimoro. Anche se secondo il regolamento il DPO non dipende dalla istruzioni e direttive del preponente né può essere licenziato o subire sanzioni per lo svolgimento di questi compiti (art 38.3).

Ma visto che nessuno verrà mai licenziato con la motivazione di aver svolto con troppa diligenza il ruolo di DPO, ma che più probabilmente le conseguenze saranno, come dire, trasversali, il problema, non risolto dalla norma, diventa come rendere effettiva questa tutela, e riguarda non solo il lavoratore, ma anche il datore di lavoro. Solo in presenza di una figura davvero indipendente, dotata di necessarie competenze e poteri, anche di spesa, si potrà parlare di effettività del ruolo e di concreto adeguamento agli obblighi derivanti dal nuovo regolamento, così come del resto avviene anche in materia di sicurezza.

Una risposta univoca non può essere data, visto che la situazione cambia in funzione delle qualifica del lavoratore, della dimensione e dell'organizzazione aziendale, ma certamente sarebbe auspicabile introdurre in azienda delle specifiche procedure e regole per i lavoratori addetti a tali compiti, che prevedano per esempio meccanismi di adeguamento economico automatico (es. almeno un aumento pari alla media degli aumenti erogati in azienda), forme di garanzia per quanto concerne i trasferimenti o il demansionamento, meccanismi di controllo sulle mansioni assegnate, procedure chiare per la scelta dei candidati a posizioni diverse o superiori.

A prima vista può sembrare che tali garanzie costituiscano un problema o una limitazione alla libertà imprenditoriale, in realtà, come insegna anche il caso Thyssen, sono una solida polizza di assicurazione per l'azienda e l'imprenditore.

Per saperne di piùRiproduzione riservata ©