Articoli

Controlli a distanza: il punto tra privacy e diritto del lavoro

Lo Statuto dei lavoratori prevede il generale divieto di controlli a distanza dei dipendenti, ma, allo stesso tempo, all’art. 4, consente l’utilizzo, tra gli altri strumenti, di impianti audiovisivi a fini di controllo per esigenze organizzative e produttive, per la sicurezza del lavoro e per ragioni di tutela del patrimonio aziendale.

La materia è stata riformata – come noto – dal Jobs Act, che ha integrato le norme previgenti ed in particolare proprio l’art. 4 (al secondo comma) con l’introduzione di un riferimento ai controlli sugli strumenti impiegati per rendere la prestazione lavorativa e di registrazione degli accessi e delle presenze, a cui non si applicano i vincoli generali di cui al comma primo.

Di conseguenza, gli “strumenti” (tecnologici, per lo più) impiegati dal lavoratore per rendere la propria prestazione lavorativa – quali computer, tablet, cellulari, telepass – possono divenire fonte di controllo a distanza, da parte del datore di lavoro, anche senza il previo accordo con i sindacati o l’autorizzazione dell’Ispettorato del lavoro.

In proposito non è da trascurare anche la questione della liceità della geolocalizzazione sull’auto aziendale in uso ai dipendenti, che è stata affrontata, di recente, dalla giurisprudenza italiana (si veda da ultimo Corte d’Appello di Roma nella Sentenza n. 641/2021).

L’utilizzo degli strumenti di controllo a distanza è – in sostanza – tendenzialmente legittimo solo a determinate condizioni e nel rispetto di ben specifici vincoli e impostazioni, che andiamo di seguito a esaminare.

Videosorveglianza

Dal punto di vista giuslavoristico, il datore di lavoro e le rappresentanze sindacali unitarie (“RSU”) o aziendali (“RSA”) devono sottoscrivere un accordo collettivo contenente la regolamentazione del funzionamento dell’utilizzo dell’impianto di videosorveglianza.

Se l’accordo non è raggiunto, o nel caso in cui in azienda non siano presenti RSU o RSA, il datore di lavoro deve rivolgersi all’Ispettorato del Lavoro territoriale per chiedere un’autorizzazione all’installazione dell’impianto, depositando un’istanza motivata. L’autorizzazione dell’ispettorato oppure l’accordo sindacale sono necessari anche se l’impianto entra in vigore nelle fasce orarie in cui l’azienda è vuota, ed è irrilevante che l’impianto installato non sia funzionante.

Dal punto di vista della privacy, sul tema, è previsto che il titolare del trattamento, in conformità con il principio di responsabilizzazione di cui all´art. 24 GDPR, debba valutare la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia nonché la necessità di effettuare, in particolare, una valutazione di impatto ex art. 35 del GDPR oppure attivare la consultazione preventiva ai sensi dell´art. 36 del GDPR.

I dipendenti devono essere certamente portati a conoscenza dell’installazione dell’impianto grazie a un comunicato o a un cartello informativo (“informativa minima”) e anche grazie ad un’informativa estesa contenente l’indicazione e dati di contatto del titolare del trattamento e del Data Protection Officer (“DPO”), se presente, nonché le finalità del trattamento.

Nello stesso senso, anche l’impostazione e il direzionamento delle telecamere che formano l’impianto non può trascurare i principi di minimizzazione e limitazione del trattamento, pertanto ponendo grande attenzione a cosa, e soprattutto chi, viene ripreso (ad esempio, escludendo la pubblica via per quanto possibile e riducendo il campo di copertura alle sole parti dell’azienda utili alla finalità prevista).

Buona regola, infine, è quella di istruire per iscritto tutti i soggetti (interni o esterni, come la società che svolge la vigilanza diurna o notturna) dei vincoli e delle necessarie attenzioni alla riservatezza che essi devono porre nel visionare, dal vivo come in remoto, le immagini raccolte dall’impianto di videosorveglianza.

Gps sui veicoli in uso ai dipendenti

Nelle ipotesi in cui la possibilità di individuare in un dato momento la posizione dei veicoli, e, di conseguenza, dei lavoratori, mediante sistemi di localizzazione, possa rivelarsi utile per soddisfare esigenze organizzative, produttive, nonché per esigenze di sicurezza sul lavoro, devono essere rispettate sia la disciplina sulla protezione dei dati personali, sia la normativa a tutela dei lavoratori, tenuto conto anche che la localizzazione dei veicoli potrebbe comportare una forma di controllo a distanza della loro attività.

