sabato, Ottobre 5, 2024
Labourdì

Controlli a distanza e diritto alla riservatezza ai tempi dello smart working

Controlli a distanza e diritto alla riservatezza ai tempi del smart working

a cura di Davide Neri Africano

  1. Introduzione: il provvidenziale smart working

L’irruzione del COVID-19 nelle nostre vite ha costretto un numero sempre crescente di persone a cambiare le proprie abitudini quotidiane. Ciò che è ormai noto, e viene ribadito quotidianamente dagli studiosi più autorevoli, è che il contagio può essere rallentato drasticamente solo mettendo in pratica il distanziamento fisico. È bene sottolineare, però, che l’OMS si riferisce al solo distanziamento “fisico”, ma non a quello “sociale”[1]. Va infatti ripudiata qualsiasi soluzione che non permetta alle persone di aggregarsi, seppur virtualmente, per due ragioni principali. La prima, di tipo prevalentemente sociale, attiene alla necessità per gli individui di intrattenere rapporti umani con i propri amici e parenti. La seconda, di matrice economica, riguarda la necessità per il Paese di continuare a produrre e occupare (e, quindi, tutelare) i propri lavoratori.

Una delle soluzioni adottate dal legislatore fin dai primi giorni di pandemia è rappresentata dal significativo aumento del personale in lavoro a distanza, in particolare quello delle Pubbliche Amministrazioni. Si tratta, in realtà, di un’alternativa già conosciuta nel nostro ordinamento, tuttavia raramente impiegata, perché le realtà aziendali (tanto nel settore pubblico quanto in quello privato) si sono sempre dimostrate piuttosto restie ad adottare misure volte alla modernizzazione dei propri uffici[2].

Questa modalità di lavoro, chiamata anche lavoro agile (o anche smart working), consiste nella possibilità, per il dipendente, di svolgere le proprie mansioni per il tramite di apparecchi elettronici (monitor, cellulari e altri strumenti telematici, a seconda dei compiti che lo stesso è chiamato a eseguire) nel proprio domicilio o residenza. In materia di Pubblico Impiego la relativa disciplina si rinviene nell’art. 4 della legge 91/1998, mentre nel settore privato la normativa di riferimento è contenuta nell’Accordo Interconfederale del 2004[3]. Tuttavia, lasciare ai lavoratori libertà tanto ampie aumenta anche il rischio che questi ultimi non assolvano correttamente i loro obblighi di fedeltà e diligenza, legittimando quindi il datore ad adottare soluzioni per monitorare a distanza i propri impiegati.

La disciplina in materia di controllo a distanza dei dipendenti si rinviene nell’art. 4 St. Lav., il quale, però, necessita di essere adeguato a nuove interpretazioni, rese necessarie dall’aumento dell’impiego dello smart working e dall’irrompere di nuove norme a regolare la disciplina, in particolare il Reg. UE 679/2016 (GDPR) e il Jobs Act.

  1. L’intervento del Jobs Act

Nella sua formulazione originaria, il sopracitato articolo 4 St. Lav. prevedeva il divieto assoluto di utilizzare “impianti audiovisivi” e “altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori”. La ratio della norma è chiara: nel momento in cui il diritto alla riservatezza (art. 15 Cost.) si scontra con la liberà di iniziativa economica (art. 41 Cost.), si impone al datore di lavoro di compiere un equo bilanciamento al fine di non pregiudicare in maniera irreparabile nessuno dei due. Pertanto, in un primo momento, veniva riconosciuta la possibilità di eseguire i suddetti controlli solamente quando vi fossero “esigenze organizzative e produttive”, finalità connesse al tema della “sicurezza sul lavoro”, oppure nel caso di controlli di carattere cd. “difensivo”, ovverosia posti legittimamente in essere dal datore per verificare che i dipendenti non tenessero comportamenti illeciti e idonei a danneggiare la produttività dell’impresa o il patrimonio aziendale[4]. È chiaro che, nella formulazione originaria della norma, la riservatezza del dipendente assumesse una posizione privilegiata rispetto alla libertà economica del datore. Invece, come si vedrà in appresso, la normativa attuale appare sensibilmente più orientata verso l’equiparazione dei suddetti diritti, rendendo pochi e rari i casi in cui la tutela del primo effettivamente pregiudica la realizzazione del secondo.

Con l’intervento del Jobs Act si è infatti compiuta la riscrittura dell’art. 4 St. Lav., abolendo il divieto appena analizzato, e introducendo una disciplina più dettagliata.

