Il nuovo art. 4 St. lav.: tra strumenti di lavoro e privacy

Back
Date:
15 Oct 2019

Di:  Avv. Wanda Falco

L’articolo 41 della Costituzione sancisce il principio della libertà di iniziativa economica privata purché esercitata nel rispetto della libertà e dignità umana. Da ciò consegue che, se è vero che il datore di lavoro ha il potere di controllare che l’attività dei dipendenti sia eseguita conformemente alle direttive da lui impartite, tale potere va contemperato con il contrapposto diritto dei lavoratori al rispetto della riservatezza, della libertà di espressione e di comunicazione. Tale bilanciamento di interessi è consentito dalla disciplina del potere di controllo del datore di lavoro e in particolare del controllo a distanza dei lavoratori di cui all’art. 4 dello Statuto dei lavoratori (L. 300/1970) che è stato modificato dal Jobs Act nel 2015.

Vediamo nel dettaglio le novità apportate alla disciplina dei controlli a distanza e come tale disciplina si intrecci con quella in materia di privacy.

L’art. 4 St. lav.: cosa è cambiato con il Jobs Act?

Come anticipato, la disciplina del controllo a distanza è stata modificata dal D. Lgs 151/2015 (Jobs Act) che ha riscritto l’art. 4 St. Lav.

Nella sua formulazione originaria la norma sanciva un espresso divieto dell’uso “di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori”. Al fine di salvaguardare e proteggere la dignità della persona del lavoratore era, dunque, espressamente vietata l’utilizzazione di apparecchiature tecnologiche che avessero mera finalità di controllo dell’esecuzione della prestazione di lavoro dei dipendenti. Era, tuttavia, consentita l’installazione di strumenti dai quali potesse derivare anche indirettamente un controllo a distanza solo nel caso in cui ricorressero “esigenze organizzative e produttive” e/o legate alla “sicurezza sul lavoro” e solo previo accordo con le rappresentanze sindacali aziendali (in mancanza di accordo provvedeva l’Ispettorato del lavoro dettando le modalità per l’uso degli impianti). 

Restavano fuori dall’ambito di applicazione della norma i “controlli difensivi”, categoria di creazione giurisprudenziale nella quale rientravano i controlli aventi ad oggetto non l’esatto adempimento delle obbligazioni discendenti dal contratto, ma comportamenti illeciti dei lavoratori e lesivi del patrimonio dell’immagine aziendale (si vedano in tal senso: Cass. 13266/2018; Cass. 10637/2017).

Con il Jobs Act il divieto generale previsto al comma 1 dell’art. 4 St. Lav. è scomparso. Resta fermo che gli impianti e gli strumenti audiovisivi dai quali derivi anchela possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati solo per determinate finalità (accanto alle esigenze organizzative e produttive e alla sicurezza sul lavoro compare l’esigenza di tutela del patrimonio aziendale che sembra aver comportato il superamento della giurisprudenza sui controlli difensivi sopra richiamata) e possono essere installati solo previo accordo collettivo stipulato con le RSU o le RSA ovvero con le associazioni sindacali comparativamente più rappresentative sul piano nazionale in caso di imprese con unità produttive ubicate in diverse province della stessa regione o in più regioni. In mancanza di accordo, gli impianti e gli strumenti possono essere installati previa autorizzazione dell’Ispettorato del lavoro.   

La novità che ha fatto “più rumore” è che il comma 2 dell’art. 4 prevede che le disposizioni di cui al comma 1 non si applicano “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” e agli strumenti di registrazione degli accessi e delle presenze. Quindi, in presenza di “strumenti di lavoro”, che per il loro funzionamento potrebbero consentire un controllo a distanza dei dipendenti, non opera il filtro dell’accordo con le rappresentanze sindacali o dell’autorizzazione dell’INL.

Il nuovo art. 4 St. Lav. prevede, infine, che è consentito un utilizzo delle informazioni raccolte ai sensi dei commi 1 e 2 “a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal D.Lgs. 196/2003”.

