Garante per la protezione dei dati personali (1/2024)

Periodo di riferimento: dicembre 2023 – marzo 2024

1. Premessa

Nel periodo di riferimento considerato, non risultano adottati dal Garante per la protezione dei dati personali (di seguito, “Garante”) atti normativi ovvero provvedimenti di carattere generale.

Si registra, tuttavia, un provvedimento particolarmente rilevante, adottato dal Garante il 21 dicembre[1] scorso che – a seguito delle numerose richieste di chiarimento ricevute – è stato sospeso[2] per le ragioni che vedremo in dettaglio più avanti. Si tratta del Documento di indirizzo “Programmi e servizi di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (di seguito, “documento di indirizzo”). Come suggerito dallo stesso nomen iuris non si tratta di un atto binding – almeno nella forma – ma che si rivolge in modo precettivo ai Titolari del trattamento (datori di lavoro pubblici e privati) e che, a pieno titolo, si candida a inserirsi tra gli esempi di ricorso da parte del Garante alla «funzione provvedimentale per fini normativi»[3].

Accade, sovente, che gli atti di soft law (linee guida, documenti di indirizzo, provvedimenti interpretativi) che non hanno valore precettivo anticipino soluzioni normative o le orientino, talvolta però – come nel caso del documento di indirizzo in esame - gli atti emanati dalle Autorità Indipendenti si collocano nella zona grigia tra atti normativi in senso proprio e atti amministrativi generali[4]. È noto che gli atti qualificabili come soft law non implichino obbligo di applicazione da parte dei soggetti a cui si rivolgono, tuttavia, il documento di indirizzo de qua pone dei chiari obblighi in capo ai datori di lavoro pubblici e privati.

 

Invero, un atto presentato come soft può rivelarsi hard nel contenuto, in quanto non si limita più a consigliare condotte alle quali è auspicabile conformarsi, ma crea veri e propri doveri giuridici da osservare, sanzionandone l’inottemperanza[5]. È proprio quello che fa il documento di indirizzo del Garante.

Pertanto, esso merita di essere esaminato in questa rubrica, seppure la stessa sia dedicata all’analisi degli atti vincolanti in senso proprio.

Con il citato documento di indirizzo il Garante si è proposto di fare chiarezza sui trattamenti effettuati nel contesto lavorativo attraverso programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud.

Il provvedimento del Garante assume, difatti, particolare rilevanza anche per il suo oggetto, che investe le comunicazioni elettroniche. In proposito è utile precisare – come fa lo stesso Garante - che non solo il contenuto dei messaggi di posta elettronica, ma anche i dati esteriori e i documenti che vi sono allegati sono assistiti dalla garanzia costituzionale della segretezza, tesa a preservare i diritti, le libertà fondamentali e il nucleo essenziale della dignità della persona, nonché il suo pieno sviluppo nelle formazioni sociali. Il luogo di lavoro è a tutti gli effetti una formazione sociale nella quale deve essere assicurata la libera esplicazione della personalità del lavoratore e una ragionevole protezione della sua sfera di riservatezza (artt. 2, 15. 41 Cost).

In questo panorama, i servizi di posta elettronica sono suscettibili di controlli che possono giungere a una dettagliata conoscenza del lavoratore e a una interferenza ingiustificata sulla sua sfera personale o sulle sue opinioni.

