Privacy e controllo dei lavoratori

L'articolo 41 della Costituzione prevede la libertà di iniziativa economica del datore di lavoro, purchè esercitata nel rispetto della libertà e dignità umana. Quindi, il datore di lavoro detta le regole per l'esecuzione e la disciplina del lavoro, che i lavoratori sono tenuti a rispettare, pena l'irrogazione di sanzioni disciplinari. Di conseguenza il datore di lavoro ha il potere di controllare che l'attività lavorativa dei dipendenti sia eseguita conformemente alle direttive da lui impartite. 

I limiti al potere di controllo del datore di lavoro derivano dal contrapposto diritto dei lavoratori al rispetto della loro riservatezza (anche in considerazione del fatto che parte significativa delle loro relazioni si sviluppano in quell’ambiente), della dignità personale, della libertà di espressione e di comunicazione. Da qui l'esigenza del contemperamento dei diritti contrapposti, e quindi della regolamentazione dei poteri del datore di lavoro, la cui disciplina è principalmente prevista dallo Statuto dei Lavoratori. 
La normativa prevede un rigoroso divieto dei controlli lesivi dei diritti inviolabili e il tendenziale sfavore per ogni tipo di controllo occulto, divieto attenuato però in presenza di determinate condizioni. 

Con la modernizzazione delle tecniche lavorative e lo sviluppo tecnologico, è ormai possibile l'implementazione di controlli a distanza, estremamente penetranti, nei confronti dei lavoratori, e che possono spingersi fino alla verifica dell’adeguatezza della stessa prestazione lavorativa. Si è reso quindi necessario aggiornare le regole volte alla tutela del lavoratore, contemperando nel frattempo il diritto del datore di lavoro alla tutela dei beni aziendali. 

 

Principi da rispettare

Il datore di lavoro nell'effettuare i controlli sui lavoratori è obbligato a rispettare i principi in materia di tutela dei dati personali: 
- principio di necessità: il controllo deve risultare necessario o indispensabile rispetto ad uno scopo determinato ed avere il carattere dell’eccezionalità, limitato nel tempo e nell'oggetto, mirato e mai massivo; 
- principio di finalità: il controllo deve essere finalizzato a garantire la sicurezza o la continuità aziendale, o a prevenire e reprimere illeciti; 
- principio di trasparenza: il datore di lavoro deve informare preventivamente i dipendenti sui limiti di utilizzo degli strumenti e delle sanzioni previste nel caso di violazione di tali limiti; 
- principio di proporzionalità: il datore di lavoro deve adottare forme di controllo strettamente proporzionate e non eccedenti lo scopo della verifica; 
- principio di sicurezza: i dati raccolti devono essere protetti in modo adeguato. 

Quindi, nel trattare dati dei dipendenti, il datore di lavoro deve tenere ben presenti i diritti fondamentali dei lavoratori, e individuare correttamente la base giuridica di tale trattamento: 
- adempimento di obblighi derivanti da un contratto di lavoro; 
- adempimento di obbligazioni previste dalla legge; 
- legittimo interesse del datore di lavoro (nel qual caso occorre valutare preventivamente se il trattamento sia necessario e proporzionato per il perseguimento di una legittima finalità, redigendo eventualmente la valutazione di impatto e il datore è sempre tenuto ad assicurare ai dipendenti il diritto di opporsi al trattamento). 

 

Articolo 88 GDPR

L'art. 88 del regolamento europeo stabilisce che gli Stati possono emanare regole particolari atte a garantire la protezione dei diritti e delle libertà dei dipendenti durante i trattamenti dei dati nel contesto del rapporto di lavoro.
Questo può avvenire tramite accordi collettivi o disposizioni legislative.
Il GDPR prevede, quindi, che le attività di controllo del lavoratore siano svolte in un contesto di trasparenza e di adeguata protezione dei dati personali. 

Il controllo del datore di lavoro, e in genere il trattamento di dati del lavoratore, può, infatti, avvenire in una molteplicità di fasi:
valutazione candidati e assunzione, valutazione delle prestazioni lavorative, pianificazione ed organizzazione della prestazione lavorativa, salute e sicurezza dell'ambiente di lavoro, protezione dei beni del dipendente, conclusione del rapporto di lavoro. 

