Smart working e protezione dei dati: le cautele previste dallo statuto dei lavoratori e i principi GDPR

di Eleonora Zabeo


Nell’attuale emergenza sanitaria le imprese, per consentire la prosecuzione dell’attività ed al tempo stesso contrastare la diffusione del Covid-19, hanno necessariamente dovuto ricorrere allo smart working, già affermatosi con la legge n. 81 del 2017 che ha introdotto il “lavoro agile”.

Il Governo, tramite i diversi provvedimenti d’urgenza che si sono susseguiti, ha facilitato l’avvio di tale modalità di lavoro: le aziende possono accedervi, per tutta la durata dello stato di emergenza, senza stipulare l’accordo individuale con i dipendenti, richiesto dalla legge n. 81 del 2017, mentre l’obbligo di informativa sulla sicurezza del lavoro può essere assolto in via telematica, anche tramite ricorso alla documentazione a disposizione sul sito dell’INAIL.

Il ricorso massivo allo smart working, soprattutto da parte di quelle realtà che mai prima d’ora ne avevano fatto applicazione, rischia però di mettere in pericolo la protezione dei dati aziendali (personali e non): rischio dovuto, per esempio, ad un uso scorretto da parte del dipendente dei dispositivi aziendali o ad un frettoloso ricorso all’utilizzo dei dispositivi personali del lavoratore, privi delle misure di sicurezza normalmente adottate all’interno dell’azienda. D’altro lato alcuni datori di lavoro, nell’intento di proteggere dati e dispositivi aziendali, potrebbero decidere di dotarsi di strumenti per monitorare a distanza l’attività dei propri dipendenti, rischiando di accedere indebitamente alla loro sfera privata.

Al fine di arginare i rischi appena descritti assume rilievo, oltre, naturalmente, all’attuazione delle necessarie misure tecniche di sicurezza[1], l’osservanza di alcune disposizioni contenute nello Statuto dei Lavoratori e, in generale, di quanto prescritto dalla normativa in materia di protezione dei dati personali. Il rispetto di tali norme è richiesto dalla stessa legge n. 81 del 2017, i cui principi, è bene sottolinearlo, rimangono applicabili pur nel vigore della disciplina emergenziale.[2]

Il rinvio della legge n. 81 del 2017 all’art. 4 dello Statuto dei Lavoratori

L’art. 21 della legge n. 81 del 2017, infatti, prescrive che, all’interno dell’accordo tra datore e dipendente (accordo, come si è detto, non obbligatorio durante lo stato di emergenza), sia disciplinato l’esercizio del potere di controllo del datore di lavoro sulla prestazione resa dal lavoratore “nel rispetto di quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300 e successive modificazioni”; l’accordo, inoltre, deve individuare le condotte del dipendente che danno luogo all’applicazione di sanzioni disciplinari.

Pertanto, il datore di lavoro che applichi lo smart working è tenuto ad osservare quanto prescritto dall’art. 4 dello Statuto dei Lavoratori (modificato nel 2015 dal c.d. Jobs Act), che regola l’utilizzo degli strumenti dai quali possa derivare un controllo a distanza dell’attività lavorativa.

La norma, nella sua nuova formulazione, prevede che “gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa o che consentano la registrazione degli accessi e delle presenze” non siano soggetti all’obbligo della sussistenza di finalità predeterminate (esigenze organizzative e produttive, di sicurezza sul lavoro o di tutela del patrimonio aziendale) e del preventivo accordo sindacale (o, in sostituzione, dell’autorizzazione dell’Ispettorato del lavoro), requisiti richiesti, invece, per gli altri strumenti, quali impianti audiovisivi od altre apparecchiature.[3]

In ogni caso l’azienda, per poter utilizzare per tutti i fini connessi al rapporto di lavoro (e, quindi, anche per fini disciplinari) le informazioni raccolte tramite gli strumenti a disposizione del dipendente, è tenuta:

  • ad informarlo sulle modalità di utilizzo degli strumenti e sulle modalità di effettuazione dei controlli attuabili da parte del datore di lavoro;
  • a rispettare la normativa in materia di protezione dei dati personali.