I trattamenti posti sotto la lente del Garante riguardano precisamente la raccolta, per impostazione di default, preventiva e generalizzata di metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, dimensione dell’e-mail, oggetto, tempo di scrittura, ecc.), conservati per un esteso arco temporale. Lo scopo ultimo dichiarato dal Garante è quello di favorire la più ampia comprensione riguardo alle norme e alle garanzie che devono essere rispettate nel contesto lavorativo, tenuto conto degli elevati rischi per i diritti e le libertà degli interessati. Questo documento non è la prima posizione ufficiale assunta dal Garante sul tema della posta elettronica[6], tuttavia in questa sede il Garante offre una propria interpretazione della norma lavoristica speciale, rischiando in più di spingersi oltre il “seminato” del legislatore. Per ora il Garante ha sospeso l’efficacia del provvedimento di indirizzo e ha aperto una consultazione pubblica che permetterà a tutti i soggetti interessati (datori di lavoro, esperti in materia di protezione dei dati personali, ecc.) di presentare le proprie osservazioni, i commenti, le informazioni, le proposte e tutti gli elementi ritenuti utili entro 30 giorni dalla pubblicazione dell’avviso sulla Gazzetta Ufficiale (Gazzetta Ufficiale n. 64 del 16 marzo 2024).

2. Le cornici normative del documento di indirizzo e dei poteri del Garante

Il provvedimento in esame è stato approvato in ragione delle disposizioni contenute nell’art. 57, par. 1 lett. b) e d) del Regolamento Generale sulla protezione dei dati (di seguito, “Regolamento”) che attribuiscono al Garante il compito di promuovere la consapevolezza e la comprensione del pubblico, dei titolari e dei responsabili del trattamento riguardo a norme, obblighi, rischi, garanzie e diritti stabiliti nel Regolamento e della norma domestica di cui all’art. 154 bis, co. 1 lett. a) del d. lgs. 196/2003 e ss.mm.ii (di seguito, “Codice Privacy”). Quest’ultima - recependo la clausola di salvaguardia di cui all’art. 58, par. 6 del Regolamento - riconosce al Garante il potere di adottare linee guida di indirizzo riguardante le misure organizzative e tecniche di attuazione dei principi del Regolamento, anche per singoli settori e in applicazione dei principi di cui all’articolo 25 del Regolamento (principi di privacy by design e by default).

È utile in questa sede precisare che i poteri delle Autorità di controllo, nell’accezione europea si riferiscono solo a quelle funzioni serventi o strumentali all’esercizio dei compiti primari assegnati alle Autorità[7]. È solo con riferimento a questi poteri - che quindi si allontanano dall’accezione propria della nostra tradizione giuridica[8] - che si apre la possibilità di prevedere ulteriori poteri. La lista dei compiti e delle competenze di cui agli artt. 56 e 57 del Regolamento, secondo autorevole dottrina, resta tassativa e refrattaria a forme di integrazione da parte degli Stati Membri. Questa disciplina è difatti completamente assorbita dalla fonte europea che non ammette deviazioni per evitare la frammentazione della normativa tra gli Stati Membri. È proprio la Commissione Europea[9], nella Comunicazione al Parlamento e al Consiglio su La protezione dei dati come pilastro dell'autonomia dei cittadini e dell'approccio dell'UE alla transizione digitale: due anni di applicazione del regolamento generale sulla protezione dei dati, a osservare come sia necessario che la legislazione nazionale non vada oltre i margini fissati nel Regolamento o introduca requisiti dove non sono presenti margini. Difatti, la frammentazione pone sfide per lo svolgimento di attività commerciali transfrontaliere, per l’innovazione e i nuovi sviluppi tecnologici e le soluzioni di cybersicurezza.

Il Regolamento, diversamente dalla dir. 95/46/CE che chiedeva agli Stati Membri di conferire alle autorità i poteri, contiene la fonte di attribuzione di poteri analoghi delle Autorità stabilite in ciascuno Stato Membro, contribuendo all’uniforme applicazione del diritto europeo e alla creazione di un omogeneo meccanismo di enforcement. Il documento di indirizzo in esame, invece, si allontana dai confini posti dalla normativa europea trasformando l’indirizzo sulle misure di attuazione dei principi del Regolamento in prescrizioni.

2.1. Le peculiarità della materia lavoristica

La materia lavoristica[10], oggetto del documento di indirizzo, «presenta peculiarità tali da attenuare la forza auto-applicativa della fonte regolamentare europea, normalmente dotata di efficacia diretta orizzontale»[11]. In ragione di questo, l’art. 88 del Regolamento rimette allo Stato Membro la previsione di norme più specifiche[12] (tramite legge o contratti collettivi, questi ultimi, tuttavia, nel nostro ordinamento sono privi di efficacia soggettiva erga omnes) per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro.

