Disposizioni di attuazione del Jobs Act: quali rischi per la privacy dei lavoratori?

Sta facendo molto scalpore sui media e negli ambienti di lavoro e sindacali la nuova disciplina sui controlli a distanza dei lavoratori contenuta nello schema di decreto legislativo che - tra gli altri - attua le ulteriori deleghe della legge n. 183/2014 recante Deleghe al Governo in materia di riforma degli ammortizzatori sociali, dei servizi per il lavoro e delle politiche attive, nonché in materia di riordino della disciplina dei rapporti di lavoro e dell'attività ispettiva e di tutela e conciliazione delle esigenze di cura, di vita e di lavoro”, nota come Jobs Act”.

Dopo l’entrata in vigore – lo scorso 7 Marzo 2015 – della riforma del mercato del lavoro con il nuovo contratto a tutele crescenti, la riforma dell’art. 18 dello Statuto dei Lavoratori, etc. , lo scorso 11 Giugno il Governo ha licenziato nel Consiglio dei Ministri 3 schemi di decreto legislativo, tra i quali – ai fini di analisi che qui interessano – quello recante la nuova disciplina del controllo a distanza dei lavoratori contenuta nel decreto recante Diposizioni di razionalizzazione e semplificazione delle procedure e degli adempimenti a carico di cittadini e imprese e altre disposizioni in materia di lavoro e pari opportunità” che attualmente si trova all’esame delle Commissioni parlamentari competenti per la resa di un parere non vincolante entro 30 giorni. La prima considerazione da fare per correttezza formale, dunque, è relativa alla non definitività dei testi delle norme che nel prosieguo si analizzeranno e commenteranno, anche se – in sostanza – la disciplina finale dovrebbe risultare salvo stravolgimenti politici che già sono in atto, considerando la netta presa di posizione dei sindacati identica e priva di cambiamenti rispetto ai testi inviati all’esame delle Commissioni, stante la non vincolatività del parere e i tempi di scadenza della delega principale. Liberalizzazione dei controlli datoriali? Leggendo sui media e sugli organi di stampa di questi giorni i primi commenti sul nuovo” controllo dei lavoratori, emerge una semplificazione tutta giornalistica per cui le nuove norme introdurrebbero una radicale liberalizzazione dei controlli datoriali, per lo meno con riferimento a strumenti affidati al lavoratore per l’esecuzione della prestazione lavorativa, quali ad esempio PC, smartphone aziendali, tablet e similari. Come si cercherà di illustrare nella presente analisi, tale semplificazione è del tutto errata. Difatti, una attenta lettura delle nuove norme per le quali, ancora una volta, il Legislatore adotta una tecnica redazionale imprecisa e carente evidenzia che la riforma creerà una serie di gravi criticità interpretative, soprattutto per il necessario coordinamento tra la nuova disciplina lavoristica” dei controlli a distanza dei lavoratori e il previgente quadro normativo in materia di tutela dei dati personali dei lavoratori sui luoghi di lavoro, che proprio in materia di trattamento dei dati personali implicato dai controlli degli strumenti affidati in uso ai lavoratori già detta dal 2007 una dettagliata disciplina privacy che entra ora in palese contrasto con le nuove norme del decreto in esame.