In sostanza il Jobs Act ha introdotto un regime diverso a seconda del tipo di strumento utilizzato prevedendo che:

- per gli impianti audiovisivi e gli altri strumenti che consentono il controllo a distanza del lavoratore permane il divieto di installazione salvo esigenze specifiche e l’accordo sindacale/l’autorizzazione dell’INL;

- per gli strumenti di lavoro e per gli strumenti di registrazione di accessi e presenze non opera alcun divieto e alcun obbligo di accordo sindacale o di autorizzazione dell’INL;

- sia per i primi che per i secondi il datore ha l’obbligo di fornire ai dipendenti adeguata informazione circa le modalità d’uso degli strumenti e di effettuazione dei controlli nonché l’obbligo di rispettare la normativa sulla privacy nella raccolta e nel trattamento dei dati. 

Cosa si intende per strumento di lavoro?

Riepilogate brevemente le differenze tra la vecchia e la nuova formulazione dell’art. 4 St. Lav., è opportuno chiarire cosa debba intendersi per strumento di lavoro: sia l’Ispettorato nazionale del lavoro che il Garante privacy hanno elaborato una definizione. 

In particolare, l’INL, con  circolare n. 2 del 07/11/2016  ha precisato che possono considerarsi strumenti di lavoro “gli apparecchi, dispositivi, apparati e congegni che costituiscono il mezzo indispensabile al lavoratore per adempiere la prestazione lavorativa dedotta in contratto, e che per tale finalità siano stati posti in uso e messi a sua disposizione”. Analogamente, il Garante privacy con  verifica preliminare del 16/03/2017 in linea con l’Ispettorato, ha confermato che gli strumenti di lavoro sono tutti quei dispositivi “utilizzati in via primaria ed essenziale per l’esecuzione dell’attività lavorativa”, ovvero “direttamente preordinati all’esecuzione della prestazione lavorativa”. 

Vediamo nel dettaglio quali dispositivi di comune utilizzo possono essere definiti come strumenti di lavoro.

  1. GPS installati sui veicoli

Dalla definizione di strumento di lavoro elaborata, sia l’INL che il Garante privacy (rispettivamente nella circolare 2/2016 e nel provvedimento del 16/03/2017) hanno desunto che i sistemi di geolocalizzazione (es. i satellitari GPS montati su auto aziendali), rappresentano un elemento “aggiunto” agli strumenti di lavoro in quanto non utilizzati in via primaria ed essenziale per l’esecuzione dell’attività lavorativa ma, per rispondere a esigenze ulteriori di carattere assicurativo, organizzativo, produttivo o per garantire la sicurezza del lavoro.Ne consegue che, in tali casi, si applica il comma 1 dell’art. 4 St. lav. e, pertanto, i GPS possono essere installati solo previo accordo stipulato con la rappresentanza sindacale ovvero, in assenza di tale accordo, previa autorizzazione da parte dell’INL.

Nei provvedimenti citati, tuttavia, L’INL e il Garante individuano dei casi particolari in cui si possa ritenere che i GPS siano veri e propri strumenti di lavoro. Si tratta del caso in cui i sistemi di localizzazione siano installati per consentire la concreta ed effettiva attuazione della prestazione lavorativa  (cioè la stessa non possa essere resa senza ricorrere all’uso di tali strumenti), ovvero del caso in cui l’installazione sia richiesta da specifiche normative di carattere legislativo o regolamentare (es. uso dei sistemi GPS per il trasporto di portavalori superiore a euro 1.500.000,00).

  1. Software usati nei call center

Altra categoria problematica e di cui si è occupato l’INL (Circolare n. 4 del 26/07/2017è costituita dai sistemi di gestione dell’anagrafica del cliente e dei dati relativi ai rapporti contrattuali in essere con il gestore telefonico che rendono più completa l’informazione e più efficiente la relazione tra il chiamante e l’operatore. In sostanza, si tratta di archivi informatici che sostituiscono il fascicolo cartaceo del cliente e consentono di avere a disposizione tutti i dati necessari a evadere le richieste avanzate da questi, gestione che sarebbe più difficoltosa in caso di ricerca manuale dei dati dello stesso. Software del genere, che consentono “il mero accoppiamento fra la chiamata e l’anagrafica del cliente senza possibili ulteriori elaborazioni” possono essere considerati uno strumento che serve al lavoratore per rendere la prestazione lavorativa. 