La disciplina speciale italiana è contenuta nella l. n. 300/1970 (di seguito “Statuto dei lavoratori”). Essa vieta, in via generale, al datore di lavoro di acquisire e trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale o comunque afferenti alla sfera privata del lavoratore. In particolare, sul piano della protezione dei dati personali, il datore di lavoro prima di iniziare un trattamento, come quello collegato all’utilizzo di programmi e servizi di posta elettronica, deve verificare la sussistenza dei presupposti di liceità del trattamento stabiliti dal Regolamento (artt. 5, par. 1 lett. a e 6) e dagli artt. 4 e 8 dello Statuto dei lavoratori che prevedono un divieto generale di utilizzo di impianti audiovisivi e di altri strumenti dai quali possa derivare anche solo la possibilità di controllo a distanza dell'attività dei lavoratori e di effettuare indagini sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.

Il citato art. 4 dello Statuto dei lavoratori, al suo stesso primo comma, individua tassativamente le finalità (esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale) che derogano al divieto e le garanzie procedurali che legittimano l’adozione degli strumenti appena descritti: 1) accordo sindacale o 2) autorizzazione dell'Ispettorato nazionale del lavoro (art. 4, co 1 dello Statuto dei lavoratori).

Tali garanzie non trovano applicazione nel caso di utilizzo da parte del datore di lavoro di “strumenti di registrazione degli accessi e delle presenze” o di “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (art. 4, co. 2 dello Statuto dei lavoratori). La ratio della norma risiede nella strumentalità dell’utilizzo di questi tool per l’assolvimento degli obblighi che discendono dal contratto di lavoro. Pertanto, il datore di lavoro - al fine di verificare la presenza in servizio e l’esecuzione della prestazione di lavoro da parte dei lavoratori - può utilizzare gli strumenti preordinati alla registrazione degli accessi e allo svolgimento della prestazione, anche se suscettibili di comportare in astratto un controllo sui lavoratori. Può farlo a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e sempre nel rispetto di quanto disposto dal Codice Privacy. La raccolta di metadati connessa all’utilizzo della posta elettronica è stata ritenuta riconducibile all’uso di strumenti preordinati alla registrazione degli accessi e allo svolgimento della prestazione che non richiedono le garanzie procedurali sopra citate purché condizionata a specifici tempi di conservazione, come sarà articolato dettagliatamente nel paragrafo che segue.

3. Le indicazioni contenute nel documento di indirizzo: raccomandazioni o precetti?

Nel suo documento di indirizzo il Garante ha evidenziato come il datore di lavoro sia tenuto a rispettare i principi generali del trattamento (artt. 5, 24 e 25) e ad attuare tutti gli adempimenti previsti dal Regolamento (informativa, misure di sicurezza, valutazione di impatto, ecc.). l’Autorità di controllo ha, altresì, evidenziato come spetti al datore di lavoro, in attuazione del principio di responsabilizzazione, valutare se i trattamenti possano presentare rischi elevati per i diritti e le libertà dei lavoratori al fine di redigere una preventiva valutazione di impatto. In proposito il Garante, richiamando le indicazioni contenute nel Parere dell’European Data Protection Board (di seguito, “EDPB”) (WP 248) sul punto e nel suo stesso provvedimento (n. 467/2018), ha riportato tra i trattamenti – che richiedono una Valutazione di impatto - il caso specifico della raccolta e memorizzazione dei metadati relativi all’impiego della posta elettronica, considerato il rischio di “monitoraggio sistematico”.

