Quindicinale n.39, 30 novembre 2016

Controlli a distanza sul posto di lavoro: ecco le novità normative

Con il nuovo comma 3 dell'articolo 4 dello Statuto dei Lavoratori la disciplina giuslavoristica fa un passo indietro
Controlli a distanza: ecco le novità normative
Shares

Il nuovo articolo 4 dello Statuto dei Lavoratori non può far cantare vittoria né al mondo datoriale (che sembrava di essersi illuso d’un “liberi tutti” in arrivo nel monitoraggio dei lavoratori) né ai lavoratori, che perdono un baluardo di tutele (peraltro ormai obsolete e sovente inapplicabili). Di certo, la nuova norma sui controlli a distanza rivoluziona, eccome, lo scenario dei divieti e delle cautele, ma lo fa in modo obliquo e non scontato. Cerchiamo di chiarire le principali novità (come leggerete, un vero “groviglio” da interpretare).

La “semplificazione” dell’art.4 dello Statuto dei Lavoratori

Innanzitutto, molti strumenti di controllo a distanza continuano a richiedere l’accordo sindacale o l’autorizzazione dell’autorità competente, ma il novero di sistemi che possono far scattare questo adempimento si trasforma radicalmente e, insieme, si semplifica la procedura sindacale/autorizzativa in caso di sedi multiple dell’azienda. Infatti, vanno oggi sottoposti ad accordo/autorizzazione, prima dell’installazione, solo gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, ad esclusione degli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e di quelli per la registrazione di accessi e presenze.

Quali potrebbero essere, dunque, gli strumenti e impianti da pre-autorizzare ancora? Per esempio la classica videosorveglianza per fini di sicurezza oppure sistemi di controllo collaterale della produzione (es. telecamere o sensori posizionati in una “camera bianca” industriale). Ma anche eventuali sistemi informatici che generino audit log centralizzati sull’utilizzo applicativo di programmi o database.

La semplificazione sta nel fatto che, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, l’accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale; inoltre, prima, in mancanza di accordo sindacale ogni sede faceva scattare la necessità di un’autorizzazione di ciascuna diversa Direzione territoriale del lavoro competente, mentre oggi in quei casi ci si può rivolgere al Ministero del Lavoro (e questo incrementerà la costanza e unitarietà delle prescrizioni che fino a ieri differivano in modo anche sensibile da Direzione a Direzione).

Gli strumenti in mano al datore di lavoro

Gli impianti e strumenti da sottoporre a previo accordo o autorizzazione hanno in aggiunta un limite “di scopo” (interessante divaricazione, l’installazione impone accordi/autorizzazioni mentre l’impiego è vincolato teleologicamente): essi possono essere usati solo per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale. Vero è che è venuto meno il divieto esplicito di controllo dell’attività lavorativa (ex vecchio comma 1 dell’articolo 4) ma questo vincolo di finalità è insidioso e al contempo quasi inutile.

Inutile, sì, o almeno debole visto che il successivo nuovo comma 3 ci dice che i dati raccolti con i sistemi di controllo a distanza (sia quelli da sottoporre ad accordo/autorizzazione sia quelli esonerati) possono essere utilizzati per tutti i fini connessi al rapporto di lavoro, ergo anche quelli disciplinari e di valutazione della prestazione lavorativa, evidentemente.

Insidioso (tra avvocati la definiamo una “poison pill“) perché a causa della menzione della “tutela del patrimonio aziendale” tra le finalità che ricadono nel previo accordo o nell’autorizzazione, da oggi non possiamo più contare sulla copiosa e favorevole giurisprudenza (ultima ed ennesima la celebre sentenza di Cassazione 20440/2015 sui controlli GPS) che escludeva l’applicazione di questi adempimenti ai cosiddetti “controlli meramente difensivi”, motivati da necessità concreta e contingente di difendere o far valere un diritto in giudizio o nelle fasi ad esso propedeutiche, e 9 volte su 10 dettati proprio dall’esigenza di proteggere patrimonio aziendale da illeciti estranei all’adempimento della prestazione lavorativa.
D’ora in poi, vedremo come reagiranno i giudici: di certo il pregresso tesoro giurisprudenziale che salvava da questi lacci autorizzativi proprio i controlli meramente difensivi aventi ad oggetto la tutela del patrimonio aziendale non sarà più un porto interpretativo sicuro e sburocratizzato.

Tornando, invece, agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli altri adottati in azienda per registrare accessi e presenze, cioè la macro-categoria senza autorizzazioni né limitazioni di scopo, merita aggiungere qualche commento: primo, parrebbe sensato considerare come “strumenti da prestazione” solo quelli strettamente necessari per eseguire la prestazione lavorativa in sé, sia su un piano oggettivo che giuridico.
Potrebbero rientrare oggettivamente tra questi strumenti gli smartphone, i palmari e i pc in dotazione e le app/funzionalità di lavoro, ma – perché no – anche certi dispositivi pur non “nelle mani” o “nelle tasche” del lavoratore né sotto la sua diretta e attiva controllabilità, ma comunque strettamente indispensabili ad eseguire l’operazione oggetto di attività lavorativa (sarebbe il caso di un sistema operativo informatico centralizzato grazie al quale funzioni anche il singolo dispositivo in uso al lavoratore).