Non è certo questa la sede per approfondire le regole vigenti sul controllo a distanza dei lavoratori, ma il necessario presupposto di partenza della presente analisi non può che essere un rapido esame delle norme ad oggi vigenti. Come è noto, l’art. 4 dello Statuto dei lavoratori fissa in materia un principio di carattere generale, che è il divieto di utilizzo di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori. Il monitoraggio continuo e indiscriminato del lavoratore è proibito. Il controllo intenzionale” e ab origine primariamente finalizzato al monitoraggio continuo e indiscriminato del lavoratore indipendentemente dalla qualifica lavoristica è appena il caso di ricordare che per lavoratore” deve intendersi qualsiasi figura – non solo il dipendente” classico – legata da un rapporto contrattuale di lavoro ad un datore è ovviamente proibito, quale principio di civiltà. Divieto flessibile Il secondo comma dell’art. 4 dello Statuto introduce una deroga al citato divieto la giurisprudenza lo ha qualificato quale divieto flessibile” per quanto riguarda i cc.dd controlli preterintenzionali” che possono essere implicati come conseguenza indiretta dall’impiego di impianti e apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro . Se per il perseguimento di tali tassative esigenze produttive e/o di sicurezza si pensi ad impianti per il monitoraggio di infrastrutture critiche o di particolari aree produttive, etc. deriva anche la possibilità di controllo a distanza dell'attività dei lavoratori, allora la installazione può avvenire soltanto previo accordo con le rappresentanze sindacali aziendali RSA o RSU , oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede la Direzione Territoriale nuova denominazione dopo il d.p.r. n. 144/2011 del Lavoro dettando, ove occorra, le modalità per l'uso di tali impianti e contro i provvedimenti della Direzione Territoriale del Lavoro il datore di lavoro, le rappresentanze sindacali aziendali o, in mancanza di queste, la commissione interna, oppure i sindacati dei lavoratori possono ricorrere, entro 30 giorni dalla comunicazione del provvedimento, al Ministro per il lavoro e la previdenza sociale . Sulla previsione dell’art. 4 dello Statuto mai modificata in 45 anni si è a lungo esercitata la Giurisprudenza, adottando nel corso del tempo posizioni ora pro-datoriali ora pro-lavoratore. Solo per citare uno degli ambiti più delicati di creazione giurisprudenziali, si pensi al tema dei cosiddetti controlli difensivi” dunque non preterintenzionali , ossia di quei controlli diretti ad accertare comportamenti illeciti dei lavoratori quando tali comportamenti riguardino l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro e non la tutela di beni estranei al rapporto stesso. La Corte di Cassazione aveva, in un primo momento, ritenuto i controlli difensivi” legittimi in ogni caso, a prescindere cioè dal loro grado di invasività Cass., n. 4746/2002 . Con una successiva pronuncia la Corte ha tuttavia superato tale impostazione, affermando che anche il controllo difensivo richiede il vaglio della procedura contrattuale con le organizzazioni sindacali o autorizzativa della Direzione Provinciale del Lavoro, essendo un controllo c.d. preterintenzionale che rientra nella previsione del divieto flessibile di cui all’articolo 4 comma secondo Cass., n. 4375/2010 . E ciò perché la sorveglianza viene attuata mediante strumenti che presentano quei requisiti strutturali e quelle potenzialità lesive, la cui utilizzazione è subordinata al previo accordo con il sindacato o all’intervento della Direzione Territoriale del Lavoro. Tale nuovo orientamento è stato confermato da ulteriori interventi della Suprema Corte di Cassazione es la pronuncia n. 16622/2012 salvo poi, a partire dal 2013, invertire la rotta ed assumere la Corte - nuovamente - una posizione pro-datoriale Cass., Sez. Lav., n. 19091 del 17 Maggio 2013 In ogni caso, sono comunque ammissibili per il datore di lavoro i controlli cd. difensivi” , posizione confermata da ultimo con la recentissima sentenza Cass., Sez. Lav., n. 10955/2015 con la quale la Suprema Corte ha precisato che Deve riconoscersi l'ammissibilità dei controlli difensivi occulti”, anche ad opera di personale estraneo all'organizzazione aziendale, in quanto diretti all'accertamento di comportamenti illeciti diversi dal mero inadempimento della prestazione lavorativa, sotto il profilo quantitativo e qualitativo, ferma comunque restando la necessaria esplicazione delle attività di accertamento mediante modalità non eccessivamente invasive e rispettose delle garanzie di libertà e dignità dei dipendenti, con le quali l'interesse del datore di lavoro al controllo ed alla difesa della organizzazione produttiva aziendale deve contemperarsi, e, in ogni caso, sempre secondo i canoni generali della correttezza e buona fede contrattuale” . Come si intuisce, la Giurisprudenza oscillante evidenzia di fatto da molti anni la necessità di un intervento innovatore sull’art. 4 dello Statuto, che introduca regole certe anche recependo gli sviluppi giurisprudenziali e l’evoluzione tecnologica dei mezzi di controllo che ha reso la norma assolutamente obsoleta, redatta in un’epoca addirittura antecedente alla diffusione delle videocamere e un chiaro discrimine tra controlli leciti e controlli vietati. E’ dunque opportuno verificare ora se le nuove norme approvate dal Governo rispondano o meno alle segnalate esigenze.