Come anticipato, il Garante ha associato l’attività di raccolta e conservazione dei “metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica” – senza specificare quali - agli strumenti preordinati alla registrazione degli accessi e allo svolgimento della prestazione che non richiedono le garanzie procedurali (accordo sindacale e autorizzazione dell’Ispettorato), in quanto “funzionali” – a suo dire – all’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro.

Ha, inoltre, individuato affinché sia rinvenuta l’applicabilità dell’eccezione di cui all’art. 4, co. 2 dello Statuto dei lavoratori, e in assenza di qualsiasi prescrizione legislativa a riguardo, un termine congruo massimo di conservazione di 7 giorni, estensibili, in presenza di comprovate e documentate esigenze giustificative, di ulteriori 48 ore.

Oltre questo termine, a detta del Garante, qualsiasi raccolta e conservazione di metadati, anche funzionali, «potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta legge n. 300/1970»[13], precisando che la conservazione dovrà comunque avvenire nel rispetto del principio di limitazione della conservazione.

Il Garante non sembra aver considerato che una così stringente limitazione dei tempi di conservazione potrebbe compromettere la sicurezza delle informazioni scambiate attraverso la posta elettronica e la gestione dei possibili rimedi o delle indagini connesse all’accertamento di violazioni di dati personali. I metadati, inoltre, hanno anche lo scopo instradare correttamente i messaggi, permettono di gestire la posta indesiderata, diagnosticare eventuali problemi tecnici.

Se da un lato, con questo documento di indirizzo il Garante rivolge degli obblighi ai Titolari del trattamento (datori di lavoro) consistenti nella verifica che i programmi e i servizi informatici di gestione della posta elettronica (specialmente se offerti in cloud o as a service) permettano di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati oltre il termine di 7 giorni; dall’altro, invita i produttori di servizi e delle applicazioni, in fase di sviluppo e progettazione “a tenere conto del diritto alla protezione dei dati, tenuto conto dello stato dell’arte”. Non si chiede però come possa il Titolare garantire il rispetto del termine di 7 giorni, per impostazione predefinita, se la maggior parte dei fornitori di servizi di posta elettronica non permettono una scelta a riguardo. In sintesi, il Garante pur riconoscendo che le limitazioni in ordine alla possibilità di modificare le impostazioni di base del programma informatico (al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi) sono imposte al datore di lavoro dai produttori/fornitori, si limita a “invitare” i produttori (Google e Microsoft di turno) e a “obbligare” i datori di lavoro privati o pubblici, facendosi in un certo qual modo forte con i deboli e debole con i forti.

Diversamente i datori di lavoro privati e pubblici dovranno cessare l’utilizzo di questi programmi e comunque, nelle more della conformazione al provvedimento, i metadati non potranno essere utilizzati a pena di sanzioni amministrative pecuniarie (art. 83, par. 5, lett. d)) e dell’insorgenza di responsabilità sul piano penale (art. 171 del Codice Privacy). È proprio in riferimento a queste problematicità che sono state sollevate numerose questioni e richieste di chiarimenti, a seguito delle quali il Garante ha deciso di differire l’efficacia del provvedimento e avviare una consultazione pubblica allo scopo di raccogliere osservazioni e proposte sulla congruità del termine di conservazione dei metadati.

4. Considerazioni conclusive: basterà il modello notice and comment ad affermare gli interessi generali della collettività?

Il legislatore interno, recependo quanto previsto dall’art. 58, par. 6 del Regolamento ha, attivato questo ius singulare, spingendo più in là i poteri di soft law del Garante. Ciò ha comportato l’attribuzione di un potere di “prescrivere” con documenti di indirizzo misure e accorgimenti a garanzia dell'interessato che rischiano 1) di entrare in contrasto con il panorama europeo (art. 60 del Regolamento), 2) di creare diritto oggettivo.

Con riguardo al primo punto, i “documenti di indirizzo” in quanto tali dovrebbero “indirizzare l’interpretazione” di Titolari e Responsabili del trattamento, non vincolarli al rispetto di termini perentori.

