Smart working, wearable, controlli a distanza aprono scenari inediti nel rapporto fra impresa e lavoratore. Servono nuove misure per rafforzare i principi di necessità, correttezza, pertinenza e non eccedenza, racchiusi nei principi di privacy by design e di privacy by default. Ecco lo scenario
Il rapporto tra nuove tecnologie e sfera lavorativa rappresenta una sfida continua per l’assetto privacy italiano all’indomani del Gdpr. E impone a tutti noi, compreso il legislatore, uno sforzo al cambiamento. Inopportuno limitare l’uso delle nuove tecnologie: è necessario invece valorizzare i concetti della trasparenza e della conoscenza nella gestione di nuove categorie di dati “protetti” che l’innovazione introduce.
Il lavoratore condivide, più o meno volontariamente, una quantità massiccia di informazioni che lo riguardano con l’utilizzo di dispositivi messi a disposizione dall’azienda, durante la navigazione su internet o lasciate sui social networks o connesse allo scambio di email. Nasce così l’esigenza di colmare la lacuna legislativa volta a tutelare i c.d. dati a carattere “strettamente personale” che appartengono alla sua sfera più intima. In un contesto così descritto, si impone, e non soltanto rispetto al lavoro svolto a distanza (c.d. smart work), il tema dei controlli del lavoratore e della tutela della riservatezza. L’impiego enorme della tecnologia in ambito lavorativo implica necessariamente il bilanciamento tra interesse aziendale e tutela della riservatezza del dipendente.
Alla luce di questa breve premessa, viene in rilievo l’estrema importanza e delicatezza dell’argomento trattato. Un tema di grande attualità per le ovvie ragioni sopra descritte. Solo qualche mese fa, per esempio, la Cassazione ha confermato il licenziamento disciplinare di una segretaria che passava il proprio tempo lavorativo su Facebook; ad aprile 2018,invece, sempre la Suprema Corte aveva espresso giudizio positivo in merito all’espulsione dall’azienda di un dipendente che su Facebook aveva offeso il proprio datore con un post dai contenuti diffamatori.
Lavoro e privacy, l’attuale framework italiano
Come anticipato, la tutela della privacy e il controllo dei lavoratori costituisce un argomento di estrema attualità per la sempre maggiore presenza di strumenti tecnologici nei luoghi di lavoro, l’incalzante sviluppo tecnologico e la conseguente mutevolezza dei rischi connessi. Il potere di controllo in capo al datore di lavoro trova il proprio fondamento giuridico nell’art. 41 della Costituzione, in cui è prevista la libertà di iniziativa economica del datore di lavoro purché esercitata nel rispetto della libertà e dignità.
I limiti al potere di controllo del datore di lavoro derivano allora dal contrapposto diritto dei lavoratori al rispetto della loro riservatezza (la maggior parte della nostra giornata e delle nostre relazioni si sviluppano in questo ambiente), della dignità personale, della libertà di espressione e di comunicazione. Come già evidenziato in premessa, sorge pertanto l’esigenza di bilanciamento di diritti contrapposti, e quindi la regolamentazione dei poteri del datore di lavoro, la cui disciplina è contenuta nello Statuto dei Lavoratori (legge n. 300/1970). Come vedremo nel prosieguo, lo Statuto ed in particolare gli articoli 4 e 8 dello stesso devono leggersi in stretta connessione con la disciplina sulla privacy.
A tal riguardo, l’assetto normativo italiano in materia di privacy è rappresentato dal d.lgs. n. 196 del 2003, c.d. Codice della Privacy.Come noto, l’ultimo intervento legislativo in materia è avvenuto il 19 settembre scorso quando è entrato in vigore il D.lgs. n. 101/2018 recante le disposizioni per l’adeguamento del Codice della Privacy (D.lgs. n. 196/2003) alla nuova normativa europea in materia contenuta nel GDPR (Regolamento UE n. 679/2016) già operante nel nostro ordinamento dal 25 maggio 2018.
Un primo riferimento alla materia dei rapporti di lavoro è previsto al considerando n. 52 del GDPR che, in ordine al divieto di trattare categorie particolari di dati personali previsto dall’art. 9, paragrafo 1, del Regolamento stesso, contiene una deroga quando ciò sia richiesto dal diritto dell’Unione o degli Stati membri, nel rispetto di garanzie idonee a tutelare i dati personali e altri diritti fondamentali. La deroga è circoscritta alle ipotesi in cui il trattamento dei dati avvenga nell’interesse pubblico.