Come più sopra anticipato, alla luce del nuovo testo dell’articolo 4 dello Statuto, la eliminazione della necessità di accordi sindacali preventivi per il controllo dei soli strumenti affidati al lavoratore per lo svolgimento delle mansioni affidate rende ancor più rilevante il rigoroso rispetto delle specifiche regole contenute nei provvedimenti generali di settore del Garante per la privacy. Tra questi provvedimenti, soprattutto il Provvedimento del Garante del 1° Marzo 2007 recante le Linee Guida per posta elettronica e Internet ha un diretto impatto sulla tematica. Prima di accennare sinteticamente ai relativi adempimenti previsti in capo al datore di lavoro, non ci si può esimere dall’osservare come tale provvedimento detti regole specifiche sul controllo solo di alcuni degli strumenti di lavoro, appunto la disponibilità di un account di posta elettronica e della connessione da postazione di lavoro o da altri device alla Rete Internet. Ad avviso di chi scrive, dunque, sarà necessario un aggiornamento e una integrazione da parte dell’Autorità privacy, poiché in assenza di ulteriori chiarimenti es note o circolari del Ministero del Lavoro , le Linee Guida saranno l’unico atto normativo” contenente specifiche regole sui controlli, ancorchè però limitate ai due soli strumenti” citati. Le Linee Guida su email e Internet prescrivono I datori di lavoro privati e pubblici, hanno l'onere di specificare le modalità di utilizzo della posta elettronica e della rete Internet da parte dei lavoratori indicando chiaramente le modalità di uso degli strumenti messi a disposizione e se, in che misura e con quali modalità vengano effettuati controlli sui email e Internet. Dal punto di vista pratico ciò può avvenire mediante la redazione e diffusione del c.d. Disciplinare Interno”, redatto in modo chiaro e senza formule generiche, da pubblicizzare adeguatamente verso i singoli lavoratori, nella rete interna, mediante affissioni sui luoghi di lavoro con modalità analoghe a quelle previste dall'art. 7 dello Statuto dei lavoratori, ecc. e da sottoporre ad aggiornamento periodico. A seconda dei casi il Disciplinare Interno dovrebbe ad esempio specificare 1. se determinati comportamenti non sono tollerati rispetto alla navigazione in Internet ad es., il download di software o di file musicali , oppure alla tenuta di file nella rete interna 2. in quale misura è consentito utilizzare anche per ragioni personali servizi di posta elettronica o di rete, anche solo da determinate postazioni di lavoro o caselle oppure ricorrendo a sistemi di webmail, indicandone le modalità e l'arco temporale di utilizzo ad es., fuori dall'orario di lavoro o durante le pause, o consentendone un uso moderato anche nel tempo di lavoro 3. quali informazioni sono memorizzate temporaneamente ad es., le componenti di file di log eventualmente registrati e chi anche all'esterno vi può accedere legittimamente 4. se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o meno anche per effetto di copie di back up, della gestione tecnica della rete o di file di log 5. se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime – specifiche e non generiche – per cui verrebbero effettuati anche per verifiche sulla funzionalità e sicurezza del sistema e le relative modalità precisando se, in caso di abusi singoli o reiterati, vengono inoltrati preventivi avvisi collettivi o individuali ed effettuati controlli nominativi o su singoli dispositivi e postazioni 6. quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica e la rete Internet sono utilizzate indebitamente 7. le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la continuità dell'attività lavorativa in caso di assenza del lavoratore stesso specie se programmata , con particolare riferimento all'attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti 8. se sono utilizzabili modalità di uso personale di mezzi con pagamento o fatturazione a carico dell'interessato 9. quali misure sono adottate per particolari realtà lavorative nelle quali debba essere rispettato l'eventuale segreto professionale cui siano tenute specifiche figure professionali 10. le prescrizioni interne sulla sicurezza dei dati e dei sistemi art. 34 del Codice, nonché Allegato B , in particolare regole 4, 9, 10 . Dunque è assolutamente opportuno che i datori di lavoro privati e pubblici aggiornino o integrino il Disciplinare Interno in essere che dovrebbe riguardare non solo email e Internet, ma tutti gli strumenti e le risorse informative e informatiche quali strumenti” affidati in uso al lavoratore per allinearlo con le nuove previsioni dell’articolo 4 dello Statuto dei Lavoratori, una volta che esse entreranno in vigore. Oltre al Disciplinare Interno, i datori ai sensi delle Linee Guida devono comunque rendere l’informativa privacy al lavoratore. All'onere del datore di lavoro di prefigurare e pubblicizzare una policy interna rispetto