I controlli sul lavoratore e la privacy
di Elena Bassoli
Introduzione
Le modifiche su cui oggi ci concentriamo riguardano la questione dei controlli a distanza del lavoratore inseriti con l’art. 23 del d. lgs. 151/2015, uno dei 4 decreti attuativi del Jobs Act, a modifica dell’art. 4 della L. 300/70 .
Al Titolo II del provvedimento, il Capo I, composto degli articoli 23-26, reca disposizioni in materia di rapporto di lavoro.
L’esigenza di attualizzazione dell’art. 4, più aderente all’attuale configurazione degli assetti in gioco e delle nuove tecnologie, è alla base della delega di cui all’art. 1, comma 7, lett.f), l. 183, che demanda al Governo, sul punto, “la revisione della disciplina dei controlli a distanza sugli impianti e sugli strumenti di lavoro, tenendo conto dell’evoluzione tecnologica e contemperando le esigenze produttive ed organizzative dell’impresa con la tutela della dignità e della riservatezza del lavoratore”. L’inciso “sugli impianti e sugli strumenti di lavoro” è stato aggiunto in seconda lettura, dal momento che il testo approvato dal Senato ampliava l’oggetto della delega alla revisione della disciplina “dei controlli a distanza”.
La precisazione indurrebbe dunque a ritenere che l’oggetto della delega sia limitato alla revisione della disciplina dei controlli sui soli impianti e strumenti di lavoro, aventi ad oggetto essenzialmente la tutela del patrimonio aziendale, di esigenze organizzative e produttive e della sicurezza del lavoro.
Le modifiche ai controlli a distanza e l’art. 4 dello Statuto dei lavoratori
In realtà, a una più attenta lettura, l’art. 23 del d.lgs. 151/2015 sembrerebbe intervenire su un ambito ben più ampio. Le innovazioni principali apportate all’art. 4 dello Statuto, infatti, sono:
1) abolizione del divieto generale di utilizzo “di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori”, sebbene ovviamente le condizioni di legittimità dei controlli siano poi delimitate nei commi successivi;
2) legittimazione espressa dei controlli c.d. difensivi (per la tutela del patrimonio aziendale, la cui disciplina è ricondotta alla procedura generale concertativo-autorizzativa;
3) mutamento della procedura concertativa: tra le semplificazioni previste per la procedura concertativo-autorizzativa, si segnala l’esclusione dell’indicazione delle modalità di realizzazione dei controlli a distanza dal contenuto dell’autorizzazione amministrativa. Si sopprime inoltre la previsione della possibilità d’impugnazione della decisione autorizzativa, da parte delle Rsa, dei sindacati o dello stesso datore. Si dovrebbe tuttavia ritenere applicabile anche a questo atto autorizzativo la disciplina generale delle impugnazioni degli atti amministrativi. La violazione delle regole sulla procedura concertativa radica una responsabilità penale, ai sensi dell’art. 38 dello Statuto, seppur bagatellare e di carattere contravvenzionale;
4) espressa esclusione, dalla procedura concertativo-autorizzativa, dei controlli realizzati mediante gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (i.e. computer, smartphone) e gli strumenti di registrazione degli accessi e delle presenze” (i.e. i badge).
Come precisato dallo stesso Ministro, tuttavia, i controlli realizzati mediante tali strumenti beneficiano dell’esonero dalla procedura autorizzativa solo nella misura in cui siano effettuati utilizzando le normali funzionalità degli apparecchi forniti in dotazione, appunto, per rendere la prestazione e non inserendo specifici sistemi modificativi dei dispositivi, finalizzati al controllo personale del lavoratore.
Non dovrebbe, dunque, avvalersi dell’esonero il datore di lavoro che intenda dotare di particolari software atti al monitoraggio del lavoratore i dispositivi (il pc o il telefono) forniti al dipendente per ragioni di servizio.
Nell’escludere l’applicazione della disciplina “del primo comma” a queste ipotesi, tuttavia, la norma prescinde non solo dalla procedura autorizzativa, ma anche da quei requisiti finalistici (funzionalità del controllo a esigenze produttive, organizzative ecc.) previsti dal primo comma per i controlli a distanza, estendendo così di fatto il raggio d’azione dei monitoraggi datoriali.