Dal punto di vista giuridico sarà bene irrobustire le descrizioni delle prestazioni nei testi contrattuali, per esempio chiarendo come un GPS, in caso di consegne di pacchi da parte di un corriere, sia connesso e connaturato rispetto al tipo di risultato atteso da mittente e destinatario nella prestazione. Secondo, la terminologia “accessi e presenze” è più estesa di “accessi e uscite”, quindi si potranno probabilmente monitorare senza vincoli preventivi anche gli spostamenti interni ad uno stabilimento o ufficio, e non solo l’arrivo alla e l’uscita dalla sede di lavoro.
Arma potente in mano al datore di lavoro. Inoltre, per “accessi e presenze” bisognerebbe – a parere di chi scrive – considerare inclusi anche quelli digitali: quindi il login e logout, così come gli access log degli amministratori di sistema come imposto nel 2008 dal Garante Privacy.

L’utilizzo delle informazioni raccolte con i sistemi di controllo

Tuttavia in cauda venenum: la vera “bomba” (agrodolce per i datori di lavoro) sta nel comma 3. Questo comma prima ci dice che l’utilizzo delle informazioni raccolte con i sistemi di controllo a distanza (senza distinzioni, anche quelli sottoposti ad accordo/autorizzazione) è possibile per tutti i fini connessi al rapporto di lavoro e ne abbiamo già detto. Ma subito dopo il neo-legislatore agguanta il datore con la condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196 (alias Codice Privacy e tutta la normativa secondaria del Garante applicabile – a proposito sarà il caso che il Garante aggiorni con urgenza i provvedimenti generali nei quali riconosceva il “legittimo interesse” del titolare del trattamento, per i controlli a distanza sul lavoro, solo in presenza di accordi/autorizzazioni: oggi non è più così).

Qui assisteremo a uno stravolgimento “geologico” come dopo un enorme terremoto: da un lato, crolla la collina del divieto dei controlli a diretta finalità disciplinare e di valutazione della prestazione lavorativa, ok, ma dall’altro si erge maestosa e imponente la montagna della privacy, accompagnata dalla ripida cascata della trasparenza.

In sostanza, col nuovo comma 3 dell’articolo 4 dello Statuto dei Lavoratori la disciplina giuslavoristica fa un passo indietro, ma omettere l’adozione di policy interne dettagliate sulle modalità di uso degli strumenti aziendali e sui relativi controlli e, soprattutto, non garantire full compliance in materia di protezione dei dati personali può compromettere tutto e inguaiare seriamente il datore di lavoro.

Il consiglio da avvocato è correre ai ripari, nell’interesse di lavoratori e datori: svolgere subito un censimento degli strumenti di/soggetti a controllo, per capire quali far ricadere nel comma 1 (sì autorizzazioni/accordi e sì limiti di scopo seppur quasi inutili almeno quanto alla sfera disciplinare/lavorativa) e quali nel comma 2 (no autorizzazioni né accordi, no limiti di scopo); poi, aggiornare le policy aziendali di utilizzo degli strumenti, di controllo e di procedimento disciplinare, le descrizioni delle prestazioni e le informative per i lavoratori; quindi, in parallelo, accertarsi “by design” che il dichiarato formale corrisponda alla sostanza tecnologica, applicando le necessarie modifiche ai sistemi. Per fare tutto ciò, ha senso “chiudere in una stanza” insieme, per qualche tempo, i responsabili HR e IT e un professionista esperto di privacy. Non farlo può costare caro, in termini di sanzioni ma anche di impossibilità – per l’azienda – di far valere le proprie ragioni perfino contro un lavoratore spudoratamente inadempiente e pur avendo a disposizione fiumi di prove schiaccianti raccolte mediante varie tecnologie.

[Credits photo: Amedeo Abello su Flickr]

Shares

Tags: , , ,



Autore
Avvocato, socio fondatore dello Studio ICT Legal Consulting con sedi a Milano, Roma, Bologna, Amsterdam e corrispondenti in 18 Paesi esteri, si occupa in particolare di protezione dei dati personali, cloud computing, e-health, diritto del marketing, diritto delle comunicazioni e di Internet, responsabilità amministrativa d’impresa e procedimenti innanzi ad autorità indipendenti. Dal 2008 è Presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati. E’ componente di Organismi di Vigilanza 231 in importanti società e independent Ethics & Privacy Advisor per vari progetti europei FP7 e Horizon 2020. Laureato in giurisprudenza all’Università di Bologna, ha svolto docenze per numerosi enti di alta formazione e certificazione (tra cui LUISS, Scuola Superiore della PA, Alma Graduate School, IED, TÜV, AFGE, Paradigma) e insegna dal 2010 diritto della privacy presso la Scuola di Specializzazione per le Professioni Legali dell’Università di Teramo. E’ componente del Comitato dei Saggi dell’Associazione Nazionale Operatori e Responsabili della Conservazione Digitale (ANORC). Ha scritto in questi anni molti articoli, saggi ed editoriali per riviste scientifiche, quotidiani e periodici nazionali e internazionali (tra cui Corriere della Sera, Il Sole 24 Ore, Il Mondo, Affari Italiani, The Wall Street Journal, European Voice). Ha scritto e curato con Diego Fulco il primo commentario italiano al codice di Deontologia Privacy per avvocati e investigatori privati, edito da Giuffrè. E’ stato autore e curatore con Paganini e Fulco del volume “Next Privacy, il futuro dei nostri dati nell’era digitale” (RCS Etas). Ha pubblicato per il Corriere della Sera, nell’autunno 2014, il pamphlet “Generazione Selfie”.
Commenta questo articolo