Nell’ordinamento giuridico italiano il tema della protezione dei dati personali è stato oggetto di regolamentazione organica da poco più di un ventennio, non rinvenendosi prima di allora alcuna disciplina specifica in materia di privacy, eccezion fatta per alcuni singoli frammenti legislativi – pur di grande rilievo, come si vedrà – che erano stati disposti sul tema1.

Sebbene la disciplina organica in materia di privacy sia piuttosto recente, dal primo intervento normativo, quale la Legge n. 675 del 31 dicembre 1996, al Codice Privacy (d.lgs. n. 196 del 30 giugno 2003, così come poi modificato per effetto del d.lgs. n. 101 del 10 agosto 2018) attualmente in vigore, molteplici sono stati gli interventi di riforma che si sono succeduti.

Ad onor del vero, questa tendenziale instabilità della disciplina in materia di protezione dei dati personali non stupisce affatto. È ben noto, infatti, che il tema del diritto alla privacy ha avuto, sin dalla sua origine, una stretta interconnessione col progresso tecnologico, il cui incedere ha contribuito nel corso del tempo all’insorgere di una serie di fattori idonei a mettere a rischio la tutela del diritto de quo, per il superamento dei quali è stato necessario ricercare forme di tutela sempre più nuove e all’avanguardia2.

Ed infatti, il repentino susseguirsi di interventi in materia di privacy non costituisce «un’anomalia» del legislatore italiano, ma si tratta di una tendenza presente a livello internazionale. Peraltro, occorre evidenziarlo sin da subito, ad eccezione dei primi «frammenti legislativi» di cui si diceva pocanzi, le modifiche nella disciplina sono per lo più state disposte in attuazione di norme di carattere internazionale ed europeo a cui l’Italia, al pari degli altri Stati aderenti, ha dovuto adeguarsi. Ciò si è verificato con la citata Legge del 1996, la cui promulgazione era avvenuta sia in attuazione della Convenzione n. 108/1981 (ratificata in Italia con Legge n. 98 del 21 febbraio 1989) che della Direttiva Comunitaria 95/46/CE, per consentire all’Italia di non rimanere esclusa dagli accordi di Schengen, per i quali era necessaria la sussistenza di un impianto normativo interno in materia di protezione dei dati personali (Missorici, 1996, 67; Arena, 1995, 512). Lo stesso è avvenuto anche con il processo di emanazione del Codice Privacy prima, che è stato adottato per favorire il recepimento della direttiva 2002/58/CE in materia di comunicazioni elettroniche, e con il d. lgs. n. 101/2018 poi, la cui stesura si è resa necessaria al fine di adeguare l’ordinamento interno all’approvazione, sul versante europeo, del Regolamento n. 679/2016, meglio noto come GDPR o General Data Protection Regulation.

Il susseguirsi di discipline, europee e di conseguenza italiane, diverse e via via più raffinate, come si diceva, è facilmente spiegabile ove si abbia alla mente la crescente accelerazione che il progresso tecnologico ha subito negli ultimi (quantomeno) trent’anni. E, difatti, se è vero che l’esigenza di tutelare la sfera di riservatezza personale ha iniziato a manifestarsi già sul finire del 1800, è altrettanto vero che gli strumenti e le tecnologie attuali consentono un’invasione decisamente più profonda e incisiva, oltre che vasta e generalizzata, nella sfera personale dell’individuo.

Così, la forte interconnessione tra riservatezza e tecnologia era evidente già dal «right to privacy» di Warren e Brandeis (Warren, Brandeis, 1890, 193), da cui emerge chiaramente come la nascita del c.d. diritto alla protezione dei dati personali (Scagliarini, 2013) sia stata una risposta ai rischi che il forte sviluppo delle potenzialità dell’informatica e l’avvento delle prime banche dati avevano generato in punto di tutela della riservatezza di ciascun individuo (Scagliarini, 2019). È evidente, peraltro, come l’esigenza di tutela diventi particolarmente impellente in ambito lavoristico, laddove da un lato il potere di controllo rappresenta una prerogativa imprescindibile del datore di lavoro – tanto da assurgere a indice di subordinazione nella maggioranza degli ordinamenti europei – il quale ha accesso a una gran quantità di dati, anche sensibili, dei dipendenti; d’altro lato vi è l’esigenza di evitare che l’individuo venga a trovarsi in una condizione di rischio specifico, illimitato e particolarmente grave proprio in ragione dello svolgimento dell’attività lavorativa.

Tale rischio, peraltro, risulta via via più presente man mano che avanzano le capacità informatiche. Non è più un mistero, oramai, che, grazie al diffondersi dell’internet of things3, dell’intelligenza artificiale, del cloud computing e quant’altro caratterizza la Rivoluzione Digitale attualmente in essere, vengono a crearsi dei veri e propri archivi elettronici contenenti un’enorme quantità di informazioni sulle caratteristiche, propensioni, opinioni e attività dei singoli, tanto da aver dato luogo ad un vero e proprio mercato, quello dei Big Data, che si è sin da subito posizionato in cima alla classifica per rilevanza economica e socio-politica. La crescente diffusione di informazioni personali, con conseguente rischio per la riservatezza individuale, rappresenta un fenomeno che coinvolge l’intera società contemporanea e che in quanto tale è oggetto di regolamentazione generale (non a caso, il Regolamento europeo attualmente in vigore assume il nome di General Data Protection). È di tutta evidenza, tuttavia, come la Rivoluzione Digitale stia invadendo sensibilmente il sistema economico-produttivo, l’impresa e, con essi il mercato del lavoro (Sigillò Massara, 2020, 65).

Si è, così, iniziato a parlare di fabbriche intelligenti4, di industry 4.0 (Brollo, 2019, 468; Corazza2018, 1071; Greco – A. Mantelero, 2018, 876; Maio, 2018, 1414) e di management-byalgorithms5 per riferirsi a quelle realtà imprenditoriali che mirano all’affermazione di un processo organizzativo interamente (o quasi) automatizzato, basato sullo scambio di input e output digitali e su un’interazione inter-umana sempre mediata da una macchina6. Senza giungere a tali, pur presenti e in crescita, manifestazioni estreme, la digitalizzazione coinvolge anche le imprese più «tradizionali», comunque costrette a munirsi di una copiosa strumentazione informatica, senza la quale si troverebbero irrimediabilmente escluse dal mercato: banalmente, è inimmaginabile che una società sia priva di un indirizzo e-mail; al contempo, il possesso di un indirizzo di posta elettronica certificata è requisito necessario per ottenere l’iscrizione nel Registro delle Imprese.

Ebbene, ognuno di tali software e hardware, per poter operare, raccoglie un flusso continuo e ininterrotto di dati, che rimangono poi nella disponibilità dell’imprenditore, il quale potrebbe astrattamente utilizzarli per i fini più disparati. Al di là del classico utilizzo disciplinare, pure oggetto di forti perplessità e ampi dibattiti, l’analisi e interpretazione, anche incrociata, di tali dati può essere utilizzata per disegnare strategie di business più avanzate, sia da un punto di vista «esterno», ossia con riferimento al rapporto con la clientela, sia da un punto di vista «interno», ossia nell’organizzazione interna del lavoro.

Si parla, in particolare, di sistemi di Electronic Performance Monitoring (EPM) che, attraverso operazioni di «email monitoring, phone tapping, tracking computer content and usage times, video monitoring and GPS tracking» (Akhtar, Moore, Upchurch, 2018), consentono di raccogliere dati di diverse tipologie (Manokha, 2017) in merito all’agire dei dipendenti. Nelle imprese più tecnologicamente avanzate, poi, possono aggiungersi i dati raccolti attraverso i c.d. sociometric badges o wereables, strumenti indossati dai dipendenti nello svolgimento della prestazione, che consentono non solo di registrarne i movimenti, ma anche di analizzare l’atteggiamento del lavoratore nei confronti della clientela e dei colleghi, ad esempio attraverso l’incorporazione di microfoni che, pur non registrando il contenuto delle conversazioni, tiene nota dei toni utilizzati (Fischbach, Gloor, Lassenius, Olguin, Sandy Pentland, Putzke, Schoder, 2009).

I dati raccolti, sia per il tramite di EPM che per il tramite di eventuali wereables, possono poi essere rielaborati attraverso forme di People Analytics Practices preliminari all’adozione di scelte organizzative aziendali (Bodie, Cherry, McCormick, Tang, 2016). E, difatti, la data analysis consente all’impresa da un lato di venire a conoscenza delle preferenze della propria clientela sì da predirne (e indirizzarne) i trends futuri; d’altro lato consente di realizzare sistemi di data driven management, indirizzati a organizzare, dirigere ed ottimizzare le risorse umane grazie ad un’analisi delle informazioni collettate (Ingrao, 2019, De Stefano, 2019). In questo modo, l’organizzazione produttiva aziendale viene praticamente gestita da algoritmi, che sostituiscono il dipartimento HR – non a caso si parla di management-byalgorithm – e, sulla base dell’esperienza passata e delle proiezioni per il breve termine, organizzano il lavoro dei dipendenti.

Orbene, se la gestione delle risorse umane mediata dall’intelligenza artificiale ha dei notevoli vantaggi in termini di efficienza7 e di sicurezza sul lavoro – pur con le complessità di un sistema binario e, in quanto tale, inevitabilmente rigido, applicato all’organizzazione di lavoratori persone fisiche e, in quanto tali, con esigenze e qualità in continuo mutamento8 – la stessa comporta a tutta evidenza un rafforzamento dell’esigenza di tutela delle persone coinvolte.

In altre parole, non può tacersi l’esigenza di promuovere i nuovi lidi cui approda l’impresa smart, né possono celarsi i vantaggi che anche i lavoratori possono trarne (si pensi alle nuove possibilità di conciliazione vita-lavoro, ma anche ai benefici in materia di tutela della salute e sicurezza, mobbing o molestie, dei lavoratori monitorizzati come sopra descritto). Occorre evitare, tuttavia, che l’implementazione di sistemi di management-byalgorithms, di people analitics practices, di eletric performance monitoring e così via, attribuisca al datore di lavoro un accesso illimitato e incontrollato alle informazioni personali, anche sensibili, dei dipendenti; occorre evitare che questi ultimi si trovino ad operare in un contesto lavorativo costantemente controllato e, dunque, altamente sfavorevole e mortificante.

Di tali esigenze hanno tentato di occuparsi i legislatori italiano ed europeo con l’approvazione del Regolamento GDPR e del d. lgs. 101/2018 di modifica del Codice della Privacy. Sono, tuttavia, molteplici i nodo nevralgici a permanere in uno stato di penombra, di incertezza giuridica e, quindi, di (almeno potenziale) sotto-protezione degli interessati. Nelle pagine a seguire si tenterà di analizzare alcuni di tali nodi, attinenti all’universo lavorativo estraneo alla subordinazione: la tutela della riservatezza dei lavoratori autonomi tout court e di coloro che, pur non rientrando nella nozione di subordinazione, risultano inseriti (in maniera più o meno incisiva) nell’organizzazione produttiva del committente, ossia i lavoratori para-subordinati e i lavoratori su piattaforma.

Proprio in considerazione delle peculiarità tipiche del trattamento dei dati personali all’interno del contesto lavorativo, il legislatore italiano ha individuato già da tempo la necessità di assoggettare il datore di lavoro ad un regime ad hoc. A ben vedere e come verrà meglio approfondito infra, è proprio con riferimento alla tutela della riservatezza dei lavoratori subordinati che già ad inizio degli anni ’70 sono stati adottati i primi provvedimenti normativi italiani in materia – pionieristici anche rispetto alla prima regolamentazione europea – costituiti dagli art. 4, 5 e 8 dello Statuto dei Lavoratori, rispettivamente destinati a disciplinare i limiti al ricorso ai controlli a distanza e agli accertamenti sanitari, nonché ad imporre un generale divieto di indagini circa le opinioni e caratteristiche personali dei dipendenti estranee alla loro professionalità.

Già l’adozione di queste, pur specifiche, disposizioni ha contribuito in modo non indifferente alla realizzazione di quel processo di emancipazione della persona, nella sua componente individuale e collettiva, attraverso il lavoro tracciato dai primi quattro articoli della Carta Costituzionale, di cui pure si avrà modo di parlare più ampliamente nei paragrafi a seguire. Ciò che sin da ora si intende sottolineare è come l’adozione dello Statuto dei lavoratori e, con esso, di una prima disciplina indirizzata alla tutela della sfera di riservatezza individuale del singolo, ha sin da subito avuto positivi riscontri non solo dal punto di vista dell’individuo coinvolto, ma anche dal punto di vista della collettività cui egli apparteneva. Come è stato acutamente osservato, attraverso le disposizioni in esame «si attribuì una tutela forte ad alcuni aspetti della vita privata per realizzare in realtà una protezione della sfera pubblica. Il divieto di controlli a distanza, di impropri accertamenti sanitari […] non serviva a tener nascosto qualcosa. Al contrario, venne di fatto rafforzata la libertà di agire nella sfera pubblica. […]. Ecco il paradosso: grazie allo statuto, io ottenevo anche il pieno diritto di andare regolarmente nella sezione del mio partito, di fare attività sindacale, di essere malato, di frequentare la chiesa o la sinagoga, di lasciare mia moglie e scappare con un’altra donna, senza che questo si traducesse in un elemento di discriminazione. Cioè: guadagnavo il pieno diritto di non nascondere le mie scelte di vita […]. Non per niente l’articolo 8 dello Statuto dei Lavoratori diventò il cavallo di battaglia per tutti coloro che cominciarono a impegnarsi per conquistare un nuovo diritto collettivo, quello appunto alla privacy, che perdeva così ogni connotato di privilegio di una borghesissima ma ormai lontana età dell’oro» (Rodotà 2005).

Ecco, dunque, la ragione per cui le disposizioni in esame continuano a costituire il fulcro della protezione della riservatezza dei lavoratori, nonostante l’adozione delle diverse discipline organiche di regolamentazione della privacy di cui si è detto in apertura. Peraltro, le peculiari esigenze connesse alla materia de qua, hanno fatto sì che la necessità di dettare una disciplina ad hoc per i contesti lavorativi sia rimasta una costante anche con l’adozione – questa volta dietro la spinta promotrice del legislatore europeo – della prima disciplina organica in materia di trattamento dati personali e con la promulgazione del Codice della Privacy che, già nella sua versione originaria, disponeva la necessità di predisporre un reticolato protettivo specifico a tutela dei dati personali dei lavoratori, per quanto attraverso un rinvio a strumenti di soft law che avrebbero dovuto essere adottati dall’Autorità Garante.

In questo senso, più nello specifico, si muove anche il Regolamento GDPR, che costituisce il fulcro dell’attuale disciplina in materia di privacy e che, pure, rappresenta un atto normativo atipico rispetto al genus cui appartiene. Ed infatti, anziché disciplinare in modo esaustivo la materia, pone in più parti un rinvio esplicito al diritto degli Stati membri per facoltizzare deroghe o integrazioni alle sue stesse previsioni (Zuddas 2019), talvolta direttamente esortando i legislatori nazionali alla regolamentazione di alcuni specifici aspetti della materia che maggiormente risentono delle specificità dei singoli ordinamenti interni, tra cui, inutile dirlo, l’ambito lavoristico9. Nulla quaestio sulla scelta di rinviare, per la disciplina di dettaglio, alle normative interne degli Stati Membri, operazione che risulta in qualche modo necessitato dall’impianto complessivo dell’Unione – tale per cui le Istituzioni europee possono legiferare esclusivamente entro i confini delle competenze attribuitegli dai trattati – che mal si concilia con la natura «trasversale» della tutela della privacy. Più difficile risulta comprendere la ragione per cui il legislatore europeo del 2016 abbia inteso sostituire la precedente direttiva, atto normativo che si caratterizza proprio per la necessità di un’attuazione e specificazione a livello nazionale, con un regolamento, che, diversamente, dovrebbe contenere una disciplina completa ed esaustiva.