In primo luogo, l’art. 4, terzo comma, St. Lav. oggi prevede che, in riferimento a “qualsiasi” strumento potenzialmente idoneo a realizzare il controllo a distanza del lavoratore, debba essere data adeguata informazione a quest’ultimo circa le modalità d’uso dello strumento stesso e delle procedure per l’effettuazione dei controlli a distanza. Inoltre, sul datore incombe l’ulteriore obbligo di raccogliere e trattare i dati personali nel rispetto del D. Lgs. 196/2003, oggi sostituito e integrato dal GDPR e dal D. Lgs. 101/2018.

In secondo luogo, vengono distinti gli “impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori” dagli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” e dagli “strumenti di registrazione degli accessi e delle presenze”. I primi, infatti, possono essere impiegati esclusivamente in presenza di specifiche esigenze aziendali e previo accordo collettivo con RSA, RSU, o, in caso l’impresa possieda unità produttive site in diverse province del territorio, con le associazioni sindacali comparativamente più rappresentative sul piano nazionale. Inoltre, per l’installazione dei suddetti strumenti occorre la preventiva autorizzazione da parte dell’Ispettorato Nazionale del Lavoro[5].

In relazione ai secondi, invece, non vi sono vincoli. Si noti, pertanto, come il legislatore ha riconosciuto ai secondi, ma non ai primi, una significativa rilevanza ai fini del pieno conseguimento della libertà di iniziativa economica.

  1. Il discrimine tra comma I e comma II dell’art. 4 St. Lav.

Dalla lettura della norma emerge chiaramente che sul datore di lavoro non incombono particolari obblighi qualora al dipendente venga affidato uno strumento necessario a rendere la prestazione lavorativa. La questione ora si sposta sull’individuazione di questi strumenti. La definizione di “strumento di lavoro” è stata rimessa all’intervento delle istituzioni che devono sorvegliare sulla corretta applicazione dell’art. 4 St. Lav. In particolare, si ricorda la Circolare n. 2 del 2016 dell’Ispettorato Nazionale del Lavoro, la quale ha stabilito che sono strumenti di lavoro “gli apparecchi, dispositivi, apparati e congegni che costituiscono il mezzo indispensabile al lavoratore per adempiere la prestazione lavorativa dedotta in contratto, e che per tale finalità siano stati posti in uso e messi a sua disposizione”. Tale definizione sembra essere stata accolta anche dal Garante per la Protezione dei Dati Personali, che, in una relazione dell’8 Marzo 2018, ha previsto che siano da considerare soggetti alla disciplina dell’art. 4, secondo comma, St. Lav. tutti quei dispositivi utilizzati in via “primaria ed essenziale” per eseguire le prestazioni di lavoro o che siano “direttamente preordinati” a svolgerle[6]. Si può immediatamente cogliere come l’esecuzione di controlli a distanza sia vincolata all’obiettivo di sorvegliare esclusivamente il corretto adempimento dell’obbligazione lavorativa e non possa invece estendersi a questioni che concernono la vita personale del dipendente. In altre, parole, l’oggetto del controllo a distanza non è la persona del lavoratore, bensì la sua prestazione[7].

Inoltre, la salvaguardia della produttività aziendale può essere conseguita legittimamente anche con il ricorso a controlli cd. “occulti”, ovverosia quelli eseguiti tramite l’impiego di apparecchiature di cui il lavoratore non ha disponibilità. L’esempio scolastico è rappresentato dall’installazione di telecamere nei locali aziendali, da parte del datore di lavoro, qualora quest’ultimo abbia rilevato casi di furto di materiali di proprietà dell’impresa. Un simile controllo, addirittura, sarebbe legittimato in virtù della sua funzione “difensiva”. La liceità dello stesso è infatti da rinvenire nella sua idoneità a controllare che la prestazione lavorativa sia eseguita correttamente da parte di tutti i dipendenti e a prevenire episodi tali da danneggiare la produttività e il patrimonio aziendale[8]. Nel caso dello smart working, tale esigenza deve essere adattata alle distanze fisiche che intercorrono tra datore di lavoro e dipendenti.

Ad esempio, è stato ritenuto lecito ammettere controlli sulle attività svolte dall’impiegato a cui era stato affidato il computer aziendale. Addirittura, nel caso di specie, il lavoratore fu licenziato – legittimamente, secondo la Cassazione – poiché aveva utilizzato il pc aziendale per giocare durante l’orario di lavoro[9]. Similmente si è ammesso il licenziamento del dipendente che avesse impiegato il telefono aziendale per fare chiamate di carattere strettamente personale. Naturalmente, ciò implica che il datore abbia avuto la possibilità di eseguire controlli – legittimi e a distanza – sulle modalità di impiego delle attrezzature di lavoro da parte del lavoratore[10].

