Integriamo la scheda pubblicata in precedenza con quella, redatta in collaborazione con RG Avvocati, riguardante gli aspetti prettamente lavoristici – non pochi e per nulla banali – di novità del Decreto appena approvato, in vigore dal prossimo 13 agosto.
Buona lettura!
Il prossimo 13 agosto entrerà a tutti gli effetti in vigore, senza la previsione di alcun periodo di transizione, il nuovo D.Lgs. 104/2022 (cd. Decreto Trasparenza).
Il Decreto, emanato per recepire all’interno dell’ordinamento italiano la Direttiva Europea 2019/1152 (cd. Direttiva trasparenza) reca importanti novità in materia di obblighi – soprattutto infornativi ed integrativi – del datore di lavoro. Tali obblighi dovranno essere assolti, con riferimento ai nuovi assunti, al momento dell’instaurazione del rapporto di lavoro e comunque prima dell’inizio dell’attività lavorativa, mediante la consegna del contratto di lavoro redatto per iscritto o, in alternativa, della copia della comunicazione di instaurazione del rapporto di lavoro.
La finalità perseguita – prima a livello comunitario e poi interno – è quella di migrare verso forme di lavoro più trasparenti e prevedibili: in quest’ottica, la previsione di nuovi oneri in capo al datore di lavoro si configura come lo strumento operativo necessario al raggiungimento delle finalità sancite dalla normativa.
Le nuove disposizioni si applicano ad una vasta gamma di tipologie contrattuali (a titolo esemplificativo e non esaustivo, contratti di lavoro subordinato, somministrato, contratti di lavoro intermittente e co.co.co.) e, come già accennato, prevedono un aumento degli oneri posti in capo al soggetto qualificato, nell’ambito del rapporto, come datore di lavoro. Tali oneri possono sostanzialmente suddividersi in due categorie.
Da un lato vengono innanzitutto stabiliti obblighi di comunicazione inerenti al rapporto di lavoro, che impongo al datore di lavoro di comunicare – modo chiaro e trasparente e con modalità cartacea o digitale – informazioni quali, tra le altre, l’identità delle parti e il luogo di lavoro, la durata delle ferie e i modi per esercitare il diritto di recesso
Dall’altro lato, vengono introdotte novità anche in materia di tutela delle informazioni e dei dati personali relativi ai lavoratori.
Da questo punto di vista, il datore di lavoro sarà tenuto a:
Di notevole importanza anche la previsione di specifiche misure di tutela. In particolare:
Di seguito la nostra scheda riassuntiva dettagliata, relativa all’ambito privacy, a cui seguirà una ulteriore scheda in ambito lavoristico redatta in collaborazione con lo studio RG Avvocati.
___________________________________________
Immagine di copertina di Cytonn Photography grazie a Unsplash
Il prossimo 31 agosto la versione “emergenziale” dello smart working cesserà.
Con la fine del periodo emergenziale tramonterà anche il periodo “di favore” concesso alle aziende private allo scopo di fornire un accesso allo smart working – o, abbandonando ogni inglesismo, al cd. “lavoro agile” – semplificato dal punto di vista procedurale.
Nel corso degli ultimi due anni, infatti, l’accesso a tale modalità di lavoro è avvenuta attraverso un iter estremamente celere e scorrevole, rivelandosi sufficiente l’invio al Ministero del Lavoro e delle Politiche Sociali di apposito modulo contenente l’elencazione di tutti i lavoratori dell’azienda coinvolti nel passaggio di modalità.
Quindi, dal 1° settembre 2022 toneranno in vigore le regole dettate dalla legge n. 81/2017, integrate da quanto in ultimo stabilito dal “Protocollo nazionale sul lavoro in lavoro agile” del 7 dicembre 2021.
Già lo scorso marzo eravamo intervenuti sul tema con l’approfondimento “Lo smart working: nuova normalità”.
Tuttavia, alla luce dell’imminente cambio di normativa, ci sembra opportuno rispolverarne i passaggi fondamentali.
Nell’ultimo paragrafo, invece, trovate le attività concrete e operative da effettuare prima del 31 agosto, al fine di continuare ad accedere al “lavoro agile” correttamente.
La legge 22 maggio 2017, n. 81 reca – al capo II e con l’obiettivo di bilanciare le esigenze private e professionali del lavoratore – disposizioni in materia di lavoro agile, per tale intendendosi una modalità di lavoro flessibile, caratterizzata dall’assenza di particolari vincoli in termini di luogo e di orari di lavoro.