al corretto uso dei mezzi e agli eventuali controlli, si affianca infatti il dovere di informare comunque gli interessati ai sensi dell'art. 13 del Codice rispetto a eventuali controlli gli interessati hanno infatti il diritto di essere informati preventivamente, e in modo chiaro, sui trattamenti di dati che possono riguardarli. Devono essere tra l'altro indicate le principali caratteristiche dei trattamenti, nonché il soggetto o l'unità organizzativa ai quali i lavoratori possono rivolgersi per esercitare i propri diritti. Inoltre, le Linee Guida del Garante privacy prescrivono un importante principio sulla effettuazione pratica dei controlli, quello della gradualità. Nell'effettuare controlli sull'uso degli strumenti elettronici deve essere evitata un'interferenza ingiustificata sui diritti e sulle libertà fondamentali di lavoratori, come pure di soggetti esterni che ricevono o inviano comunicazioni elettroniche di natura personale o privata. L'eventuale controllo è lecito solo se sono rispettati i principi di pertinenza e non eccedenza. Nel caso in cui un evento dannoso o una situazione di pericolo non sia stato impedito con preventivi accorgimenti tecnici, il datore di lavoro può adottare eventuali misure che consentano la verifica di comportamenti anomali. Deve essere per quanto possibile preferito un controllo preliminare su dati aggregati, riferiti all'intera struttura lavorativa o a sue aree. Il controllo anonimo può concludersi con un avviso generalizzato relativo ad un rilevato utilizzo anomalo degli strumenti aziendali e con l'invito ad attenersi scrupolosamente a compiti assegnati e istruzioni impartite. L'avviso può essere circoscritto a dipendenti afferenti all'area o settore in cui è stata rilevata l'anomalia. In assenza di successive anomalie non è di regola giustificato effettuare controlli su base individuale. Va esclusa l'ammissibilità di controlli prolungati, costanti o indiscriminati. Tra l’altro, nelle Linee Guida il Garante vieta ai datori specificatamente di effettuare trattamenti di dati personali mediante sistemi hardware e software che mirano al controllo a distanza di lavoratori svolti in particolare mediante a la lettura e la registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail b la riproduzione e l'eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore c la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo d l'analisi occulta di computer portatili affidati in uso. Infine, per quanto riguarda il tempo di conservazione dei dati raccolti mediante monitoraggio di email e Internet, il Garante specifica che i sistemi software del datore di lavoro devono essere programmati e configurati in modo da cancellare periodicamente ed automaticamente attraverso procedure di sovraregistrazione come, ad esempio, la cd. rotazione dei log file i dati personali relativi agli accessi ad Internet e al traffico telematico, la cui conservazione non sia necessaria. In assenza di particolari esigenze tecniche o di sicurezza, la conservazione temporanea dei dati relativi all'uso degli strumenti elettronici deve essere giustificata da una finalità specifica e comprovata e limitata al tempo necessario –e predeterminato– a raggiungerla v. art. 11, comma 1, lett. e , del Codice . Un eventuale prolungamento dei tempi di conservazione va valutato come eccezionale e può aver luogo solo in relazione • ad esigenze tecniche o di sicurezza del tutto particolari • all'indispensabilità del dato rispetto all'esercizio o alla difesa di un diritto in sede giudiziaria • all'obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta dell'autorità giudiziaria o della polizia giudiziaria. Conclusioni. Cosa cambia dunque a livello di tutele per il lavoratore? E’ davvero reale il quadro di spionaggio” indiscriminato paventato da alcune organizzazioni sindacali? Risponde alla effettiva realtà l’affermazione che il nuovo articolo 4 dello Statuto dei Lavoratori introduce una liberalizzazione selvaggia dei controlli sui lavoratori, eliminando tutele immodificate per quasi mezzo secolo? Per quanto riguarda la prima domanda, deve ritenersi che le tutele del lavoratore permangono sostanzialmente inalterate per quanto riguarda gli impianti audiovisivi di cui al primo comma dell’art. 4, la nuova disciplina ricalca la precedente e prevede sempre il filtro” di accordi sindacali o autorizzazioni delle D.T.L. Mentre invece, per quanto riguarda gli strumenti affidati in uso al lavoratore, l’eliminazione dei precedenti oneri accordo sindacale o autorizzazione per procedere ai controlli sposta più che altro la prospettiva di tutela comunque già esistente verso lo specifico settore della tutela dei dati personali. Ma di qui ad affermare che vengono eliminate del tutto le tutele in favore dello spionaggio datoriale, appare francamente una lettura allarmistica e non rispondente al quadro di regole e cautele che si è illustrato.

