I. Il processo di digitalizzazione e le nuove forme di controllo.
Il rapporto fra diritto del lavoro e tutela della privacy costituisce uno dei temi più caldi nel panorama giuridico e ciò è dovuto non solo dall’entrata in vigore del Reg. 2016/679/UE (c.d. GDPR) e della normativa in materia di controlli a distanza, ma trova altresì origine nel nuovo contesto digitale.
Le innovazioni tecnologiche della quarta rivoluzione industriale (ovvero il processo di cosiddetta “digitalizzazione”) rapportate al mondo del lavoro comportano, invero, l’insorgere di una serie di questioni che richiedono di essere affrontate in una prospettiva articolata e nel bilanciamento dei contrapposti interessi in gioco.
La digitalizzazione – quale processo già avviato da tempo ma che ha conosciuto una notevole accelerazione in ragione dell’emergenza pandemica del 2020 – ha introdotto nel contesto lavorativo una serie di meccanismi di vigilanza fisicamente meno invadenti, ma complessivamente più invasivi.
Badge, meccanismi di riconoscimento biometrico e programmi di sorveglianza tramite smartphone o pc sono solo alcuni degli strumenti recentemente introdotti per monitorare l’attività del lavoratore.
In questa nuova concezione del lavoro, dunque, il datore di lavoro è chiamato ad adeguarsi alla vigente disciplina in materia di trattamento dei dati personali raccolti dai propri lavoratori, adottando tali strumenti nel rispetto della privacy del personale assunto: le nuove tecnologie consentono infatti di immagazzinare una quantità abnorme di dati personali, col conseguente rischio per il datore di lavoro di trascendere in un controllo smisurato e difficilmente giustificabile, esponendosi così al rischio di sanzioni, in alcuni casi molto severe.
II. I controlli a distanza fra disciplina della privacy e Statuto dei lavoratori.
All’interno dello scenario delineato, diviene necessario operare un rinnovato bilanciamento tra i diritti del lavoratore e le esigenze economiche dell’impresa, valutando concretamente la portata del controllo esercitabile da parte del datore di lavoro: il commento non può quindi prescindere dall’analizzare il rapporto tra controlli a distanza, diritto alla privacy del lavoratore e libera circolazione dei dati personali.
Nonostante il termine “riservatezza” venga richiamato in primis all’interno della Legge 1970/300 (cosiddetto “Statuto dei Lavoratori”), il testo normativo di riferimento è ancora una volta il Regolamento UE n. 2016/679 (comunemente riconosciuto come “GDPR”) che per la prima volta introduce una specifica disciplina del trattamento dei dati personali dei lavoratori.
Precisamente, l’art. 88 del GDPR stabilisce che
“gli Stati membri possono prevedere, con legge o tramite accordi collettivi, norme più specifiche per assicurare la tutela dei diritti e delle libertà rispetto al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro”.
Per quanto riguarda, nello specifico, la disciplina del controllo a distanza dei lavoratori, anche a seguito della modifica intervenuta nel 2018, l’art. 114 del Codice della privacy rinvia espressamente a quanto sancito dall’art. 4 dello Statuto dei lavoratori, la cui applicabilità è stata, dunque, preservata.
Prima della riforma del Jobs Act del 2015, l’art. 4 dello Statuto faceva espresso divieto di utilizzare apparecchiature elettroniche per effettuare un controllo a distanza dei lavoratori. Invero, il primo comma della predetta norma sanciva il divieto di utilizzare gli impianti audiovisivi e altre apparecchiature per finalità di controllo a distanza, riferendosi a tutti quelli strumenti diretti ad un controllo dei dipendenti; il secondo comma, invece, prevedeva la possibilità di installare tali apparecchiature, ma solo qualora vi fossero esigenze organizzative, produttive o di sicurezza del lavoro e sempre previo accordo con le rappresentanze sindacali aziendali o sulla base di un provvedimento della direzione provinciale del lavoro.
Nella sua versione originaria, dunque, l’art. 4 dello Statuto, in virtù delle conoscenze tecniche dell’epoca, riguardava principalmente gli impianti audiovisivi; tuttavia, il riferimento alle “altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori” è stato lungimirante, in quanto ha assicurato per lungo tempo la resistenza della norma al progresso tecnologico e alle nuove forme di controllo a distanza.