La disposizione in questione attiene espressamente al trattamento dei dati personali nel settore del diritto del lavoro allorché sia svolto per scopi inerenti alla salute, compresa la sanità pubblica e la gestione dei servizi di assistenza sanitaria e, soprattutto, al fine di assicurare la qualità e l’economicità delle procedure per soddisfare le richieste di prestazioni e servizi nell’ambito del regime di assicurazione sanitaria, o a fini di archiviazione nel pubblico interesse, ricerca, statistici.
La deroga dovrebbe anche permettere di trattare tali dati personali quando è indispensabile per accertare, esercitare o difendere un diritto in sede giudiziale, amministrativa o stragiudiziale. In linea conforme al predetto considerando n. 52 del GDPR si pone il considerando n. 54 del GDPR secondo cui il trattamento delle categorie particolari di dati può risultare necessario per motivi di interesse pubblico, nei settori della sanità pubblica, senza che sia d’obbligo il consenso dell’interessato.
Inoltre, il GDPR, con il considerando n. 155, lascia agli Stati membri ampia discrezionalità sulla possibilità di prevedere norme specifiche per il trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro. Questa è una previsione di estrema rilevanza in particolare per quanto attiene le condizioni alle quali possono essere trattati i dati personali nei rapporti di lavoro sulla base del consenso del dipendente per finalità di assunzione, esecuzione del contratto di lavoro e ogni connesso trattamento.
Controllo da parte dell’azienda: norme e deroghe
Nonostante l’importanza riconosciuta al considerando n. 155, con riferimento al trattamento di dati personali relativo all’ambito dei rapporti di lavoro, la norma cardine è rappresentata dall’art. 88 del GDPR. Il paragrafo 1 prevede che “gli Stati membri possano prevedere, con legge o tramite contratti collettivi, norme specifiche con riguardo a tutte le finalità connesse al rapporto di lavoro per assicurare la protezione dei diritti e delle libertà dei dipendenti individuando una serie di ambiti nei quali il potere di controllo o di ingerenza del datore di lavoro sui dati dei dipendenti deve essere limitato”. Ancora una volta viene riservata agli Stati membri ampia discrezionalità, attraverso la possibilità di utilizzare contratti collettivi e accordi aziendali, per disciplinare il trattamento dei dati personali nei rapporti di lavoro. Sempre l’articolo 88 del GDPR, al successivo paragrafo 2, contempla un limite alla discrezionalità riconosciuta agli Stati membri. Detto limite è infatti rappresentato dalla esigenza superiore di tutelare i diritti fondamentali degli interessati.
L’atteso intervento del Legislatore Italiano, necessario al fine di adeguare il testo del Codice Privacy alle prescrizioni del GDPR, si è concretizzato con l’adozione del D.lgs. 101/2018 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) n. 679/2016 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.
L’articolo 9 del D.lgs. n. 101/2018 ha modificato la parte II, titolo VIII, del Codice Privacy relativa ai trattamenti di dati personali effettuati nell’ambito dei rapporti di lavoro. La nuova formulazione dell’articolo 111 del Codice Privacy non prevede più l’adozione di codici di condotta da parte dei soggetti pubblici e privati che trattano dati personali nel rapporto di lavoro bensì di regole deontologiche. Quale titolare del trattamento dei dati del dipendente in capo al datore di lavoro permane il dovere di fornire informazioni particolareggiate sui trattamenti connessi all’esecuzione del rapporto di lavoro, con la predisposizione di un’apposita informativa.
Inoltre, il nuovo articolo 111-bis prevede che le informazioni di cui all’articolo 13 del GDPR debbano essere fornite dal datore di lavoro al momento del primo contatto utile successivamente all’invio spontaneo del curriculum da parte dell’interessato. Inoltre, per l’esecuzione delle misure precontrattuali adottate su richiesta dell’interessato ovvero per l’esecuzione di un contratto non è dovuto il consenso al trattamento dei dati personali presenti nel curriculum.