L’esplicito richiamo effettuato dall’art. 4 co. 3 dello Statuto dei lavoratori alle disposizioni di cui al Codice Privacy (ora da intendersi, naturalmente, anche al GDPR), in particolare a quello relativo all’obbligo di rilascio dell’informativa, classifica, di fatto, l’attività di geolocalizzazione come trattamento dei dati personali, qualora la rilevazione dei dati dal dispositivo consenta di raccogliere informazioni sui singoli dipendenti – identificati o identificabili – e lo sottopone a tutte le relative disposizioni.

Il GDPR introduce, a seguire, una serie di principi generali, che costituiscono la base di riferimento per la realizzazione di ogni tipologia di trattamento di dati personali realizzata dal titolare del trattamento, compresa la rilevazione della posizione del dipendente in orario di lavoro mediante l’utilizzo di dispositivi GPS che possano integrare gli estremi del controllo a distanza e che muovono dai principi di “privacy by design” e “privacy by default”.

Per il conseguimento di ciascuna delle finalità legittimamente perseguite dal datore di lavoro, che riveste la qualità di titolare del trattamento, possono formare oggetto di trattamento, mediante sistemi opportunamente configurati, solo i dati pertinenti e non eccedenti: tali possono essere, oltre all’ubicazione del veicolo, la distanza percorsa, i tempi di percorrenza, il carburante consumato, la velocità media del veicolo.

Nel rispetto del principio di necessità, inoltre, la posizione del veicolo non deve essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite.

Geolocalizzazione di smartphone, tablet e dispositivi mobili

Il principio di necessità, ai sensi del quale la posizione del veicolo può essere monitorata solo quando ciò si renda indispensabile per il perseguimento delle finalità previste, si applica allo stesso modo alla localizzazione dei dispositivi mobili in possesso dei dipendenti.

Bisogna considerare, in questo caso, anche che, ad esempio, lo smartphone è, per le sue caratteristiche, inevitabilmente destinato a “seguire” la persona che lo possiede, indipendentemente dalla distinzione fra tempo di lavoro e tempo di non-lavoro.

Il Garante ha però chiesto, in successivi provvedimenti sul tema, a maggiore tutela dei lavoratori, di posizionare sul dispositivo un’icona che indichi che la localizzazione è attiva e di configurare il sistema in modo tale da oscurare la posizione geografica dei dipendenti decorso un dato periodo di inattività dell’operatore sul monitor della centrale operativa.

I dati raccolti dal sistema possono essere consultati dagli addetti alla centrale operativa e dalla direzione informatica della società muniti di apposite credenziali e profili autorizzativi, in particolare per l’estrazione dei dati.

A ulteriore tutela dei dipendenti deve essere escluso l’utilizzo dei dati per finalità di controllo dei lavoratori o per scopi disciplinari. La società deve fornire, in ogni caso, ai dipendenti, un’idonea informativa che consenta l’esercizio dei diritti.

______________________________________________

Photo by Tobias Tullius on Unsplash

Regolamento operativo per i dipendenti: una buona pratica aziendale

La gran parte degli standard di compliance – e, in particolare, le ISO – prevedono tra i propri requisiti quello di una regolamentazione – scritta e formale – dei processi che ciascun operatore aziendale è tenuto a seguire e rispettare. Anche in assenza di conformità ISO, tuttavia, è buona norma – ed anzi, come vedremo, assolutamente necessario – prevedere un regolamento operativo interno per tutti coloro che accedono ai servizi e strumenti aziendali.

L’uso (e abuso) di tali strumenti, infatti, può comportare importanti conseguenze per il patrimonio aziendale, la stessa immagine e il “brand” del’impresa, per non tralasciare la (in)utilizzabilità di elementi di prova a propria tutela in sede giudiziale.

Una recente decisione dell’Autorità Garante italiana ci offre allora lo spunto per approfondire il contenuto e l’utilità di questo documento operativo, che deve essere necessariamente pratico, efficace e ben scritto, oltre che rispettoso della normativa vigente in ambito lavoristico e privacy.

La vicenda

Con un provvedimento datato 10 febbraio 2022 il Garante si è pronunciato in merito al reclamo proposto da un ex dipendente di una società (di cui era Amministratore Delegato, e da cui è stato licenziato), per violazione della disciplina privacy posta in essere dal datore di lavoro dopo la cessazione del loro rapporto.

Il tema, particolarmente delicato, è quello dei limiti entro i quali una società può lecitamente trattare i dati dei suoi dipendenti, in questo caso ex-dipendenti, senza ledere la loro legittima aspettativa alla riservatezza.

