Smart working e privacy, cosa è lecito per il datore - Riskmanagement

Normative

Smart working e privacy, cosa è lecito per il datore di lavoro

La modalità di lavoro definita “agile” è stata introdotta dalla Legge n.81/2017 e prevede l’alternanza di attività per il lavoratore tra il proprio domicilio e la sede aziendale. L’attività a distanza pone però alcuni interrogativi riguardo la privacy

15 Mar 2021

Andrea Citterio

Privacy Officer

Con l’emergenza sanitaria si è visto l’incremento forzato del lavoro in modalità Agile. In realtà la normativa aveva già anticipato i tempi prevedendo l’istituto dello smart working, quale modalità di esecuzione della prestazione lavorativa, attraverso la Legge n.81/2017 all’art.18 previsto “allo scopo di incrementare la competitività e agevolare la conciliazione dei tempi di vita e di lavoro” promuovendo quindi “il lavoro agile quale modalità di esecuzione del rapporto di lavoro subordinato stabilita mediante accordo tra le parti, anche con forme di organizzazione per fasi, cicli e obiettivi e senza precisi vincoli di orario o di luogo di lavoro, con il possibile utilizzo di strumenti tecnologici per lo svolgimento dell’attività lavorativa… la prestazione lavorativa viene eseguita, in parte all’interno di locali aziendali e in parte all’esterno senza una postazione fissa, entro i soli limiti di durata massima dell’orario di lavoro giornaliero e settimanale, derivanti dalla legge e dalla contrattazione collettiva”. Uno degli aspetti non citati dalla normativa e che riguardano il lavoratore smart è quello relativo alla privacy.

Smart working: controllo a distanza dei lavoratori e privacy

L’aspetto più importante da tenere in considerazione nel contratto esaminato riguarda la tipologia di svolgimento della prestazione la quale, dovendosi svolgere al di fuori dei locali dell’azienda, pone l’accento su aspetti oltre che giuslavoristici e di sicurezza nei luoghi di lavoro, anche di controllo da parte del datore sul lavoratore. Lo svolgimento di tale prestazione lavorativa rende difatti inevitabile il c.d. controllo a distanza.

INFOGRAFICA
Basta carta, perdite di tempo, sprechi di risorse: ecco il nuovo ufficio paperless!
Big Data
Cloud

Le tecnologie consentono di tracciare i dipendenti nei luoghi di lavoro e nelle loro abitazioni, attraverso numerosi dispositivi diversi, quali smartphone, computer, tablet. Qualora il trattamento non sia soggetto a restrizioni e non sia trasparente, sussiste il rischio elevato che il legittimo interesse del datore di lavoro al miglioramento dell’efficienza e alla protezione dei beni aziendali si trasformi in un monitoraggio ingiustificabile e intrusivo (cit. WP249 – Parere 2/2017 sul trattamento dei dati sul posto di lavoro).

La Legge n.81/2017 non regola né le forme di controllo del lavoratore smart né tantomeno le modalità di trattamento dei dati, rinviando semplicemente, attraverso quanto disposto dall’art.21 c.1, all’art.4 della Legge n.300/1970 e s.m.i. (c.d. Statuto dei Lavoratori).

L’art.4 dello Statuto dei Lavoratori, nella sua nuova formulazione, al comma 1 prevede che gli impianti audiovisivi dai quali derivi anche la possibilità di un controllo a distanza dell’operato dei lavoratori possano essere utilizzati per esigenze organizzative e produttive, alla sicurezza sul lavoro e all’esigenza della tutela del patrimonio aziendale, purché vi sia un accordo con le RSU o le RSA o previa autorizzazione dell’Ispettorato del Lavoro. È chiaro che nel nostro caso questa ipotesi è inapplicabile all’interno delle abitazioni private o dei luoghi pubblici presso i quali il lavoratore smart è autorizzato ad adempiere la prestazione lavorativa. Al comma 2 si prevede che le disposizioni di cui al comma 1 non si applicano “agli strumenti utilizzati per rendere la prestazione lavorativa”; ciò induce a ritenere che per questa ipotesi non è prevista nessuna autorizzazione o divieto salvo, in entrambi i casi, garantire, ai sensi del comma 3, che l’utilizzo delle informazioni raccolte è possibile purché venga fornita una “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal D.Lgs. 196/03”.

Questa interpretazione la ritroviamo nella definizione di strumento di lavoro che dà l’Ispettorato del Lavoro con la circolare n.2 del 07/11/2016 (sono strumenti di lavoro “gli apparecchi, dispositivi, apparati e congegni che costituiscono il mezzo indispensabile al lavoratore per adempiere la prestazione lavorativa e che per tale finalità sono stati messi a sua disposizione”) e il Garante della Privacy (sono strumenti di lavoro i dispositivi “utilizzati in via primaria ed essenziale per l’esecuzione dell’attività lavorativa”).