 

Strumenti di lavoro e strumenti di controllo

In Italia la regolamentazione in materia è dettata dal D. Lgs n. 151 del 14 settembre del 2015 (Jobs Act) che ha riscritto l’art. 4 dello Statuto dei Lavoratori. Il Jobs Act ha stabilito un regime diverso a seconda del tipo di strumento:
- strumenti che consentono il controllo del lavoratore (es. videosorveglianza); 
- strumenti di lavoro (personal computer, smartphone).
La revisione della disciplina dei controlli sui lavoratori ha tenuto conto dell'evoluzione tecnologica e delle esigenze produttive e organizzative dell'impresa.

L'installazione di impianti audiovisivi e altri strumenti dai quali deriva anche la possibilità di controllo a distanza dell'attività dei lavoratori è di norma vietata, a meno che non ricorrano due condizioni: 
- esigenze organizzative e produttive, di sicurezza del lavoro e tutela del patrimonio aziendale; 
- preventivo accordo sindacale o, in mancanza, autorizzazione amministrativa (Direzione territoriale del lavoro, qui il modulo per la richiesta di autorizzazione all'installazione di impianti di videosorveglianza) che non possono essere sostituiti dal consenso dei lavoratori (Corte di cassazione, sez. III penale, sentenza 17 gennaio 2020, n. 1733). 

In caso di modifica della titolarità dell'impresa non è necessario procedere ad una nuova autorizzazione, ma è sufficiente una comunicazione dei nuovi assetti proprietari, purché ovviamente l'impianto di sorveglianza non sia stato modificato nella struttura o nella finalità (INL nota 1881 del 15 febbraio 2019). 

Al fine di ridurre gli oneri burocratici, oggi è possibile, per le imprese con più sedi dislocate sul territorio, ricorrere alle associazioni sindacali comparativamente più rappresentative e in seconda battuta al Ministero del Lavoro, invece di dover trovare accordi con ogni singola rappresentanza sindacale. E' importante tenere presente che l'accordo sindacale o l'autorizzazione amministrativa devono precedere l'installazione dell'impianto, non solo la messa in funzione (Cass. Penale n. 4331/2014), per cui se l'impianto è installato prima dell'accordo si è in violazione delle norme (art. 38 L. 300/1970), anche nel caso in cui i dipendenti siano stati correttamente informati. Il divieto di installazione di telecamere in assenza di accordo vale, quindi, anche per le telecamere "finte", montate al solo scopo dissuasivo e che non registrano dati. 

La novità della riforma è data dal secondo comma dell'articolo 4, il quale prevede che le garanzie non si applicano agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (es. smartphone, tablet, personal computer), e agli strumenti di registrazione degli accessi e delle presenze. In tali casi l'installazione non richiede alcun accordo sindacale.
L’eccezione è limitata agli strumenti che “immediatamente servono al lavoratore per adempiere alle mansioni assegnate”. Il Ministero del Lavoro, con nota del 18 giugno 2015, ha stabilito che nel momento in cui lo strumento viene modificato (ad esempio, con l’aggiunta di software di localizzazione), non si considera più rientrante nella categoria.
La definizione è comunque foriera di dubbi.
Ad esempio, il GPS installato sull’auto aziendale potrebbe essere considerato servente rispetto alle mansioni assegnate (nel caso in cui il datore di lavoro utilizza il GPS per stabilire quale team è più vicino al luogo dove occorre l’intervento) ma nel contempo potrebbe essere utilizzato per controllare il lavoratore stesso (dal GPS si può ricavare che il team è fuori zona senza giustificazione). 

Infine, il comma 3 stabilisce che le informazioni raccolte tramite gli strumenti di cui al comma 1 e 2, sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che al lavoratore sia data adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli (in tale ottica l'identità degli eventuali amministratori di sistema deve essere portata a conoscenza dei lavoratori, se trattano dati dei lavoratori). Ovviamente per “fini” si intendono ricompresi anche i fini tipicamente disciplinari. 
Il Ministero del Lavoro ha chiarito che, in base al principio di trasparenza, occorre informare i lavoratori circa l'esistenza e le modalità d'uso degli strumenti di controllo, con riferimento alla finalità e alle modalità del trattamento dei dati, alla natura obbligatoria e facoltativa del conferimento dei dati, alle conseguenze di un eventuale rifiuto, ai soggetti cui tali dati possono essere comunicati e ai responsabili aziendali del trattamento dei dati, nonché dei diritti dei lavoratori. In caso contrario i dati non possono essere utilizzati a nessun fine. 