Il regolamento per l’utilizzo degli strumenti aziendali

Le informazioni di cui al primo punto vengono di norma fornite ai dipendenti tramite una policy sull’utilizzo degli strumenti aziendali, ossia un documento che descriva, per ogni strumento a disposizione del lavoratore, da un lato le modalità da adottare per un corretto utilizzo e, dall’altro lato, gli eventuali controlli che il datore potrà effettuare sulla sua attività lavorativa.

In tal modo il lavoratore sarà consapevole di quali comportamenti sono consentiti e quali vietati in relazione agli strumenti di lavoro (quali pc, telefono cellulare, posta elettronica, connessione alla rete internet, etc.), nonché dell’esistenza di eventuali restrizioni (ad esempio filtri che limitino l’accesso a determinati siti web) e verranno così limitate le condotte che mettano a rischio i dispositivi ed i dati ivi contenuti.

Poiché i dipendenti, nell’utilizzare gli strumenti di lavoro, trattano di norma dati personali dovranno essere fornite loro adeguate istruzioni ai sensi dell’art. 29 del GDPR, per evitare che azioni scorrette possano dare luogo ad un data breach a danno dell’azienda.

Inoltre il datore di lavoro, nella misura in cui avrà informato il dipendente su come verranno effettuati controlli sugli strumenti in uso (seppur nei limiti di cui si dirà tra poco), potrà disporre nei suoi confronti un provvedimento disciplinare, nell’eventualità in cui da tali controlli siano emersi comportamenti scorretti (che possono consistere o in violazioni dirette del regolamento o in diversi inadempimenti del contratto di lavoro o del contratto collettivo di riferimento).

L’obbligo del rispetto della normativa sulla protezione dei dati personali

Come anticipato l’art. 4 dello Statuto dei Lavoratori impone al datore di lavoro, oltre all’obbligo di informativa, il rispetto di quanto disposto dal D. Lgs. 196/2003 (ora aggiornato dal D. Lgs. 101/2018).

I controlli da parte del datore di lavoro effettuati devono, quindi, essere improntati ai principi cardine della normativa sulla protezione dei dati personali, in particolare ai principi di correttezza, pertinenza e non eccedenza. Dovranno pertanto essere consentiti, quanto più possibile, controlli preliminari su dati aggregati e, solo in caso di segnalazioni di anomalie, si potrà procedere a controlli più ristretti ed eventualmente individuali. In ogni caso non sono consentiti controlli prolungati, costanti ed indiscriminati. Per quanto riguarda i dati oggetto di trattamento essi dovranno essere limitati a quelli strettamente funzionali al perseguimento delle finalità dichiarate nell’informativa ed il periodo di conservazione sarà limitato a quello strettamente necessario.

Qualche ulteriore spunto dal WP29

Il D. Lgs. 196/2003, richiamato dallo Statuto dei Lavoratori, è stato adeguato dal D. Lgs. 101/2018 alle disposizioni del GDPR, che rappresenta ora il quadro normativo di riferimento.

Ebbene, in ambito europeo, l’Opinion 2/2017 dell’Article 29 Working Party (ora sostituito dall’European Data Protection Board), relativa al trattamento dei dati personali nell’ambito del rapporto di lavoro [4], offre degli interessanti spunti di riflessione in merito ai limiti imposti al datore di lavoro dalle disposizioni in materia di protezione dei dati.

Nel documento vengono analizzati differenti scenari in cui le più recenti tecnologie trovano applicazione in ambito lavorativo, tra cui, per l’appunto, quello del trattamento dei dati personali effettuato tramite strumenti utilizzati al di fuori della sede di lavoro.