Se, dunque, la formulazione adottata dal legislatore del 1970 deve essere guardata, senza dubbio, in modo positivo, è evidente come i mutamenti del contesto sociale, economico e tecnologico avevano reso la materia obsolescente, richiedendo un aggiornamento che, per l’appunto, è sfociato nel Jobs Act.
L’esigenza di intervenire sulla disciplina dei controlli a distanza, dunque, era stata avvertita in ragione dei profondi mutamenti che, ben prima dell’entrata in vigore del GDPR, avevano inciso sulle modalità di acquisizione dei dati personali dei lavoratori; il sistema di tutela aveva mostrato la sua inadeguatezza, non solo rispetto al progresso tecnologico, ma, se vogliamo, anche in termini di praticità e logicità, in quanto si è assistito negli anni ad un aumento esponenziale delle violazioni, dovuto anche alla difficoltà di delineare con certezza i confini di applicabilità della regolamentazione.
Pertanto, l’art. 4 dello Statuto dei lavoratori è stato modificato dal Jobs Act, il quale ha ammesso i cc.dd. controlli preterintenzionali, mirando a contemperare due interessi tra loro confliggenti: il diritto del datore di lavoro a svolgere un controllo connesso al suo potere organizzativo-disciplinare e il diritto del lavoratore a salvaguardare la propria privacy e dignità nei luoghi di lavoro.
Come suesposto, l’evoluzione tecnologica ha avuto un forte impatto sul mondo del lavoro, in quanto le aziende sono dotate in misura sempre maggiore di dispositivi che aumentano l’efficienza organizzativa e produttiva, ma che, al contempo, registrano grandi quantità di informazioni durante il loro utilizzo.
Il novero delle esigenze giustificative con il Jobs Act è stato, perciò, ampliato notevolmente, ricomprendendo, oltre alle esigenze organizzative, produttive e di sicurezza del lavoro, altresì la tutela del patrimonio aziendale, nel caso di furti o intrusioni da parte di estranei, prevedendo, quindi, una difesa passiva dal compimento di illeciti extracontrattuali. Ciò sembra aver legittimato l’esperibilità dei cc.dd controlli difensivi, ma sempre a condizione che prima dell’installazione di tali strumenti venga raggiunto un accordo con le rappresentanze sindacali o con le associazioni sindacali nazionali comparativamente più rappresentative nel caso di imprese aventi unità produttive situate in più province o regioni.
Le vere novità, del resto, sono sancite al comma 2 dell’art. 4 dello Statuto, il quale si riferisce agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze; rispetto al loro impiego, è possibile notare come il legislatore abbia effettuato una valutazione ex ante, per cui in suddette ipotesi non è necessario ricorrere alla procedura autorizzativa: in altri termini, in questi casi le autorizzazioni non risultano necessarie, sebbene dovrà verificarsi in concreto questo rapporto di “funzionalità”.
Quindi, sebbene attraverso la riforma del 2015 si sia cercato di razionalizzare la disciplina in un’ottica di equilibrio e nonostante nell’attuale formulazione dell’art. 4 dello Statuto sia scomparso il divieto generale rispetto ai controlli a distanza, resta fermo un articolato sistema di limiti e di requisiti essenziali, rispetto ai quali, grazie anche alla novellazione del Codice della privacy, vengono valorizzati gli obblighi informativi.
III. L’informazione trasparente al lavoratore come condizione per l’utilizzabilità dei dati raccolti.
Se, infatti, il potere di controllo da parte del datore di lavoro è considerato una sorta di corollario del rapporto lavorativo, è stato necessario individuare i casi in cui l’esercizio di tale prerogativa possa comportare una lesione della dignità del lavoratore.
Tale istanza, come visto, è stata attuata tramite lo Statuto dei lavoratori, la prima legge a disciplinare tale potere al fine di limitarlo, che ha sancito il seguente principio: il controllo sui lavoratori è lecito e non lede la loro dignità quando è effettuato nel rispetto delle regole di trasparenza.
Al fine di chiarire il concetto di “trasparenza”, di indubbia valenza è stato l’intervento del Garante privacy con le Linee guida del Garante per posta elettronica e internet del 1° marzo 2007.
Chiamato ad esprimersi con riferimento ai controlli su strumenti informatici o elettronici utilizzati dai lavoratori, il Garante ha precisato che l’informativa deve indicare “quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengono effettuati controlli”: la conseguenza di tale previsione consiste nel fatto che il datore di lavoro non potrà trattare i dati acquisiti per scopi incompatibili con le finalità per cui sono stati raccolti.