Accanto a tali sistemi sono individuabili ulteriori software che, invece, raccolgono ed elaborano in tempo reale i dati relativi agli stati di attività telefonica di ciascun operatore (libero, non disponibile, in pausa) e i tempi medi di evasione delle diverse lavorazioni, che quantificano la produttività giornaliera per ogni servizio reso, il tempo dedicato al lavoro per ciascuna commessa e le pause effettuate da ogni singolo lavoratore. Questi sistemi, funzionali a più o meno generiche esigenze produttive e lungi dall’essere indispensabili per lo svolgimento della prestazione, consentono di realizzare un monitoraggio continuo su tutti gli operatori e, pertanto, cadono sotto l’ambito di applicazione dell’art. 4 comma 1 St. lav.

Tale distinzione è stata ribadita anche dal Garante privacy (Provvedimento n. 139 del 09/03/2018secondo cui il sistema che gestisce le chiamate di un call center dedicato agli abbonati di un dato servizio e che non si limiti ad associare la chiamata e l’anagrafica del cliente per facilitare la gestione della richiesta dell’abbonato, ma consenta ulteriori elaborazioni (es. memorizzazioni di dati personali degli operatori ed estrazione di report), non può essere considerato uno strumento di lavoro utilizzato dall’operatore per rendere la prestazione; esso rientra tra gli strumenti diretti a soddisfare esigenze organizzative e produttive del datore di lavoro dai quali può derivare il controllo a distanza dei lavoratori.

  1. Computer aziendali e posta elettronica

Non sembra, invece, che ci siano dubbi sulla possibilità di qualificare come strumenti di lavoro i computer aziendali e le caselle di posta elettronica, essendo di norma beni necessari allo svolgimento della prestazione lavorativa. La giurisprudenza, infatti, è stata spesso chiamata a pronunciarsi sull’applicabilità o meno degli oneri di cui al comma 1 del nuovo articolo 4 in casi di licenziamento di dipendenti motivati dall’uso improprio di pc e posta elettronica emerso a seguito di controlli sugli accessi internet e sulla mail. Si pensi, ad esempio, al caso dell’impiegata amministrativa alla quale era stato contestato il prolungato uso per fini personali degli strumenti informatici aziendali, uso che aveva cagionato la contrazione di un virus da parte del sistema informatico della società con conseguente perdita di dati aziendali importanti (Tribunale di Roma, sentenza del 24/03/2017). 

In tale caso il giudice di merito ha spiegato che devono considerarsi strumenti di lavoro la posta elettronica e il pc concessi in un uso alla dipendente con mansioni di impiegata amministrativa in quanto beni necessari allo svolgimento della prestazione lavorativa. Ne consegue che la loro installazione non richiede gli adempimenti di natura amministrativa e sindacale previsti dal comma 1 dell’art. 4. Inoltre, i dati raccolti possono essere utilizzati dal datore a tutti i fini connessi al rapporto di lavoro, ivi compreso quello disciplinare, purché sia stata data al lavoratore adeguata informazione sulle modalità d’uso di tale strumentazione e di effettuazione dei controlli.

Controllo a distanza: gli obblighi imprescindibili del datore

Come anticipato, il comma 3 dell’art. 4 St. Lav. prevede che, sia che si tratti di impianti audiovisivi o altri strumenti di potenziale controllo a distanza sia che si tratti di strumenti di lavoro, i dati da questi raccolti sono utilizzabili a tutti i fini connessi al rapporto di lavoro (quindi, anche a quelli disciplinari) a due condizioni: 

a. adeguata informazione dei lavoratori attraverso una policy aziendale che spieghi le modalità d’uso degli strumenti e di effettuazione dei controlli;

b. rispetto della normativa sulla Privacy.

Ciò significa che in mancanza di una policy aziendale adeguata e in caso di raccolta e trattamento dei dati secondo modalità contrarie alla legge sulla privacy, i dati non possono essere utilizzati, ad esempio, in sede giudiziale per dimostrare l’illegittimità del comportamento del dipendente evinto dai dati raccolti dagli strumenti di lavoro e non.