Il Garante, invece, ha fatto ricorso a un potere che, secondo considerevole dottrina, «rischia di stridere con la coerenza pan-europea cui mira il Regolamento»[14] e che sarebbe stato auspicabile avesse utilizzato in procedimenti specifici. È fondamentale, infatti, un principio applicativo e interpretativo coerente e conforme alla disciplina dell’art. 60 del Regolamento. È questo l’auspicio del Considerando 123 laddove affida alle Autorità di controllo nazionali il compito di controllare l’applicazione del Regolamento e contribuire alla sua coerente applicazione in tutta l’Unione, così da tutelare le persone fisiche e facilitare la libera circolazione dei dati nel mercato interno.

Con riguardo al secondo punto, tale “interpretazione autentica” è una ineluttabile manifestazione della funzione legislativa che – in caso di intervento del legislatore - pure avrebbe messo in gioco i limiti della portata retroattiva della norma, alla luce del principio di ragionevolezza, degli interessi costituzionali coinvolti e degli effetti determinati dalla legge interpretativa.

Il Garante ha voluto fornire una indicazione, valutando ex ante determinate attività compatibili con i principi di protezione dei dati personali e assolvendole dal giudizio di illiceità, e assolvendo altresì i Titolari dall’obbligo di concludere un accordo sindacale o di richiedere l’autorizzazione dell’ispettorato nazionale del lavoro, nonché dalla loro stessa responsabilizzazione.

Invero, attraverso questo provvedimento si rendono lecite attività a determinate condizioni (conservazione dei metadati funzionali per 7 giorni e 48 ore aggiuntive). Non è chiaro perché l’utilizzo dei metadati funzionali (quali?) per soli 7 giorni sia giustificativo dell’eccezione.

Se la generalizzata raccolta e conservazione di metadati “relativi all’utilizzo della posta elettronica”, compresi quelli che il Garante definisce “funzionali”, per un periodo esteso e in assenza di presupposti giuridici, può comportare la possibilità per il datore di lavoro di acquisire informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore, ci si interroga sul perché 7 giorni non dovrebbero essere considerati un periodo sufficientemente esteso. Perché 7 giorni e non 3 o 30.

Se sul Titolare del trattamento grava una “responsabilità generale” sui trattamenti posti in essere, in base alla quale è tenuto ad assicurare il rispetto dei principi di privacy by design e by default durante l’intero ciclo di vita dei dati, ci chiediamo allora per quale ragione e a che titolo gli è stata sottratta la ponderazione di quei 7 giorni che è stata poi consegnata a scoppio ritardato alla consultazione pubblica.

Non possiamo sottovalutare il codificato principio di responsabilizzazione (art. 24 del Regolamento) che richiede al Titolare (datore di lavoro) definire le misure tecniche e organizzative messe in atto al fine di garantire il rispetto della disciplina in materia di protezione dei dati personali e di quella di settore applicabile.

Perché - come si confarebbe a un documento interpretativo - non è stata piuttosto chiarita la distinzione tra “metadati funzionali”, cioè necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica e i “metadati relativi all’utilizzo della posta elettronica”. E ancora – ci chiediamo – perché non siano state chiarite, come ci si aspetterebbe in un documento di indirizzo, le circostanze che determinano l’obbligo di redigere una valutazione d’impatto.

È evidente che non basterà la consultazione pubblica, che è stata avviata con colpevole ritardo a fare chiarezza e a sanare l’ormai violato principio della corrispondenza della forma dell’atto al suo contenuto e quello di tassatività delle fonti vincolanti con l’introduzione surrettizia di una nuova fonte del diritto. In proposito, seppure siano stati coinvolti nel processo decisionale i regolati a) il Garante non è tenuto ad adottare ulteriori determinazioni; b) la rappresentanza degli interessi di una parte non può dirsi surrogatoria del confronto svolto nelle sedi parlamentari e rischia di aumentare il rischio che il Garante venga catturato dagli interessi di taluni regolati, coincidenti con i gruppi forti (siano essi Fornitori dei servizi di posta elettronica, come Google o Microsoft, o datori di lavoro).