Ad ogni buon conto, ciascuno Stato membro ha provveduto all’adeguamento della propria legislazione interna10, in modo tale che le stesse potessero porsi in linea con il fil rouge della normativa europea, allorché la stessa fosse divenuta applicabile (Ragone, 2017). Sul punto, in via del tutto incidentale, deve tra l’altro farsi presente che il differimento di oltre due anni dell’entrata in vigore del GDPR trova la sua ragion d’essere nella necessità di lasciare agli Stati membri il tempo necessario affinché potessero adeguare la propria normativa interna in modo tale da renderla coerente con la disciplina UE (Scagliarini, 2019).

Anche lo Stato italiano ha adeguato la propria legislazione in materia di privacy agli orientamenti provenienti dall’Europa, avviando con la Legge di delegazione europea – Legge n. 163 del 25 ottobre 2017 – un vero e proprio procedimento per l’adeguamento dell’ordinamento interno al recepimento del Regolamento UE in materia11.

Nel dettaglio, l’art. 13 della Legge di delegazione europea contemplava una delega per il Governo all’adozione di uno o più decreti legislativi per l’adeguamento dell’ordinamento interno al GDPR nel rispetto di cinque specifici criteri direttivi, in aggiunta a quelli generali previsti dalla Legge n. 234/2012, nella specificazione dei quali, si circoscriveva notevolmente l’oggetto della delega, che non era più costituito dall’adozione di una disciplina di adeguamento, ma dalla necessità di emanare una vera e propria novella del Codice Privacy allora vigente, la cui sopravvivenza costituiva un vincolo insormontabile per l’esercizio della delega stessa.

Scopo della delega divenne innanzitutto quello di abrogare le norme del Codice allora vigente che fossero incompatibili col nuovo Regolamento UE; previsione questa, di notevole utilità pratica se si pensa al fatto che, già sulla base dei tradizionali canoni di risoluzione dei conflitti tra fonti interne e fonti UE, la prevalenza viene accordata a queste ultime sulla base del principio del primato del diritto dell’Unione (ferma restando la possibilità di invocare la c.d. teoria dei controlimiti a tutela dei principi fondamentali dell’ordinamento giuridico interno), ragion per cui la diretta ed esplicita espunzione di questa dall’ordinamento non può che essere letta in modo favorevole nell’ottica di una migliore qualità e comprensibilità della legislazione12.

In secondo luogo, al legislatore delegato fu affidato il compito di modificare le norme del Codice non direttamente applicabili, nonché di coordinare le vigenti norme con quelle UE, sì da creare un corpus normativo unitario e coerente13.

Infine, venne attribuita al legislatore delegato la facoltà di delegificare alcuni ambiti della materia, riservando all’Autorità Garante la facoltà di regolamentarli, mentre al Governo fu affidato il compito di intervenire in modo puntuale sull’apparato sanzionatorio, amministrativo e penale, per rivedere le norme incriminatrici sulla base del mutato contesto normativo.

Sulla scorta della delega e dei criteri ora menzionati, il Governo nominava per redigere il testo del decreto delegato una Commissione di esperti alla fine dell’anno 2017, che concludeva i propri lavori a marzo dell’anno successivo, quando appunto veniva adottato con delibera preliminare lo schema del decreto, che veniva poi trasmesso secondo le previsioni della legge delega sia al Garante Privacy che alle Commissioni parlamentari, ai fini dell’emissione del parere.

Emesso parere favorevole, il 4 settembre 2018 il testo del decreto veniva pubblicato in Gazzetta Ufficiale ed entrava finalmente in vigore, trascorso l’ultimo periodo di vacatio.

Tale decreto, in ragione della portata delle modifiche in esso contenute, ha avuto un significativo impatto sul Codice Privacy allora vigente – d.lgs. n. 196/2003 – che ha subito quasi una totale abrogazione a seguito dell’entrata in vigore del testo del 2018.

Nel dettaglio, pur volendo tralasciare le modifiche apportate alle disposizioni mantenute in vigore, deve sin da subito farsi presente come il decreto legislativo n. 101/2018, abbia abrogato ben 109 disposizioni codicistiche, in aggiunta a quelle già eliminate con l’approvazione del d.lgs. n. 51/201814.

Tale operazione può dirsi solo in parte compensata dall’aggiunta di 26 articoli, posta l’inevitabile sussistenza di grossi vuoti normativi tra le disposizioni residue, vuoti che si concentrano specialmente nella seconda parte del corpus normativo di cui trattasi.

Ciò trova spiegazione nel fatto che mentre la prima parte, disciplinando il trattamento dei dati in generale, si sovrappone alla normativa UE, la seconda parte è destinata a specifici trattamenti, spesso in ambiti strettamente legati ad aspetti specifici della normativa interna, come il diritto del lavoro, il diritto amministrativo o il diritto penale, per i quali lo stesso GDPR rinvia naturalmente al Legislatore interno (Scagliarini, 2019).

Come si accennava, peraltro, il tentativo di evitare eccessive sovrapposizioni tra la legislazione a tutela della privacy e la disciplina lavoristica, con lo specifico intento di lasciare intatte le previsioni in materia contenute nello Statuto dei lavoratori, peraltro, era riscontrabile anche nella precedente versione del Codice (Del Conte, 2007). Si tratta, peraltro, di una scelta pienamente coerente con le due diverse rationes delle due discipline. E, difatti, se entrambe «tendono alla tutela della dignità della persona, è anche vero che le stesse prendono a riferimento profili e ambiti non coincidenti: la disposizione lavoristica protegge la persona da forme di controllo ritenute «odiose»; quella generale protegge la «riservatezza», l’«identità personale» e i «dati personali»» (Fabozzi, 2020; Proia, 2016).

Tale circostanza, inevitabilmente, ha inciso in maniera netta anche sulla tecnica legislativa impiegata nelle due parti del Codice, in quanto la prima parte (quella generale) è pienamente incentrata sulla modifica del testo previgente, a differenza della seconda parte (quella contenente la regolamentazione di materie specifiche, tra cui il diritto del lavoro), che invece si pone maggiormente in linea con le disposizioni codicistiche precedenti.

In ragione del forte stravolgimento che la normativa in esame ha subito nel corso di un arco temporale piuttosto breve, carattere preminente assume l’art. 22 del d.lgs. n. 101/2018 che prevede una serie di disposizioni finali e di coordinamento per razionalizzare la disciplina, fortemente alterata a seguito delle varie e inorganiche modifiche susseguitesi.

Innanzitutto, va ricordata la norma di cui al primo comma dell’art. 22 che dispone l’adozione di un’interpretazione delle norme del decreto e in generale del diritto interno in subiecta materia in senso conforme al GDPR. Trattasi di una clausola già diffusa nel nostro ordinamento in contesti normativi che regolano ambiti caratterizzati da un forte legame col diritto unionale15, tali da porsi in un rapporto di forte strumentalità con esso16.

In tal modo, il Legislatore pare andare oltre la fissazione di un mero criterio ermeneutico (quale quello di interpretazione conforme) che, peraltro, sarebbe comunque destinato ad operare, dal momento in cui anche la mera applicazione del diritto interno deve essere finalizzata all’attuazione di quello sovranazionale per il conseguimento degli obiettivi da esso previsti, cosicché, anche alla luce delle novità del GDPR, gli adempimenti mantenuti dalla normativa previgente possano assumere, attraverso questa sorta di interpretazione teleologica, un significato differente (Belisario, 2018, 10).

La stessa ratio regola inoltre i riferimenti normativi al Codice previsti nella legislazione vigente, in cui la regola è che, laddove le norme richiamate siano state abrogate, il rinvio vada riferito alle norme del GDPR corrispondenti ed a quelle del Codice come modificato.

Ancora, una disposizione ad hoc è poi prevista per i trattamenti svolti per l’esecuzione di un compito di interesse pubblico che comporti un elevato rischio17, i quali possono proseguire, nelle more dei provvedimenti generali del Garante previsti dal nuovo art. 2-quinquiesdecies, se disciplinati con legge, regolamento o atto amministrativo generale ovvero se hanno costituito oggetto di verifica o autorizzazione da parte del Garante stesso.

Fermo quanto detto, un’evidente prova del mutato quadro normativo la si evince facilmente dal fatto che, alla luce del Regolamento e a differenza di quanto accadeva in precedenza (nel periodo di vigenza del Codice), lo svolgimento di compiti di interesse pubblico può essere un elemento idoneo a giustificare il trattamento dei dati da parte del titolare (a prescindere dalla natura pubblica o privata di questi), dal momento in cui la norma transitoria contenuta nel comma 9 dell’art. 22 specifica che, al fine di dirimere ogni dubbio interpretativo, le norme di legge devono intendersi riferite anche a «soggetti privati che trattano i dati per i medesimi motivi». Tale assunto pare peraltro coerente con la previsione costituzionale di cui all’art. 118, comma 4, Cost. che, nel disciplinare il principio di sussidiarietà orizzontale, prevede espressamente che anche soggetti privati possano svolgere funzioni di pubblico interesse, di modo che anche per essi la legge che disciplini una tale ipotesi possa offrire una valida base giuridica per il trattamento dei dati.

Da ultimo, merita di essere citata la previsione finale per cui per i primi otto mesi dell’entrata in vigore del decreto il Garante veniva invitato a tenere conto, nell’applicazione delle sanzioni, «della fase di prima applicazione delle disposizioni sanzionatorie»18.

Trattasi di una previsione con cui il Legislatore ha inteso venire incontro alle richieste di alcuni soggetti, e che tuttavia ha destato parecchie perplessità, in quanto, indirizzando l’esercizio della discrezionalità attribuita al Garante ai sensi del Regolamento nell’applicazione delle sanzioni, determina un’impropria ingerenza nell’attività dell’Autorità indipendente, cui è ipso jure attribuito il potere di graduare le proprie sanzioni anche limitandosi alle misure correttive laddove ve ne sia la necessità19.

Il breve excursus di carattere storico-normativo che precede è stato necessario per delineare un quadro generale dell’evoluzione della disciplina in materia di privacy e per comprendere il rapporto di genere a specie intercorrente tra la tutela della riservatezza tout court e la tutela della riservatezza inserita nel contesto del lavoro dipendente, in cui, ad una astrattamente sconfinata possibilità di «appropriazione» di dati da parte del datore di lavoro si contrappone l’esigenza di tutelare in maniera specifica gli individui coinvolti nel processo produttivo e che, proprio tramite il lavoro, dovrebbero non solo ottenere un mezzo di sostentamento materiale, ma anche estrinsecare e sviluppare la propria personalità. Un ulteriore approfondimento su quest’ultimo punto, dunque, diventa premessa indispensabile per la successiva analisi delle tutele applicabili nell’alveo del lavoro autonomo, parasubordinato e su piattaforma.

Il diffondersi delle nuove tecnologie comporta variazioni nei rapporti di lavoro che hanno dei risvolti non indifferenti anche in punto di qualificazione dei rapporti, portando ad un’accelerazione nel processo di avvicinamento tra le tradizionali categorie giuslavoristiche di autonomia e subordinazione.

È stato premesso come la nascita e lo sviluppo, così come il continuo aggiornamento della disciplina concernente la protezione dei dati personali sia, da sempre, stata influenzata dall’incedere del progresso tecnologico.

Tale forte interconnessione tra diritto alla privacy e tecnologia ha influito notevolmente anche nella sfera della protezione dei dati personali nell’ambito dei rapporti di lavoro, dal momento in cui il notevole sviluppo delle tecnologie informatiche, specialmente negli ultimi decenni, ha fortemente acuito l’esigenza di bilanciare il diritto dell’azienda alla salvaguardia del patrimonio e dell’efficiente organizzazione aziendale con i diritti e le libertà fondamentali propri di ciascun lavoratore20 che si dedichi allo svolgimento della propria attività lavorativa, a prescindere dal tipo e dalla natura di rapporto in essere.

È dunque evidente come, rispetto a qualche decennio fa, la situazione sia completamente mutata. L’avvento di Internet, il sempre più frequente impiego del web, lo sviluppo dei servizi di posta elettronica, hanno incentivato il ricorso alle tecnologie sia nelle relazioni private che in quelle professionali, alterando l’equilibrio nella tradizionale scissione tra momenti di vita e momenti di lavoro21. A tali situazioni, comuni a qualunque realtà lavorativa, anche più tradizionale, si aggiungono poi quelle elative alle imprese smart di cui già si è fatto cenna in apertura, che proprio sulla raccolta e analisi di dati – anche strettamente personali, come il tono della voce o il battito cardiaco per risalire all’atteggiamento del lavoratore nei confronti di clienti e colleghi – basano i propri sistemi di gestione delle risorse umane facendo ricorso all’intelligenza artificiale e all’applicazione degli algoritmi nell’individuazione di un percorso produttivo sempre più efficiente.

È, dunque, indubbio che lo sviluppo dell’ecosistema digitale, in cui abbiamo visto si sviluppano sia le relazioni personali che quelle lavorative, ha reso il «controllo dell’informazione […] una componente essenziale del rapporto di lavoro, e ciò a prescindere dalla sua qualificazione giuridica» (Costantini, 2018, 553).

In ragione di tali mutamenti, è partita dall’Europa la necessità di regolamentare la disciplina della privacy nell’ambito dei rapporti di lavoro.

Tanto è avvenuto in maniera organica con il Regolamento GDPR, a mezzo del quale, come si è visto, è stata introdotta la possibilità in capo agli Stati membri di dettare norme di legge o di contratto collettivo ad hoc, per delineare una disciplina sistematica a tutela dei diritti e delle libertà fondamentali in materia di privacy di tutti coloro che svolgono attività lavorative.

Nello specifico, sul tema, l’art. 88 del GDPR precisa che: «Gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro».

Con una considerazione generale, può affermarsi che l’approccio del Regolamento GDPR risulta di gran lunga meno burocratico-paternalistico rispetto alla disciplina precedente, a favore di un’impostazione basata sul principio della responsabilizzazione del titolare del trattamento dei dati (principio dell’accountability). Si preferisce, in altre parole, sostituire i precedenti obblighi specifici e univalenti con l’onere di adottare misure «adeguate e proporzionate», con onere della prova a proprio carico, in modo da consentire auna maggiore adattabilità alle esigenze concrete tipiche del caso specifico. Ebbene, un ragionamento simile vale anche con riferimento alle deleghe agli Stati Membri che, nell’esercitare la peculiare competenza specificativa delle varie discipline oggetto di rinvio, sono chiamati ad operare un bilanciamento tra i contrapposti interessi, entrambi oggetto di protezione, tra la libera circolazione dei dati da un lato e il diritto alla riservatezza dall’altro.

Orbene, se negli indirizzi generali contenuti nell’art. 1 del Regolamento tale bilanciamento pare propendere a favore della prima, senza ovviamente giungere mai alla lesione totale dei secondi; dall’art. 88 sopra riportato si evince una diversa pesatura quando i dati vengono trattati in ambiente lavorativo.