Rispetto alla procedura semplificata di matrice emergenziale, la legge sul lavoro agile risulta sicuramente più rigida e vincolante: la comunicazione complessiva dei nominativi sarà soppiantata dalla sottoscrizione di un accordo individuale con ciascuno dei lavoratori coinvolti.
Vincoli vengono poi imposti al datore di lavoro anche per quanto riguarda il contenuto di tale accordo.
Dovrà infatti figurare nel testo:
Il datore di lavoro, inoltre, deve inoltre fornire al lavoratore agile una informativa scritta per la sicurezza, una tutela contro gli infortuni sul lavoro e le malattie professionali per rischi connessi alla prestazione lavorativa resa all’esterno dell’azienda, nonché una tutela contro gli infortuni sul lavoro occorsi durante il normale percorso di andata e ritorno dal luogo di abitazione a quello prescelto.
Ad integrare la normativa è intervenuto, lo scorso 7 dicembre, il Protocollo nazionale sul lavoro agile, dettando regole e vincoli ulteriori.
Innanzitutto, vengono individuate informazioni aggiuntive da inserire nell’accordo di cui alla legge n.81/2017. Tra queste figurano, tra le altre, la durata dell’accordo e i luoghi eventualmente esclusi ai fini della prestazione lavorativa, l’alternanza con periodi di lavoro in sede e gli strumenti di lavoro, nonché i tempi di riposo e le forme di esercizio dei diritti sindacali.
Ribadisce inoltre gli elementi caratterizzanti il lavoro agile:
Per un passaggio lineare allo smart working – o per un suo mantenimento, laddove sia attualmente attivo –, un primo aspetto da tenere ben in conto attiene alla comunicazione: è difatti importantissimo avvisare i lavoratori di tale possibilità, preferibilmente attraverso l’organizzazione di incontri di approfondimento, finalizzati anche a comprendere, tra le altre cose, le preferenze e le disponibilità per quanto riguarda la il numero di giornate lavorative da destinarsi all’una o all’altra modalità di lavoro.
Allo stesso modo, particolare attenzione va riservata alla gestione della contrattazione individuale. Ogni lavoratore è difatti portatore di esigenze e desideri diversi, che diversamente impattano sulla buona riuscita del progetto.
Dovranno pertanto essere attentamente analizzati i bisogni di ciascun lavoratore, in modo tale da garantire che l’obiettivo fissato dal Legislatore – bilanciamento vita privata/lavoro, ma anche incremento della produttività – venga efficacemente raggiunto.
Alla luce di quanto detto, appare evidente che gli aspetti da tenere in conto sono numerosi e diversi, che non si limitano al solo ambito della normativa lavoristica ma ricomprendono anche aspetti privacy e sicurezza sul lavoro.
Al di là dei singoli accordi individuali, è consigliato – anzi, quasi necessario – stilare un regolamento interno che riporti le logiche aziendali poste alla base dell’organizzazione dello smart working nonché predisporre e/o revisionare il regolamento d’uso degli strumenti aziendali e il codice disciplinare.
Per questa ragione, il suggerimento è quello di coinvolgere, sempre e sin dall’inizio, tutti i consulenti e i referenti aziendali di volta in volta interessati dall’innovazione o cambiamento, in modo tale staccarsi sempre più dal concetto di “emergenza”, rendendo sempre più “normale” il ricorso a questa forma agile di lavoro.
_________________________________________
Immagine di copertina di Austin Distel grazie a Unsplash
Lo Statuto dei lavoratori prevede il generale divieto di controlli a distanza dei dipendenti, ma, allo stesso tempo, all’art. 4, consente l’utilizzo, tra gli altri strumenti, di impianti audiovisivi a fini di controllo per esigenze organizzative e produttive, per la sicurezza del lavoro e per ragioni di tutela del patrimonio aziendale.
La materia è stata riformata – come noto – dal Jobs Act, che ha integrato le norme previgenti ed in particolare proprio l’art. 4 (al secondo comma) con l’introduzione di un riferimento ai controlli sugli strumenti impiegati per rendere la prestazione lavorativa e di registrazione degli accessi e delle presenze, a cui non si applicano i vincoli generali di cui al comma primo.
Di conseguenza, gli “strumenti” (tecnologici, per lo più) impiegati dal lavoratore per rendere la propria prestazione lavorativa – quali computer, tablet, cellulari, telepass – possono divenire fonte di controllo a distanza, da parte del datore di lavoro, anche senza il previo accordo con i sindacati o l’autorizzazione dell’Ispettorato del lavoro.