È pertanto opportuno procedere con l’analisi degli strumenti di controllo che più vengono impiegati per rendere le prestazioni in regime di smart working.

3.1          Computer, telefoni aziendali e posta elettronica

È fondamentalmente indiscusso che computer, telefoni aziendali e la casella di posta elettronica rientrino nella disciplina di cui all’art. 4, secondo comma, St. Lav. Gli stessi, infatti, in particolare nell’ambito del lavoro a distanza, sono beni necessari per lo svolgimento delle prestazioni lavorative. Data l’oggettiva necessità di permettere ai dipendenti di poter lavorare da casa, non vi è dubbio che tali strumenti siano gli unici che permettano al lavoratore di rendere la prestazione interamente da remoto e al datore di registrare la sua effettiva presenza sul luogo di lavoro. Si dimostra agevolmente quindi la loro necessità per eseguire in via “primaria ed essenziale” le prestazioni di lavoro e il loro essere “direttamente preordinati” a svolgerle. Infatti, senza di essi il dipendente non potrebbe garantire le stesse prestazioni che altrimenti renderebbe in presenza.

In particolare, si pone perfettamente in linea con questa interpretazione la decisione del Tribunale di Roma in riferimento al caso di una dipendente che, utilizzando a fini personali gli strumenti aziendali, aveva scaricato per sua negligenza dei malware (nello specifico il CryptoLocker ransomware) sui dispositivi di lavoro, causando un grave danno all’impresa e rendendo la stessa vittima del CryptoLocker ransomware attack del 2013. Il datore ha potuto confermare che il fatto fosse addebitabile alla dipendente solamente grazie all’espletamento di indagini informatiche eseguite sul computer che era stato affidato alla lavoratrice[11]. In seguito alla conclusione delle indagini, la dipendente fu licenziata. In seguito, il Tribunale adito confermò tanto la legittimità dei controlli eseguiti quanto la legittimità del licenziamento.

Valga ciò a confermare la possibilità di ricorrere ai suddetti strumenti al fine di controllare che il lavoratore adempia con diligenza le proprie obbligazioni contrattuali.

3.2          GPS

È invece più ostico stabilire positivamente sulla natura di “strumenti di lavoro” dei sistemi di geolocalizzazione. Infatti, questi ultimi, di solito installati preventivamente sui veicoli, non sono sempre necessari in via “primaria ed essenziale” allo svolgimento della prestazione contrattuale, così da esulare dalle definizioni fornite dall’Ispettorato Nazionale del Lavoro e dal Garante per la Protezione dei Dati Personali. Pertanto, in linea di massima, non è possibile installarli senza seguire la procedura prevista dall’art. 4, primo comma, St. Lav. Emerge manifesta l’illiceità del ricorso ai suddetti strumenti senza un previo accordo con le Rappresentanze Sindacali e senza previa autorizzazione dell’Ispettorato Nazionale del Lavoro, poiché non possono “considerarsi “difensivi” meccanismi di controllo a distanza generalizzati, che siano predisposti prima ancora dell’emergere di qualsiasi sospetto e che riguardino la prestazione lavorativa in sé”[12].

Vi è, tuttavia, un’eccezione alla sopracitata disciplina. La stessa Circolare n. 2/2016 dell’Ispettorato Nazionale del Lavoro ha stabilito che, qualora il ricorso ai sistemi di GPS sia richiesto da specifiche normative di carattere legislativo o regolamentare, ovvero sia effettivamente necessario ai fini della corretta esecuzione della prestazione lavorativa, potrà essere annoverato tra gli strumenti di lavoro di cui al secondo comma dell’art. 4 St. Lav.[13]

In estrema sintesi, si ammette la possibilità di valutare, sulla base delle esigenze del caso concreto, l’opportunità di ricorrere agli strumenti di geolocalizzazione per il monitoraggio a distanza dei dipendenti. Il discrimine sarebbe da rinvenire, ancora una volta, nella necessità degli stessi ai fini della corretta esecuzione delle prestazioni contrattuali e della salvaguardia del patrimonio aziendale.