Oggetto di contestazione, tra gli altri, è stata la mancata cancellazione da parte del datore di lavoro dell’account di posta elettronica aziendale in uso (e intestato) al dipendente, e ciò senza che alcuna comunicazione informativa sia stata fornita dalla società in merito alla possibilità che la stessa potesse, in determinati casi e a certe condizioni, accedere all’account di posta elettronica aziendale del lavoratore, anche dopo l’interruzione del rapporto.

Va ricordato in proposito che, per costante giurisprudenza sia del Garante che di Cassazione, la casella di posta elettronica assegnata da una azienda ad un proprio dipendente è, a tutti gli effetti, uno strumento di lavoro ed in quanto tale è astrattamente accessibile da parte del datore di lavoro, a condizione però che il dipendente sia debitamente e preventivamente informato in maniera espressa di tale possibilità mediante l’adozione di un adeguato regolamento aziendale, oltre che di idonea informativa ai sensi del GDPR.

Il Jobs Act, attraverso la riscrittura dell’art. 4, L. n. 300/1970 – cd. Statuto dei lavoratori– prevede tale possibilità, quella cioè di operare controlli su tutti quegli strumenti di lavoro utilizzati dal dipendente per rendere la propria prestazione lavorativa anche senza previo accordo con le rappresentanze sindacali, anche laddove essi siano tecnicamente suscettibili di configurare un “controllo a distanza” (come nel caso di posta elettronica, appunto). Resta tuttavia fermo l’obbligo per il datore di lavoro di fornire adeguata informazione circa le modalità e l’uso degli strumenti di controllo, nonché l’obbligo di rispettare la normativa privacy.

Proprio entro gli stretti confini del meccanismo “informativa-controllo” anche la Suprema Corte di Cassazione e la Corte Europea dei Diritti dell’Uomo, di recente rispettivamente con le pronunce n. 26682/2017 e n. 61496/2018, ammettono che il datore di lavoro possa legittimamente controllare la posta elettronica del dipendente e, se del caso, dell’ex lavoratore.

L’obiettivo è quello di provare a contemperare due diverse ma importantissime esigenze, quella del datore di lavoro di accedere ad informazioni necessarie per la gestione della propria attività e di effettuare controlli (cd. difensivi), e quella del lavoratore a veder tutelata la riservatezza della propria corrispondenza.

La decisione del Garante

Nel caso esaminato dal Garante non è stato tuttavia riscontrato un equilibrio nel binomio “informativa-controllo”: addirittura, dagli atti emerge come non fosse disponibile a livello aziendale alcun documento definitivo da poter sottoporre ai dipendenti in termini di informativa, ma solo una bozza (probabilmente dimenticata in qualche cassetto o cartella del server aziendale).

A nulla in proposito sono allora valsi i chiarimenti della società secondo i quali spettava proprio all’ex dipendente – in qualità di amministratore – l’adozione del regolamento aziendale, concernente, tra l’altro, anche la regolamentazione dell’uso dell’account di posta elettronica e la nomina di un amministratore di sistema competente a visionare i messaggi in entrata negli account aziendali per conto della società.

E’ solo quest’ultima, in qualità di Titolare del trattamento, che aveva l’onere di procedere conformemente alla normativa, non potendo addossare alcunchè alla persona fisica ricoprente il ruolo di AD: ferma restando infatti una eventuale responsabilità civile del dipendente nei confronti dell’azienda, il Garante chiarisce che la responsabilità derivante dall’inadempimento dell’obbligo di informativa ex artt. 5, par.1 lett a) 12 e 13 GDPR – ricade pur sempre sulla società.

Pertanto, acclarata e dichiarata l’illiceità del trattamento, alla luce dei poteri di controllo previsti dall’art. 58, par.2 GDPR, il Garante ha disposto nei confronti della società una sanzione amministrativa pecuniaria di ben 10.000 euro.

Come costruire un regolamento operativo valido ed efficace?

È in casi come quello evidenziato dal provvedimento del Garante che risulta evidente l’importanza, in ambito aziendale, di dotarsi di un disciplinare tecnico sull’utilizzo degli strumenti di lavoro elettronici, di una policy interna i cui vengono dettate le prescrizioni a cui i lavoratori devono attenersi nell’utilizzo degli strumenti elettronici aziendali loro assegnati.

Come farlo, in pratica? Sicuramente tramite una revisione degli strumenti utilizzati in concreto, e non in astratto, seguita dalla costruzione di un testo semplice, chiaro e possibilmente “a schede” o comunque organizzato per tematiche omogenee.