In quest’ultimo caso, difatti, la disciplina nazionale deve essere specificamente rivolta ad «assicurare la protezione dei diritti e delle libertà» dei lavoratori, mentre la «protezione della proprietà del datore di lavoro o del cliente» viene menzionata solo quale finalità che può legittimare il trattamento stesso.

Non è un caso, quindi, che nel secondo paragrafo dell’art. 88 GDPR viene espressa la necessità che le misure «appropriate e specifiche»22 del datore di lavoro siano volte a garantire la «salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro».

Nella bilancia utilizzata in ambito lavorativo, in altre parole, il peso maggiore viene ad essere riconosciuto al singolo, il quale non deve essere posto in condizione di particolare vulnerabilità per il solo fatto di svolgere la propria attività lavorativa (Stizia, 208, 2). Tale pesatura (anticipata, per la verità, dalle specifiche disposizioni contenute nello Statuto dei Lavoratori) risulta coerente con l’assetto costituzionale italiano, che, seppure garantisce una tutela rafforzata alla libera iniziativa economica di cui all’art. 41, individua nel «lavoro» il fondamento della Repubblica Democratica (art. 1) tutelato in «tutte le sue forme e applicazioni» (art. 35), nonché il volano attraverso il quale muoversi lungo il percorso di emancipazione della persona, intesa nella sua componente sia individuale che collettiva, disegnato dai primi quattro articoli della carta Costituzionale.

In ottemperanza alle disposizioni dettate a livello europeo, il Legislatore nazionale ha adeguato la normativa interna, riformando l’allora vigente Codice Privacy e ha sostituito, a mezzo dell’articolo 9, comma 1, lett. a) d.lgs. n. 101/2018, la precedente rubrica del Titolo VIII, del d.lgs. n. 196/2003 con la seguente: «Trattamenti nell’ambito del rapporto di lavoro».

La modifica appena menzionata, per quanto apparentemente banale, assume fondamentale rilevanza, in quanto attribuisce agli interpreti e, più in generale, agli operatori del diritto la facoltà di delineare tempestivamente l’ambito applicativo delle disposizioni di suddetto titolo, quale appunto quello concernente le relazioni di lavoro, che insieme alle altre del Codice compongono il testo legislativo dedicato alla protezione delle persone fisiche riguardo al «trattamento dei dati personali» ed alla «libera circolazione dei dati»23.

Ciò posto, prima di procedere con la disamina della disciplina de qua, è bene premettere che la portata degli interventi di modifica di cui all’art. 9, d.lgs. n. 101/2018, evidenzia tanto la volontà del legislatore delegato di plasmare le disposizioni del previgente testo del Codice Privacy nell’ottica del Regolamento GDPR, quanto l’impegno costante nell’adeguare la disciplina in materia di protezione dei dati personali sia all’evoluzione che i rapporti di lavoro hanno subito in ragione dell’incedere del progresso tecnologico che del riformato dettato normativo interno. È dunque di tutta evidenza la ragione per cui il Legislatore abbia voluto dar prova del suo attivismo, includendo nella novella un rinvio esplicito alle norme poste dallo Statuo dei Lavoratori a tutela della privacy del lavoratore, sia in caso di utilizzo dei c.d. strumenti di controllo (Scagliarini, 2019) che con riferimento al divieto di indagini sulle loro opinioni.

Più nello specifico, alla materia de qua vengono dedicati ben sei articoli, più la fattispecie incriminatrice di cui all’art. 171, che presidia dall’alto alla tenuta complessiva del sistema, quale chiara manifestazione della funzione di prevenzione generale del diritto penale, che dovrebbe disincentivare il perpetrarsi di illeciti (Biritteri, 2021).

La prima disposizione in materia si rinviene nell’art. 111 del Codice, il quale costituisce, insieme con l’articolo 111-bis, il nocciolo duro della disciplina di tutela della riservatezza nell’ambito di una relazione di lavoro.

Come anticipato, con l’art. 9, comma 1, lett. b), d.lgs. n. 101/2018, il Legislatore ha operato una importante riforma in materia, sostituendo il summenzionato articolo 111 del Codice Privacy che, alla luce della novella, così dispone: «Il Garante promuove, ai sensi dell’articolo 2-quater, l’adozione di regole deontologiche per i soggetti pubblici e privati interessati al trattamento dei dati personali effettuato nell’ambito del rapporto di lavoro per le finalità di cui all’articolo 88 del Regolamento, prevedendo anche specifiche modalità per le informazioni da rendere all’interessato».

Pur mantenendo un rinvio alla regolamentazione amministrativa del Garante, a differenza di quanto era stato disposto dalla precedente normativa frutto della Direttiva 95/46/CE, la disposizione novellata si riferisce oggi alle «regole deontologiche» e non più ai «codici di deontologia e di buona condotta», la cui elaborazione era stata incoraggiata dagli Stati membri e dalla Commissione Europea allo scopo di applicare correttamente le disposizioni nazionali di attuazione del dettato europeo (Preteroti, 2007, 1443).

In più, dalla lettura della norma così come riformata, emerge come il Legislatore abbia riservato all’Autorità Garante un vero e proprio potere di impulso al fine di verificare la conformità delle disposizioni deontologiche alle norme vigenti «anche attraverso l’esame di osservazioni di soggetti interessati»24, favorendone la diffusione ed il rispetto, dal momento in cui quest’ultimo «costituisce condizione essenziale per la liceità e la correttezza del trattamento dei dati personali»25.

Fermo quanto detto, deve però precisarsi che fin tanto che non vengano attuate le regole deontologiche e le misure di garanzia indicate, continueranno a produrre effetti le prescrizioni contenute nelle già adottate autorizzazioni generali del Garante relative alle situazioni di trattamento inerenti ai rapporti di lavoro26.

Il legislatore nazionale, infatti, ha attribuito al Garante il compito di individuare le disposizioni che si pongono in posizione di incompatibilità con il Regolamento Europeo e con il suddetto decreto legislativo e, di conseguenza, il compito di provvedere al loro aggiornamento ove necessario in caso di contrasto.

Per ciò che invece concerne le autorizzazioni generali del Garante stesso ritenute incompatibili, è previsto che queste cessino di produrre effetti a partire dalla data di pubblicazione in Gazzetta Ufficiale del provvedimento di carattere generale dell’Autorità Garante adottato all’esito della consultazione pubblica.

L’art. 111, peraltro, deve essere letto in combinazione con gli artt. 4 e 8 dello Statuto dei Lavoratori e con l’art. 10 del d. lgs. 217/2003. Ed infatti, l’art. 113 del Codice, rubricato «raccolta dati di pertinenza» fa espresso rinvio agli art. 8 S.L. e 10 d. lgs. 2016/2003, confermandone la validità. Si tratta di due norme che prevedono il divieto per il datore di lavoro di effettuare indagini, sia in fase di assunzione che nel corso del rapporto di lavoro, in merito ad alcune informazioni sensibili sui prestatori di lavoro e, in via generale, su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore27.

Seguendo la stessa tecnica normativa, il successivo art. 114, rubricato «Garanzie in materia di controllo a distanza» rinvia, confermandone la validità, all’art. 4 S.L.28, mentre l’art. 115 rinvia al Garante per la definizione di una tutela ad hoc rafforzata a favore dei lavoratori domestici, i tele-lavoratori (richiamo dal gusto un po’ retrò) e i lavoratori agili, la cui sfera di riservatezza individuale viene posta in particolare pericolo in ragione delle particolari modalità di esecuzione della prestazione.

Accogliendo favorevolmente il suggerimento dell’art. 88 del Regolamento europeo, peraltro, il legislatore italiano non si limita ad apprestare una tutela dei dati personali dei lavoratori già assunti, ma si spinge, al successivo art. 111-bis, a disciplinare un aspetto preliminare.

La disposizione, difatti, concerne il delicato tema, pure strettamente connesso a quello del diritto alla privacy nell’ambito dei rapporti di lavoro, sebbene antecedente alla sua formazione, delle informazioni che le aziende o le agenzie per il lavoro sono chiamate a rendere in caso di ricezione dei curricula trasmessi dai soggetti interessati ad instaurare un rapporto di lavoro (Degoli, 2019).

Nel dettaglio, la disposizione in esame così recita: «Le informazioni di cui all’articolo 13 del Regolamento, nei casi di ricezione dei curricula spontaneamente trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro, vengono fornite al momento del primo contatto utile, successivo all’invio del curriculum medesimo. Nei limiti delle finalità di cui all’articolo 6, par. 1, lett. b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto»29.

In questa norma, il Legislatore affronta la questione dell’informativa che deve essere resa nei confronti dell’interessato in occasione del trattamento dei dati personali inseriti nel curriculum vitae, quale strumento utilizzato per presentare la propria candidatura e quindi in un momento antecedente alla nascita del rapporto di lavoro (ancora soltanto eventuale).

Assorbendo le varie indicazioni che l’Autorità Garante nel corso degli anni è stata chiamata a fornire sul tema30, il Legislatore delegato ha stabilito che il corretto adempimento degli obblighi inerenti all’informativa da sottoporre agli interessati, non si limita al momento della ricezione dei curricula da parte del soggetto interessato ad accogliere la candidatura, ma si realizza anche in un momento successivo rispetto allo stesso. Tuttavia, il titolare del trattamento è tenuto a provvedervi «permanentemente», già a decorrere dal primo contatto utile col candidato.

La norma de qua prende dunque in considerazione da un lato la necessità di tutela anche degli «aspiranti lavoratori», d’altro lato la situazione di oggettiva impossibilità in cui il soggetto interessato alla ricezione dei curricula può trovarsi, ossia l’incapacità di acquisire anticipatamente il consenso dell’interessato ovvero di fornire in anticipo l’informativa che, a titolo esemplificativo, contiene «l’identità e i dati di contatto del titolare del trattamento, nonché le finalità e la base giuridica del trattamento stesso» ovvero «gli eventuali destinatari o categorie di destinatari dei dati personali»31.

A mezzo dell’art. 111-bis, dunque, il Legislatore ha provveduto a chiarire il dubbio interpretativo riguardante il momento temporale in cui l’obbligazione deve essere adempiuta, affinché non si verifichi un trattamento illecito dei dati personali.

In buona sostanza, può dunque dirsi che il Legislatore abbia disciplinato due distinte situazioni.

La prima, con cui si prevede l’obbligo per tutti i soggetti economici operanti nel mercato del lavoro di predisporre un’informativa idonea da fornire ai potenziali candidati interessati a presentare la propria candidatura in risposta alle offerte di lavoro pubblicate su quotidiani e periodici o sul web32.

La seconda, invece, che si verifica in caso di invio spontaneo dei curricula, in cui il legislatore autorizza il regolare trattamento dei dati ivi contenuti anche quando l’informativa sia stata comunicata successivamente, purché in occasione del primo contatto utile.

Da ultimo, sempre con riferimento alla condizione richiamata dall’art. 6, comma 1, lett. b) del GDPR33, il Legislatore delegato ha previsto che la mancanza dell’esplicita autorizzazione al trattamento dei dati personali apposta da ciascun interessato in calce al proprio CV non possa pregiudicare il regolare trattamento delle informazioni personali nelle ipotesi in cui l’invio sia avvenuto allo scopo di dare esecuzione ad un contratto di cui l’interessato è parte o per dare attuazione a misure precontrattuali adottate su richiesta dello stesso titolare dei dati personali (Degoli, 2019).

Per ciò che nello specifico concerne la forma prescelta per l’informativa al trattamento, quest’ultima può essere resa in modalità semplificata anche attraverso parole chiave o in stile colloquiale, a condizione che il contenuto sia però chiaro ed idoneo a far comprendere agli interessati l’identità del titolare e del responsabile del trattamento, il fine di quest’ultimo e la possibilità che i dati sensibili in esso contenuti siano comunicati a terzi.

Infine, per ciò che concerne il trattamento dei dati personali inerenti a candidature presentate tramite web, il Garante ha precisato che l’interessato deve potersi sempre esprimere in modo libero e consapevole, pertanto l’acquisizione del consenso deve avvenire in base ad una manifestazione libera e specificamente riferibile ad un «trattamento chiaramente individuato»34.

In tale condizione, il consenso «prestato in blocco», quale condizione per poter usufruire dei servizi di intermediazione offerti dal web, «non può definirsi libero, bensì necessitato»35, con la conseguenza che il trattamento dei dati personali in tal modo raccolti, deve ritenersi illecito.

Nel disciplinare il trattamento dei dati personali in contesti lavorativi, tanto il legislatore italiano del Codice Privacy – nella sua versione originaria e novellata – quanto il legislatore europeo del Regolamento GDPR, intendono alludere principalmente alla tutela della privacy dei prestatori parte di un rapporto di lavoro subordinato. Sorge, dunque, spontaneo interrogarsi sull’effettiva possibilità di applicazione delle regole aggiornate in materia di right to privacy anche ai rapporti di lavoro non subordinati e precisamente a quelli autonomi.

Per rispondere a tale interrogativo è bene ricorrere a quello che – sin dalle Preleggi (art. 12) – il nostro Legislatore elevava a primo canone ermeneutico nell’interpretazione delle norme, quale appunto quello letterale.

Pertanto, posto che nell’applicare e nell’osservare la legge non si può ad essa attribuire un significato diverso da quello proprio delle parole secondo la connessione di esse e secondo l’intenzione del Legislatore, deve sin da subito affermarsi che il nodo concernente l’effettiva possibilità di applicazione delle norme del GDPR anche ai rapporti di lavoro autonomo, deve essere sciolto in termini positivi, vale a dire ritenendo applicabile la normativa in materia di privacy di cui al GDPR anche ai lavoratori autonomi.

Tanto trova conferma nel dato letterale di cui all’articolo 236 del Regolamento UE in materia di protezione dei dati personali rubricato «Ambito di applicazione materiale» che, al comma 2, dispone che gli obblighi oggetto del regolamento non si applichino ai trattamenti dei dati personali «effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico».

La disposizione de qua lascia quindi palesemente intendere che l’intera disciplina in materia di privacy debba applicarsi anche ai rapporti di lavoro dei professionisti e con essa, conseguentemente, la normativa interna con cui il Legislatore assume l’onere di aggiornare il vecchio Codice Privacy del 2003 ai mutati parametri europei sul tema.

Chi scrive non ignora che la regolamentazione del trattamento dei dati personali nell’ambito dei rapporti di lavoro autonomo possa assumere dei tratti distintivi rispetto alla corrispondente disciplina applicabile al lavoro dipendente.

Innanzitutto, in materia di privacy il prestatore di lavoro autonomo costituisce una figura piuttosto peculiare, in quanto tale soggetto ricopre contestualmente sia la funzione di titolare del trattamento dei dati che quella di responsabile del trattamento degli stessi.

A tal riguardo, in via parentetica, deve precisarsi che per «titolare del trattamento dei dati» si intende colui che stabilisce le modalità e le finalità del trattamento dei dati personali, mentre per «responsabile del trattamento dei dati» si intende colui che processa, dal punto di vista operativo, i dati raccolti (c.d. trattamento dei dati interno). Tale ultimo soggetto ha, a sua volta, l’obbligo di nominare i responsabili del trattamento dei dati esterni nel momento in cui vi siano delle figure incaricate per la gestione di dati di soggetti terzi.

Ebbene, contrariamente a quanto avviene nel lavoro subordinato, con riferimento al lavoro autonomo tali due posizioni vengono a sovrapporsi e ciò rappresenta, di per sé, una differenza di non poco momento. Ad essa si somma un’ulteriore e particolarmente rilevante peculiarità, rinvenibile nel fatto che non parrebbe essere imposta in capo ai lavoratori la tenuta del registro delle attività di trattamento.