Le considerazioni del WP29 in merito al monitoraggio dell’attività lavorativa svolta in remoto sono legate al principio di proporzionalità: il datore di lavoro non può installare, sui dispositivi in uso al dipendente, software che consentano, per esempio, di rilevare i movimenti della tastiera o i movimenti del mouse, in quanto il trattamento dei dati personali che ne deriverebbe sarebbe sproporzionato rispetto allo scopo previsto e difficilmente giustificabile sulla base del legittimo interesse previsto dal GDPR.

Nel caso in cui si consenta l’utilizzo di dispositivi personali del dipendente (si parla in proposito di politiche BYOD, acronimo di Bring Your Own Device) è fondamentale adottare misure che consentano una separazione tra l’utilizzo lavorativo e quello privato, per evitare che il controllo sull’attività lavorativa arrivi a coinvolgere anche dati personali (e potenzialmente sensibili) del dipendente o di suoi familiari che abbiano accesso al dispositivo stesso. Nel caso di utilizzo di dispositivi aziendali, ove non risulti possibile impedire il monitoraggio della sfera privata del dipendente, è preferibile imporre il totale divieto di utilizzo del dispositivo per necessità diverse da quelle strettamente lavorative.

Un altro strumento oggetto di analisi dell’Opinion 2/2017 sono le tecnologie di Mobile Device Management, strumenti che consentono agli amministratori IT di gestire i dispositivi mobili collegati alla rete aziendale.  Ebbene il WP 29 prescrive un’attenta analisi dei rischi privacy prima dell’adozione di tali tecnologie, al fine di garantire, innanzitutto, che la capacità di localizzazione insita in tali sistemi abbia uno scopo specifico (per esempio quello di proteggere il dispositivo in caso di furto o smarrimento) e non rientri, invece, in un più ampio programma di monitoraggio dei dipendenti; in ogni caso, il sistema dovrà essere strutturato in modo tale da non consentire in ogni momento al datore di lavoro l’accesso al dato di localizzazione (ma, per esempio, solo nel momento in cui si verifichi il furto o lo smarrimento).

In quest’ottica assume particolare rilevanza un altro principio cardine del Regolamento Europeo, ossia il principio di privacy by design, che impone di valutare i rischi relativi al trattamento dei dati personali sin dall’ideazione e progettazione di un determinato strumento tecnologico.

Inoltre, qualora lo strumento consista in una tecnologia innovativa, dovrà sempre essere disposta una valutazione d’impatto sulla protezione dei dati, conformemente a quanto richiesto dall’art. 35 del GDPR.

A tale riguardo si ricorda che il Garante per la Protezione dei Dati personali ha incluso tra i trattamenti che devono essere sottoposti al requisito della DPIA i “trattamenti effettuati in ambito di lavoro mediante sistemi tecnologici dai quali derivi la possibilità di effettuare un controllo a distanza sull’attività dei dipendenti”.[5]

 In conclusione

Il ricorso alla modalità di lavoro agile comporta inevitabilmente un aumento del rischio di accesso non autorizzato a dati aziendali, personali e non, ancor di più nella fase attuale in cui molte aziende si sono trovate a gestire per la prima volta l’attività lavorativa da remoto dei propri dipendenti.

Tale rischio può essere correttamente gestito adottando una policy aziendale che descriva i comportamenti corretti nell’utilizzo dei dispositivi utilizzati per svolgere l’attività lavorativa; qualora un regolamento di questo tipo sia già presente sarà opportuno verificarne il contenuto ed eventualmente aggiornarlo sulla base delle modalità prescelte per svolgere l’attività da remoto (per esempio qualora si sia deciso di consentire l’utilizzo dei dispositivi personali dei lavoratori).

L’adozione di tali regole consentirà anche al datore di lavoro di irrogare provvedimenti disciplinari nei confronti dei dipendenti, che, in mancanza di tale informativa, sarebbero invece illegittimi.