5) i dati raccolti mediante i controlli a distanza o “sugli strumenti di lavoro” possono essere utilizzati “a tutti i fini connessi al rapporto di lavoro”, purché sia data al lavoratore “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto” dal Codice in materia di protezione dei dati personali di cui al d.lgs. 30 giugno 2003, n. 196.
La possibilità del controllo dell’adempimento della prestazione, mediante gli strumenti “di lavoro”, diverrebbe in tal modo un “effetto naturale del contratto”, in senso civilistico, in quanto finirebbe con il discendere naturalmente dalla costituzione del rapporto di lavoro. Si tratta di un’innovazione di non poco momento, soprattutto rispetto all’indirizzo giurisprudenziale che, ad esempio, ha escluso l’utilizzabilità dei dati ottenuti con controlli difensivi, per provare l’inadempimento contrattuale del lavoratore (es. Cass., 16622/2012).
Tale modifica costituisce uno sviluppo forse solo indiretto del criterio di delega, almeno formalmente non comprensivo anche della fase – successiva al controllo- dell’utilizzazione delle informazioni così ottenute, nell’esercizio di poteri datoriali (valutativo, disciplinare) diversi dal potere di controllo.
Si tratta, evidentemente, di un’estensione delle possibilità di utilizzo dei dati ottenuti con questi controlli indubbiamente notevole ma non certo illimitata.
Infatti, i principi di legittimità e determinatezza del fine perseguito con il trattamento, nonché della sua proporzionalità, correttezza e non eccedenza, non solo escludono l’ammissibilità di controlli massivi, ma impongono comunque una gradualità nell’ampiezza e tipologia del monitoraggio, che renda assolutamente residuali i controlli più invasivi, legittimandoli solo a fronte della rilevazione di specifiche anomalie e comunque all’esito dell’esperimento di misure preventive meno limitative dei diritti dei lavoratori.
Ad esempio, riprendendo la Raccomandazione del Consiglio d’Europa dell’aprile 2015, ove il datore di lavoro riscontrasse la presenza di virus sui pc aziendali, dovrebbe dotarli di sistemi di filtraggio/blocco dei siti a rischio e non procedere al monitoraggio dei siti visitati. Analogamente il Garante, in più occasioni, ha sancito in capo al datore di lavoro l’obbligo di individuazione preventiva della lista dei siti considerati correlati alla prestazione lavorativa, nonché dell’adozione di filtri per il blocco dell’accesso a determinati siti o del download di alcuni file, e ciò proprio per evitare un controllo datoriale a valle.
Con vari provvedimenti il Garante ha chiarito che non sono consentite, al datore di lavoro, “la lettura e registrazione sistematica delle e-mail e delle pagine web visualizzate dal lavoratore, la lettura e registrazione dei caratteri inseriti tramite tastiere e dispositivi analoghi, nonché l’analisi occulta di computer portatili affidati in uso”.
In questa prospettiva, assai utile può essere l’adozione di una soluzione di privacy-by-design, ovvero la progettazione degli stessi strumenti mediante i quali effettuare i controlli in modo da minimizzare, fino ad escludere, il rischio di controlli invasivi o comunque di incisive limitazioni della riservatezza di chi a quei controlli possa essere sottoposto. In tal senso pare muoversi anche la Bozza di Regolamento Ue sulla protezione dei dati, la cui uscita è attesa per fine anno.
Occorre poi ricordare come, ai sensi dell’art. 11, c.2 del Codice, la violazione della disciplina di realizzazione dei controlli datoriali renderà inutilizzabili i dati così raccolti e l’infrazione di tale norma sui limiti di utilizzo dei dati dei lavoratori potrebbe tradursi in un trattamento illecito di dati personali, con la connessa sanzione di cui all’art. 167 del Codice Privacy.
In ordine al terzo comma e alle condizioni di legittimità dei controlli svolti mediante gli “strumenti di lavoro” e l’informativa da rendersi all’interessato e il rispetto delle norme del Codice, vanno chiariti alcuni aspetti.
