E’ accesso e sempre attuale, soprattutto a seguito della approvazione dell’ormai noto Regolamento GDPR, il dibattito relativo ai poteri di controllo del datore di lavoro delineati da uno dei decreti attuativi del Jobs Act, che ha riscritto la disciplina del potere di sorveglianza a distanza dei lavoratori prevista dallo Statuto dei Lavoratori. Quelle che, soprattutto in prima battuta, sembravano costituire le modifiche dotate di maggiore portata innovativa sono costituite dai riformati secondo e terzo comma dell’art. 4 dello Statuto. Tali disposizioni attualmente prevedono che l’utilizzo e l’installazione di strumenti utilizzati dal lavoratore al fine di rendere la prestazione lavorativa (quali ad esempio personal computer, smartphone, tablet, localizzatori satellitari) e di strumenti volti alla registrazione degli accessi e delle presenze sul luogo di lavoro non sia subordinato ad alcun obbligo di previa sottoscrizione di accordo sindacale e/o rilascio di autorizzazione amministrativa da parte della competente direzione territoriale del lavoro. Inoltre, a differenza del passato, le informazioni raccolte dal datore di lavoro attraverso tali strumenti sono utilizzabili “a tutti i fini connessi al rapporto di lavoro” e dunque anche ai fini disciplinari e di verifica dell’esatto adempimento della prestazione.
Il testo della norma parrebbe aprire alla possibilità per il datore di lavoro di effettuare un controllo a distanza pressoché costante della prestazione lavorativa resa dai propri dipendenti, e ciò senza che l’esigenza di controllo debba essere giustificata da ragioni di tutela del patrimonio aziendale, sicurezza sul lavoro o esigenze organizzative e produttive (ragioni che costituiscono ancora oggi presupposto necessario ai fini della installazione di impianti audiovisivi sul luogo di lavoro, ex art. 4 comma I dello Statuto). Come è facile intuire, si discute di uno tra i profili più delicati del rapporto di lavoro dipendente ove si consideri che la normativa va ad incidere sul vincolo fiduciario tra le parti del rapporto e comporta, da un lato, una possibile generalizzata invasione nella sfera personale e privata del lavoratore – che deve necessariamente essere regolamentata affinché non diventi illecita – e, dall’altro, l’intrinseco rischio di un sensibile aumento delle contestazioni disciplinari a carico dei dipendenti.
Proprio sulla scorta di queste preoccupazioni, a seguito dell’entrata in vigore del Jobs Act, il Ministero del Lavoro era intervenuto con provvedimento del 18 giugno 2015 nel tentativo di ridimensionare la portata della riforma, escludendo che la stessa potesse comportare una liberalizzazione dei controlli datoriali e fornendone una lettura quale mero adeguamento dello Statuto dei Lavoratori alle più recenti innovazioni tecnologiche in grado di incidere sulle modalità di svolgimento delle prestazioni lavorative. Sarebbe in ogni caso un errore pensare che il descritto intervento legislativo abbia in concreto inciso drasticamente ed in senso profondamente negativo sulla posizione dei lavoratori. Quella che – probabilmente con eccessivo timore – era stata letta come una radicale liberalizzazione ad esclusivo favore del datore di lavoro non ha in realtà comportato un indiscriminato utilizzo dei dati raccolti a svantaggio del lavoratore dipendente né un incremento esponenziale delle sanzioni disciplinari e dei licenziamenti derivanti dagli ampliati poteri di vigilanza.
L’apertura ai controlli a distanza determinata dal Jobs Act incontra infatti due limiti. Il primo è dato dal fatto che il datore di lavoro può utilizzare le informazioni raccolte mediante gli strumenti di lavoro soltanto ove dimostri che il lavoratore sia stato adeguatamente informato circa la modalità di raccolta dei dati (e dunque in merito al preciso funzionamento degli strumenti che gli vengono affidati) nonché della possibilità del datore di lavoro di svolgere attraverso di essi controlli sull’attività lavorativa e delle eventuali conseguenze sul piano disciplinare. Ciò si traduce, in concreto, nello specifico onere del datore di lavoro di predisporre e far sottoscrivere ai propri dipendenti una apposita informativa, con la quale il lavoratore è chiamato ad esprimere il proprio esplicito consenso al trattamento dei dati personali autorizzandone l’utilizzo anche ai fini disciplinari. Il secondo limite è invece costituito dall’imprescindibile “rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”, e dunque della normativa sulla Privacy, oggi contenuta nel Regolamento UE 2016/679, nell’ambito della attività di raccolta e trattamento dei dati e ciò per evidenti ragioni: i controlli derivanti dall’utilizzo di strumenti quali pc e smartphone implicano l’acquisizione indiretta ed involontaria da parte del datore di lavoro di una serie di informazioni che esulano dall’attività lavorativa e che coinvolgono la sfera personale e la vita privata del dipendente.