Quest’ultimo nel provvedimento sul “Trattamento di dati personali dei dipendenti mediante posta elettronica e altri strumenti di lavoro – 13 luglio 2016” afferma che “possono essere considerati “strumenti di lavoro” alla stregua della normativa sopra citata (qui il richiamo all´art. 4, comma 2, L.n. 300/1970, come modificato dall´art. 23 del D.Lg. n. 151/2015) il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale) e gli altri servizi della rete aziendale, fra cui anche il collegamento a siti internet. Costituiscono parte integrante di questi strumenti anche i sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore”. Qui vi rientrano ad esempio i sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta envelope del messaggio, per una breve durata non superiore comunque ai sette giorni; i sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l´erogazione dei servizi di rete; i sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso). Risulta pertanto chiaro che per le caselle di posta elettronica, nonché per i pc aziendali, non si richiede alcun tipo di autorizzazione come richiede l’art.4 comma 1 dello Statuto dei Lavoratori.

Il punto focale resta quindi il comma 3 secondo cui i dati raccolti dagli strumenti di lavoro sono utilizzabili anche ai fini connessi al rapporto di lavoro (il classico esempio è l’utilizzo di questi dati per promuovere azioni disciplinari) a condizione che sia data una adeguata informazione ai lavoratori e nel rispetto della vigente normativa sulla privacy. Nel primo caso il datore di lavoro può adottare uno specifico Regolamento interno che fornisca ai lavoratori le informazioni necessarie sull’utilizzo degli strumenti aziendali messi a disposizione dal datore, nonché la possibile attività di controllo in capo a quest’ultimo e una Informativa chiara ed esaustiva, ai sensi dell’art.13 del GDPR, che contempli le modalità d’uso degli strumenti messi a disposizione, le caratteristiche di funzionamento, le regole per il loro utilizzo, le possibili modalità di controllo, quali dati saranno conservati e chi sarà autorizzato a trattarli, i tempi di conservazione e i provvedimenti disciplinari eventualmente adottati.

Smart working: i principi del GDPR da rispettare

Il trattamento deve rispettare i principi sanciti dal GDPR e pertanto le informazioni raccolte devono essere:

  • pertinenti e non eccedenti la normale raccolta (il datore utilizzerà i dati personali solo laddove vi sia l’effettiva necessità di identificare il lavoratore, ad esempio, per promuovere una possibile azione disciplinare nei confronti di quest’ultimo per una sospetta violazione delle normativa in materia di lavoro);
  • adeguate (raccolte per lo scopo perseguito);
  • necessarie e trasparenti evitando una raccolta massiva, prolungata nel tempo o indiscriminata.

Ciò è richiamato anche dal provvedimento del Garante sopra citato secondo cui “il trattamento effettuato per il tramite di apparati (differenti dalle ordinarie postazioni di lavoro) e di sistemi software che consentono, con modalità non percepibili dall´utente (c.d. in background) e in modo del tutto indipendente rispetto alla normale attività dell´utilizzatore (cioè senza alcun impatto o interferenza sul lavoro del dipendente), operazioni di monitoraggio, filtraggio, controllo e tracciatura costanti ed indiscriminati degli accessi a internet o al servizio di posta elettronica, non possono essere considerati strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (ai sensi e per gli effetti dell´art. 4, comma 2, L. n. 300/1970, come modificato dall´art. 23 del D.lg. n. 151/2015; sul punto, cfr. nota del Ministero del Lavoro e delle Politiche Sociali, del 18 giugno 2015; v. altresì la definizione di “attrezzatura” e “postazione di lavoro” di cui all´art. 173 D.lg. n. 81/2008)”.

Certo è che i datori di lavoro potrebbero ritenersi legittimati a utilizzare pacchetti software (sia in modalità locale che in cloud) in grado, ad esempio, di registrare i tasti premuti e i movimenti compiuti dal mouse, di registrare le applicazioni utilizzate (e la durata del loro impiego) fino ad arrivare ad attivare telecamere web e raccogliere così filmati registrati. Tali trattamenti sono da ritenersi in via di principio sproporzionati e quindi non lecitamente utilizzabili.