Tanto è desumibile da una lettura dell’articolo 30 del GDPR, per cui tale obbligo non si applica a «imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10»37.

E tuttavia, nonostante da una lettura della norma appena richiamata paia che il lavoratore autonomo possa – alla luce del dato numerico richiamato – ritenersi esonerato dall’obbligo di tenere un registro delle attività di trattamento dei dati, parrebbe comunque opportuno, per garantire migliore tutela di sé e degli interessati, essere in possesso di tale documento, in ragione della finalità che lo stesso riveste, oltre che per sottoporlo alle autorità di controllo qualora ciò si renda per le ragioni del caso necessario (si pensi alle ipotesi paventate dal comma 5 della norma in questione, in cui l’obbligo risorge nel caso in cui il trattamento possa rappresentare un rischio per i diritti e le libertà dell’interessato).

Peraltro, anche i lavoratori autonomi sono obbligati alla tenuta dei registri di cui all’art. 30 GDPR, nel caso in cui la gestione dei dati personali dell’interessato non sia occasionale o involga il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, GDPR o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 GDPR.

Per ciò che concerne le particolari categorie di dati di cui all’articolo 9 del GDPR, deve precisarsi che l’art. 21 del decreto legislativo n. 101/2018, dando attuazione a quanto previsto dal Regolamento Europeo sulla protezione dei dati personali, dopo aver abrogato le autorizzazioni generali del Garante incompatibili con i mutati orientamenti europei, ha affidato al Garante stesso il compito di individuare con propri provvedimenti di carattere generale le prescrizioni relative alle situazioni di trattamento dei dati necessari per adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento, nonché a quelle di trattamento dei dati necessari per assolvere agli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale e dei dati genetici o biometrici.

In ottemperanza alle disposizioni normative, tale tema è stato oggetto di regolamentazione nell’autorizzazione generale del Garante privacy n. 176/201938, anche se tale tema era stato già affrontato nella circolare n. 1/2016.

Nel dettaglio, il primo aspetto lambito dal Garante è proprio quello concernente l’ambito applicativo delle prescrizioni in essa contenute, il che è particolarmente rilevante ai fini della trattazione de qua, in quanto permette di porre alla luce un’ulteriore conferma della piena applicabilità delle disposizioni del GDPR e di quelle del decreto 101/2018 anche al genus del lavoro autonomo.

Per tale aspetto, in particolare, è prevista l’applicazione delle prescrizioni contenute nel provvedimento a tutti i soggetti che, siano essi titolari o responsabili, realizzino un trattamento al fine di instaurare, gestire o estinguere un rapporto di lavoro.

Nel testo del provvedimento vengono elencate – parrebbe a titolo esemplificativo – alcune tipologie di soggetti cui le prescrizioni in questione andrebbero ad applicarsi, quali:

– le agenzie per il lavoro e i soggetti che svolgono attività di intermediazione, ricerca e selezione di personale o supporto alla ricollocazione professionale;

– imprese, enti, associazioni, organismi, persone fisiche, parte di un rapporto lavorativo o che utilizzano prestazioni lavorative e coloro che conferiscono incarichi professionali a consulenti, liberi professionisti, agenti, rappresentanti e mandatari o a soggetti che svolgono collaborazioni organizzate o altri lavori autonomi in rapporto di collaborazione;

– gli organismi paritetici o quelli che gestiscono osservatori in materia di lavoro;

– il rappresentante dei lavoratori per la sicurezza;

– i consulenti del lavoro e tutti coloro che curano gli adempimenti in materia di lavoro, di previdenza e assistenza sociale e fiscale per conto di altri soggetti che sono parte di un rapporto di lavoro dipendente o autonomo;

– le associazioni, le organizzazioni, le federazioni e le confederazioni rappresentative di categorie di datori di lavoro (tali soggetti, però, al solo fine di perseguire gli scopi individuati dai relativi statuti o dai contratti collettivi);

– il medico competente in materia di salute e sicurezza sul lavoro39.

Il secondo aspetto che viene preso in considerazione dall’Autorizzazione in esame è, invece, quello relativo ai soggetti interessati ai trattamenti e quindi ai quali i dati si riferiscono.

Anche qui, il riferimento viene espressamente fatto ai lavoratori autonomi, essendo disposto che le prescrizioni del provvedimento si applichino ai dati personali, appartenenti alle categorie particolari di cui al regolamento europeo, che siano acquisiti direttamente dall’interessato e che si riferiscano ad una pluralità di soggetti, tra cui rientrano appunto i consulenti e i liberi professionisti, gli agenti, i rappresentanti e i mandatari, i soggetti che svolgono collaborazioni organizzate dal committente o altri lavoratori autonomi in rapporto di collaborazione, nonché i candidati all’instaurazione dei rapporti di lavoro, i lavoratori subordinati (a prescindere dal tipo di rapporto contrattuale instaurato con il datore di lavoro), i praticanti per l’abilitazione all’esercizio delle professioni, i prestatori di lavoro nell’ambito di un contratto di somministrazione di lavoro o di rapporto di tirocinio, le persone fisiche che ricoprono cariche sociali o altri incarichi all’interno di persone giuridiche, di enti, di associazioni o di organismi, i terzi danneggiati nell’esercizio dell’attività lavorativa o professionale, i familiari e i conviventi dei lavoratori subordinati, dei praticanti, dei prestatori di lavoro nell’ambito dei contratti di somministrazione di lavoro, nonché i soggetti che svolgono collaborazioni, per il rilascio di agevolazioni o permessi40.

Al pari di quanto previsto nei rapporti di lavoro dipendente, anche per il lavoro autonomo le categorie particolari di dati possono essere trattate soltanto per:

– l’adempimento di fini specifici previsti dalla normativa UE e recepiti da quella interna al fine di instaurare, modificare o estinguere un rapporto di lavoro o di conseguire il riconoscimento di agevolazioni o contributi connessi all’applicazione della normativa in materia di previdenza, igiene e sicurezza del lavoro o in materia fiscale sindacale;

– ottemperare ad obblighi di legge in materia contabile, retributiva e contributiva;

– salvaguardare la vita o l’incolumità fisica di un soggetto terzo;

– far valere o difendere un diritto, in sede giudiziaria o anche in sede amministrativa o nelle procedure di arbitrato e conciliazione, nei casi previsti dalla legge, sempre a condizione che i dati vengano trattati per tali fini e nel tempo strettamente necessario al relativo perseguimento;

– adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità dell’imprenditore in materia di salute e sicurezza nei luoghi di lavoro, di malattie professionali o per i danni cagionati a terzi nell’esercizio dell’attività lavorativa o professionale;

– per garantire le pari opportunità nel lavoro;

– per perseguire scopi determinati e legittimi individuati dagli statuti delle associazioni di categoria rappresentative dei datori di lavoro o dai contratti collettivi.

Nel dettaglio, le prescrizioni previste nel provvedimento del Garante con riferimento alle categorie particolari di dati trattati nei rapporti di lavoro si riferiscono, in primo luogo, alla fase preliminare delle assunzioni.

Come visto in precedenza, infatti, il legislatore, in ottemperanza a quanto disposto a livello europeo, stabilisce che le agenzie per il lavoro o comunque i soggetti che svolgono attività di intermediazione del personale siano autorizzate a trattare i dati idonei a rivelare lo stato di salute e l’origine etnica dei soggetti interessati ad instaurare un rapporto di lavoro, alla sola condizione che la raccolta ed il conseguente trattamento sia giustificata da scopi determinati e legittimi e sia necessaria per instaurare la relazione lavorativa.

In secondo luogo, è poi previsto che il trattamento delle particolari categorie di dati che viene effettuato ai fini dell’instaurazione del rapporto di lavoro deve concernere soltanto i dati strettamente pertinenti e limitati a quanto necessario a tale finalità, mentre nel caso in cui all’interno del c.v. siano presenti dei dati che non appaiono pertinenti rispetto alla finalità di instaurazione del rapporto di lavoro, i soggetti che li ricevono sono tenuti ad astenersi dall’utilizzo degli stessi.

Fermo quanto detto, in ogni caso non possono essere utilizzati dati generici per stabilire l’idoneità professionale all’impiego di un candidato, tantomeno nel caso in cui lo stesso abbia prestato il proprio consenso al riguardo.

Da ultimo, per ciò che nello specifico concerne il trattamento delle particolari categorie di dati trattati nel corso del rapporto di lavoro, nel rispetto delle previsioni di cui al GDPR, è previsto che ogni dato «personalissimo» relativo a convinzioni filosofiche, politiche o religiose, debba essere trattato solo se strumentale rispetto ad un evento che, verificatosi nel corso del rapporto di lavoro in essere, rende necessario l’esercizio di eventuali diritti ad esso correlati.

Dalla overview che precede, e precisamente dal citato provvedimento del Garante privacy n. 176/2019, emerge che la disciplina della tutela dei dati personali deve ritenersi applicabile anche ai «soggetti che svolgono collaborazioni organizzate dal committente o altri lavoratori autonomi in rapporto di collaborazione». Ciò posto, anche in considerazione del coordinamento (più o meno accentuato, ma sempre presente) dei soggetti de quibus con l’organizzazione produttiva del committente, emerge un’ulteriore tematica particolarmente delicata e affine a quanto finora esposto: quella dei controlli a distanza – e dell’incidenza che la medesima ha sul diritto alla privacy – nei rapporti di lavoro parasubordinato.

Invero, la disciplina dei controlli a distanza dell’attività dei lavoratori, contenuta nell’art. 4 dello Statuto dei Lavoratori, è stata una delle prime fattispecie incidenti sul diritto alla riservatezza ad essere oggetto di una specifica disciplina legale, ben prima dell’introduzione del Codice Privacy (ma anche della promulgazione della legge del 1996). Frutto di una spiccata intuizione dei redattori dello Statuto, dunque, l’art. 4 può essere considerato una delle «punte di diamante» del diritto del lavoro italiano, nonostante sia stato comprensibilmente al centro di un intenso dibattito dottrinale sia prima che dopo le modifiche subite nell’ambito della riforma del mercato del lavoro complessivamente nota come Jobs Act.

Tuttavia, si tratta, e da ciò nasce la questione esaminanda, di una norma inserita all’interno dello Statuto dei Lavoratori, che notoriamente concerne un apparato protettivo applicabile ai soli rapporti di lavoro dipendente. Eppure, una riflessione più ampia e sistematica sulla disposizione, che tenga conto e della ratio legis e dei mutamenti avvenuti nel mercato del lavoro italiano negli ultimi (almeno) venti anni, rende inevitabile interrogarsi in merito alle possibilità di applicare l’art. 4 anche oltre i confini della subordinazione, ossia ai rapporti di lavoro parasubordinato e, più nello specifico, alle tanto tribolate collaborazioni etero-organizzate di cui all’art. 2, d. lgs. 81/2015.

Il tentativo interpretativo che ci si accinge a svolgere non può prescindere da alcune considerazioni preliminari, relative alle finalità e alla storia dell’art. 4, necessarie al fine di operare un inquadramento sistematico della disposizione e poter, per tale via, analizzarne le possibilità estensive.

Tali considerazioni preliminari non possono che trovare la loro fonte nell’individuazione della finalità della norma, che risulta di grande rilievo per la particolare commistione di interessi coinvolti. E difatti, se da un lato essi attengono ad elementi di natura prettamente economica e imprenditoriale (pur tutelati a livello costituzionale dall’art. 41), dall’altro lato si scontrano con le necessità di tutela della persona in quanto tale e in quanto soggetto che, proprio attraverso il lavoro, si inoltra nel percorso di emancipazione individuale e sociale costruito dal combinato disposto dei primi quattro articoli della Carta Costituzionale, non a caso contenenti i «principi fondamentali» sui quali si fonda la Repubblica italiana.

È proprio in considerazione del «lavoro» inteso quale «principe dei diritti sociali»41 e quale strumento primario di sviluppo della personalità, nella sua componente individuale e collettiva, individuato quale diritto e dovere del cittadino (art. 4, Cost.) e tutelato in «tutte le sue forme e applicazioni» dall’art. 35 della Costituzione, che occorre interrogarsi circa la legittimità di escludere un’intera categoria di lavoratori dalla protezione da ingerenze altrui nella sfera di riservatezza personale, solo in ragione dell’assenza del potere direttivo tipico del rapporto di lavoro subordinato.

E, d’altronde, è in tal senso indicativa la stessa collocazione dell’art. 4 nel Titolo I dello Statuto, ovvero nella parte dedicata alla «libertà e dignità del lavoratore», a conferma che la ratio legis deve essere individuata nella necessità di proteggere la dignità del lavoratore, quale diritto del medesimo a svolgere la propria attività in un ambiente sereno e libero dai condizionamenti che inevitabilmente deriverebbero da ogni forma di controllo occulto e continuativo. Al contempo, ciò che viene tutelato è la libertà del prestatore; libertà che, tra le sue multiformi manifestazioni, comprende indubbiamente il right to privacy di cui si è parlato in apertura e, quindi, da un lato il diritto a che la raccolta e archiviazione dei dati circa l’attività (vieppiù ove estranea ai luoghi di lavoro) e la persona sia ridotta allo stretto indispensabile e, d’altro lato, il diritto al mantenimento di una sfera di «non ingerenza» dalle intrusioni della controparte negoziale (su quest’ultimo punto, la norma in esame può essere letta in combinato disposto con l’art. 8 dello stesso S.L.).

La seconda considerazione preliminare attiene ad un ragionamento di politica del diritto che muova dallo status quo per immaginare, de iure condendo, come poter realizzare al meglio gli obiettivi (ambiziosi) cui la disposizione è rivolta.

A tal fine è necessario un inquadramento storico dell’art. 4 che, come accennato, per quanto abbia rappresentato continuativamente un fiore all’occhiello del diritto del lavoro italiano, ha dimostrato particolari difficoltà nell’adattamento all’evolversi del contesto produttivo e imprenditoriale di riferimento, sì da aver reso necessario un intervento di riforma strutturale – di cui meglio si dirà a breve – che ne adeguasse il contenuto precettivo alle più recenti innovazioni tecnologiche. Orbene, non potrebbe risultare opportuno, in parallelo, realizzare un ulteriore intervento di adeguamento all’attuale mercato del lavoro e di «modernizzazione» della disposizione, che ne generalizzi l’applicazione anche agli altri lavoratori che, in condizione di maggiore o minore autonomia organizzativa, sociale ed economica, si trovino a svolgere la propria attività utilizzando strumenti e prendendo parte ad eventi che consentono alla controparte negoziale un controllo e una raccolta dati particolarmente incisivi?

Se, pur senza pretesa di esaustività che risulterebbe inadeguata alla sede odierna (per approfondimenti, Carinci M.T., 2016; Ilario, 2016; Del Punta, 2016; Fabozzi, 2020; Marazza, 2016; Dagnino, 2016; Lambertucci, 2015; Stanchi, 2015; Stizia, 2015; De Marco, 2018; Recchia, 2017), si analizzano le modifiche che la disciplina in materia ha subito con l’intervento riformatore del 2015 e le motivazioni che ne sono alla base, una risposta positiva non risulta poi così infondata.

Come noto, l’art. 4, dopo oltre quaranta anni di vita, è stato modificato per effetto dell’art. 23, d.lgs. n. 151/2015. Si trattava di una disposizione che, più di altre, richiedeva un forte e impellente intervento riformatore, reso necessario dall’esigenza di porlo «al passo coi tempi» adeguandone il contenuto precettivo all’evoluzione tecnologica intercorsa dal 1970 ad oggi42.