Le principali difficoltà interpretative, e di conseguenza applicative, che derive-ranno dalla entrata in vigore della riforma – e che nel prosieguo si cercherà di illustrare – derivano da una infelice redazione delle nuove norme e – deve ritenersi – dal mancato coordinamento con le prescrizioni già esistenti in materia, soprattutto nel settore della tutela dei dati personali, che il Legislatore mostra di non aver preso nella dovuta considerazione – come si dirà – nella redazione del nuovo testo dell’articolo 4 dello Statuto dei Lavoratori. Mentre poco cambia - rispetto al 1970 - nella prospettiva dei controlli preterintenzionali di cui al nuovo articolo 4.1, ovviamente tutta l’attenzione dei primi commentatori è concentrata sul comma 2 e sulla previsione che gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e gli strumenti di registrazione degli accessi e delle presenze non sono più soggetti ad accordi od autorizzazioni di sorta. Attacco alla libertà dei lavoratori? E dunque è stato davvero liberalizzato” il controllo su tali strumenti, tanto che i sindacati contestano l’attacco alle libertà dei lavoratori, parlando di vero e proprio spionaggio” e invocando l’intervento del Garante della privacy? Lo stesso Ministero del Lavoro ha emanato una nota di chiarimento in cui precisa che la norma non liberalizza controlli ma si limita a fare chiarezza circa il concetto di strumenti di controllo a distanza ed i limiti di utilizzabilità dei dati raccolti attraverso questi strumenti, in linea con le indicazioni che il Garante della Privacy ha fornito negli ultimi anni e, in particolare, con le linee guida del 2007 sull’utilizzo della posta elettronica e di internet . Il Ministero ha precisato inoltre che non possono essere considerati 'strumenti di controllo a distanza' gli strumenti che vengono assegnati al lavoratore per rendere la prestazione lavorativa come PC, tablet e cellulari. In tal modo, viene fugato ogni dubbio - per quanto teorico - circa la necessità del previo accordo sindacale anche per la consegna di tali strumenti . In questi termini, ha concluso il Ministero, l'accordo o l’autorizzazione non servono se, e nella misura in cui, lo strumento viene considerato quale mezzo che 'serve' al lavoratore per adempiere la prestazione ciò significa che, nel momento in cui tale strumento viene modificato ad esempio, con l'aggiunta di appositi software di localizzazione o filtraggio per controllare il lavoratore, si fuoriesce dall’ambito della disposizione in tal caso, infatti, da strumento che 'serve' al lavoratore per rendere la prestazione il PC, il tablet o il cellulare divengono strumenti che servono al datore per controllarne la prestazione. Con la conseguenza che queste 'modifiche' possono avvenire solo alle condizioni ricordate sopra la ricorrenza di particolari esigenze, l’accordo sindacale o l’autorizzazione . Qualora il lavoratore non sia adeguatamente informato dell'esistenza e delle modalità d'uso delle apparecchiature di controllo a distanza e delle modalità di effettuazione dei controlli i dati raccolti non sono utilizzabili a nessun fine, nemmeno disciplinare . Andando per gradi nell’esame crescente delle criticità, va osservato che per quanto riguarda gli strumenti di registrazione degli accessi e delle presenze , effettivamente la loro installazione non richiede più – come era prima – un accordo sindacale. Anche prima della riforma, comunque, tali strumenti erano considerati estranei alla fattispecie del divieto assoluto - in quanto non finalizzati eminentemente al controllo vessatorio sul lavoratore – in quanto il loro scopo è quello di registrare i dati temporali necessari per la gestione aziendale e la remunerazione della prestazione orari di accesso e uscita, rilevazione degli straordinari, evidenziazione della presenza a mensa in correlazione con gli intervalli contrattuali e nel rispetto dei turni aziendalmente