I fiumi di testo, come più volte hanno precisato sia il Garante italiano che gli altri omologhi europei e l’EDPB, a poco servono e poco trasmettono ai dipendenti, quanto a precetti semplici e chiari da porre in pratica nel comportamento tenuto ogni giorno al lavoro.

Non va dimenticato che questo “regolamento” si deve coordinare con altri testi aziendali, quali il Codice etico, il Codice disciplinare, le procedure interne predisposte a vario titolo (es. D. Lgs. 231/2001) e, non ultimo, l’eventuale “Regolamento Smart Working“.

Una breve e certamente incompleta “checklist” di contenuti del Regolamento interno potrebbe essere allora la seguente:

  • una sintetica descrizione della struttura aziendale (referenti diretti, funzioni rilevanti)
  • una scheda relativa alle definizioni utilizzate (es. “Titolare del trattamento” è l’azienda stessa)
  • chiarimento sui livelli di riservatezza delle informazioni aziendali
  • uso delle credenziali di accesso ai servizi (riservatezza e non diffusione)
  • come utilizzare i dispositivi aziendali in generale, tra cui computer, smartphone, chiavette usb ed altro
  • uso lecito della rete internet
  • focus particolare sulla casella e-mail (sia personale che, eventualmente, di gruppo)
  • una “social media policy” che contemperi la libertà di espressione del singolo con la tutela dell’immagine aziendale
  • una “clean desk policy” riguardo all’uso di supporti materiali e cartacei
  • istruzioni specifiche sulla gestione delle informazioni presenti su stampe e fotocopie

Non va poi dimenticato che, accanto alle istruzioni “positive” nei confronti dei dipendenti e collaboratori dell’impresa, è opportuno anche chiarire con precisione il quadro dei sistemi di controllo – ove presenti – e delle sanzioni disciplinari conseguenti alla violazione delle indicazioni fornite.

In ultimo, ma non meno importante – come ha evidenziato lo stesso provvedimento del Garante – tale regolamento va efficacemente portato all’attenzione di tutti, sia inviandolo a mezzo e-mail e/o rendendolo disponibile mediante affissione, che attraverso incontri di formazione e spiegazione dei suoi contenuti.

_________________________________________________

Photo by Nick Loggie on Unsplash

Controlli “difensivi”: legittimo l’uso dei dati solo se il lavoratore è correttamente informato

Con recente pronuncia (n. 25732/2021, consultabile QUI), la Corte di Cassazione è intervenuta su un tema spinoso, che riguarda il difficile bilanciamento tra la tutela della sfera di riservatezza del lavoratore e la garanzia di protezione dei beni aziendali (in senso lato).

I fatti di causa

Una lavoratrice, dipendente di una Fondazione, veniva licenziata – per giusta causa – per aver navigato continuativamente in internet a fini privati durante l’orario lavorativo, in particolare facendo accesso ad alcuni siti non sicuri fonte di diffusione di un virus nella rete aziendale, con successiva compromissione di vari dischi di rete ed files (c.d. data breach).

Dopo aver visto dapprima accolta la propria domanda di reintegrazione in primo grado, e successivamente rigettata la medesima domanda in sede di appello, la lavoratrice proponeva ricorso per Cassazione denunciando la violazione e la falsa applicazione, per ciò che qui rileva, dell’art. 4 dello Statuto dei Lavoratori e del Codice Privacy (n.b. i fatti si sono svolti in epoca antecedente sia all’entrata in vigore del GDPR, sia alla modifica dell’art. 4 St. Lav per opera del Jobs Act).

La tesi, in sostanza, poggiava sulla contestazione della decisione in appello di aver ritenuto utilizzabili, a fini disciplinari, le informazioni acquisite in violazione dei diritti, in particolare, di informativa, contenuti nell’allora vigente Codice Privacy (D. Lgs. 196/2003).

In effetti, l’Autorità Garante, investita della questione, aveva confermato la violazione degli obblighi di informativa e l’eccedenza del trattamento rispetto alle finalità ed aveva intimato alla Fondazione di astenersi da ulteriori trattamenti.

Veniva poi contestata la mancata tipizzazione del comportamento imputato alla lavoratrice tra gli illeciti disciplinari e tra le regole ed i principi del Codice Etico aziendale.

La disciplina dei controlli sui lavoratori

La vicenda in oggetto si concentra sull’ambito applicativo dei controlli sui lavoratori, la cui disciplina generale è dettata dall’art. 4 dello Statuto dei Lavoratori (L. 300 del 1970) nonché dal GDPR e dalle linee guida e pronunce sul tema dell’Autorità Garante.