Ed infatti, lo sviluppo di tecnologie digitali sempre più innovative, che notoriamente consentono un’ingerenza via via più incisiva nella sfera privata del singolo, già da tempo aveva mostrato il carattere anacronistico di una norma sorta in un’epoca di forte mobilitazione e dissenso sociale, tagliata su misura dei rapporti di lavoro degli operai delle fabbriche del nord Italia, pensata in riferimento a strumenti dotati di capacità di osservazione, registrazione e conservazione dei dati decisamente limitata: non vi è dubbio, in breve, che i redattori dello Statuto dei Lavoratori non immaginavano certo di disciplinare rapporti lavorativi basati sullo scambio di e-mail, sulla concessione di computer e telefoni aziendali, su riunioni online e quant’altro caratterizza la «quotidianità contemporanea».

E, difatti, la norma aveva originariamente ad oggetto le c.d. apparecchiature esterne (Alvino, 2016, 1) alla prestazione di lavoro, rivolgendosi soprattutto a quegli strumenti che, permettendo di controllare la continuità di un macchinario o di registrare le conversazioni dei dipendenti (Assanti, Pera, 1972, 26), consentivano di ottenere informazioni utili sulla quantità e la continuità del lavoro e di ricostruire in tal modo l’attività svolta da ciascun prestatore. Nella lettera della legge, diversamente, non venivano in rilievo quegli strumenti costantemente utilizzati per rendere la prestazione lavorativa – e, talvolta, anche al di fuori del contesto lavorativo – pur idonei ad una massiccia raccolta di dati e, quindi, all’esercizio di un incisivo controllo datoriale.

E tale impasse è emersa con estrema veemenza non appena il controllo a distanza, a seguito dell’evoluzione tecnologica, è divenuto possibile anche attraverso la consultazione delle informazioni registrate dai dispositivi affidati al lavoratore per l’esercizio della prestazione di lavoro, ovvero ad uso promiscuo. Gli strumenti tecnologici attualmente utilizzati nella generalità dei rapporti, difatti, permettono – anche mediante l’incrocio dei dati registrati – la ricostruzione (anche totale) dell’attività svolta dal lavoratore sia durante l’orario di lavoro43 che talvolta anche al di fuori degli ambienti lavorativi44, oltre che l’accesso a dati sensibili dello stesso, ricavabili dall’esame dei siti internet visitati, della posta elettronica, dal materiale salvato nei telefoni e computer aziendali e quant’altro.

L’art. 4 pre-Jobs Act, in altre parole, aveva finito per disciplinare fenomeni divenuti via via di minor rilievo e, di converso, per lasciare privi di tutele le nuove fattispecie emergenti, con ciò impedendo de facto la realizzazione di quel necessario contemperamento tra l’interesse dell’azienda a controllare l’utilizzo degli strumenti tecnologici da parte del lavoratore e la necessità di tutelare la dignità e la riservatezza di quest’ultimo, che pure deve essere individuato quale fine ultimo del dettato normativo.

Quali fossero le Colonne d’Ercole insuperabili dal datore di lavoro nella ricerca e collezione dei dati circa l’attività e la persona dei dipendenti e quale trattamento dovessero ricevere i dati così acquisiti sono rimasti a lungo interrogativi privi di risposta certa, nonostante gli sforzi interpretativi di dottrina e giurisprudenza45.

Si è, così, giunti, attraverso le modifiche apportate dal Jobs Act, ad una nuova formulazione dell’art. 4, in cui è possibile identificare due nuclei essenziali, destinati a regolare due momenti distinti (seppur intimamente connessi), che vengono in considerazione in caso di utilizzo da parte del datore di strumenti da cui deriva la possibilità di controllare l’attività di lavoro e acquisire dati (Alvino, 2016, 1).

Il primo nucleo contiene le norme destinate a disciplinare la possibilità per l’imprenditore di installare strumenti di controllo a distanza, definendo46 le condizioni di legittimità dell’installazione delle apparecchiature che potremmo definire di «controllo preterintenzionale», in quanto, pur impiegate a pena di illegittimità «esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale», consentono alla parte datoriale di monitorare l’attività dei dipendenti quale effetto collaterale. Pur non volendo entrare nel merito della riforma, non ci si può esimere dall’evidenziare come da detta disciplina vengano espressamente esclusi gli «strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze», con ciò rischiando di mantenere un vulnus nelle necessità di tutela della dignità dei lavoratori.

Tale rischio viene in qualche modo arginato dal secondo nucleo della norma di nuova formulazione, che concerne i limiti entro i quali il datore può accedere alle informazioni registrate dallo strumento, anche di lavoro, ed eventualmente utilizzarle a fini anche disciplinari.

Tale aspetto non aveva un’esplicita regolamentazione all’interno del testo previgente, che si limitava a dettare le condizioni da rispettare per la legittima installazione dell’apparecchiatura; condivisibilmente, il Legislatore del 2015 ha deciso, invece, di dedicarvi l’ultimo comma, disponendo che «Le informazioni raccolte ai sensi dei commi 1 e 2 [i.e. sia quelle ottenute per il tramite dei controlli a distanza «preterintenzionali» che per il tramite degli strumenti di lavoro] sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196».

Viene, di tal guisa, previsto un coordinamento espresso tra l’art. 4 e il Codice della Privacy, disposto all’evidente fine di creare una coerenza complessiva dell’ordinamento, assicurando una tutela completa della dignità e libertà del lavoratore di cui si è detto in apertura del paragrafo. Non è azzardato ritenere che tale coordinamento, estraneo al testo previgente, sia stato inserito dal Legislatore del 2015 nell’intento di adeguare la disciplina dei controlli a distanza alla mutata realtà tecnologicamente avanzata dei rapporti di lavoro.

Non vi è dubbio, tuttavia, che il mercato del lavoro non è stato interessato solamente dai mutamenti derivanti dalle innovazioni tecnologiche; al contrario, già a partire dagli anni ’90, esso è stato attraversato da un’ondata espansiva di rapporti di lavoro di natura parasubordinata, le cui esigenze di tutela sono andate via via affermandosi attraverso il riconoscimento di una serie di diritti propri del lavoro subordinato, fino a giungere all’estensione generalizzata dello statuto protettivo del lavoro subordinato ad alcuni tipologie di collaborazioni. Nella operazione di «modernizzazione» della norma, tuttavia, a tale evoluzione non è stato dato peso, rendendo quantomai attuale l’interrogativo inziale: può applicarsi la disciplina appena tratteggiata anche a categorie di lavoratori non subordinati che pure, per le modalità di realizzazione dell’attività in coordinamento (più o meno accentuato) con l’organizzazione produttiva della controparte negoziale, si trovino in una situazione di sottoposizione all’altrui raccolta, utilizzo e archiviazione di dati equiparabile, in una parola alla para-subordinazione?

Senza addentrarci eccessivamente nella descrizione del fenomeno (R. Del Punta, 2019)47, il tentativo di risposta non può prescindere dalla distinzione del lavoro parasubordinato in due species: da un lato, le collaborazioni di cui all’art. 409, co. 1, n. 3, c.p.c., ovvero quelle collaborazioni che si concretano in una prestazione d’opera coordinata48 e continuativa, prevalentemente personale, anche se a carattere non subordinato; d’altro lato, le collaborazioni organizzate dal committente di cui al primo comma dell’art. 2, d.lgs. n. 81/2015, così come modificate per effetto del d.l. n. 101/2019, ovvero quelle collaborazioni che si concretano in «prestazioni di lavoro prevalentemente personali, continuative e le cui modalità di esecuzione sono organizzate dal committente».

Tale distinzione risulta necessitata in ragione della disciplina, profondamente diversa, che le due fattispecie ricevono dall’ordinamento.

L’incipit dell’art. 2, difatti, dispone che «A far data dal 1° gennaio 2016, si applica la disciplina del rapporto di lavoro subordinato anche» alle collaborazioni etero-organizzate sopra menzionate. Prescindendo dalle questioni in merito alla collocazione di tale nuova fattispecie all’interno del prisma delle categorie lavoristiche (Pessi, 2015), ciò che emerge con chiara evidenza è che, con tale previsione, il legislatore del 2015 ha inteso riconoscere una tutela rafforzata a quelle collaborazioni autonome che, in ragione delle modalità di realizzazione in qualche modo equiparabili a quelle tipiche del lavoro subordinato, si caratterizzano per una particolare esigenza di protezione da parte dell’ordinamento (Pessi, 2018).

Orbene, ciò che occorre comprendere è se nella generalizzata estensione della «disciplina del lavoro subordinato» sia o meno possibile ricomprendere anche l’art. 4. In merito, il Ministero del Lavoro si è fin da subito espresso a favore della «applicazione di qualsivoglia istituto, legale o contrattuale (ad es. trattamento retributivo, orario di lavoro, inquadramento previdenziale, tutele avverso i licenziamenti illegittimi ecc.), normalmente applicabile in forza di un rapporto di lavoro subordinato»49.

Al di là della frettolosità e forse anche ingenuità della soluzione ministeriale, che non pare aver preso in considerazione le difficoltà applicative di una trasposizione sic et simpliciter di una regolamentazione complessa e articolata come quella della subordinazione da una fattispecie ad altra diversa, sulla necessità di una applicazione (quasi) integrale della disciplina del lavoro subordinato converge anche la nota sentenza della Corte di Cassazione, 24 gennaio 2020, n. 1663. Con essa, difatti, i Giudici di legittimità hanno, inter alia, ritenuto che il primo comma dell’art. 2 si rivolge all’intera disciplina del lavoro subordinato, dal momento che «la norma non contiene alcun criterio idoneo a selezionare la disciplina applicabile, che non potrebbe essere affidata ex post alla variabile interpretazione dei singoli giudici» (§24 della sentenza).

Se così è, sembrerebbe pacifico sostenere la necessità di applicare l’art. 4, con l’intera disciplina dei controlli da remoto in esso contenuta, anche alle collaborazioni organizzate dal committente.

E, d’altronde, non pare andare in senso inverso la successiva specificazione, obiter dictum contenuto nella citata sentenza, secondo cui «Non possono escludersi situazioni in cui l’applicazione integrale della disciplina della subordinazione sia ontologicamente incompatibile con le fattispecie da regolare, che per definizione non sono comprese nell’ambito dell’art. 2094 cod. civ.».

Non si vede, infatti, quale potrebbe essere «l’ontologica impossibilità» di garantire anche al collaboratore etero-organizzato – vieppiù quando inserito nel contesto produttivo imprenditoriale del «committente» – il diritto a che eventuali strumenti di controllo a distanza siano utilizzati dalla controparte negoziale nel rispetto di accordi collettivi o di autorizzazioni amministrative ovvero il diritto a che le informazioni raccolte per il tramite di questi ultimi o degli strumenti eventualmente utilizzati nell’espletamento dell’attività lavorativa siano utilizzate nel rispetto della normativa in materia di privacy e a valle di un’informativa completa.

Più complessa risulta la soluzione della questione con riferimento alle altre tipologie di lavoro parasubordinato e, segnatamente, alle collaborazioni coordinate e continuative ex art. 409 c.p.c. e alle collaborazioni, anche organizzate dal committente, rientranti nell’ambito di applicazione del secondo comma del citato art. 250. In tali ipotesi, difatti, non è prevista l’estensione dello statuto protettivo del lavoro subordinato, di tal che, dato il superamento delle regole sul lavoro a progetto e fermo il rispetto delle specifiche forme di tutela che sono state nel tempo elaborate dal Legislatore, la disciplina della collaborazione è rimessa all’autonomia individuale o collettiva.

Mancando un «appiglio normativo» e in assenza di un chiaro pronunciamento del Garante in tal senso, la strada dell’applicazione estensiva dell’art. 4 anche a tali tipologie di lavoratori parasubordinati risulta irta di ostacoli ed assai difficoltosa.

Se è vero che anche in riferimento a tali soggetti possono verificarsi situazioni in cui, nella realizzazione dell’attività, il committente venga in possesso di dati, attraverso i quali poter verificare l’avanzamento dell’opera, è pur vero che si tratta di ipotesi in cui l’assoggettamento all’altrui potere, così come il ricorso a mezzi produttivi altrui e l’inserimento nel contesto produttivo aziendale altrui, sono notevolmente ridotti rispetto alle fattispecie sopra esaminate. Sono, dunque, meno ricorrenti da un punto di vista fattuale, oltre che meno impattanti da un punto di vista giuridico, le circostanze in cui il collaboratore viene sottoposto a controlli da remoto ad opera del committente.

Al contempo, occorre rammentare che, come già è stato osservato, l’ordinamento riconosce anche ai collaboratori il diritto all’applicazione della summenzionata disciplina in materia di protezione dei dati personali51. Essi, dunque, beneficiano comunque di una tutela legale volta ad evitare che la propria sfera di riservatezza venga illimitatamente incisa da ingerenze altrui in ragione dello svolgimento di un’attività lavorativa, sì che la loro esclusione dall’ambito applicativo dell’art. 4 risulta comunque coerente con le necessità costituzionali di tutelare il lavoro in tutte le sue forme e applicazioni e di assicurare protezione alla dignità e libertà dei lavoratori in quanto tali e in quanto persone.

La questione si complica ulteriormente con riguardo alla tutela della riservatezza nell’ambito del platform work, ossia delle prestazioni di lavoro rese tramite il ricorso alle piattaforme digitali.

Non è più una novità, oramai, l’esistenza di imprese-piattaforma52 – già definite «fluide» (Sigillò Marrara, 2020a, 91), per evidenziare l’assenza di qualsivoglia barriera di tipo spazio-temporale, ma anche la tipica polverizzazione delle attività in un continuo susseguirsi di incarichi singoli e determinati – il cui modello di business consiste nel consentire «l’incontro virtuale» tra domande e offerte di mini-tasks, da realizzarsi interamente online o nel «mondo reale»53, attraverso un sistema organizzato in maniera più o meno incisiva dalla piattaforma stessa.

A dire la verità, il platform work ha smesso di essere una novità: non sorprende più camminare per strada e vedersi sfrecciare attorno un alveare di biciclette e motorini con a cavalcioni i riders, provvisti di ampi zaini dai colori sgargianti e dalle scritte invitanti, intenti a trasportare del cibo da un ristorante ad un’abitazione, in un eterno ritorno dell’eguale. Eppure, i platform workers continuano a rappresentare una zona grigia dell’ordinamento giuslavoristico e a muoversi, di conseguenza, in un limbo giuridico pieno di incertezze, sia in merito alla qualificazione del rapporto di lavoro che (di conseguenza) in merito allo statuto protettivo ad essi applicabile, anche con riferimento alla tutela dei dati personali e ai limiti al monitoraggio della loro attività da parte della piattaforma. Le difficoltà qualificatorie derivano dalla compresenza di elementi tipici del lavoro subordinato e del lavoro autonomo, in rapporti contrattualmente sorti come collaborazioni autonome.

Così, non è rintracciabile ictu oculi un vincolo di obbligatorietà della prestazione, dal momento che, per un verso, il singolo lavoratore può scegliere se, quando e quanto lavorare prenotandosi settimanalmente per gli slot di volta in volta disponibili, e, anche una volta resosi a disposizione della piattaforma, ha la possibilità di non accettare le singole «missioni» propostegli; di converso, la piattaforma non è obbligata né ad indirizzare ai lavoratori proposte di «missioni», né ad accettare la disponibilità a rendere la prestazione dagli stessi manifestata. Ancora, normalmente non vi è un obbligo di svolgere la prestazione personalmente da parte del lavoratore contraente, che peraltro non è vincolato da un obbligo di esclusività – potendo operare anche a favore di altre piattaforme, anche in concorrenza – e utilizza mezzi di traporto di sua proprietà.