In proposito non è da trascurare anche la questione della liceità della geolocalizzazione sull’auto aziendale in uso ai dipendenti, che è stata affrontata, di recente, dalla giurisprudenza italiana (si veda da ultimo Corte d’Appello di Roma nella Sentenza n. 641/2021).
L’utilizzo degli strumenti di controllo a distanza è – in sostanza – tendenzialmente legittimo solo a determinate condizioni e nel rispetto di ben specifici vincoli e impostazioni, che andiamo di seguito a esaminare.
Dal punto di vista giuslavoristico, il datore di lavoro e le rappresentanze sindacali unitarie (“RSU”) o aziendali (“RSA”) devono sottoscrivere un accordo collettivo contenente la regolamentazione del funzionamento dell’utilizzo dell’impianto di videosorveglianza.
Se l’accordo non è raggiunto, o nel caso in cui in azienda non siano presenti RSU o RSA, il datore di lavoro deve rivolgersi all’Ispettorato del Lavoro territoriale per chiedere un’autorizzazione all’installazione dell’impianto, depositando un’istanza motivata. L’autorizzazione dell’ispettorato oppure l’accordo sindacale sono necessari anche se l’impianto entra in vigore nelle fasce orarie in cui l’azienda è vuota, ed è irrilevante che l’impianto installato non sia funzionante.
Dal punto di vista della privacy, sul tema, è previsto che il titolare del trattamento, in conformità con il principio di responsabilizzazione di cui all´art. 24 GDPR, debba valutare la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia nonché la necessità di effettuare, in particolare, una valutazione di impatto ex art. 35 del GDPR oppure attivare la consultazione preventiva ai sensi dell´art. 36 del GDPR.
I dipendenti devono essere certamente portati a conoscenza dell’installazione dell’impianto grazie a un comunicato o a un cartello informativo (“informativa minima”) e anche grazie ad un’informativa estesa contenente l’indicazione e dati di contatto del titolare del trattamento e del Data Protection Officer (“DPO”), se presente, nonché le finalità del trattamento.
Nello stesso senso, anche l’impostazione e il direzionamento delle telecamere che formano l’impianto non può trascurare i principi di minimizzazione e limitazione del trattamento, pertanto ponendo grande attenzione a cosa, e soprattutto chi, viene ripreso (ad esempio, escludendo la pubblica via per quanto possibile e riducendo il campo di copertura alle sole parti dell’azienda utili alla finalità prevista).
Buona regola, infine, è quella di istruire per iscritto tutti i soggetti (interni o esterni, come la società che svolge la vigilanza diurna o notturna) dei vincoli e delle necessarie attenzioni alla riservatezza che essi devono porre nel visionare, dal vivo come in remoto, le immagini raccolte dall’impianto di videosorveglianza.
Nelle ipotesi in cui la possibilità di individuare in un dato momento la posizione dei veicoli, e, di conseguenza, dei lavoratori, mediante sistemi di localizzazione, possa rivelarsi utile per soddisfare esigenze organizzative, produttive, nonché per esigenze di sicurezza sul lavoro, devono essere rispettate sia la disciplina sulla protezione dei dati personali, sia la normativa a tutela dei lavoratori, tenuto conto anche che la localizzazione dei veicoli potrebbe comportare una forma di controllo a distanza della loro attività.
L’esplicito richiamo effettuato dall’art. 4 co. 3 dello Statuto dei lavoratori alle disposizioni di cui al Codice Privacy (ora da intendersi, naturalmente, anche al GDPR), in particolare a quello relativo all’obbligo di rilascio dell’informativa, classifica, di fatto, l’attività di geolocalizzazione come trattamento dei dati personali, qualora la rilevazione dei dati dal dispositivo consenta di raccogliere informazioni sui singoli dipendenti – identificati o identificabili – e lo sottopone a tutte le relative disposizioni.
Il GDPR introduce, a seguire, una serie di principi generali, che costituiscono la base di riferimento per la realizzazione di ogni tipologia di trattamento di dati personali realizzata dal titolare del trattamento, compresa la rilevazione della posizione del dipendente in orario di lavoro mediante l’utilizzo di dispositivi GPS che possano integrare gli estremi del controllo a distanza e che muovono dai principi di “privacy by design” e “privacy by default”.
Per il conseguimento di ciascuna delle finalità legittimamente perseguite dal datore di lavoro, che riveste la qualità di titolare del trattamento, possono formare oggetto di trattamento, mediante sistemi opportunamente configurati, solo i dati pertinenti e non eccedenti: tali possono essere, oltre all’ubicazione del veicolo, la distanza percorsa, i tempi di percorrenza, il carburante consumato, la velocità media del veicolo.