L’esame della Relazione del Garante per la Protezione dei dati personali relativa all’anno 2017, pubblicata il 10 luglio di quest’anno, aiuta a comprendere l’effettivo impatto della nuova disciplina sul mondo del lavoro e le difficoltà – in termini pratici – per il datore di lavoro di “giovare” dei maggiori poteri di vigilanza attribuitigli. Sono stati ad esempio analizzati gli strumenti di raccolta dati di aziende eroganti servizi di fornitura di acqua potabile e servizi comunali di polizia locale che prospettavano l’installazione di un sistema di localizzazione satellitare sui veicoli affidati ai propri dipendenti od agenti, gestori di servizi di igiene urbana dotati di sistema radiomobile digitale per le comunicazioni del personale operativo.
Pronunciandosi sulle istanze di verifica preliminare formulate da queste ed altre aziende (tendenzialmente di medie e grandi dimensioni), nonché su reclami e/o segnalazioni da parte di organizzazioni sindacali o a seguito di accertamenti ispettivi, l’Autorità Garante ha dettato le linee guida in materia, statuendo – quali principi generali – che i dati “devono essere trattati adottando particolari cautele” e che, trattandosi di dispositivi principalmente destinati a “seguire” la persona che li detiene sia nell’orario di lavoro che nelle pause e/o nel tempo libero e presentando “rischi specifici per la libertà, i diritti e la dignità del dipendente”, è onere del datore di lavoro adottare “specifiche misure idonee a garantire che le informazioni presenti sul dispositivo siano riferibili esclusivamente a dati di geolocalizzazione” al fine di impedire l’eventuale trattamento di dati ultronei quali quelli relativi al traffico telefonico, agli sms, alla posta elettronica o alla navigazione in internet.
Sulla scorta di tali principi, l’Autorità ha richiesto alle aziende di configurare i diversi sistemi di geolocalizzazione “in modo tale che sul dispositivo sia posizionata un’icona che indichi che la funzionalità di localizzazione è attiva” così che il dipendente possa sempre essere consapevole e ricordare il rilevamento dei dati; di prevedere un sistema di raccolta dei dati con accesso ai dati trattati limitatamente agli incaricati della società che, in ragione delle mansioni svolte o degli incarichi affidati, ne vengono a conoscenza (ai quali devono essere assegnate credenziali di autenticazione differenziate); di registrare gli accessi ai dati di rilevazione “tramite un apposito file di log riportante la data e l’ora dell’operazione, il tipo di operazione effettuata, i dipendenti visualizzati e l’identificativo dell’incaricato”; e di “individuare tempi certi per la cancellazione dei dati conservati temporaneamente sul dispositivo”.
In particolare, per il Garante ciò che rileva ai fini della legittimità della raccolta dei dati ed al successivo ed eventuale legittimo utilizzo ai fini disciplinari è che vi sia una effettiva corrispondenza tra le finalità della raccolta dei dati dichiarate nell’informativa destinata al dipendente e le concrete modalità di funzionamento del sistema di rilevazione. E così, se una società dichiara che la geolocalizzazione attraverso smartphone o GPS viene effettuata ai fini del rilevamento delle presenze dei dipendenti svolgenti attività fuori sede mediante timbratura a distanza (finalità considerata legittima, corrispondendo ad una esigenza organizzativa concreta dell’azienda) occorrerà che effettivamente la misura coinvolga esclusivamente dipendenti impossibilitati alla timbratura fisica del cartellino presso la sede del datore di lavoro. Se il sistema di geolocalizzazione adottato prevede la cadenza temporale del rilevamento della posizione geografica, essa dovrà essere proporzionata alle finalità perseguite, non potendosi in ogni caso tradurre nel “pedinamento” del dipendente ed essendo in ogni caso escluso il monitoraggio dei tracciati percorsi. Solo la sottoscrizione di apposita informativa e consenso al trattamento dei dati – nel rispetto della normativa privacy – consente l’utilizzo dei dati raccolti anche ai fini disciplinari. Tuttavia, come emerge dall’esame della citata Relazione, la sottoscrizione dell’informativa dovrà anche essere accompagnata dallo sviluppo e dalla implementazione di strumenti tecnico informatici volti al rilevamento ed al trattamento dei dati, il che implica un investimento in termini economici non irrilevante da parte delle aziende. Ciò che emerge chiaramente dall’analisi della Relazione del garante è che la riforma, sulla carta, promette più di quanto, in concreto, consenta di effettuare.