In particolare, per ciò che concerne le ipotesi di cui all’art. 4 dello Statuto, ossia l’utilizzazione di impianti audiovisivi e di altri strumenti, è evidente che il problema deriva dal fatto che il lavoratore può non essere a conoscenza del momento esatto in cui la sua attività lavorativa viene controllata e, dunque, che i dati raccolti possono essere trattati anche in un momento successivo.
Ne consegue che, nel caso di controllo a distanza, la trasparenza sta ad indicare che il lavoratore deve essere a conoscenza della possibilità di essere controllato.
Sotto tale profilo, quindi, la normativa privacy ha contribuito notevolmente ad ampliare la tutela del lavoratore, fissando il principio per cui la trasparenza va intesa quale consapevolezza informata di poter essere controllato, prevedendo altresì dei limiti a tale potere di controllo che si sostanziano in veri e propri diritti soggettivi.
Invero, il terzo comma dell’art. 4 dello Statuto stabilisce che
“le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”.
Con tale previsione, quindi, il legislatore ha voluto sancire esplicitamente il principio per cui le informazioni raccolte attraverso i controlli a distanza possono essere utilizzate, ma soltanto a condizione che vengano rispettati i requisiti di legittimità richiesti.
In quest’ottica, l’informativa privacy resa dal datore di lavoro dovrà essere adeguata, ossia – in termini di contenuto minimo – il lavoratore deve essere reso completamente edotto in modo esaustivo delle modalità, dei termini e dei limiti entro cui verrà effettuato il controllo. Il disposto dell’art. 13 del GDPR, invero, oltre a stabilire l’obbligo di fornire al lavoratore un’informativa completa, chiara, facilmente consultabile e comprensibile, precisa che l’informativa deve indicare al destinatario l’oggetto di trattamento, alle modalità del trattamento stesso e il periodo di conservazione dei dati raccolti (data retention).
In secondo luogo, è fondamentale che vengano rispettati i principi della disciplina della privacy, ossia liceità, correttezza, pertinenza, non eccedenza, necessità e determinatezza della finalità perseguita.
In definitiva, ai sensi del capoverso dell’art. 4 dello Statuto, i dati raccolti possono essere utilizzati per tutti i fini connessi al rapporto di lavoro, a condizione del preventivo rilascio dell’informativa in merito alle “modalità d’uso degli strumenti e di effettuazione dei controlli”, con un espresso rinvio al rispetto delle prescrizioni sulla privacy.
IV. Conclusioni.
Alla luce dell’attuale quadro giuridico derivante dalla commistione della normativa europea con quella nazionale, è evidente come la disciplina della privacy e quella lavoristica siano legate da un comune fil rouge, che riguarda la necessità di procedere ad un costante bilanciamento fra le diverse esigenze.
Per quanto concerne il diritto alla privacy, come anticipato, il GDPR dimostra chiaramente come la circolazione dei dati personali costituisca l’obiettivo primario della normativa e come da ciò derivino importanti implicazioni, sia in termini di regolamentazione, sia di tutela.
I dati personali hanno, invero, un valore economico rilevante e dal loro trattamento le imprese possono assicurarsi ritorni economici importanti e, per tale ragione, la libera circolazione dei dati personali è divenuta essenziale per lo sviluppo del mercato; ciò è dimostrato dalla circostanza per cui le innovazioni tecnologiche della quarta rivoluzione industriale si basano sul trattamento dei dati personali, i quali rappresentano il motore della data economy e una risorsa fondamentale per le imprese.
Il bilanciamento, allora, riguarda i diversi interessi che contraddistinguono il datore di lavoro e il dipendente: sebbene in parte vi sia stata una sorta di liberalizzazione dei controlli a distanza, il richiamo alla disciplina della data protection mostra con evidenza non solo il forte legame che unisce le due materie, ma altresì come la tutela di lavoratori sia correlata alla concreta applicazione della disciplina della privacy.
La necessità per l’imprenditore di adeguare il proprio modello organizzativo interno alla vigente disciplina in materia di privacy e trattamento dei dati personali e di utilizzo di dispositivi a distanza per il controllo del personale dipendente deve essere valutata anche (e soprattutto) alla luce della possibilità di essere soggetti a sanzioni amministrative che, nel caso di un’impresa, arrivano fino al 2% del fatturato totale annuo mondiale dell’esercizio precedente.