Smart working e privacy: il caso Productivity Score

Di recente è emerso il caso della nuova funzionalità della Microsoft denominata Productivity Score. Come riporta la rivista Forbes “lo strumento di controllo a distanza dei lavoratori Microsoft Productivity Score offre ai manager, ad esempio, la possibilità di trovare un dipendente per nome e vedere il numero di ore che egli ha trascorso in riunioni su Microsoft Teams negli ultimi 28 giorni. Consente inoltre ai datori di lavoro di conoscere il numero di giorni in cui una persona è stata attiva su Microsoft Word, Outlook, Excel, PowerPoint, Skype e Teams nell’ultimo mese e su quale tipo di dispositivo. I datori di lavoro possono persino vedere il numero di giorni in cui una persona specifica ha inviato un’e-mail contenente una menzione @ o il numero di volte in cui la videocamera è stata accesa nelle riunioni”. Sempre secondo la rivista esistono 73 dati specifici sul comportamento dei lavoratori a cui i datori di lavoro hanno accesso. Ovviamente questo aspetto ha scatenato il mondo della privacy e se in un primo momento l’azienda affermava che la privacy dei dipendenti non era assolutamente in pericolo, successivamente sembra abbia fatto dietro front modificando la funzionalità in modo che questa diventi uno strumento collettivo attraverso la rimozione del nome del lavoratore (che quindi non è più associato alle metriche), la conversione della valutazione in un punteggio di squadra e la disponibilità dei dati, come dicevamo sopra, solo in forma aggregata.

Il diritto alla disconnessione

Preme citare un aspetto importante nella tutela del lavoratore smart. Uno dei rischi principali in materia di lavoro a distanza è la percezione da parte dei datori di lavoro che i propri lavoratori siano connessi a tempo indeterminato alla postazione di lavoro con conseguente perdita da parte di questi ultimi del diritto alla vita privata dopo l’orario di lavoro. Anche il Garante della Privacy, nell’audizione del 13 maggio 2020, ha dichiarato che “Il ricorso alle tecnologie non può rappresentare l’occasione per il monitoraggio sistematico del lavoratore. Deve avvenire nel rispetto delle garanzie sancite dallo Statuto a tutela dell’autodeterminazione del lavoratore che presuppone, anzitutto formazione e informazione del lavoratore sul trattamento a cui i suoi dati saranno soggetti”. Va inoltre assicurato – in modo più netto di quanto già previsto – anche quel diritto alla disconnessione, senza cui si rischia di vanificare la necessaria distinzione tra spazi di vita privata e attività lavorativa, annullando così alcune tra le più antiche conquiste raggiunte per il lavoro tradizionale”. E prosegue “Il minimo comun denominatore di queste garanzie va individuato nel diritto alla protezione dei dati: presupposto necessario di quella libera autodeterminazione del lavoratore che ha rappresentato, come si è detto, una delle più importanti conquiste del diritto del lavoro”.

La L. n. 81/2017 al comma 1 dell’art. 19, stabilisce infatti che l’accordo con il lavoratore “individui tempi di riposo del lavoratore nonché le misure tecniche e organizzative necessarie per assicurare la disconnessione del lavoratore dalle strumentazioni tecnologiche di lavoro”

Conclusioni

I controlli da parte del datore di lavoro sono leciti ma devono rispettare i principi del Regolamento Europeo in materia di trattamento dei dati personali attenendosi ai principi di adeguatezza, correttezza e non eccedenza. Solo in caso di effettiva necessità sarà possibile procedere a controlli più mirati, ma sempre evitando che questi siano prolungati, assidui e indiscriminati.

Sarà fondamentale intraprendere delle specifiche attività formative ai lavoratori da porre in smart working affinché siano formati e informati sulle peculiarità di questo contratto; solo in questo modo prenderanno consapevolezza di come il loro lavoro sarà monitorato e quali saranno le conseguenze in caso di violazione dei Regolamenti interni. Come espresso dal WP239 “si dovrebbe dare più peso alla prevenzione rispetto alla rilevazione: gli interessi del datore di lavoro sono protetti meglio prevenendo un uso improprio di Internet con mezzi tecnici, piuttosto che spendendo risorse per individuare tali usi impropri”.

La violazione di questi principi comporterà delle conseguenze per quei datori di lavoro non rispettosi dei principi espressi; i dati raccolti non potranno essere utilizzati ad esempio in giudizio e al datore sarà comminata una ammenda ai sensi dell’art.38 dello Statuto dei Lavoratori, la sanzione pecuniaria ai sensi dell’art. 83 del GDPR e il risarcimento dei danni per l’interessato nel caso in cui questi abbia subito un effettivo danno. Ma forse, ancor più importante, si verrebbe a ledere il principio cardine di un rapporto di lavoro che si basa sulla reciproca fiducia tra le parti.

La pandemia ha accelerato la modalità di lavoro agile anticipando i tempi e facendo sperimentare anche ai datori di lavoro più scettici questa nuova possibilità di lavoro. In un’ottica futura, se tale disciplina rispetterà le norme scritte e non scritte che stanno alla base di un sano rapporto di lavoro, potremo ottenere molti più benefici per entrambe le parti; perché l’azienda è un posto sano in cui lavorare solo se chi ci lavora è contento e ne trae benefici che, in un’ottica di gestione delle risorse umane, non sono solo economici.

@RIPRODUZIONE RISERVATA
C
Andrea Citterio
Privacy Officer
Argomenti trattati

Approfondimenti

D
data privacy
G
GDPR
S
smart working

Articolo 1 di 5