Azienda e lavoratore: i tre tipi di dati
Tre sono le tipologie di dati potenzialmente oggetto del trattamento da parte di un’azienda. In primo luogo vengono in considerazione i dati personali, da intendersi come qualsiasi informazione riguardante il lavoratore; vi sono poi i c.d. dati particolari (ex dati sensibili), i quali comprendono tutti quei dati personali idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici o biometrici tesi a identificare in modo univoco una persona fisica, i dati riguardanti la salute, la vita o l’orientamento sessuale della persona; infine, troviamo i dati giudiziari, ossia, informazioni relative a condanne e penali e reati.
I dati personali possono essere trattati dal datore anche senza il consenso dell’interessato. Essi, infatti, sono necessari per adempiere ad un obbligo di legge a carico dell’azienda (si pensi, ad esempio, alla percentuale di invalidità dei soggetti assunti per coprire la quota di riserva prevista dalla Legge n. 68/99 sul collocamento obbligatorio dei disabili) o per l’esecuzione del contratto di lavoro stesso.
Se dunque i dati personali possono essere trattati senza il consenso dell’interessato, non è così per i dati particolari, rispetto ai quali va riservato un discorso differente. Ai sensi dell’art. 9 comma 2 lettera b) GDPR è legittimo il “trattamento necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione e degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato. L’interesse pubblico è indicato all’art. 9 comma 2 lettera g) ed è base giuridica diversa.
Il trattamento dei dati giudiziari, invece, è ammesso solo se autorizzato da una norma di legge, da un regolamento o, in mancanza di entrambi, da apposito decreto del Ministro della Giustizia. In materia di diritto del lavoro, ad oggi la normativa consente alle aziende il trattamento dei dati relativi alle condanne penali solo per l’adempimento di obblighi di legge. E’ il caso ad esempio del certificato penale del casellario per chi ha contatti diretti e costanti con soggetti minorenni (es. istruttori sportivi di minori, insegnanti di scuole pubbliche o private, conducenti di scuolabus, etc.) previsto dall’art. 25-bis d.p.r. 313/2002 “T. U. in materia di casellario giudiziale, di anagrafe, delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti”, così introdotto dall’art. 2 del decreto legislativo n. 39 del 4 marzo 2014.
Il certificato contiene l’insieme dei dati relativi alle condanne penali definitive, ossia passate in giudicato, dove quindi la colpevolezza del cittadino è certa. Esso riguarda non tutti i precedenti penali, bensì solo la verifica dei reati di cui agli artt. 600-bis (prostituzione minorile), 600-ter (pornografia minorile), 600-quater (detenzione di materiale pornografico), 600-quinquies (iniziative turistiche volte allo sfruttamento della prostituzione minorile) e 609-undecies (adescamento di minori) del codice penale, oppure l’irrogazione di sanzioni interdittive all’esercizio di attività che comportino contatti diretti e regolari con minori,
Il diritto del lavoratore all’informativa
Il trattamento dei dati personali presuppone l’obbligo in capo alle aziende di fornire al lavoratore un’apposita informativa, chiara e completa, contenente l’indicazione della finalità della raccolta dati, di eventuali destinatari o categorie di destinatari dei dati personali, del periodo di conservazione dei dati, dell’identità e dei dati di contatto del titolare del trattamento e, ove esistente, del suo rappresentante, nonché, dell’utilizzo di un processo decisionale automatizzato. In virtù del Regolamento UE, l’informativa deve essere messa a disposizione nel momento in cui si entra in possesso dei dati personali e prima di iniziare il loro trattamento. In base a questo, le aziende sono tenute a fornire le informazioni citate prima dell’instaurazione del rapporto di lavoro. Le informazioni possono essere rese anche attraverso un regolamento interno pubblicizzato e aggiornato periodicamente a cura del datore del lavoro.
Smart working, le tutele per i lavoratori
Le nuove tecnologie e il diffondersi del lavoro da casa, lo “smart working”, hanno sconvolto, se così possiamo dire, l’impianto delle tutele previste dallo Statuto dei lavoratori. Gli articoli 4 e 8 dello Statuto dei lavoratori devono oggi essere letti in stretta connessione con la disciplina sulla privacy, e dunque con il d.lgs. n. 196 del 2003, c.d. Codice della Privacy, modificato dal Regolamento (Ue) n. 679 del 2016 (GDPR) per effetto del d.lgs 10 agosto 2018 n. 101, in vigore dal 19 settembre 2018.
