Privacy e Smartworking: quando gli strumenti di lavoro diventano strumenti di controllo?

In questo articolo cercheremo di fornire delucidazioni sui limiti da rispettare per introdurre lo smartworking nel rispetto della normativa giuslavoristica e di quella relativa alla protezione dei dati, con particolare focus sugli strumenti di lavoro forniti ai lavoratori e sui possibili controlli a distanza dell’attività lavorativa.

Da una recente indagine commissionata da Vmware a Vanson Bourne (“The Virtual Floorplan: New Rules fot a New Era of Work”) condotta anche su un campione di 200 aziende italiane, è emerso che il 70% del totale di imprese ha già adottato o sta pensando di introdurre strumenti di controllo per monitorare la produttività dei lavoratori in smartworking.  Le misure adottabili sono il monitoraggio dell’attenzione tramite webcam, il monitoraggio delle e-mail, la videosorveglianza e i software keylogger.

Siamo consapevoli che il difficile periodo che, si spera, stiamo per lasciarci alle spalle, ha fatto emergere nuove esigenze per le organizzazioni di tutto il mondo: decentralizzare i luoghi di lavoro adottando soluzioni “smart” in grado di assicurare il mantenimento degli standard produttivi pre-pandemia.

Tuttavia, il ricorso allo smartworking impone un contemperamento tra le esigenze di flessibilità del lavoro con le esigenze di tutela e controllo dei lavoratori che tenga conto dei limiti imposti dalle normative di settore.

Normativa Giuslavoristica

Punto cardine degli aspetti relativi al controllo a distanza dei lavori è l’art. 4 del Jobs Act che così afferma al primo comma:

“gli altri strumenti di lavoro dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente

  • per esigenze organizzative e produttive,
  • per la sicurezza del lavoro,
  • per la tutela del patrimonio aziendale

e possono essere installati previo accordo collettivo stipulato dalla” RSU o RSA oppure, in mancanza, previa autorizzazione dell’Ispettorato del lavoro”.

Il secondo comma è quello che più desta interesse, in quanto prevede due fattispecie derogatorie a quanto prima detto. Esso ammette l’impiego di strumenti da cui possa derivare un controllo a distanza dei lavoratori senza accordo o autorizzazione, solo qualora

  • tali strumenti siano “utilizzati dal lavoratore per rendere la prestazione lavorativa”
  • si tratti di “strumenti di registrazione degli accessi e delle presenze”, quest’ultima forse meno rilevante nello scenario prospettato dallo smartworking.

Quindi, cosa si intende per strumenti “utilizzati dal lavoratore per rendere la prestazione lavorativa”?

Gli strumenti di lavoro che possono beneficiare dell’esonero dalla procedura concertativa-autorizzativa sono quelli “serventi” alla prestazione di lavoro: per dirla con le parole del Ministero del lavoro e delle Politiche sociali, dobbiamo pensare ai classici “attrezzi di lavoro”.

Applicando questa definizione agli strumenti “tecnologici” forniti al lavoratore, si intende per strumento di lavoro indispensabile all’attività lavorativa il pc, il tablet, gli smartphone e gli altri smart device forniti nella loro versione “base” per così dire, cioè dotati dei soli software o applicazioni necessari. Nel momento in cui tali strumenti vengono modificati, ad esempio con l’aggiunta di appositi software di localizzazione, filtraggio o monitoraggio volti a controllare il lavoratore, da strumenti che “servono” al lavoratore per rendere la prestazione, essi diventano strumenti che servono al datore per controllarne la prestazione. Si ricadrà quindi nell’ambito del primo comma dell’art. 4 dello Statuto, per cui potranno essere utilizzati solo se ricorrono particolari esigenze, se vi è accordo sindacale o autorizzazione dell’Ispettorato.

Dove si inserisce la protezione dei dati personali?

L’ultimo comma dell’art. 4 dello Statuto dei lavoratori costituisce il punto di raccordo tra la normativa giuslavoristica e quella in materia di protezione dei dati personali, in quanto afferma che il datore di lavoro può utilizzare le informazioni raccolte mediante gli strumenti autorizzati o necessari alla prestazione per tutti i fini connessi al rapporto di lavoro, ma a condizione che sia data al lavoratore “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli” e nel rispetto della normativa in materia di protezione dei dati.

Normativa di protezione dei dati

Sotto il profilo della tutela dei dati, con riferimento al possibile controllo a distanza dei lavoratori, lo smartworking aumenta il rischio che in datore di lavoro faccia ingresso nella vita personale del lavoratore.

Il datore di lavoro dovrà pertanto essere in grado, in primo luogo, di dimostrare come l’utilizzo delle tecnologie informatiche non rientri in un programma volto esclusivamente al controllo dell’attività del lavoratore, ma dovrà anche dotarsi di sistemi in grado di tutelare la privacy del lavoratore, by design oppure per impostazione predefinita.

Rimanendo sul tema “rischio”, occorre anche ricordare che il Garante italiano ha incluso il “trattamento dei dati svolto mediante sistemi tecnologici dai quali derivi la possibilità di effettuare un controllo a distanza” dei lavoratori tra i trattamenti per cui è necessario redigere una valutazione di impatto (DPIA).

Per il resto, il principale argine ad un utilizzo pervasivo dei controlli sul lavoro risiederà nel rispetto dei principi generali previsti dal GDPR e con questi intendendosi, a titolo esemplificativo e non esaustivo, i principi di

  • limitazione delle finalità: raccolgo i dati per finalità legittime e determinate;
  • minimizzazione: tratto solo i dati limitati, pertinenti ed adeguati alla finalità perseguita;
  • integrità e riservatezza: garantisco la sicurezza dei dati personali mediante misure tecniche e organizzative adeguate.

Per cui, cosa deve fare il datore di lavoro?

  1. Innanzitutto, dovrà verificare che i dispositivi dati in uso ai lavoratori non siano integrati con software o applicazioni che consentono un monitoraggio della prestazione lavorativa: diversamente, dovrà stipulare un accordo con le RSU o RSA o in mancanza chiedere l’autorizzazione all’Ispettorato;
  2. Dovrà valutare che gli strumenti ed i software utilizzati siano “privacy by design” oppure configurabili in modo da essere meno “impattanti” per gli utilizzatori;
  3. Effettuare una valutazione d’impatto sul trattamento dati svolto;
  4. Fornire ai lavoratori un’informativa esaustiva, specifica e trasparente sulle modalità di funzionamento degli strumenti e su come verranno eventualmente svolti i controlli, così da essere legittimato all’utilizzo dei dati raccolti per tutti i fini connessi al rapporto di lavoro.
Facebook
Twitter
LinkedIn
WhatsApp
Dopo aver conseguito la laurea in giurisprudenza presso l’Alma Mater di Bologna, l’avvocato Federica Pucarelli ha conseguito il “Master di Specializzazione di I livello

Ti potrebbe interessare anche...

Vuoi ricevere la newsletter informativa dello studio legale Stefanelli&Stefanelli?