3.3          Software di controllo

Nel settore delle comunicazioni, è frequente che il cliente debba interfacciassi telefonicamente con l’operatore, il quale può svolgere comodamente la propria attività anche in smart working. Esistono, a riguardo, software capaci di calcolare il livello di produttività di ciascun dipendente-operatore telefonico, calcolando gli intervalli temporali complessivi nei quali costui è disponibile, occupato o in pausa, e verificando il tempo medio di evasione di ogni richiesta.

A riguardo, la Circolare n. 139/2018 del Garante Privacy ha disposto che, in materia di trattamento dei dati personali dei dipendenti di un call center, i suddetti software rientrassero indiscutibilmente tra i sistemi di monitoraggio dell’attività dei lavoratori non necessari a rendere la prestazione di lavoro. Di conseguenza, deve essere esclusa in ogni caso la possibilità di installarli senza aver preventivamente esperito il procedimento di cui all’art. 4, comma primo, St. Lav.[14] Suddetta disciplina, inoltre, non ammette eccezioni, diversamente da quanto accade in riferimento all’installazione di sistemi di geolocalizzazione.

  1. Obblighi informativi del datore

L’incisivo potere di controllo di cui è investito il datore di lavoro, però, impone anche alcuni obblighi informativi in capo a quest’ultimo. Non sarebbe, infatti, ragionevole, che il dipendente non abbia conoscenza delle finalità di trattamento dei propri dati personali. A riguardo, l’art. 4, terzo comma, St. Lav. predispone le condizioni per il corretto utilizzo dei dati raccolti con i dispositivi di cui ai due commi precedenti.

In primo luogo, si prevede che le informazioni così raccolte siano utilizzabili esclusivamente per fini connessi al rapporto di lavoro. Di conseguenza, il loro ambito di impiego e trattamento risulta fortemente circoscritto a finalità di tipo professionale[15].

In secondo luogo, incombe in capo al datore di lavoro un obbligo preventivo di informare i lavoratori circa le procedure di trattamento e i tempi di conservazione dei dati personali raccolti tramite gli strumenti informatici di controllo a distanza, nonché circa le modalità di funzionamento di questi ultimi e il tipo di controlli che possono essere effettuati tramite e sugli stessi. A riguardo, è stata ritenuta incongrua un’informativa generica, ovverosia limitata a comunicare al dipendente le modalità di funzionamento del servizio di posta elettronica ma senza alcun riferimento alla possibilità di compiere attività di controllo sull’utilizzo dello stesso[16]. La sanzione prevista per il datore che contravvenga al dovere di informazione è l’assoluta inutilizzabilità dei dati personali così raccolti.

Ultima condizione richiesta per il lecito trattamento dei dati personali del dipendente è il consenso di quest’ultimo. La legittimità del consenso è individuabile solo nel momento in cui questo incontri sei requisiti fondamentali puntualmente richiamati dall’art. 4 GDPR. Deve infatti trattarsi di un consenso: inequivocabile, libero, specifico, informato, verificabile e revocabile[17]. Nel caso del trattamento di dati sensibili (ossia quelli idonei a rivelare “l’origine razziale o etnica; le opinioni politiche, le convinzioni religiose o filosofiche; l’appartenenza sindacale; i dati genetici e i dati biometrici intesi a identificare in modo univoco una persona fisica; i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”[18]), il consenso deve essere prestato necessariamente in forma scritta e tramite comportamenti positivi, non essendo possibile presupporlo o ricavarlo dal mero compimento di determinate azioni da parte del titolare[19].

  1. Osservazioni conclusive

Si è visto che l’attuale disciplina in materia di controllo a distanza dei lavoratori in smart working è non solo particolarmente dettagliata, ma anche frutto dell’evoluzione di una normativa che deve tenere sempre in considerazione le più recenti innovazioni scientifico-tecnologiche e adattarsi flessibilmente ai repentini cambiamenti della società e delle abitudini dei cittadini. Risulta difficile, quindi, ipotizzare che essa rappresenti la regolamentazione definitiva della materia.

È tuttavia indubbio che in essa vi sia un chiaro intento del legislatore di individuare un punto di equilibrio tra il diritto alla riservatezza e la libertà di iniziativa economica, con la consapevolezza che il secondo può occasionalmente mitigare l’operatività del primo in presenza di determinate finalità ed esigenze stabilite dalla legge stessa.

Infine, dall’analisi appena conclusa si evince che in materia di protezione dei dati personali rilevano fortemente anche le fonti di soft law (tra cui le circolari dell’Ispettorato Nazionale del Lavoro le relazioni del Garante per la Protezione dei Dati Personali), le quali assumono importanza fondamentale tanto dal punto di vista di vista definitorio delle fattispecie quanto da quello relativo alla concreta applicabilità delle regole vigenti.