Con riguardo alla lettera b) ci chiediamo se sia forse questo il tentativo del Garante di compensare il suo «deficit di legittimazione»[15] con il coinvolgimento dei regolati – seppure tardivo - al rule making di fatto. Su questa linea, ci chiediamo se sia condivisibile l’equivalenza tra l’«esibizione degli interessi da parte degli attori sociali in carne e ossa e la rappresentanza politica»[16]. Tale equivalenza ci sembra a ragion veduta contestabile per il fatto che si «sottopone all’attenzione del decidente unicamente una frazione dei bisogni collettivi, un segmento di valori, quelli propri alla sola categoria sociale di riferimento, affinché l’autore ne possa tenere conto nella determinazione finale»[17]. Difatti, in assenza della definizione di uno “standing”[18] nel modello partecipativo americano del notice and comment si incorre nel “pericolo della cattura”[19] dell’Autorità da parte di quei gruppi “well founded and well structured” che sbilancia gli interessi in gioco a favore dei gruppi forti. I gruppi forti sono qui i Big Player (Google, Microsoft, ecc.) e i gruppi multinazionali (datori di lavoro) che dominano sempre più la scena e rischiano di determinare un’«involuzione neocorporativa della funzione normativa»[20].

In assenza di condizioni che elevino la partecipazione dei regolati a situazione giuridica soggettiva[21] siamo dinanzi a un tentativo malriuscito di consentire l’ingresso al regolato e ascoltarlo. Inoltre, se consideriamo che la fase in cui, qui, si inserisce la consultazione è successiva all’atto finale, rimesso in discussione tardivamente, in cerca forse di un consenso postumo, l’Autorità rischia di deviare dal common good.

A ciò si aggiunga che la partecipazione resta buia perché non è nelle disponibilità delle parti interessate un fascicolo che permetta di consultare i contributi altrui e si riflette su una «finta motivazione per relationem» dell’Autorità[22]. In più l’impugnativa giurisdizionale, strumento che potrebbe rendere effettivo per i regolati il loro ingresso nel procedimento non è prevista per i documenti di indirizzo.

In conclusione, con tutti i temi aperti sul tavolo del Garante, riguardanti l’impiego di sistemi sempre più sofisticati di Intelligenza Artificiale, l’adozione di misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute (art. 2-septies del Codice Privacy), la ricerca scientifica (art. 110 bis del Codice Privacy) su cui sono attesi provvedimenti generali, i trasferimenti extra-europei (si pensi, a titolo esemplificativo, ai trasferimenti in Cina legati all’utilizzo del social network Tiktok tra i minorenni) era davvero impellente l’adozione del documento di indirizzo esaminato?

 

[1] Registro dei provvedimenti del Garante per la protezione dei dati personali n. 642 del 21 dicembre 2023.

[2] Registro dei provvedimenti del Garante per la protezione dei dati personali n. 127 del 22 febbraio 2024.

[3] Seppure con riferimento alle autorizzazioni generali del Garante: G. De Minico, Regole, comando e consenso, Giappichelli, Torino, 2004, p.44 ss.; M. Capparoni, Note sulle autorizzazioni generali al trattamento di dati particolari emanate dal Garante per la protezione dei dati personali, in Dir. Soc., 2000, p. 425.

[4] G. Di Cosimo, Sul ricorso alle Linee Guida da parte del Garante per la privacy, in Osservatorio sulle fonti,1/2016, p. 3; R. Bin – G. Pitruzzella, Le fonti del diritto, Giappichelli, Torino, 2012, p. 252; M. Clarich, in Aa. Vv., Il procedimento davanti alle Autorità Indipendenti, Giappichelli, Torino, 1999, p. 16.