Innanzitutto, preme ricordare come i predetti articoli 4 e 8 dello Statuto dei lavoratori tutelano dai controlli il dipendente al chiaro fine di garantirne la sfera di riservatezza. L’articolo 4 limita il potere di controllo da remoto, c.d. controllo a distanza, dell’attività dei lavoratori; l’articolo 8, invece, vieta al datore di lavoro l’indagine sulle opinioni politiche, sindacali, religiose etc. del lavoratore.
Come noto, in Italia la regolamentazione della materia è dettata dal D.lgs. n. 151 del 14 settembre del 2015 (c.d. Jobs Act) che ha modificato l’art. 4 dello Statuto dei Lavoratori. Il Jobs Act ha previsto un diverso regime a seconda che si tratti di strumenti che consentono il controllo a distanza del lavoratore (es. videosorveglianza) o di mezzi per rendere la prestazione lavorativa quali tablet, pc, smartphone. In particolare, l’installazione di dispositivi audiovisivi che permettono il controllo a distanza dell’attività dei lavoratori è vietata, a meno che non ricorrano le seguenti condizioni:1) esigenze organizzative e produttive, di sicurezza del lavoro e tutela del patrimonio aziendale; 2) un previo accordo sindacale o, in mancanza, l’autorizzazione amministrativa. Viceversa, l’accordo o l’autorizzazione non servono se lo strumento viene usato come mezzo che “serve” al lavoratore per svolgere la prestazione e non come strumento per controllarne l’operato.
Ciò che rileva in materia e su cui occorre soffermarsi è la possibilità per il datore di lavoro di accedere nei luoghi riconducibili alla sfera privata del lavoratore e che questi ha scelto quale luogo di svolgimento della propria prestazione di lavoro. In altre parole, ad esempio, attraverso una videocamera che inquadri simboli religiosi e politici della postazione del dipendente il datore di lavoro può entrare in possesso di dati molto intimi inerenti l’orientamento politico e religioso del primo che nulla hanno a che vedere con il rapporto lavorativo.
Una nuova categoria: i dati “strettamente personali”
Ma vi è di più. Alcuni strumenti tecnologici assai all’avanguardia con i tempi sono in grado di percepire la fatica o l’emotività del lavoratore ai fini del controllo della sua produttività, e dunque registrare dati appartenenti alla sua sfera inconsapevole ed intima, con ogni conseguenza in termini di utilizzo di tali informazioni sotto il profilo disciplinare. A tale riguardo, basti pensare agli strumenti (wearable device) applicabili all’iride per captare il grado di attenzione del lavoratore o ancora i rilevatori di stanchezza applicabili alla tastiera del computer connesso alla sede del datore di lavoro.
Si tratta di situazioni non del tutto fantasiose che, contrariamente a quanto a primo impatto si potrebbe pensare, non sono estranee alla realtà in cui viviamo. Situazioni però che ad oggi non sono disciplinate dagli articoli 4 e 8 dello Statuto dei lavoratori, come modificato dal d.lgs. n. 151 del 2015, e neppure dal Regolamento (Ue) n. 679 del 2016. I dati che derivano dall’utilizzo di tali tecnologie potrebbero essere definiti a carattere “strettamente personale”, poiché non sono riconducibili alla sfera dei dati personali e neppure a quella dei dati particolari del lavoratore, ma rivelano informazioni strettamente attinenti alla sua sfera personale. Tanto posto, al fine di garantire la privacy del lavoratore saranno necessarie misure nuove volte a rafforzare ancora di più i principi di necessità, correttezza, pertinenza e non eccedenza, racchiusi nei principi fondamentali di privacy by design e di privacy by default.