Da quanto sopra, potrebbe sembrare che i platform workers presentino le caratteristiche tipiche dei lavoratori autonomi; sennonché essi, nello svolgimento della prestazione, devono interamente sottostare alle condizioni di servizio (anche piuttosto penetranti) dettate unilateralmente dalla piattaforma che, nei fatti, esercita una forte ingerenza sia nell’organizzazione del lavoro che nel controllo circa le modalità di esecuzione, reagendo ad eventuali inadempienze o scostamenti rispetto al programma prestabilito, prima attraverso dei richiami per giungere fino a sospendere in via temporanea o definitiva l’account del lavoratore interessato. Sotto questo angolo visuale, dunque, la piattaforma non pare discostarsi più di tanto dalla figura del datore di lavoro, esercitando una forma di supremazia organizzativa ed economica molto vicina al potere direttivo o, quantomeno, di etero-organizzazione54.

È per tale natura anfibologica che si sono susseguiti una serie di interventi (più o meno efficaci) da parte dei legislatori di diversi Stati europei e non55 e dei primi contratti collettivi56, per lo più volti ad individuare una tutela minima a favore dei lavoratori su piattaforma, anche prescindendo dalla qualificazione del rapporto. È per tale natura anfibologica che, in merito alla qualificazione del rapporto di tali lavoratori, sono stati spesi fiumi di inchiostro, sia ad opera della dottrina, anche internazionale, che della giurisprudenza57, anche internazionale58. In tale contesto, ciò su cui si intende soffermarsi nelle pagine a seguire attiene alla tutela dei dati personali dei lavoratori operanti su on location labour platforms59, nonché agli eventuali argini al potere di controllo da remoto da parte delle piattaforme, potenzialmente illimitato.

Ed infatti, tutti i lavoratori on-demand sono dotati di sistemi di geolocalizzazione costante, che consentono alle piattaforme di venire a conoscenza non solo della loro posizione, ma anche della velocità e della prontezza con cui essi operano. In tal modo, viene raccolto, conservato e analizzato un gran quantitativo di dati, che consente di realizzare quel meccanismo di management-byalgorithms di cui si parlava in apertura in maniera pressoché integrale: le decisioni in merito allo svolgimento del rapporto lavorativo sono interamente assunte dalla piattaforma, senza la necessità dell’intervento umano, attraverso l’analisi incrociata delle informazioni ottenute.

Al di là delle facili distorsioni cui si prestano, per esempio permettendo alla piattaforma di avere pronta conoscenza di eventuali assembramenti e di predire e prevenire fenomeni di azioni collettiva (De Stefano, 2016), tali sistemi di monitoraggio assumono un ruolo fondamentale nell’organizzazione del lavoro, incidendo eventualmente anche sulle modalità e possibilità di prosecuzione futura del rapporto stesso (Pignot, 2021, 208).

Ed infatti, da un lato l’algoritmo assegna ai lavoratori le missioni successive proprio sulla base dei dati raccolti tramite il GPS; d’altro lato e come si accennava, i sistemi di localizzazione sono spesso disegnati per misurare anche la velocità e la diligenza con cui il singolo lavoratore esegue i tasks assegnatigli, informazioni che vanno ad inserirsi nei sistemi di rating, i quali possono influire sull’esecuzione futura del rapporto, giungendo fino a provocarne la sospensione o anche la cessazione mediante disattivazione definitiva dell’account (Aloisi, 2016). I lavoratori on demand, in altre parole, sono sottoposti ad un sistema di controllo e monitoraggio costante e particolarmente incisivo, che potrebbe risultare lesivo non solo della loro sfera di riservatezza individuale in quanto persone, tutelata dal Regolamento GDPR e da d. lgs. 101/2008, ma anche della loro dignità e libertà in quanto lavoratori, tutelata dall’art. 4 dello Statuto dei Lavoratori.

Non è un caso, dunque, che il Garante Privacy ha iniziato a prendere in esame la materia, attraverso una serie di ispezioni volte a verificare la verifica del rispetto della normativa di cui al GDPR da parte delle piattaforme maggiormente operanti in Italia. In particolare, sia nel 201960 che nel 2020 (primo e secondo semestre61), il Garante, in collaborazione con la Guardia di Finanza – Nucleo Speciale Tutela Privacy e Frodi Tecnologiche, ha individuato nel settore del food delivery62 una delle attività da sottoporre a ispezioni specifiche63.

Ciò nonostante, la stessa Autorità non pare aver ritenuto finora necessario elaborare linee guida ad hoc per la gestione della, pur particolarmente penetrante, raccolta dati e controllo esercitato sui platform workers. La ragione di tale, pur criticabile, scelta potrebbe essere individuata nell’implicita necessità di applicare anche nei confronti di coloro che operano per il tramite di piattaforme la stessa disciplina di tutela della riservatezza apprestata ai colleghi operanti secondo le modalità «tradizionali».

Senonché, tale assunto si scontra con due problematiche. In primo luogo, non vi è dubbio che il rischio di lesione della propria sfera di riservatezza, sia con riferimento al tempo di lavoro che con riferimento ai periodi di non lavoro, sopportato dai platform workers è ben maggiore rispetto a quello dei colleghi «tradizionali». In secondo luogo, la loro collocazione nel «limbo giuridico» di cui si è detto non può che manifestarsi anche in un permanente stato di incertezza relativamente alla disciplina da applicare in materia di protezione dei dati personali e dei controlli da remoto dei lavoratori.

In particolare, allo stato, si riscontrano due disposizioni specificamente indirizzate a disciplinare il trattamento dei lavoratori operanti tramite piattaforme digitale. L’art. 2, c. 1, ultimo periodo del d. lgs. 81/2015, nell’attuale formulazione, include specificamente nel suo ambito di applicazione le collaborazioni etero-organizzate «anche qualora le modalità di esecuzione della prestazione siano organizzate mediante piattaforme anche digitali». Anche a tali rapporti, dunque, dovrebbero ritenersi estensibili le considerazioni già svolte in merito alla necessità di applicare interamente le disposizioni circa il trattamento dei dati personali e i limiti ai controlli a distanza tipici del lavoro subordinato anche alle collaborazioni etero-organizzate, pur se mediate da piattaforme digitali.

Ancora, l’art. 47bis del medesimo d. lgs. 81/2015, «fatto salvo quanto previsto dall’art. 2, c. 1» testé richiamato, si occupa di stabilire «livelli minimi di tutela per i lavoratori autonomi che svolgono attività di consegna di beni per conto altrui, in ambito urbano e con l’ausilio di velocipedi o veicoli a motore di cui all’articolo 47, comma 2, lettera a), del codice della strada, di cui al decreto legislativo 30 aprile 1992, n. 285, attraverso piattaforme anche digitali». Tra le tutele minime garantite ai lavoratori su piattaforma «genuinamente» autonomi e rientranti nei dettagliati requisiti legalmente individuati, peraltro, l’art. 47sexies si preoccupa di specificare che il trattamento dei loro dati personali deve avvenire «in conformità alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, e al codice di cui al decreto legislativo 30 giugno 2003, n. 196» (art. 47sexies, d. lgs. 81/2015).

A tali disposizioni specifiche si aggiunge la generale applicabilità dell’art. 2094, c.c., sì che, se la prestazione del lavoratore su piattaforma dovesse risultare, nel suo concreto realizzarsi, etero-diretta, il rapporto dovrebbe essere qualificato come subordinato, con la necessità di applicare la relativa disciplina anche in materia di privacy64.

In astratto, dunque, la questione circa la regolamentazione della tutela dei dati personali applicabile ai rapporti di lavoro mediati da piattaforma digitale parrebbe essere di facile soluzione: a seconda che si tratti di lavoratori autonomi, collaboratori etero-organizzati o lavoratori subordinati dovrebbe ritenersi applicabile la relativa normativa.

Sennonché, individuare il tratto distintivo tra le tre fattispecie testé menzionate è operazione tutt’altro che semplice.

In merito, è intervenuta la circolare del Ministero del Lavoro n. 17 del 19 novembre 2020, secondo la quale la linea di confine tra le collaborazioni etero-organizzate ex art. 2 e i rapporti puramente autonomi ex art. 47bis sarebbe da individuare nella «continuità» che caratterizzerebbe le prime e si contrapporrebbe alla «occasionalità» tipica dei secondi65. Il rischio connaturato a tale interpretazione, come pure è stato paventato in dottrina (Carinci F., 2020), è che la fattispecie di cui all’art. 47bis rimanga «lettera morta», una disposizione residuale incapace di vivere nell’ordinamento giuridico in quanto destinata ad operare esclusivamente con riferimento a rapporti «occasionali», tutt’altro che diffusi nella realtà economica.

Per quanto attiene, diversamente, alla necessità di distinguere la etero-organizzazione di cui all’art. 2, d. lgs. 81/2015 dalla etero-direzione, tipica del lavoro subordinato ex art. 2094 sgg., le difficoltà, se possibile, aumentano.

E ciò, in quanto, già sul finire del secolo scorso si è assistito ad un fenomeno di progressiva erosione della nozione di subordinazione – assediata sia al suo interno, dal diffondersi di nuovi modelli contrattuali caratterizzati da variazioni causali o modali rispetto all’archetipo codicistico, che all’esterno, in ragione dell’incessante susseguirsi di interventi legislativi nell’area del lavoro autonomo coordinato e continuativo (Persiani, 1998, 203) – che rappresenta la ragione profonda degli interventi di riforma caratterizzanti il nuovo millennio-1.

Se, nell’altalenante contesto normativo, la giurisprudenza si era (più o meno assestata) sull’idea di una subordinazione «pratica», la cui presenza andava ricercata nell’assimilazione della fattispecie concreta al social-tipo della subordinazione, attraverso il ricorso ad una serie di indici sussidiari, «l’introduzione dell’etero-organizzazione di cui all’art. 2, comma 1, come concetto di diritto positivo ulteriore e diverso dal potere direttivo previsto dall’art. 2094 c.c., impone necessariamente un’opera di rivisitazione del concetto di etero-direzione» (Perulli, 2020, 168). E tale opera di rivisitazione della nozione necessita di una rilettura con «lenti nuove» dell’assunzione dell’«obbligo di obbedienza» in cui si traduce l’etero-direzione quale criterio discretivo del lavoro subordinato. È evidente come tale operazione, già di per sé tutt’altro che semplice, manifesti particolari difficoltà con riferimento al lavoro mediato da piattaforme digitali, in cui alla ingerente presenza di «comandi» in merito alla realizzazione del lavoro e di controllo circa la sua regolarità, si contrappone la permanenza di una sfera di discrezionalità – più o meno libera – dell’individuo. Così, se individuare la distinzione tra subordinazione e etero-organizzazione risulta un’operazione assai ardua in generale, con riferimento al lavoro su piattaforma essa rischia di trasformarsi in una interpretazione diabolica.

Tuttavia, se, accogliendo la tesi qui prospettata, la tutela della privacy – intesa sia con riferimento al trattamento dei dati personali che con riferimento ai limiti ai controlli a distanza – dei lavoratori subordinati e etero-organizzati si ritenga coincidente, la questione relativa all’inquadramento del platform worker nell’una o nell’altra fattispecie potrebbe risultare di secondo conto, in quanto priva di portata pratica determinante. Ciò, salvo che si rientri nell’ambito della deroga all’estensione della disciplina del rapporto di lavoro subordinato disposta dal secondo comma del medesimo art. 2, d. lgs. 81/2015, per esempio attraverso l’adozione di «gli accordi collettivi nazionali stipulati da associazioni sindacali comparativamente più rappresentative sul piano nazionale prevedono discipline specifiche riguardanti il trattamento economico e normativo, in ragione delle particolari esigenze produttive ed organizzative del relativo settore» (let. a, c. 2, art. 2, d. lgs. 81/2015).

Ad ogni buon conto, sotto questo angolo visuale, la questione risulta più impattante con riferimento all’altra distinzione. Ed infatti, le incertezze in merito alla condicio sine qua non del platform worker inquadrabile come collaboratore etero-organizzato rispetto a quello operante in virtù di un rapporto di lavoro genuinamente autonomo ed assoggettato alla disciplina minima di cui al capo Vbis del d. lgs. 81/2015, potrebbe assumere un rilievo non indifferente (anche) per la materia oggetto di studio.

Ed infatti, sebbene, come si è osservato, l’art. 47sexies del d. lgs. 81/2015 ribadisca la necessità di effettuare il trattamento dei dati personali dei lavoratori su piattaforma «autonomi» nel rispetto della normativa di cui al Regolamento GDPR e al Codice Privacy, nulla viene detto in relazione ai controlli a distanza dei lavoratori in questione, che, pure, sono costantemente assoggettati a sistemi di monitoraggio, anche molto penetranti. Né, d’altronde, pare possibile ritenere applicabile anche a tali rapporti la disciplina di cui all’art. 4 S.L. in virtù del richiamo ad esso operato da parte dell’art. 114 del Codice Privacy. Ciò, in quanto, come pure è stato evidenziato, si tratta di norme direttamente indirizzate a disciplinare i rapporti di lavoro subordinato, sì che estenderne l’ambito di efficacia anche a fattispecie diverse sic et simpliciter, in mancanza di un intervento regolativo in materia, risulta operazione ermeneutica rischiosa e complessa.

Ecco, dunque, la ragione per cui, sebbene la scelta dell’Autorità Garante di non aver ancora approvato delle linee guida ad hoc per la tutela della riservatezza dei lavoratori su piattaforma sia comprensibile, la si è definita, quale riga addietro, criticabile. A dire il vero, un intervento chiarificatorio sul punto, anche a livello regolamentare, sarebbe ben auspicabile.

Le nuove tecnologie hanno determinato forti cambiamenti nell’utilizzo degli strumenti tecnologici che, attraverso un meccanismo di incessante circolazione di dati personali, sono giunti fino a dar vita a un (peraltro, economicamente assai rilevante) mercato nuovo, quello dei Big Data (Batini, 2017, 40; Buttarelli, 2017, 30; Dagnino, 2017, 31).

Se tale processo riguarda la vita di quotidiana della gran parte dei cittadini, nell’ambito lavorativo le innovazioni negli strumenti adoperati nell’esercizio dell’attività produttiva, consentendo una migliore efficienza nell’esecuzione della prestazione e spesso anche diversi vantaggi a favore dei lavoratori come le maggiori possibilità di conciliazione tra la vita privata e la vita professionale, comportano un passaggio continuo di informazioni particolarmente rilevante.

Ed infatti, gli strumenti tecnologici utilizzati nell’ambito imprenditoriale permettono un flusso continuo di dati, attinenti sia all’attività svolta che alla persona del lavoratore, che vengono collezionati nel tempo – e spesso utilizzati, sia a fini disciplinari che per la realizzazione di una «organizzazione strategica» del personale – dal datore di lavoro. Se lo scopo del diritto e dovere al lavoro di ogni cittadino (art. 4, Cost.) è quello di consentire alla persona di progredire nel processo di emancipazione della propria personalità (art. 3, Cost.), il rischio è quello inverso: che, cioè, il lavoratore veda violata la propria dignità e libertà personale, mettendo la propria sfera di riservatezza in pericolo proprio in ragione dello svolgimento dell’attività lavorativa.