Nel rispetto del principio di necessità, inoltre, la posizione del veicolo non deve essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite.
Il principio di necessità, ai sensi del quale la posizione del veicolo può essere monitorata solo quando ciò si renda indispensabile per il perseguimento delle finalità previste, si applica allo stesso modo alla localizzazione dei dispositivi mobili in possesso dei dipendenti.
Bisogna considerare, in questo caso, anche che, ad esempio, lo smartphone è, per le sue caratteristiche, inevitabilmente destinato a “seguire” la persona che lo possiede, indipendentemente dalla distinzione fra tempo di lavoro e tempo di non-lavoro.
Il Garante ha però chiesto, in successivi provvedimenti sul tema, a maggiore tutela dei lavoratori, di posizionare sul dispositivo un’icona che indichi che la localizzazione è attiva e di configurare il sistema in modo tale da oscurare la posizione geografica dei dipendenti decorso un dato periodo di inattività dell’operatore sul monitor della centrale operativa.
I dati raccolti dal sistema possono essere consultati dagli addetti alla centrale operativa e dalla direzione informatica della società muniti di apposite credenziali e profili autorizzativi, in particolare per l’estrazione dei dati.
A ulteriore tutela dei dipendenti deve essere escluso l’utilizzo dei dati per finalità di controllo dei lavoratori o per scopi disciplinari. La società deve fornire, in ogni caso, ai dipendenti, un’idonea informativa che consenta l’esercizio dei diritti.
______________________________________________
Photo by Tobias Tullius on Unsplash
La gran parte degli standard di compliance – e, in particolare, le ISO – prevedono tra i propri requisiti quello di una regolamentazione – scritta e formale – dei processi che ciascun operatore aziendale è tenuto a seguire e rispettare. Anche in assenza di conformità ISO, tuttavia, è buona norma – ed anzi, come vedremo, assolutamente necessario – prevedere un regolamento operativo interno per tutti coloro che accedono ai servizi e strumenti aziendali.
L’uso (e abuso) di tali strumenti, infatti, può comportare importanti conseguenze per il patrimonio aziendale, la stessa immagine e il “brand” del’impresa, per non tralasciare la (in)utilizzabilità di elementi di prova a propria tutela in sede giudiziale.
Una recente decisione dell’Autorità Garante italiana ci offre allora lo spunto per approfondire il contenuto e l’utilità di questo documento operativo, che deve essere necessariamente pratico, efficace e ben scritto, oltre che rispettoso della normativa vigente in ambito lavoristico e privacy.
Con un provvedimento datato 10 febbraio 2022 il Garante si è pronunciato in merito al reclamo proposto da un ex dipendente di una società (di cui era Amministratore Delegato, e da cui è stato licenziato), per violazione della disciplina privacy posta in essere dal datore di lavoro dopo la cessazione del loro rapporto.
Il tema, particolarmente delicato, è quello dei limiti entro i quali una società può lecitamente trattare i dati dei suoi dipendenti, in questo caso ex-dipendenti, senza ledere la loro legittima aspettativa alla riservatezza.
Oggetto di contestazione, tra gli altri, è stata la mancata cancellazione da parte del datore di lavoro dell’account di posta elettronica aziendale in uso (e intestato) al dipendente, e ciò senza che alcuna comunicazione informativa sia stata fornita dalla società in merito alla possibilità che la stessa potesse, in determinati casi e a certe condizioni, accedere all’account di posta elettronica aziendale del lavoratore, anche dopo l’interruzione del rapporto.
Va ricordato in proposito che, per costante giurisprudenza sia del Garante che di Cassazione, la casella di posta elettronica assegnata da una azienda ad un proprio dipendente è, a tutti gli effetti, uno strumento di lavoro ed in quanto tale è astrattamente accessibile da parte del datore di lavoro, a condizione però che il dipendente sia debitamente e preventivamente informato in maniera espressa di tale possibilità mediante l’adozione di un adeguato regolamento aziendale, oltre che di idonea informativa ai sensi del GDPR.
Il Jobs Act, attraverso la riscrittura dell’art. 4, L. n. 300/1970 – cd. Statuto dei lavoratori– prevede tale possibilità, quella cioè di operare controlli su tutti quegli strumenti di lavoro utilizzati dal dipendente per rendere la propria prestazione lavorativa anche senza previo accordo con le rappresentanze sindacali, anche laddove essi siano tecnicamente suscettibili di configurare un “controllo a distanza” (come nel caso di posta elettronica, appunto). Resta tuttavia fermo l’obbligo per il datore di lavoro di fornire adeguata informazione circa le modalità e l’uso degli strumenti di controllo, nonché l’obbligo di rispettare la normativa privacy.