Il requisito della previa informazione del lavoratore, incompatibile con ogni forma di controllo occulto, costituisce un’esplicitazione di quanto già desumibile dalla disciplina di protezione dei dati, come chiarito in numerosi provvedimenti del Garante (Linee Guida per l’utilizzo della posta elettronica e di internet nell’ambito dell’attività lavorativa del 2007; provvedimenti 11 settembre e 9 ottobre 2014 su sistemi di localizzazione mediante smartphone).
Il principale baluardo a un utilizzo pervasivo dei controlli sul lavoro sarà, ancora una volta, il Codice per la protezione dei dati personali.
Il richiamo è quindi ai principi generali della disciplina, anche in ossequio a quanto previsto dalla Direttiva 95/46/CE, come il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi in relazione alle finalità perseguite; il principio di correttezza che deve informare il trattamento in ogni suo profilo; la necessaria determinatezza, legittimità ed esplicitazione del fine perseguito dal trattamento, che devono concorrere a un’interpretazione “adeguatrice” del terzo comma del nuovo articolo 4; i principi di pertinenza e non eccedenza dei dati trattati, che impongono una minimizzazione nel ricorso al trattamento dei dati personali secondo le effettive necessità e con le modalità meno invasive possibile; il divieto di profilazione; la necessaria legittimazione soggettiva al trattamento, che impone di limitare ai soli soggetti preposti l’autorizzazione allo svolgimento di attività di monitoraggio sul lavoro; il rinvio, di cui all’art. 113, al divieto, sancito dallo Statuto, di indagini “sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”.
Tali principi permettono al Garante di delineare un congruo bilanciamento tra tutela del lavoratore e legittime esigenze datoriali (anche ai fini dell’applicazione dell’istituto di cui all’art. 24, c.1, lett. g) , del Codice privacy, che costituisce una esimente del consenso), con numerosi provvedimenti prescrittivi spesso adottati in sede di verifica preliminare, segnatamente per lo svolgimento di controlli sull’impiego di strumenti tradizionali (tipo posta elettronica e internet) ovvero per l’implementazione – a fini produttivi – di sistemi di localizzazione geografica dei dipendenti.
Tali principi potrebbero essere valorizzati, in particolare, con l’adozione del Codice deontologico per la gestione del rapporto di lavoro di cui all’art. 111 del Codice, sinora inattuato, al fine di sancire alcune minime garanzie nell’applicazione dei controlli sul lavoro.
L’equilibrio che l’applicazione di tali principi fornirebbe nel rapporto tra esigenze produttive e dignità del lavoratore è, del resto, auspicato dalla Raccomandazione del Consiglio d’Europa, di aprile scorso, sulla protezione dei dati in ambito lavorativo, che in particolare auspica :
– la minimizzazione dei controlli difensivi o comunque rivolti agli strumenti elettronici;
– l’assoluta residualità dei controlli, con appositi sistemi informativi, sull’attività e il comportamento dei lavoratori in quanto tale;
– il tendenziale divieto di accesso alle comunicazioni elettroniche del dipendente;
– la residualità del ricorso ai sistemi biometrici e il divieto di utilizzo di dati genetici per la valutazione dell’attitudine professionale del dipendente, salvi ovviamente i casi previsti dalla legge per particolari circostanze.
Conclusioni
Nella relazione ai lavori preparatori dell’A.G. 176, poi sfociato nel decreto attuativo n. 151/2015, si legge che il fine delle modifiche apportate all’art. 4 dello Statuto dei lavoratori vuole mirare a contemperare “le ragioni connesse alla tutela del lavoro con quelle relative alla semplicità della gestione del rapporto di lavoro così da incoraggiare la propensione ad assumere, ferma restando la qualità del lavoro e dell’ambiente in cui si svolge”.
Se il fine è realmente questo, a mio avviso, significa che il legislatore, nonostante i numerosi tavoli di lavoro con le rappresentanze imprenditoriali, ha clamorosamente frainteso le necessità del settore.
Meglio sarebbe stato l’abbattimento della pressione fiscale che non il controllo a distanza dei lavoratori. Difficilmente un’impresa si risolverà ad assumere più persone solo perché le può – con i dovuti temperamenti e con il rischio di incorrere nella pena di cui all’art. 167 cod. privacy – controllare.