Gli strumenti di tutela in mano ai lavoratori
Per far fronte a tali nuove problematiche occorre impegnarsi a prospettare varie e possibili soluzioni. Innanzitutto, ogni azienda che tratterà dati a carattere “strettamente personale” del lavoratore potrebbe prevedere la nomina obbligatoria di un Data Protection Officer. Come sappiamo, ai sensi dell’art. 37 del Regolamento n. 679 del 2016 (GDPR), tale figura è obbligatoria per soggetti pubblici o per le aziende ovvero per gli altri soggetti privati le cui attività principali consistono in trattamenti che richiedono il controllo regolare e costante di interessati su larga scala ovvero che trattano, su larga scala, categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Ebbene, prerogativa della figura del D.P.O. dovrebbe essere il potere di vigilanza affinché l’utilizzo dei dati a carattere “strettamente personale” dei lavoratori non vada a ledere le tutele minime ad essi riconosciute in tema di diritto di lavoro e di privacy. Ad esempio, nell’ottica dell’utilizzo di tali dati per scopi disciplinari, dovrebbe essere resa allo smart worker apposita informativa, contenente la previsione della seria possibilità del controllo dei suoi dati anche a carattere “strettamente personale”, con espressa accettazione dello stesso. Ed ancora, dovrebbe consentirsi allo smart worker il diritto di opporsi al trattamento dei dati a carattere “strettamente personale” in conformità all’analogo diritto previsto dall’art. 21 del GDPR.
Il titolare del trattamento dovrà altresì effettuare una specifica valutazione sulla rischiosità del trattamento, c.d. valutazione d’impatto, considerando tutti gli elementi dello stesso, avendo riguardo altresì alle possibili misure da adottare al fine di limitare eventuali rischi da esso derivanti. Questo è quanto previsto dal Garante per la protezione dei dati personali che, con provvedimento n. 467 dell’11 ottobre 2018, ha pubblicato l’elenco dei trattamenti che saranno sottoposti al requisito della valutazione d’impatto, tra cui sono ricompresi appunto i trattamenti effettuati attraverso l’uso di tecnologie innovative.
Il Garante Privacy e il caso del braccialetto elettronico
In tema di rapporto tra nuove tecnologie e sfera lavorativa riveste grande interesse, anche mediatico, la recente la pronuncia del Garante Privacy italiano sull’adozione di braccialetti elettronici al polso di operatori ecologici. Una società che si occupa della raccolta dei rifiuti per conto della municipalizzata di un comune toscano, ed esattamente del Comune di Livorno, ha imposto l’obbligo di indossare tali dispositivi. In tal modo viene creato un sistema che interagisce con i cestini e segnala se essi siano stati svuotati. Una vicenda che ha avuto molto scalpore e suscitato non poche polemiche poiché il braccialetto comunica con i 2500 nuovi cestini installati in città, dotati di chip Rfid, con segnalazione ogni volta che uno di questi viene svuotato.
La pronuncia del Garante per la Privacy si è rivelata negativa ma, allo stesso tempo, non preclusiva per le aziende di imporre l’adozione di dispositivi similari in ambienti di lavoro. Secondo il Garante Privacy infatti il braccialetto elettronico non viola i principi di necessità e proporzionalità del Regolamento 679/2016 rispetto alle finalità perseguite dalla società; l’Autorità per la tutela dei dati personali ha così raccomandato l’adozione di un dispositivo che per le sue caratteristiche esteriori non sia lesivo della dignità e comunque non sia percepito come tale dal dipendente, considerato che dovrà essere utilizzato dai dipendenti costantemente per ogni turno di servizio.
Le nuove sfide privacy: come deve adeguarsi l’impresa
E’ evidente come l’incessante evolversi della tecnologia abbia spinto il nostro ordinamento ad affrontare nuove sfide che richiedono di osservare la realtà con lenti nuove. Quindi come dobbiamo comportarci? Occorre essere consapevoli che il corretto utilizzo degli strumenti tecnologici è di importanza strategica, perché ha impatti notevoli sull’organizzazione delle imprese. La rapidità con cui le nuove tecnologie entrano nel lavoro impone a tutti noi, compreso il legislatore, uno sforzo al cambiamento.
A tal fine, ogni singola azienda deve dotarsi di un sistema di gestione dei dati efficace e funzionale. Detto sistema implica la predisposizione di informative privacy chiare; l’assunzione, come detto sopra, di un regolamento interno che disciplini l’uso degli strumenti tecnologici di lavoro; l’adozione di procedure interne da seguire in caso di incidenti di sicurezza. In fin dei conti, l’essere correttamente informati e aver, quindi, piena consapevolezza delle potenzialità degli strumenti e delle nuove tecnologie è la prima garanzia a disposizione del lavoratore.