Vediamo nel dettaglio come adempiere a tali obblighi.

  1. L’obbligo di informativa

L’obbligo di informativa impone di fare molta attenzione al contenuto della policyEssa, infatti, deve contenere l’indicazione degli strumenti che consentono il controllo a distanza nelle loro caratteristiche e funzionamento, le modalità e le regole di utilizzo di tali strumenti, il tipo di controlli che potranno essere effettuati dall’azienda, i dati conservati e i soggetti abilitati ad accedervi, nonché le modalità e i tempi di conservazione dei dati stessi e le eventuali sanzioni che potranno essere comminate al dipendente/trasgressore.

Infatti, una policy incompleta o troppo generica rischia di invalidare le prove di un eventuale giudizio nel corso del quale sia, ad esempio, necessario provare un comportamento illecito del dipendente e idoneo a giustificare un licenziamento disciplinare. Si pensi al caso del dipendente licenziato perché, a seguito di un controllo sulla posta elettronica, era emersa la emissione da parte sua di fatture false (Tribunale di Roma, sentenza del 13/06/2018, n. 57668). In tal caso il giudice di merito ha negato l’utilizzabilità disciplinare e processuale dei dati ricavati dal controllo delle e-mail del dipendente perché la policy aziendale non aveva un contenuto informativo sulle modalità d’uso degli strumenti e di effettuazione dei controlli tale da soddisfare i requisiti richiesti dalla norma. In sostanza, come spiegato del giudice, la policy non può limitarsi a disciplinare l’uso della posta e a mettere in evidenza che la violazione delle regole può dar luogo a problemi di sicurezza informativa e di indebita diffusione di dati riservati, ma deve contenere un chiaro riferimento al possibile svolgimento dell’attività di controllo e alle relative modalità di utilizzo.

Una pronuncia analoga si è registratain un caso di licenziamento di un dipendente a causa di una massiccia consultazione di siti web di borsa e finanza che risultava estranea all’oggetto della prestazione lavorativa (Tribunale di Torino, sentenza del 19/09/2018, n. 1664). Il giudice di merito ha spiegato che l’informativa non deve ridursi ad un adempimento formale rivolto alla generalità dei lavoratori, ma deve essere esaustiva e adeguata: tale non è l’indicazione di istruzioni relative all’uso dello strumento tecnologico, non accompagnate dalla specifica individuazione delle modalità di utilizzo che comportano l’acquisizione dei dati. L’informativa, in sostanza, non è adeguata quando, rivolgendosi alla generalità dei dipendenti, si limiti a prescrivere direttive riguardanti tutte le tipologie di strumenti impiegati nell’organizzazione aziendale, non consentendo quindi al singolo lavoratore di capire di essere controllato. In altre parole, il lavoratore deve essere informato del fatto che una sua specifica attività (si pensi agli accessi a Internet) può essere controllata dal datore di lavoro secondo modalità che consentono, ad esempio, di verificare la tipologia dei siti Internet visitati e di accertare la durata degli accessi ai siti medesimi. Nella specie, ad esempio, al dipendente non era stato detto esplicitamente che i suoi accessi ad Internet avrebbero potuto formare oggetto di integrale ricostruzione e analisi da parte del datore di lavoro (mediante elaborazione dei file di log della navigazione web ottenuti da un proxy server).

  1. Il rispetto della normativa privacy

A differenza della vecchia versione, è lo stesso art. 4 a richiamare il rispetto del Codice della Privacy (D.Lgs. n. 196 del 2003) per l’utilizzabilità dei dati raccolti.

Il datore di lavoro può effettuate il trattamento dei dati personali dei propri dipendenti - diversi da quelli sensibili - purché siano rispettate le condizioni di liceità previste dall’art. 11 D.Lgs. 196/2003 e dall’art. 5 Regolamento UE 2016/679.

Le condizioni di liceità che attengono alle modalità di svolgimento del trattamento sono quelle di necessità e trasparenza.