È opportuno tenere in considerazione tali aspetti anche oggi, nonostante la semplificazione introdotta dal Governo elimini l’obbligatorietà dell’accordo tra datore di lavoro e dipendente, dove è di regola disciplinato l’esercizio del potere di controllo del datore di lavoro.[6]

Risulta inoltre fondamentale l’osservanza dei principi fondamentali in materia di protezione dei dati personali, per evitare un trattamento illecito dei dati dei dipendenti contenuti nei dispositivi, aziendali o personali. Tali principi andranno osservati sia nell’attuazione dei controlli sull’attività del lavoratore, sia nella fase di progettazione ed implementazione degli strumenti di lavoro: dovrà quindi applicarsi il principio di privacy by design ed andrà sempre effettuata un’analisi dei rischi connessi al trattamento dei dati personali, anche tramite una valutazione d’impatto qualora ne ricorrano i requisiti previsti dal GDPR.


[1] Le misure di cybersecurity da applicare agli strumenti di lavoro non sono oggetto di analisi in questa sede ma, a tale riguardo, si raccomanda la lettura delle raccomandazioni sul lavoro da remoto emanate dall’ENISA (European Union Agency for Cybersecurity)  il 24 marzo 2020 (https://www.enisa.europa.eu/tips-for-cybersecurity-when-working-from-home).

[2] L’art. 4 comma 1 lett. a) del D.P.C.M. 1 marzo 2020 (poi confermato dai successivi decreti) prescrive che la modalità di lavoro agile disciplinata dagli articoli da 18 a 23 della legge 22 maggio 2017, n. 81 venga applicata, seppur con le semplificazioni sopra indicate, “nel rispetto dei principi dettati dalle menzionate disposizioni”.

[3] Sia l’Ispettorato Nazionale del Lavoro che il Garante per la Protezione dei Dati personali si sono pronunciati su cosa si debba intendere per strumento di lavoro, escludendo, per esempio, che i sistemi GPS installati nei veicoli, tranne casi particolari, rientrino in tale definizione, non essendo direttamente preordinati all’attività lavorativa (si veda “”Il nuovo art. 4 St. lav.: tra strumenti di lavoro e privacy” di Avv. Wanda Falco); computer, caselle di posta elettronica e connessione alla rete internet sono, invece, a tutti gli effetti strumenti di lavoro ma non lo sono invece apparati o strumenti software che vengano installati su tali strumenti con la sola finalità di monitoraggio costante ed indiscriminato degli accessi a internet o alla posta elettronica (Provvedimento del Garante per la Protezione dei Dati Personali n. 303 del 13 luglio 2016).

[4] Opinion 2/2017 on data processing at work – wp249.

[5] “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679” – 11 ottobre 2018.

[6] Nell’approfondimento del 02/03/2020 della Fondazione Studi Consulenti del Lavoro è stato evidenziato come l’assenza di un accordo scritto che disciplini le modalità di attuazione del lavoro agile “pur inequivocabilmente consentita dalla legge per il periodo transitorio di emergenza riconosciuto, può essere occasione di incertezze applicative concrete, prima ancora che interpretative teoriche”; la Fondazione sottolinea quindi la centralità dell’accordo “che sarà sempre possibile e più opportuno sottoscrivere” e suggerisce alle aziende che non possano fornire i mezzi tecnologici ai lavoratori di specificare nell’accordo o quantomeno nell’autocertificazione da trasmettere al Ministero (ora sostituita da una comunicazione massiva tramite apposito portale) “gli strumenti e le modalità di lavoro utilizzabili dal lavoratore nel rispetto delle norme sulla privacy, sulla sicurezza sul lavoro e sulla protezione del segreto aziendale”.


Autore


Per altri articoli e informazioni sul tema covid-19, accedi qui gratuitamente al Coronavirus Special Coverage di CyberLaws.

en_US
it_IT en_US