Mail aziendale

Il datore di lavoro (o il suo delegato) deve poter accedere in qualsiasi momento alla casella di posta elettronica aziendale in uso al dipendente. La casella aziendale, infatti, è uno strumento di lavoro. L'accesso del datore di lavoro è legittimato anche dalla necessità della continuità aziendale, ad esempio nel caso in cui il lavoratore sia in malattia. La riconducibilità della casella all'azienda permette di escludere la sussistenza del reato di violazione dell'altrui corrispondenza (art. 616 c.p.) per mancanza dell'altruità.   

 

Lavoro a domicilio e BYOD

Oggi è sempre più frequente che almeno parte del lavoro venga svolto a domicilio, cosa che però può rappresentare un rischio addizionale per il datore di lavoro.

Questa modalità di lavoro spesso si accompagna all'uso autorizzato dei propri dispositivi da parte del dipendente (BYOD=bring your own device), In questi casi il rischio è aumentato, perché il datore di lavoro deve autorizzare l'accesso alla rete informativa aziendale, e il dipendente può archiviare dati aziendali sul proprio dispositivo. Ciò comporta il rischio che in caso di licenziamento del dipendente sia più complicato recuperare i dati contenuti sul dispositivo, come pure il rischio di perdita dei dati in caso di smarrimento o furto del dispositivo. Non solo, potrebbero sorgere problemi anche nel caso di malfunzionamenti del dispositivo, se il dipendente lo porta in riparazione presso un'azienda che, in teoria, potrebbe estrarre i dati aziendali dal dispositivo. 

  

Linee guida

Le linee guida del Garante per posta elettronica ed Internet precisano gli elementi oggetto dell'informativa preventiva. Il provvedimento in materia di videosorveglianza detta le regole per tali sistemi, obbligando il datore di lavoro all'adeguata segnalazione dei luoghi videosorvegliati, alla conservazione limitata dei dati (di regola 24 ore), nonchè a permette l'accesso ai dati ai lavoratori. 

  

Utilizzo delle riprese in giudizio

La Corte di Cassazione (sentenza n. 4367/2018) ha stabilito che sono utilizzabili in sede giudiziale le riprese effettuate con telecamere all'interno del luogo di lavoro. Le immagini servono al datore di lavoro per esercitare un controllo sul patrimonio aziendale messo a rischio da possibili comportamenti infedeli dei dipendenti, e le norme dello Statuto dei lavoratori poste a presidio della loro riservatezza non fanno divieto dei cosiddetti controlli difensivi del patrimonio aziendale. Per cui non esiste alcun divieto di utilizzo di tali riprese quali prove in un processo penale.  

 

Lavoratori domestici

L'Ispettorato Nazionale del Lavoro (circolare dell'8 febbraio 2017) ha chiarito che i limiti e i divieti di cui all'art. 4 dello Statuto dei lavoratori non si applicano al lavoro domestico, per cui un privato che installa telecamere all'interno della sua casa non avrà dette limitazioni nel caso si avvalga di lavoratori come colf, badanti, ecc... Ovviamente dovrà sempre fornire l'informativa e informare della presenza delle telecamere. 

 

Casi pratici

Il WP29 ha individuato una serie di trattamenti basati sui legittimi interessi, che possono presentare rischi: 

1) Trattamento dei dati dei candidati pubblicati sui social network. 
Un problema noto riguarda la possibilità di utilizzare, ai fini dell'assunzione di lavoratori, informazioni pubbliche, quali quelle estratte dai profili dei social network. L'accesso, e quindi l'estrazione di dati dai profili deve comunque essere giustificato da una base legale, i dati possono essere trattati solo se i profili sono utilizzati per finalità lavorative, inoltre il candidato deve essere informato del controllo anche tramite indicazione nell'annuncio di lavoro. 

2) Trattamento dei dati dei lavoratori pubblicati sui social network. 
Tale controllo potrebbe rendersi utile, ad esempio, se il datore di lavoro ha inserito clausole di non concorrenza precisando che effettuerà controlli sul rispetto delle dette clausole anche accedendo ai profili social. I dati possono essere trattati solo se i profili sono utilizzati per finalità lavorative e se non vi sono altre modalità per la finalità del trattamento.   