[1] M. Penassi, Distanza fisica, contatto sociale, 2020, disponibile qui: http://www.sossanita.org/archives/10399: l’OMS chiarisce perché il termine corretto da utilizzare è “distanziamento fisico” e non “sociale”.

[2] M. Lepore, La rivincita dello smart working, il Covid spazza via i pregiudizi sul lavoro a distanza, 2020, disponibile qui: https://www.repubblicadeglistagisti.it/article/rivincita-smart-working-grazie-a-pandemia-superati-pregiudizi.

[3] F. Carinci et al., Diritto del lavoro: il rapporto di lavoro subordinato, 2019.

[4] D. Bellini, Controlli difensivi: è legittimo il licenziamento del lavoratore che gioca con il computer aziendale, 2018, disponibile qui: https://www.rivistalabor.it/wp-content/uploads/2018/06/c-13266-2018.pdf; anche Cass. Civ., ordinanza 13266/2018.

[5] F. Alvaro, I controlli a distanza e l’utilizzo dei sistemi informatici dopo l’approvazione del Jobs Act, 2015, in Il giuslavorista, 2015.

[6] W. Falco, Il nuovo art. 4 St. lav.: tra strumenti di lavoro e privacy, 2019, disponibile qui: https://www.toffolettodeluca.it/en-gb/news-events/news-and-events/a/il-nuovo-art-4-st-lav-tra-strumenti-di-lavoro-e-privacy/.

[7] F. Alvaro, I controlli a distanza e l’utilizzo dei sistemi informatici dopo l’approvazione del Jobs Act, 2015, in Il giuslavorista.

[8] S. Apa, Strumenti di vigilanza del datore di lavoro, limiti dei controlli difensivi e riservatezza del dipendente, 2017, in Il giuslavorista.

[9] M. Mancusi, Impiegato che gioca al pc può essere licenziato ma non se scarica programmi, 2015, disponibile qui: https://www.puntodidiritto.it/impiegato-che-gioca-al-pc-puo-essere-licenziato-ma-non-se-scarica-programmi/; anche Cassazione Civ., sentenza 26397/2013.

[10] Cassazione Civ., sentenza 3315/2018.

[11] Trib. Roma, sentenza 24 Marzo 2017, disponibile qui: http://www.bollettinoadapt.it/wp-content/uploads/2017/12/trib.roma24.3.17-nuovo-4-s.l..pdf.

[12] Cassazione Civ., sentenza 19922/2016.

[13] M. Cassaro, Privacy: riflessi ed aspetti pratico-operativi del nuovo GDPR nell’ambito del rapporto di lavoro, 2018, in Il giuslavorista: ad esempio nel caso, previsto dalla legge, in cui il GPS sia installato su un furgone portavalori il cui carico eccede il valore complessivo di € 1.500.000,00.

[14] W. Falco, Il nuovo art. 4 St. lav.: tra strumenti di lavoro e privacy, 2019, disponibile qui: https://www.toffolettodeluca.it/en-gb/news-events/news-and-events/a/il-nuovo-art-4-st-lav-tra-strumenti-di-lavoro-e-privacy/.

[15] A. Sitzia, Il controllo (del datore di lavoro) sull’attività dei lavoratori: il nuovo articolo 4 st. lav. e il consenso (del lavoratore), 2016, in Labour & Law Issues.

[16] W. Falco, Il nuovo art. 4 St. lav.: tra strumenti di lavoro e privacy, 2019, disponibile qui: https://www.toffolettodeluca.it/en-gb/news-events/news-and-events/a/il-nuovo-art-4-st-lav-tra-strumenti-di-lavoro-e-privacy/; Trib. Roma, sentenza 13 Giugno 2018, n. 57668, disponibile qui: https://www.rivistalabor.it/wp-content/uploads/2018/07/T.-Roma-13-giugno-2018-n.-57668.pdf.

[17] B. Saetta, Consenso al trattamento, in Protezione dei dati personali, 2018, disponibile qui: https://protezionedatipersonali.it/consenso.

[18] art. 9 GDPR.

[19] A. Sitzia, Il controllo (del datore di lavoro) sull’attività dei lavoratori: il nuovo articolo 4 st. lav. e il consenso (del lavoratore), 2016, in Labour & Law Issues.

Lascia un commento