Occorre, dunque, evitare modalità di controllo massivo, prolungato e indiscriminato dell’attività del dipendente, nonché assicurare che tale controllo si svolga secondo modalità predefinite e rese note all’interessato affinché sia pienamente consapevole non solo della tipologia di dati raccolti, ma anche delle modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati.

Per quanto riguarda, invece,i dati che possono formare oggetto di trattamento, le condizioni che devono essere rispettate sono quelle di pertinenza, adeguatezza e non eccedenza. I dati trattati devono, pertanto, essere solo quelli strettamente funzionali al perseguimento delle finalità dichiarate dal titolare del trattamento nell’informativa resa ai lavoratori.

La pertinenza e non eccedenza impongono, ad esempio, che il datore di lavoro debba preferire, ove possibile, l’utilizzo di dati anonimi, impiegando dati personali e identificativi solo nei casi in cui vi sia necessità di identificare il lavoratore. Non solo. I dati non devono essere archiviati per un periodo superiore a quanto indispensabile per il conseguimento delle finalità dichiarate nell’informativa e per l’eventuale adempimento di obblighi di legge. Da ciò consegue che il periodo di conservazione dei dati personali deve essere limitato al minimo necessario. L’adeguatezza, invece, impone che i dati raccolti siano formalmente idonei al raggiungimento dello scopo perseguito. 

Il caso: GPS installati su automezzi per raccolta rifiuti

Per meglio comprendere quanto detto nei paragrafi precedenti può essere utile esaminare un provvedimento del Garante privacy in merito all’applicazione dei principi generali in materia di trattamento dei dati dei dipendenti. 

Il caso riguarda la conformità alla normativa in materia di privacy dell’installazione di dispositivi di geolocalizzazione sugli automezzi di una società che svolge la raccolta e il trasporto di rifiuti anche speciali e pericolosi (Provvedimento del 19/07/2018, n. 427). Tale installazione è stata motivata da ragioni di sicurezza e di tutela dei beni e delle persone, considerato il forte tasso di criminalità dell’area in cui la società svolge l’attività.

Tali dispositivi permettono di visualizzare la posizione degli automezzi, di controllare il percorso, il tempo di guida e la velocità media tenuta da ogni veicolo, di avere un report riassuntivo in tempo reale dello stato degli automezzi, di avere un riassunto dei dati aggregati relativi ai mezzi monitorati e di aggiornare la posizione geografica dell’automezzo ogni due minuti.

Tali modalità di funzionamento del sistema di geolocalizzazione non sono ritenute dal Garante proporzionate agli scopi rappresentati dalla società in quanto questi “avrebbero potuto essere utilmente e legittimamente perseguiti con la raccolta di informazioni assai più limitate. Né è risultato conforme al principio di proporzionalità la integrale conservazione dei dati raccolti per un esteso periodo di tempo (365 giorni) in relazione alle finalità perseguite”.

È stato, inoltre, osservato che la società non ha neanche adottato, pur potendo, il dispositivo di disattivazione della rilevazione geografica (e della correlata memorizzazione dei dati raccolti) durante le pause dal lavoro: nel rispetto del principio di necessità, la posizione del veicolo di regola non dovrebbe essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite.

Conclusioni

La riforma dell’art. 4 è intervenuta in un momento in cui non era più possibile ignorare i riflessi delle innovazioni tecnologiche sui rapporti di lavoro: il controllo dei lavoratori, ormai, è possibile non solo attraverso le classiche telecamere, ma anche attraverso molteplici dispositivi che devono essere vagliati uno ad uno dal datore. Questi, infatti, è chiamato a stabilire preventivamente se tali dispositivi siano strumenti di lavoro o altro tipo di strumento dal quale derivi la possibilità di un controllo a distanza. Una volta fatta la distinzione, per i secondi bisognerà attivarsi per stipulare un accordo sindacale o, in mancanza, per conseguire l’autorizzazione dell’INL. Sia per gli uni che per gli altri è necessario fare molta attenzione alle modalità di raccolta e trattamento dei dati personali rilevati nonché elaborare una policy particolarmente dettagliata: l’inadempimento di tali obblighi rischia di invalidare le prove raccolte contro un lavoratore inadempiente e di renderle inutilizzabili in un eventuale processo.