L’art. 4 St. Lav. citato, in particolare, ha subito una radicale riforma nel 2015: l’originaria versione dello stesso, applicabile ratione temporis alla vicenda in oggetto, prevedeva un generale divieto di uso di strumenti di controllo a distanza.

Nel corso degli anni però la giurisprudenza, a tutela del patrimonio e dell’immagine aziendale, aveva determinato che i c.d. “controlli difensivi”, cioè i controlli effettuati dopo l’attuazione del comportamento illecito, e quindi dopo l’insorgenza del sospetto in merito al comportamento scorretto, non fossero soggetti a tale divieto, pur nel rispetto dei principi di buona fede e correttezza.

La riforma dell’art. 4 St. Lav. ha fatto cadere il precedente divieto, prevedendo la possibilità per il datore di lavoro di effettuare controlli sui lavoratori nel rispetto di determinate modalità ed a condizioni tassative.

Tuttavia, ai fini dell’utilizzabilità dei dati raccolti (anche a scopo disciplinare), è condizione necessaria, a prescindere dallo strumento di controllo utilizzato, fornire al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli.

La decisione della Corte

La Corte ha accolto il ricorso della lavoratrice: attraverso un’approfondita disamina giuridica sull’ambito di applicazione dei controlli difensivi pre e post riforma, le doglianze della lavoratrice sono state ritenute fondate in quanto, in sentenza: (i) non era stato verificato se i dati di navigazione fossero stati raccolti prima o dopo l’insorgere del fondato sospetto (ii) non era stato valutato il corretto bilanciamento tra le esigenze di protezione dei beni aziendali rispetto alle imprescindibili tutele della dignità e riservatezza del lavoratore.

Nello specifico, viene sottolineato che il datore di lavoro potrebbe, in difetto di adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli, nonché senza il rispetto della normativa sulla privacy, acquisire e conservare per lungo tempo ed ininterrottamente ogni tipologia di dato e, poi, invocare la natura mirata e successiva del controllo.

A parere della Suprema Corte, la Corte d’Appello aveva anche omesso di verificare l’utilizzabilità dei dati raccolti ai fini disciplinari, sempre in mancanza di adeguata informativa.

La sentenza in oggetto, nel confermare che sono consentiti i controlli, anche tecnologici, posti in essere dal datore di lavoro e finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti in presenza di un fondato sospetto, ribadisce l’importanza di un corretto bilanciamento tra:

  • da un lato, le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, e
  • dall’altro, le imprescindibili tutele della dignità e della riservatezza del lavoratore, per cui il controllo mirato sul singolo lavoratore deve riguardare dati acquisiti successivamente all’insorgere del sospetto.

In mancanza delle condizioni suddette, i dati raccolti non possono essere utilizzati ai fini disciplinari in conformità a quanto statuito dall’art. 4 St. Lav., in particolare dai commi 2 e 3.

Un’informativa adeguata

L’utilizzabilità delle informazioni e dei dati acquisiti, a tutti i fini connessi al rapporto di lavoro, anche disciplinari, dipende, in sostanza, dall’adeguatezza dell’informativa fornita.

Ma in cosa consiste un’informativa “adeguata”?

Prima di tutto, l’informativa deve – oggi – riportare tutti gli elementi previsti dall’art. 13 GDPR, e non limitarsi a fare generici riferimenti a finalità, relative basi giuridiche e tempi di conservazione, ma essere specifica e ben dettagliata, oltre che leggibile, chiara e comprensibile nella sua formulazione grafica e testuale.

Per quanto riguarda la navigazione in internet, fermo restando il divieto di controllo indiscriminato della navigazione (v. Newsletter Garante Privacy 22.06.2021: l’episodio riguarda il Comune di Bolzano, sanzionato per Euro 84.000,00), la raccolta dei dati di navigazione è legittima e può essere utilizzata in funzione disciplinare contro il lavoratore, purché egli ne sia informato e quindi consapevole dell’effettuazione di controlli, delle modalità degli stessi, dei comportamenti consentiti o meno e delle conseguenze disciplinari e/o penali correlate.

L’informativa dovrà essere coordinata e coerente con il disciplinare interno, il quale deve essere redatto in modo chiaro e adeguatamente pubblicizzato.

Si segnala che il Garante ha emanato, già nel 2007, delle linee guida sull’utilizzo della posta elettronica e di internet nel rapporto di lavoro (consultabile QUI) cui è possibile fare riferimento.

______________________________________

Photo by Alex Kotliarskyi on Unsplash