[5] Si prende qui in prestito quanto argomentato con riferimento agli atti adottati dalle istituzioni europee dalla prof. De Minico in G. De Minico, La soft law: nostalgie e anticipazioni, in Le nuove istituzioni europee. Commento al Trattato di Lisbona, Bologna, Il Mulino, 2008.

[6] In particolare, si richiamano le linee guida del Garante per posta elettronica e internet, del. n. 13 del 1 marzo 2007.

[7] F. Cardarelli, commento all’art. 58, in R. D’Orazio, G. Finocchiaro, O. Pollicino, G. Resta (a cura di), Codice della Privacy e Data Protection, Giuffré, Milano, 2021, p. 743.

[8] che, invece, evoca l’attribuzione di funzioni a un soggetto pubblico.

[9] COM 2020 264 final,7, Commissione Europea, Brussels, 24 giugno 2020.

[10] Le norme speciali sono contenute nella l. n. 300/1970 e collegate a esigenze di tutela e protezione dei lavoratori. Esse sono state riconosciute all’interno degli artt. 113 e 114 del Codice Privacy, i quali richiamano rispettivamente gli artt. 8 della legge 300/1970 e 10 del d. lgs. 276/2003 e l’art. 4 dello Statuto dei lavoratori.

[11] S. Ciucciovino, Commento all’art. 88 del Regolamento Europeo 2016/679, in R. D’Orazio – G. Finocchiaro – O Pollicino – G. Resta (a cura di), Codice della privacy e data protection, Giuffré, Milano, 2021, p. 948, cit.

[12] Al suo secondo paragrafo l’articolo prevede che Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro.

[13] Si cita il documento di indirizzo riportato in nota 1.

[14] L. Bolognini- E. Pelino, Codice della disciplina privacy, Giuffré, Torino, 2019, p. 371.

[15] G. De Minico, Indipendenza delle Autorità o indipendenza dei Regolamenti? Lettura in parallelo all’esperienza comunitaria, in Osservatoriosullefonti.it, 1/2012, p. 6 cit. In questo contributo la prof.ssa De Minico esamina la tesi che giustifica la politicità delle decisioni normative delle Autorità in forza di un titolo che si origina dal basso.

[16] Ibidem.

[17] Si prende a prestito dalla prof.ssa De Minico quanto argomentato nella tesi della partecipazione al processo decisionale, seppure lì riferita ai regolamenti dell’Autorità e non ai documenti di indirizzo.

[18] La sua genericità rischia di determinare una partecipazione caotica.

[19] M. Seidenfeld, A civic republican justification for the bureaucratic state, in Harv l. rev., 105, 5/1992, p. 1560; R. A. Schotland, After 25 Years: we come to praise the APA and not to bury it, in Admin. l. rev., 261, 24/1972, p. 266 e A. W. Streeck – P. C. Schmitter, Community, market, state – and associations? The prospective contribution of interest governance to social order, in W. Streeck - P. C. Schmitter (eds.), Private interest government, Macmillan, London, 1985, p. 16.

[20] G. De Minico, ivi, p. 8, cit.

[21] La prof.ssa De Minico nel contributo citato individua tre possibili condizioni nell’oralità, nella circolarità e nella tempestività.

[22] G. De Minico, ivi, p. 8, cit.

Osservatorio sulle fonti

Rivista telematica registrata presso il Tribunale di Firenze (decreto n. 5626 del 24 dicembre 2007). ISSN 2038-5633.

L’Osservatorio sulle fonti è stato riconosciuto dall’ANVUR come rivista scientifica e collocato in Classe A.

Contatti

Per qualunque domanda o informazione, puoi utilizzare il nostro form di contatto, oppure scrivici a uno di questi indirizzi email:

Direzione scientifica: direzione@osservatoriosullefonti.it
Redazione: redazione@osservatoriosullefonti.it

Il nostro staff ti risponderà quanto prima.

© 2017 Osservatoriosullefonti.it. Registrazione presso il Tribunale di Firenze n. 5626 del 24 dicembre 2007 - ISSN 2038-5633