Più la Rivoluzione Digitale ha consentito un avanzamento nella tecnologia utilizzata nelle imprese, quindi, più si sono manifestati, negli anni trascorsi, diversi profili problematici nell’operazione di bilanciamento tra le esigenze produttive e organizzative dell’impresa da un lato e la tutela della dignità e della riservatezza del lavoratore dall’altro (Scagliarini, 2019).

Nell’incessante tentativo di rincorrere la realtà per organizzarla in un sistema ordinato di regole, il legislatore nazionale si è trovato a fare i conti con tali profondi ed inaspettati cambiamenti, intervenendo, con il d.lgs. n. 101/2018, a ri-disciplinare la materia della privacy introducendo un «codice nuovo», piuttosto che effettuare un mero «restyling» di quello precedente-1, dando esecuzione al Regolamento Europeo sul GDPR, tanto da porsi rispetto allo stesso come un testo funzionale e per certi versi dipendente, riproducendo un assetto di rapporti paragonabile a quello che, sul piano nazionale, caratterizza il rapporto che c’è tra legge e regolamento di attuazione-1.

Come si è visto nel corso della trattazione, il nuovo Codice della Privacy attribuisce un particolare rilievo alla tutela dei dati personali nell’ambito lavorativo, prevedendo una disciplina ad hoc. La presenza di una regolamentazione organica e generale in materia di trattamento dei dati personali tout court, difatti, non impedisce la presenza di disposizioni specifiche relative a singole tipologie di trattamenti, caratterizzati da esigenze particolari, che continueranno a trovare collocazione nella legislazione del settore nell’ambito del quale questi si sono svolti.

Tra le norme di settore, estranee al Codice della Privacy eppure intimamente connesse alla tutela del right to privacy, vi è certamente l’art. 4 dello Statuto dei Lavoratori destinato da un lato a disciplinare i limiti di legittimità dell’installazione degli impianti audiovisivi o di altri strumenti che consentono il controllo da remoto dell’attività dei lavoratori, d’altro lato a confermare la possibilità che i dati così ottenuti siano utilizzati dal datore di lavoro, purché nel rispetto di una informativa completa e idonea e, più in generale, delle norme contenute nel Codice Privacy.

Come si è avuto modo di osservare, nel rinnovare la materia, il legislatore ha tenuto in considerazione il progresso tecnologico che ha investito le imprese contemporanee; diversamente, non paiono essere stati tenuti in debito conto gli aspetti di innovazione del mercato del lavoro derivanti dall’imporsi e dal costante diffondersi del lavoro parasubordinato.

Muovendo da tale constatazione, si è avuto modo di argomentare come l’art. 4 debba ritenersi, comunque, applicabile alle collaborazioni etero-organizzate di cui al primo comma dell’art. 2, d. lgs. 81/2015, mentre debbano ritenersi ad esso estranee sia le collaborazioni coordinate e continuative di cui all’art. 409, c.p.c., sia le collaborazioni, pur organizzate dal committente, ma rientranti nelle eccezioni di cui al secondo comma del citato art. 2.

Sempre in considerazione degli ultimi sviluppi attraversati dal mercato del lavoro contemporaneo, si è svolta un’ulteriore riflessione in merito alla tutela della privacy dei lavoratori su piattaforma, i quali, da un lato, risultano particolarmente esposti al rischio di «intrusioni» della controparte negoziale nella sfera di riservatezza individuale, dall’altro lato si trovano tuttora in uno stato di incertezza in merito alla normativa applicabile. Sebbene, difatti, la questione potrebbe astrattamente ritenersi risolta, applicando di volta in volta la disciplina generale relativa alla qualificazione del rapporto in termini di subordinazione, di collaborazione etero-organizzata o rapporto puramente autonomo, la realtà è ben diversa. Ciò che accade, difatti, è che le difficoltà qualificatorie si riflettono in un permanente stato di incertezza in merito alla tutela da apprestare ai lavoratori de quibus, i quali risultano ancora assoggettati ad un (intollerabile) rischio di eccessiva e definitiva compressione della loro riservatezza e, in ultima analisi, dignità, in quanto persone e in quanto lavoratori. Ecco, dunque, la necessità di un intervento (se non ad opera del legislatore, quantomeno) del Garante Privacy, diretto a diradare i dubbi sul punto e ad apprestare una tutela proporzionata alla maggiore gravità del rischio subito in ragione delle modalità di «gestione algoritmica» del rapporto e di esecuzione delle prestazioni.

Conclusivamente emerge la necessità di svolgere qualche riflessione più ampia, che abbracci anche aspetti del diritto estranei all’ambito strettamente lavoristico.

Siamo di fronte ad una nuova stagione della protezione dei dati personali, in cui l’assetto di disciplina europea assume una portata fondamentale (Califano, 2017, 12), dal momento in cui l’intervento del Legislatore interno è destinato ad essere, se non marginale, quantomeno integrativo e complementare rispetto a quello sovranazionale.

Una conferma di ciò è rinvenibile nel fatto che esso sarà tenuto ad ispirarsi, nel solco della impostazione del GDPR, ad una regolazione leggera, che lasci ampio margine di responsabilizzazione al singolo titolare del trattamento, sin dalla fase di progettazione dello stesso, quale principio cardine dell’intero quadro normativo-1.

A mutare, quindi, è la ragione giustificatrice stessa dell’intervento regolatorio, il che avvalora sempre di più la tesi per cui, specialmente sotto il profilo sostanziale, ci troviamo ad affrontare una nuova e diversa stagione della disciplina della protezione dei dati personali, improntata ad una sempre crescente europeizzazione e ad un continuo ampliamento del ruolo giocato dal garante, in un dinamico operare del principio di sussidiarietà, sia con riferimento al rapporto tra l’ordinamento nazionale ed unionale, sia in riferimento all’ordinamento interno di per sé.

Allora può affermarsi che dall’iniziale origine «pretoria» del diritto si è giunti ad una embrionale disciplina organica fondata sulla «visione proprietaria» dei dati, in ragione del rilevantissimo ruolo che le autorizzazioni e i controlli preventivi del Garante hanno sempre rivestito, per poi arrivare ad una disciplina che ha nel tempo riconosciuto all’Autorità Pubblica il ruolo di mero soggetto regolatore, al fine di accrescere, sotto il profilo sostanziale, le responsabilità del singolo titolare del trattamento, prevedendo l’intervento del Garante – non in chiave burocratica e autorizzatoria – bensì in un’ottica di controllo e di eventuale sanzione ex post, nell’ipotesi in cui si sia verificato un abuso del margine di autovalutazione lasciato ai singoli (Scagliarini, 2019).

E possiamo certamente affermare che – nonostante le (e forse in ragione delle) molteplici modifiche e successioni che la normativa ha vissuto nel corso del tempo – quello alla privacy si conferma come un diritto dal carattere fortemente dinamico che necessita di un adattamento che vada di pari passo col progresso tecnologico e, quindi, con le sempre mutevoli esigenze delle aziende che risentono fortemente dell’eco della digitalizzazione. Lungi dall’essere una conclusione questo appare così essere il primo capitolo di una lunga storia, che richiederà di essere, ancora ed ancora, sempre raccontata con l’aggiunta di nuove ed avvincenti sfide.

Akhtar, P., Moore, P., Upchurch, M. 2018. “Digitalisation of Work and Resistance.” In Humans and machines at work: monitoring, surveillance and capitalism, a cura di P. Moore, M. Upchurch, e X. Whittaker.

Albi, P. 2020. “La subordinazione algoritmica nell’impresa piattaforma.” Riv. it. dir. lav. 4, 826 sgg.

Aloisi, A. 2016. “Commoditized workers: Case study research on labour law issues arising from a set of ‘on-demand/gig economy’ platforms.” COMP. LAB. L. & POL’Y J.

Alvino, A. 2016. “I nuovi limiti al controllo a distanza dell’attività dei lavoratori nell’intersezione fra regole dello Statuto dei lavoratori e quelle del Codice della Privacy.” LLI 2, 1, 1 sgg.

Arena, G. 1997. “La tutela della privacy informatica.” Giorn. dir. amm., 512 sgg.

Assanti, C., Pera, G. 1972. “Art. 4 (Impianti audiovisivi).” In Commento allo Statuto dei diritti dei lavoratori, a cura di C. Assanti e G. Pera, 26 sgg. Padova: Cedam.

Atzori, L., Iera, A., Morabito, G. 2010. “The Internet of Things: A survey.” Comput. Netw. Disponibile al link < https://pdfs.semanticscholar.org/170e/e9747962f781dfcc6d89705f05c0c30fd4e8.pdf>.

Ballestrero, M.V. “Ancora sui rider. La cecità discriminatoria della piattaforma.” www.rivistalabor.it.

Barbieri, M. 2020. “Il luminoso futuro di un concetto antico: la subordinazione nell’esemplare sentenza di Palermo sui riders.” Labour & Law Issues 6, 2: 61-92.

Batini, C. 2017. “Big Data. Big Challenges and Big Concerns.” Gnosis 2, 40.

Belisario, E. 2018. “Il codice privacy ai tempi dl GDPR: istruzioni per la lettura.” Comuni d’Italia, 10.

Birritteri, E. 2021. “Controllo a distanza del lavoratore e rischio penale.” Sist. Pen., nota a Cassazione penale, sez. III, 14 dicembre 2020, n. 3255.

Bodie, M.T., Cherry, M.A., McCormick, M.L., Tang, J. 2016. “The Law and Policy of People Analytics.” University of Columbia Law Review.

Borelli, S., e Ranieri, M. 2021. “La discriminazione nel lavoro autonomo. Riflessioni a partire dall’algoritmo Frank.” LLI 7, 1: 21 sgg.

Brollo, M. 2019. “Tecnologie digitali e nuove professionalità.” Dir. Rel. Ind. 2: 468 sgg.

Buttarelli, G. 2017. “Le sfide del Big Data tra evoluzione tecnologica, etica e interessi collettivi.” Gnosis 2: 30 sgg.

Cabrelli, D. 2017. “Uber e il concetto giuridico di «worker»: la prospettiva britannica (nota a UK Employment Tribunal, Central London, England, United Kingdom, 26 ottobre 2016, n. 2202551/2015.” Dir. rel. ind. 27, 2: 575 sgg.

Califano, L. 2017. zIl Regolamento UE 2016/679 e la costruzione di un modello uniforme di diritto europeo alla riservatezza e alla protezione dei dati personali.” In Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, a cura di L. Califano e P. Colapietro, 23 sgg. Napoli: Editoriale Scientifica.

Capponi, F. 2020. “Lavoro tramite piattaforma digitale e subordinazione: il ruolo dell’algoritmo secondo il Tribunale di Palermo.” Bollettino ADAPT 44, 30 novembre 2020.

Carinci, F. 2021. “Il Ccnl rider del 15 settembre 2020 alla luce della Nota dell’Ufficio legislativo del Ministero del lavoro spedita a Assodelivery e UGL, firmatari del contratto.” Lav. dir. Europa 1.

Carinci, F. 2021. “Il percorso giurisprudenziale sui rider. Da Tribunale Torino 7 maggio 2018 a Tribunale Palermo 24 novembre 2020.” ADL 1: 1 sgg.

Carinci, M.T. 2016. “Il controllo a distanza dell’attività dei lavoratori dopo il «Jobs Act» (art. 23 D. Lgs. 151/2015): spunti per un dibattito.” LLI 2, 1.

Carta, C. 2018. “I limiti al potere di controllo sui lavoratori nell’uso di internet e dei servizi di comunicazione elettronica. Per un diritto alla moderazione.” Rivista Labor 2: 174 sgg.

Ciucciovino, S. 2016. “Le «collaborazioni organizzate dal committente» nel confine tra autonomia e subordinazione.” Riv. Ita. Dir. Lav. 3: 123 sgg.

Colapietro, C. 2018. “I principi ispiratori del Regolamento UE 2016/679 sulla protezione dei dati personali e la loro incidenza sul contesto normativo nazionale.” federalismi.it, 21 novembre 2018.

Colapietro, C. 2018. “I principi ispiratori del Regolamento UE 2016/679 sulla protezione dei dati personali e la loro incidenza sul contesto normativo nazionale.” Federalismi 22, 3: 1-34.

Corazza, L. 2018. “Note sul lavoro subordinato 4.0.” Dir. Rel. Ind. 4: 1071 sgg.

Costantini, F. 2018. “Il Regolamento UE 697/2016 sulla protezione dei dati personali.” Lav. giur., 553 sgg.

Dagnino, E. 2016. “Tecnologie e controlli a distanza.” In Le nuove regole del lavoro dopo il Jobs Act, a cura di M. Tiraboschi, 107 sgg. Milano: Giuffrè.

Dagnino, E. 2017. “People Analytics: lavoro e tutele al tempo del management tramite big data.” LLI 1, 31 sgg.

De Marco, E. 2018. “Controlli a distanza e «privacy» del lavoratore.” Giur. It. 3: 684 sgg.

De Mauro, C., Garilli, A. 2021. “L’enigma qualificatorio dei riders. Un incontro ravvicinato tra dottrina e giurisprudenza.” WP C.S.D.L.E. «Massimo D’Antona».IT 435.

De Stefano, V. 2016. “The rise of the ‘just-in-time workforce’: On-demand work, crowdwork and labour protection in the ‘gig-economy.” COMP. LAB. L. & POL’Y J.

De Stefano, V. 2019. “Negotiating the Algorithm: Automation, Artificial Intelligence and Labour Protection.” Comparative Labor Law & Policy Journal 41, 1.

Degoli, M.C. 2019. “I trattamenti in ambito lavorativo.” In Il «nuovo» codice in materia di protezione dei dati personali, La normativa italiana dopo il d.lgs. n. 101/2018. Torino: Giappichelli.

Del Conte, M. 2007. “Internet, Posta elettronica e oltre: il garante della privacy rimodula i poteri del datore di lavoro.” Dir. Inf. 3: 497 sgg.

Del Punta, R. 2016. “La nuova disciplina dei controlli a distanza sul lavoro (art. 23, d.lgs. n. 151/2015).” RIDL 1: 77 sgg.

Del Punta, R. 2019. “Sui riders e non solo: il rebus delle collaborazioni organizzate dal committente.” Riv. Ita. Dir. Lav. 2.

Diamanti, R. 2018. “Il lavoro etero-organizzato e le collaborazioni coordinate e continuative.” DRI 1.

Donini, A. 2020. “Secondo la Cassazione francese Uber è datore di lavoro.” Labour & Law Issues 6.

Fabozzi, R. 2020. “I controlli a distanza (di cinquant’anni).” MGL 1: 59 sgg.

Fabozzi, R. 2020. “Nuove tecnologie e potere di controllo.” In Diritto, lavoro, nuove tecnologie e blockchain, a cura di R. Pessi, P. Matera, e G. Sigillò Massara, 139 sgg. Roma: Eurilink.

Ferraro, G. 2016. “Collaborazioni organizzate dal committente.” Riv. Ita. Dir. Lav. 1: 53 sgg.

Finocchiaro, G. 2017. “Il quadro d’insieme sul regolamento europeo sulla protezione dei dati personali.” In Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, a cura di G. Finocchiaro, 12 sgg. Bologna: Zanichelli.