Proprio entro gli stretti confini del meccanismo “informativa-controllo” anche la Suprema Corte di Cassazione e la Corte Europea dei Diritti dell’Uomo, di recente rispettivamente con le pronunce n. 26682/2017 e n. 61496/2018, ammettono che il datore di lavoro possa legittimamente controllare la posta elettronica del dipendente e, se del caso, dell’ex lavoratore.
L’obiettivo è quello di provare a contemperare due diverse ma importantissime esigenze, quella del datore di lavoro di accedere ad informazioni necessarie per la gestione della propria attività e di effettuare controlli (cd. difensivi), e quella del lavoratore a veder tutelata la riservatezza della propria corrispondenza.
Nel caso esaminato dal Garante non è stato tuttavia riscontrato un equilibrio nel binomio “informativa-controllo”: addirittura, dagli atti emerge come non fosse disponibile a livello aziendale alcun documento definitivo da poter sottoporre ai dipendenti in termini di informativa, ma solo una bozza (probabilmente dimenticata in qualche cassetto o cartella del server aziendale).
A nulla in proposito sono allora valsi i chiarimenti della società secondo i quali spettava proprio all’ex dipendente – in qualità di amministratore – l’adozione del regolamento aziendale, concernente, tra l’altro, anche la regolamentazione dell’uso dell’account di posta elettronica e la nomina di un amministratore di sistema competente a visionare i messaggi in entrata negli account aziendali per conto della società.
E’ solo quest’ultima, in qualità di Titolare del trattamento, che aveva l’onere di procedere conformemente alla normativa, non potendo addossare alcunchè alla persona fisica ricoprente il ruolo di AD: ferma restando infatti una eventuale responsabilità civile del dipendente nei confronti dell’azienda, il Garante chiarisce che la responsabilità derivante dall’inadempimento dell’obbligo di informativa ex artt. 5, par.1 lett a) 12 e 13 GDPR – ricade pur sempre sulla società.
Pertanto, acclarata e dichiarata l’illiceità del trattamento, alla luce dei poteri di controllo previsti dall’art. 58, par.2 GDPR, il Garante ha disposto nei confronti della società una sanzione amministrativa pecuniaria di ben 10.000 euro.
È in casi come quello evidenziato dal provvedimento del Garante che risulta evidente l’importanza, in ambito aziendale, di dotarsi di un disciplinare tecnico sull’utilizzo degli strumenti di lavoro elettronici, di una policy interna i cui vengono dettate le prescrizioni a cui i lavoratori devono attenersi nell’utilizzo degli strumenti elettronici aziendali loro assegnati.
Come farlo, in pratica? Sicuramente tramite una revisione degli strumenti utilizzati in concreto, e non in astratto, seguita dalla costruzione di un testo semplice, chiaro e possibilmente “a schede” o comunque organizzato per tematiche omogenee.
I fiumi di testo, come più volte hanno precisato sia il Garante italiano che gli altri omologhi europei e l’EDPB, a poco servono e poco trasmettono ai dipendenti, quanto a precetti semplici e chiari da porre in pratica nel comportamento tenuto ogni giorno al lavoro.
Non va dimenticato che questo “regolamento” si deve coordinare con altri testi aziendali, quali il Codice etico, il Codice disciplinare, le procedure interne predisposte a vario titolo (es. D. Lgs. 231/2001) e, non ultimo, l’eventuale “Regolamento Smart Working“.
Una breve e certamente incompleta “checklist” di contenuti del Regolamento interno potrebbe essere allora la seguente:
Non va poi dimenticato che, accanto alle istruzioni “positive” nei confronti dei dipendenti e collaboratori dell’impresa, è opportuno anche chiarire con precisione il quadro dei sistemi di controllo – ove presenti – e delle sanzioni disciplinari conseguenti alla violazione delle indicazioni fornite.
In ultimo, ma non meno importante – come ha evidenziato lo stesso provvedimento del Garante – tale regolamento va efficacemente portato all’attenzione di tutti, sia inviandolo a mezzo e-mail e/o rendendolo disponibile mediante affissione, che attraverso incontri di formazione e spiegazione dei suoi contenuti.
_________________________________________________
Photo by Nick Loggie on Unsplash