I sistemi di (potenziale) controllo dell’attività dei dipendenti e la conformità ai principi in tema di privacy e alla disciplina lavoristica

di Eleonora Zabeo

La normativa in tema di controlli a distanza dei lavoratori è stata di recente modificata dal D. Lgs. 151/2015 (c.d. Jobs Act), in un’ottica di ricerca del giusto bilanciamento tra tutela della riservatezza dei lavoratori ed esigenze imprenditoriali del datore di lavoro e soprattutto nel rispetto dei principi fondamentali in tema di privacy.

L’utilizzo di impianti da cui possa derivare il controllo a distanza dell’attività dei dipendenti è concesso esclusivamente per determinate esigenze (produttive, organizzative, di sicurezza sul lavoro e di tutela del patrimonio aziendale), previo accordo collettivo stipulato dalle rappresentanze sindacali.

Tale limitazione, specifica il secondo comma dell’articolo 4, non operano per gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e per gli strumenti di registrazione degli accessi e delle presenze.

In ogni caso le informazioni raccolte sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia stata data un’adeguata informativa sulle modalità d’uso degli strumenti e dei controlli al lavoratore e che sia rispettato quanto prescritto dal Codice Privacy.

Ebbene, ciò premesso, il Garante per la protezione dei dati personali ha più volte individuato cosa si debba intendere per strumenti di lavoro e quali siano i limiti che il datore di lavoro deve rispettare per evitare di porre in essere un trattamento illecito dei dati personali.

Indubbiamente la mail aziendale e l’utilizzo di internet sono degli strumenti utilizzati dal dipendente per svolgere la propria prestazione lavorativa ma fino a che punto l’utilizzo dei dati derivanti da tali strumenti da parte del datore di lavoro è lecito?

Per quanto riguarda la navigazione web nelle proprie linee guida per posta elettronica e internet il Garante Privacy ha affermato che il datore di lavoro, per ridurre il rischio di un uso improprio di Internet da parte del lavoratore, può individuare delle categorie di siti non correlati con la prestazione lavorativa, può configurare un sistema di filtri per prevenire il download di determinati file o software o trattare i dati in forma anonima.

Un software che permetta il collegamento tra i dati relativi alla connessione e la persona utilizzatrice, consentendo di risalire anche indirettamente all’attività svolta, non può invece essere considerato uno “strumento utilizzato dal lavoratore per rendere la prestazione lavorativa” e si pone in contrasto con il principio di liceità e con la disciplina lavoristica come risultante dalle modifiche introdotte  con l’art. 23 del D. Lgs. 151/2015 (Provvedimento del Garante del 13 luglio 2016).

Anche l’utilizzo della posta elettronica, il cui contenuto (così come i dati esteriori e gli allegati) è una forma di corrispondenza tutelata anche a livello costituzionale, pone ovviamente simili problematiche in termini di liceità del trattamento dei dati.

Si pone così in contrasto con i principi in tema di privacy (in particolare con il principio di necessità) e con la citata disciplina contenuta nello Statuto dei Lavoratori la raccolta sistematica delle comunicazioni elettroniche e la loro conservazione per un tempo eccessivamente lungo in considerazioni delle finalità del trattamento.

In un recente provvedimento emanato a seguito di un reclamo di un ex dipendente di un’azienda (Provvedimento del 22 dicembre 2016) il Garante ha ritenuto non conforme ai principi di necessità, pertinenza e non eccedenza la conservazione per i dieci anni successivi alla cessazione del rapporto di lavoro dei dati esterni e dei contenuti delle comunicazioni elettroniche così come il mantenimento della casella di posta elettronica fino ai sei mesi successivi.

Alcuni misure adottabili dal datore di lavoro indicate nelle già citate linee guida consistono nell’eventuale attribuzione al lavoratore di un indirizzo destinato ad uso privato o nella messa a disposizione di sistemi che consentano l’invio automatico di messaggi di risposta contenenti le coordinate di un altro soggetto in caso di assenza del lavoratore.

Abbiamo fin qui analizzato due tra i più comuni strumenti di lavoro.

È ora opportuno rilevare che  l’avvento delle più recenti tecnologie può comportare evidenti rischi per la tutela della sfera privata dei lavoratori e questo impone una particolare attenzione da parte dei datori di lavoro, che devono adeguarsi ai principi sulla privacy così come integrati e rinforzati dal nuovo Regolamento Europeo.

Il Gruppo di lavoro ex art. 29, a livello europeo, ha evidenziato, nell’Opinion 2/2017, l’importanza di implementare il principio della c.d. privacy by design nella scelta della soluzione più “privacy friendship” quando sono coinvolte tecnologie di geolocalizzazione dei lavoratori e la necessità di verificare se l’uso di tecnologia volte al monitoraggio sistematico di dati dei dipendenti imponga una valutazione preventiva d’impatto ai sensi dell’art. 35 del GDPR.

In tale documento viene efficacemente descritta una serie di ipotesi di trattamento dei dati che possono verificarsi con riferimento alle nuove tecnologie.  In particolare sono indicate le tecnologie che permettono al dipendente di lavorare da remoto da casa o l’utilizzo dei c.d. BYOD (“Bring your own devices”), ossia dei propri dispositivi personali a scopi lavorativi: in questi casi è necessario adottare delle misure che permettano di rendere inaccessibili al datore di lavoro quelle parti del dispositivo volte al solo uso personale.

Un altro esempio riguarda i sistemi di videosorveglianza, che pongono maggiori problemi di legittimità del monitoraggio dell’attività dei dipendenti in virtù delle più recenti tecnologie quali l’uso di fotocamere ad altissima definizione e, soprattutto, dei video analytics, che permettono il riconoscimento facciale; evidentemente l’utilizzo di tali sistemi è del tutto sproporzionato rispetto alla tutela dei diritti e delle libertà dei lavoratori ed è quindi da considerarsi illegittimo.


Autore