Fischbach, K., Gloor, P. A., Lassenius, C., Olguin Olguin, D., Pentland, A. Sandy, Putzke, J., Schoder, D. 2009. “Analyzing the Flow of Knowledge with Sociometric Badges.” COINS. Disponibile al link <http://www.ickn.org/documents/COINs2009_Fischbach_Gloor_Lassenius_etc.pdf>.

Garbuio, C. 2019. “Il contributo della Court de Cassazion francese alla qualificazione dei lavoratori digitali: se la piattaforma esercita i poteri tipici del datore sussiste un lien de subordination.” Riv. it. dir. lav. 2: 181 sgg.

Ghera, E. 2015. In Colloqui Giuridici sul lavoro, a cura di A. Vallebona, 50.

Giubboni, S. 2006. “Il primo dei diritti sociali. Riflessioni sul diritto al lavoro tra Costituzione italiana e ordinamento europeo.” WP C.S.D.L.E. «Massimo D’Antona».IT 46.

Gragnoli, E. 2010. “L’uso della posta elettronica sui luoghi di lavoro e la strategia di protezione elaborata dall’Autorità Garante.” In Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, a cura di P. Tullini, 68 sgg. Padova: Cedam.

Greco, L., Mantelero, A. 2018. “Industria 4.0, robotica e privacy-by-design.” Diritto dell’Informazione e dell’Informatica 6: 876 sgg.

Iaselli, M. 2018. “La normativa di riferimento.” In Il processo di adeguamento al GDPR, a cura di G. Cassano, V. Colarocco, G.B. Gallus, e F.P. Micozzi. Milano: Giuffrè.

Ichino, P. 2003. Il contratto di lavoro. Torino.

Ichino, P. 2020. “Contratto per i rider: è davvero «pirata»?” <https://lavoce.info/>, 21 settembre 2020.

Ilario, A. 2016. “I nuovi limiti al controllo a distanza dell’attività dei lavoratori nell’intersezione fra le regole dello Statuto dei lavoratori e quelle del Codice della “privacy”.” LLI 1: 45 sgg.

Ilsøe, A. 2020. “The Hilfr agreement: Negotiating the platform economy in Denmark.” FAOS Research paper 176.

Ingrao, A. 2019. “Data-Driven management e strategie collettive di coinvolgimento dei lavoratori per la tutela della privacy.” LLI 5, 2.

Kahneman, D. 2011. Thinking fast and slow. New York: Penguin Books.

Kaplan, J. 2016. Artificial intelligence: what everyone needs to know. Oxford: Oxford University Press.

Lambertucci, P. 2015. “Potere di controllo del datore di lavoro e tutela della riservatezza del lavoratore: i controlli a «distanza» tra attualità della disciplina statutaria, promozione della contrattazione di prossimità e legge delega del 2014 (c.d. Jobs Act).” Wp CSDLE «Massimo D’Antona».it 255.

Lee, M.K., Kusbit, D., Metsky, E. 2015. “Working with Machines: The Impact of Algorithmic and Data-Driven Management on Human Workers.” In Proceedings of the 33rd Annual ACM Conference on Human Factors in Computing Systems, Seoul, Korea.

Magnani, M. 2020. “Subordinazione, eterorganizzazione e autonomia tra ambiguità normative e operazioni creative della dottrina.” DRI 1.

Maio, V. 2018. “Il diritto del lavoro e le nuove sfide della rivoluzione robotica.” Arg. Dir. Lav. 6, 1414 sgg.

Maio, V. 2019. “Il lavoro per le piattaforme digitali tra qualificazione del rapporto e tutele.” Arg. Dir. Lav. 3.

Manokha, I. 2017. “Why the rise of wearable tech to monitor employees is worrying.” The Independent, 4 gennaio. Disponibile al link https://www.independent.co.uk/tech/why-the-rise-of-wearable-tech-to-monitor-employees-is-worrying-a7508656.html.

Marazza, M. 2016. “Collaborazioni organizzate e subordinazione: il problema del limite (qualitativo) di intensificazione del potere di istruzione.” Arg. Dir. Lav. 6, 1169 sgg.

Marazza, M. 2016. “Dei poteri (del datore di lavoro), dei controlli (a distanza) e del trattamento dei dati (del lavoratore).” WP C.S.D.L.E. «Massimo D’Antona».IT 300.

Mazziotti, M. 1956. Il diritto al lavoro. Milano: Giuffrè.

Mazzotta, O. 2020. “L’inafferrabile etero-direzione.” Labor 1.

Mazzotta, O. 2020. “L’inafferrabile etero-direzione: a proposito di ciclofattorini e modelli contrattuali.” Labor 1, 25 sgg.

Miniscalco, N. 2019. “Le regole deontologiche nella disciplina della privacy.” In Il «nuovo» codice in materia di protezione dei dati personali, La normativa italiana dopo il d.lgs. n. 101/2018, a cura di S. Scagliarini. Torino: Giappichelli.

Missorici, M. 1996. “Banche dati e tutela della riservatezza.” Riv. int. diritti dell’uomo, 67 sgg.

Nogler, L. 2015. “La subordinazione nel d. lgs. n. 81/2015: alla ricerca dell’«autorità del punto di vista giuridico».” WP CSDLE «Massimo D’Antona».it 267.

Nuzzo, A. 2019. “Algoritmi e regole.” In Algoritmi, se li conosci li regoli, a cura di A. Nuzzo e G. Olivieri, 44 sgg.

O’Neil, K. 2017. Armi di distruzione matematica. Firenze-Milano: Bompiani.

O’neill, C. 2016. Weapons of math destruction: how big data increases inequality and threatens democracy. New York: Crown.

Pacella, G. 2017. “Drivers di Uber: confermato che si tratta di workers e non di self-employed.” Labour & law issues 3, 2: 50 sgg.

Pasquale, G. 2013. The black box society: the secret algorithms that control money and information. Cambridge: Harvard University Press.

Persiani, M. 1998. “Autonomia, subordinazione e coordinamento nei recenti modelli di collaborazione lavorativa.” Dir. lav. I: 203 sgg.

Persiani, M. 2015. “Note sulla disciplina di alcune collaborazioni coordinate.” Arg. Dir. Lav. 6, 1259 sgg.

Persiani, M. 2016. “Ancora note sulla disciplina di alcune collaborazioni coordinate.” ADL 2: 312 sgg.

Perulli, A. 2017. “Il jobs act degli autonomi nuove (e vecchie) tutele per il lavoro autonomo non imprenditoriale.” Riv. Ita. Dir. Lav., 197 sgg.

Perulli, A. 2020. “Il diritto del lavoro «oltre la subordinazione»: le collaborazioni etero-organizzate e le tutele minime per i riders autonomi.” WP CSDLE «Massimod’Antona».IT 410.

Perulli, A. 2020. “Il rider di Glovo: tra subordinazione, etero-organizzazione, e libertà.” ADL 1, 37 sgg.

Perulli, A. 2020. “La Cassazione sul caso Foodora.” MGL, numero straordinario, 161 sgg.

Perulli, A. 2021. “La discriminazione algoritmica: brevi note introduttive a margine dell’Ordinanza del Tribunale di Bologna.” Lav. dir. Europa 1.

Pessi, R. 2015. “Il tipo contrattuale: autonomia e subordinazione dopo il «Jobs act».” WP C.S.D.L.E. «Massimo D’Antona».IT 282.

Pessi, R. 2015. “Il tipo contrattuale: autonomia e subordinazione dopo il Jobs Act.” WP CSDLE «Massimo D’Antona».IT 282.

Pessi, R. 2018. Lezioni di diritto del lavoro. Torino: Giappichelli.

Pessi, R., Zumbo, A. 2020. “Collaborazioni organizzate e tipi contrattuali: tra conferme ricostruttive e nuove problematiche interpretative.” MGL, numero straordinario, 173 sgg.

Pignot, E. 2021. “Who is pulling the strings in the platform economy? Accounting for the dark and unexpected sides of algorithmic control.” Organization 28: 208 sgg.

Piraino, F. 2017. “Il regolamento generale sulla protezione dei dati personali e i diritti dell’interessato.” Nuove leggi civ. II: 375.

Pisani, C. 2018. “Le collaborazioni coordinate e continuative a rischio estinzione.” Riv. Ita. Dir. Lav. 1: 43 sgg.

Pizzetti, F. “Delega per il GDPR, i punti forti e deboli: un primo giudizio.” Disponibile al link < https://www.agendadigitale.eu/>.

Preteroti, A. 2007. “Lavoro e previdenza.” In La protezione dei dati personali: commentario al d.lgs. 30 giugno 2003, n. 196, a cura di M. Bianca e F.D. Busnelli, 1443 sgg. Padova: Cedam.

Proia, G. 2016. “Trattamento dei dati personali, rapporto di lavoro e l’«impatto» della nuova disciplina dei controlli a distanza.” RIDL, 547 sgg.

Puccetti, E. 2021. “La subordinazione dei Riders. Il canto del cigno del tribunale di Palermo.” Lav. dir. europa 1.

Ragone, S. (a cura di). 2017. “Appendice comparata.” In Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, a cura di L. Califano, C. Colapietro. Napoli: Editoriale Scientifica.

Recchia, G.A. 2017. “Controlli datoriali difensivi: note su una categoria in via di estinzione.” Lav. Giur. 4: 348 sgg.

Reiling, D. 2009. Technology for justice. How information technology can support judicial reform. Leiden: Leiden University Press.

Rodotà, S. 1982. “Tecnologie dell’informazione e frontiere del sistema sociopolitico.” Pol. dir., 28 sgg.

Rodotà, S. 2005. Intervista su Privacy e Libertà. Roma-Bari: Laterza.

Rubechi 2017. “La transizione verso il nuovo sistema delle fonti europee.” In Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, a cura di L. Califano e C. Colapietro, 376 sgg. Napoli: Editoriale Scientifica.

Sachs, B. 2015. “Uber’s take-rate structure and employee status.” Onlabour, 23 maggio 2015.

Salerno, G.M. 2017. “Le origini ed il contesto.” In Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, a cura di L. Califano e C. Colapietro, 65 sgg. Napoli: Editoriale Scientifica.

Santoni, F., Pallini, M. 2015. In Colloqui giuridici sul lavoro, a cura di A. Vallebona.

Santoro Passarelli, G. 2015. “I rapporti di collaborazione organizzati dal committente e le collaborazioni coordinate e continuative ex art. 409, n. 3, c.p.c.” Arg. Dir. Lav. 6: 1146 sgg.

Santoro Passarelli, G. 2019. “Sul nomen juris e le possibili tutele del rapporto di lavoro dei riders.” Giust. Civ.com, 30 aprile 2019.

Santoro Passarelli, G. 2020. “Ancora su eterodirezione, etero-organizzazione, su coloro che operano mediante piattaforme digitali, i riders e il ragionevole equilibrio della Cassazione n. 1663/2020.” MGL, numero straordinario, 215 sgg.

Scagliarini, S. 2013. La riservatezza e i suoi limiti. Roma: Aracne.

Scagliarini, S. 2019a. “Dal «vecchio» al «nuovo» Codice della privacy.” In Il «nuovo» codice in materia di protezione dei dati personali, La normativa italiana dopo il d.lgs. n. 101/2018. Torino: Giappichelli.

Scagliarini, S. 2019b. “Dal «vecchio» al «nuovo» Codice della privacy.” In Il «nuovo» codice in materia di protezione dei dati personali, La normativa italiana dopo il d.lgs. n. 101/2018. Torino: Giappichelli.

Schmidt, W. 1981. “I diritti fondamentali sociali nella Repubblica Federale Tedesca.” Riv. trim. dir. pubbl.

Sigillò Massara, G. 2020a. “Tecnologie, diritto e lavoro (anche) agile.” In Diritto, lavoro, nuove tecnologie e blockchain, a cura di R. Pessi, P. Matera, e G. Sigillò Massara, 65 sgg. Roma: Eurilink.

Sigillò Massara, G. 2020b. “Lavoratori «etero-diretti dalle piattaforme»: la pragmatica a-qualificazione della Cassazione.” MGL, numero speciale, 235 sgg.

Sitzia, A. 2018. “Il decreto legislativo di attuazione del Regolamento Privacy (n. 101 del 2018): profili giuslavoristici.” Lav. Dir. Eur. 2, 2.

Stanchi, A. 2015. “Nel Jobs Act il nuovo articolo 4 dello Statuto dei Lavoratori.” GLav 38: 40 sgg.

Stizia, A. 2015. “I controlli a distanza dopo il «Jobs Act» e la Raccomandazione R(2015)5 del Consiglio d’Europa.” LG, 678 sgg.

Taylor, F.W. 1919. The Principles of Scientific Management. New York: Harper & Brothers.

Tiraboschi, M. 2015. Prima lettura del d. lgs. n. 81/2015 recante la disciplina organica dei contratti di lavoro. Modena: ADAPT University Press.

Tosi, P. 2015. “L’art.2, comma 1, d. lgs. n. 81/2015: una norma apparente?” ADL, 13 sgg.

Trojsi, A. 2014. “Il comma 7, lettera f), della legge delega n. 183/2014: tra costruzione del Diritto del lavoro nell’era tecnologica e liberalizzazione dei controlli a distanza sui lavoratori.” In Jobs Act e contratti di lavoro dopo la legge delega 10 dicembre 2014 n. 183, a cura di M. Rusciano e L. Zoppoli, 119 sgg. WP CSDLE «MassimoD’Antona» – Collective volumes 3.

Tullini, P. 2009. “Comunicazione elettronica, potere di controllo e tutela del lavoratore.” RIDL I: 329 sgg.

Videbæk Munkholm, N., Højer Schjøler, C. 2018. “Platform Work and the Danish Model – Legal Perspectives,” Nordic Journal of Commercial Law 1: 117-44.

Warren, S.D., Brandeis, L.D. 1890. “The Right to Privacy.” Harvard Law Review 4: 193 sgg.

Wood, A.J., Graham, M., Lehdonvirta, V., Hjorth, I. 2020. “Good Gig, Bad Gig: Autonomy and Algorithmic Control in the Global Gig Economy.” Work, Employment and Society 1, 2.

Zilio Grandi, G., Sferrazza, M. 2016. “Le collaborazioni organizzate dal committente.” ADL 4-5, 756 sgg.

Zoli, C. 2010. “Il controllo a distanza del datore di lavoro: l’art. 4 l. n. 300/1970 tra attualità ed esigenze di riforma.” In Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, a cura di P. Tullini, 164 sgg. Padova: Cedam.

Zoppoli, L. 2016. “La collaborazione eterorganizzata: fattispecie e disciplina.” WP CSDLE «Massimo D’Antona».IT 296.

Zuddas, P. 2019. “La posizione del minore.” In Il «nuovo» codice in materia di protezione dei dati personali, La normativa italiana dopo il d.lgs. n. 101/2018, a cura di S. Scagliarini. Torino: Giappichelli.

Giuseppe Sigillò Massara, Link Campus Universty of Rome, Italy, g.sigillomassara@unilink.it, 0000-0001-8176-742X

Referee List (DOI 10.36253/fup_referee_list)

FUP Best Practice in Scholarly Publishing (DOI 10.36253/fup_best_practice)

Giuseppe Sigillò Massara, Lavoro autonomo, parasubordinato e su piattaforma alla prova della privacy, © Author(s), CC BY 4.0, DOI 10.36253/979-12-215-0507-8.65, in William Chiaromonte, Maria Luisa Vallauri (edited by), Trasformazioni, valori e regole del lavoro. Scritti per Riccardo Del Punta, pp. -49, 2024, published by Firenze University Press, ISBN 979-12-215-0507-8, DOI 10.36253/979-12-215-0507-8