La giurisprudenza ha confermato ormai in modo chiaro che la riforma dell’art. 4 dello Statuto dei Lavoratori non ha modificato il generale divieto di controllo a distanza della prestazione lavorativa. Tuttavia, è chiaro che le imprese mantengono il potere di controllare la prestazione dei lavoratori anche nel contesto del lavoro agile, ormai diffusissimo dopo la pandemia nelle aziende di ogni dimensione e settore.
Devono tuttavia farlo entro i limiti e adottando le procedure che la legge impone per la tutela della privacy dei lavoratori.
Gli oneri procedurali imposti dal GDPR ai controlli a distanza nello smart working
Innanzi tutto, ci sono gli oneri procedurali imposti dal regolamento in materia di protezione dei dati personali (Regolamento U.E. n. 679/2019 – poi anche “GDPR”), che disciplina anche il trattamento dei dati del lavoratore nella relazione di lavoro. L’art. 88 del GDPR, infatti, richiama espressamente l’obbligo di «protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro».
Quindi, il datore di lavoro, in quanto titolare del trattamento, deve predisporre tutte le misure necessarie affinché i dati personali dei lavoratori siano protetti in costanza del rapporto.
La premessa è che il trattamento deve essere in linea con il ben noto “principio di minimizzazione” di cui all’art. 4, comma 1, lett. c) GDPR: si devono trattare solo quei dati personali che sono necessari per il fine perseguito. Inoltre, i sistemi utilizzati per il controllo devono essere improntati ai principi di privacy by design e by default.
Il datore di lavoro che intenda adottare una politica di controllo a distanza dei lavoratori agili dovrà, in ogni caso:
- rendere all’inizio del trattamento dei dati ai lavoratori una compiuta informativa circa le modalità, le finalità e le circostanze del trattamento (art. 13 GDPR; art. 4, c. 3, Stat. Lav.);
- effettuare una valutazione dei rischi (art. 35 GDPR): infatti il Garante della Privacy ha previsto anche questa cautela in ogni caso di «trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”» ovvero di «Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti» (Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679 – 11 ottobre 2018 – doc. web 9058979).
Il datore di lavoro, quindi, se intende avvalersi di dati per il controllo a distanza, deve effettuare una valutazione d’impatto, oltre a rendere l’informativa.
I controlli a distanza nello smart working mediante strumenti di lavoro
La riforma ha esentato da ogni ulteriore obbligo, fermi quelli di cui si è già parlato, i controlli a distanza effettuati mediante strumenti di lavoro o di rilevazione degli accessi e delle presenze.
Occorre ricordare, però, che questa definizione si deve intendere applicata solo a quegli strumenti che siano necessari a rendere la prestazione lavorativa. Ogni dispositivo o software che viene utilizzato dal lavoratore deve essere valutato sotto questo aspetto.
Così, ad esempio, può essere necessario a rendere la prestazione lavorativa il computer portatile messo a disposizione del lavoratore per il lavoro agile, ma non invece il software di controllo che il datore abbia installato sul dispositivo.
In questo caso, quindi, permarranno i limiti generalmente previsti per il controllo a distanza della prestazione e gli oneri procedurali ad esso connessi.
I controlli soggetti ad autorizzazione sindacale o amministrativa
Fuori dei casi anzidetti, gli strumenti di controllo da cui derivi la possibilità di controllare la prestazione del lavoratore possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.
Per procedere alla loro installazione deve essere stipulato dal datore di lavoro un accordo collettivo con la rappresentanza sindacale unitaria o le rappresentanze sindacali aziendali. Nel caso di imprese con unità produttive ubicate in diverse province della stessa regione o in più regioni, l’accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale.
In mancanza di accordo, l’autorizzazione può essere richiesta alla sede territoriale dell’Ispettorato nazionale del lavoro o, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro.
I controlli esentati da ogni onere procedurale
In ogni caso, tuttavia, la giurisprudenza riconosce la legittimità dei controlli, a prescindere da ogni onere procedurale, e quindi persino se occulti, in particolari casi in cui essi servano a preservare il patrimonio aziendale.
Così sono legittimi, a prescindere da ogni autorizzazione, accordo o informativa, i controlli volti a prevenire gravi illeciti sia dei lavoratori che di terzi, come il furto di beni o informazioni riservate aziendali, l’accesso non autorizzato a aree riservate o il furto d’uso di beni o informazioni per scopi illeciti.
Questa categoria, tuttavia, che ha avuto ampio margine di applicazione nel contesto delle imprese fisiche, avrà certamente meno rilevanza nel contesto dello smart working, dato che il lavoratore in quel frangente opera in un luogo in cui la proprietà dell’impresa è limitata ai dati ed alle informazioni a cui egli ha accesso per tramite degli stessi strumenti che gli sono messi a disposizione per rendere la propria prestazione.
L’adozione di controlli legittimi e l’adempimento di questi oneri, dunque, è certamente una preoccupazione che deve occupare la mente degli amministratori che intendano fare un massiccio uso del lavoro da remoto per la propria impresa.
*Dottore di Ricerca in Diritto del Lavoro – Università degli Studi di Roma Tor Vergata
(nella foto in evidenza il professor Riccardo Fratini)