3) Monitoraggio della strumentazione informatica dei lavoratori (mail, telefonate, navigazione Internet, ricerche online)
Se forniti dall’azienda (es. la casella di posta elettronica) gli strumenti elettronici sono dotazioni aziendali e quindi controllabili dal datore ed inutilizzabili a fini personali. Tale monitoraggio deve essere limitato sia nel tempo che per tipologia. Inoltre le misure di sicurezza relative ai dispositivi da remoto, quali il monitoraggio dei movimenti del mouse, l'utilizzo di webcam o di tecnologie di screen capture, sono considerate illegittime. Di contro, la mail privata del dipendente, in quanto è dato personale ed è uno strumento identificativo, non è mai controllabile dall’azienda anche se utilizzata dal luogo di lavoro. In tal senso alcune aziende installano un terminale Internet liberamente accessibile in modo che i dipendenti possano utilizzarlo per l'uso della propria posta personale, senza essere soggetti al controllo del datore di lavoro.
La navigazione in Internet tramite gli strumenti aziendali può essere limitata o vietata purché non sussista un trattamento illecito dei dati dei lavoratori. Quindi, possono essere applicati appositi filtri per impedire gli accessi a determinati siti, ma i sistemi devono essere configurati in modo da cancellare periodicamente i dati personali (accessi ai siti). Un monitoraggio sistematico della navigazione su Internet dei lavoratori deve ritenersi illecito. 

4) Mobile Device Management: occorre una valutazione di impatto al fine di verificare la necessità del trattamento rispetto alla finalità, e i dipendenti devono essere adeguatamente informati del controllo; 

5) Wearable Devices: i dati raccolti da strumenti di monitoraggio dell'attività fisica della persona possono essere trattati solo dagli interessati ed eventualmente dal  fornitore del servizio, ma non da parte del datore di lavoro; 

6) Rilevazione della presenza dei lavoratori: alcuni strumenti possono comportare l'indiretto monitoraggio della presenza e dell'attività dei lavoratori sul luogo di lavoro, tali trattamenti sono legittimi in quanto finalizzati a tutelare la perdita o la sottrazione di informazioni aziendali riservate, occorre però adeguata informativa; 

7) Trattamenti di dati mediante sistemi di videosorveglianza: il video monitoraggio dei lavoratori è considerato illecito in quanto sproporzionato rispetto alla tutela dei diritti degli interessati; 

8) Geolocalizzazione dei veicoli: Il trattamento dei dati di geolocalizzazione dei veicoli aziendali è legittimo per la tutela della sicurezza dei veicoli e dei lavoratori, o anche per la pianificazione in tempo reale dell'attività lavorativa. Illecita è la geolocalizzazione nel caso in cui i veicoli aziendali possano essere usati anche per finalità private. Il dipendente deve poter disabilitare il monitoraggio nel momento in cui svolge un'attività di natura personale con l'auto aziendale (questo nell'ambito di un servizio di comodato previsto da molti contratti di lavoro). Quindi è utile applicare un'informativa all'intero del veicolo, ben leggibile, che ricordi al dipendente l'esistenza del dispositivo di monitoraggio e le modalità di blocco temporaneo.  

9) Trasferimento dei dati personali dei lavoratori a terzi: il trasferimento dei dati agli utenti finali è ammesso solo se fondato su un legittimo interesse del titolare, nel caso in cui siano comunicati tra società del medesimo gruppo si richiamano i principi previsti dal GDPR. 

Altri casi: 

- Controllo degli accessi dei lavoratori: il controllo degli accessi dei lavoratori è possibile, ma occorre che sia realizzato con misure proporzionate.
In particolare non è valido il consenso come base giuridica, e nel caso di utilizzo di sistemi biometrici occorre che sussista la necessità di un controllo così intrusivo piuttosto che con mezzi differenti. 

 CONTINUA:  https://protezionedatipersonali.it/privacy-controllo-lavoratori

google.com, pub-0399915301528270, DIRECT, f08c47fec0942fa0

https://www.facebook.com/NONCHATTOloavetecapitoEcco/