stabiliti, rilevazione della presenza in assemblea, ex art. 20, Stat. lav., ai soli fini del computo delle ore di fatto utilizzate nell'ambito e fino alla concorrenza del tetto massimo individuale delle 10 ore annue retribuite pro-capite . Tuttavia tali apparecchiature di registrazione, quantunque non riconducibili - per assenza della diretta finalità di controllo sul lavoratore e per oggettiva rispondenza ad esigenze organizzativo/produttive e di sicurezza - al novero di quelle vietate in assoluto, beneficiavano della legittimazione alla messa in opera ed all'uso ai sensi del comma 2° dell'art. 4 soltanto nel caso in cui le R.s.a. o, sussidiariamente, la Direzione Territoriale del Lavoro dessero atto all'azienda che tali strumentazioni erano carenti in assoluto dei requisiti per un potenziale, indiretto ed accidentale controllo a distanza dell'attività e del comportamento, in generale, dei lavoratori. Con la riforma, effettivamente tali strumenti di registrazione e soprattutto i dati raccolti potranno essere installati al di là di procedure di accordo o di autorizzazione. Presunta liberalizzazione del controllo La vera e seconda criticità, tuttavia, è quella relativa alla presunta liberalizzazione del controllo sugli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa . Intanto, la formulazione generica della norma porta a chiedersi quali siano effettivamente tali strumenti” il Ministero semplifica frettolosamente indicando smartphone, PC e tablet, ma dimentica molti altri strumenti” e tecnologie che prescindono dagli strumenti” e quale sia il discrimine tra strumenti conferiti dal datore al lavoratore per il loro diretto impiego nella resa della prestazione lavorativa e strumenti che – pur conferiti al lavoratore – possono non essere solo indirettamente correlati all’attività lavorativa. Ad esempio, se un lavoratore del settore dell’autotrasporto guida il veicolo aziendale dotato di rilevatore GPS o di event data recorder che – anche per esigenze assicurative e sicuramente per esigenze produttive, es. di controllo dei costi per il carburante, e di sicurezza – traccia gli spostamenti del veicolo e indirettamente segue gli spostamenti del lavoratore, si può ritenere che lo strumento accessorio sul veicolo che sarebbe il vero strumento per la prestazione lavorativa rientri nell’art. 4, comma 2 del nuovo testo? Anche rispetto alla stessa nota di chiarimento del Ministero, si potrebbe sostenere che anche il GPS o l’ event data recorder serve al lavoratore per rendere la prestazione si pensi alle rilevazioni statistiche sui kilometri di percorrenza in rapporto ai turni di lavoro . O si pensi ad un addetto di un call center e alla tematica dei cosiddetti controlli in cuffia” con cuffiette/microfoni spesso assistiti da particolari software che rilevano il grado di stress del lavoratore, ai fini dei turni di riposo. O ancora, si pensi ad uno smartphone aziendale conferito in uso ad agenti o venditori a domicilio di un’azienda dotato di una normale app di mappe eventualmente consultata dal lavoratore per gli spostamenti anche in questo caso non si potrebbe dire – con la frettolosa semplificazione del Ministero – che i relativi dati non servono al lavoratore per rendere la prestazione, perché è proprio a tali fini che la app e dunque anche i relativi dati sugli spostamenti del lavoratore indirettamente acquisiti verrebbe utilizzata. O ancora, si pensi ad una carta di credito aziendale dotata di chip di memorizzazione dei dati del possessore che spesso utilizza tecnologie a radio-frequenza RFID come forma di verifica dell’identità del possessore e di autenticazione informatica mentre la tecnologia RFID sarebbe in grado di consentire un controllo a distanza del lavoratore e dei suoi spostamenti, oltre che degli acquisti . In tutti questi casi e molti altri se ne potrebbero fare dovrebbe in prima battuta ritenersi escluso – alla luce della riforma – l’obbligo di accordo sindacale preventivo. Ma al tempo stesso, a fronte di una presunta liberalizzazione” dei controlli, il Legislatore del 2015 ha anche previsto due obblighi formali per poter utilizzare le informazioni così raccolte per tutti i fini connessi al rapporto di lavoro a l’adeguata e preventiva informazione al lavoratore circa le modalità d'uso degli strumenti e di effettuazione dei controlli b il rispetto delle norme sul trattamento dei dati personali. E’ proprio il rinvio al Codice della privacy che rappresenta una terza criticità applicativa che complica notevolmente l’applicazione pratica delle nuove norme, per i motivi che esamineremo nel prossimo paragrafo

Le nuove norme del Governo di riforma della disciplina del controllo a distanza dei lavoratori sono contenute nel Titolo II Disposizioni in materia di rapporto di lavoro e pari opportunità , Capo I Disposizioni in materia di rapporto di lavoro all’art. 23 dello schema di decreto legislativo delegato Modifiche all'art. 4, legge n. 300/1970 e all'art. 171 d.lgs. n. 196/2003 . L’art. 23 rubricato Impianti audiovisivi e altri strumenti di controllo” prevede la integrale sostituzione del vigente art. 4 dello Statuto dei Lavoratori con il nuovo testo che segue 1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso d imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali. La disposizione di cui al primo comma non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze. Le informazioni raccolte ai sensi del primo e del secondo comma sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196 Codice della privacy . 2. L'art. 171, d.lgs. n. 196/2003 è sostituito dal seguente ART 171. Altre fattispecie. 1. La violazione delle disposizioni di cui all'articolo 113 e all' articolo 4, primo e secondo comma, della legge 20 maggio 1970, n. 300, è punita con le sanzioni di cui all'articolo 38 della legge n. 300 del 1970 ”. A leggere la relazione di accompagnamento al testo del decreto, la illustrazione della riforma dei controlli a distanza appare meramente ripetere il testo normativo in quanto tale Le principali novità rispetto alla disciplina vigente, contenuta nell’articolo 4 dello Statuto dei lavoratori, consistono nelle seguenti previsioni nel caso di imprese con unità produttive site in diverse province della stessa regione o in diverse regioni, gli accordi sindacali per l'installazione degli impianti audiovisivi e degli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dei lavoratori, possono essere stipulati, anziché con le rappresentanze sindacali aziendali o le rappresentanze sindacali unitarie, con le associazioni sindacali comparativamente più rappresentative sul piano nazionale per le medesime imprese è previsto, in difetto di accordo, che l'autorizzazione ministeriale sia concessa dal Ministero del lavoro e delle politiche sociali l'accordo sindacale o l'autorizzazione ministeriale non sono necessari per l'assegnazione ai lavoratori degli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa, pur se dagli stessi derivi anche la possibilità di un controllo a distanza del lavoratore la possibilità che i dati che derivano dagli impianti audiovisivi e dagli altri strumenti di controllo siano utilizzati ad ogni fine connesso al rapporto di lavoro, purchè sia data al lavoratore adeguata informazione circa le modalità d'uso degli strumenti e l'effettuazione dei controlli, sempre, comunque, nel rispetto del Codice privacy”. Abrogazione del divieto generale di controllo In assenza di particolari chiarimenti che – generalmente – le relazioni illustrative contengono e che aiutano l’interprete, non può che procedersi ad un esame più approfondito delle novità. In primo luogo, si deve segnalare che l’impostazione di tutto il nuovo impianto normativo è caratterizzata dalla abrogazione del divieto generale di controllo. Mentre difatti la struttura delle norme del precedente articolo 4 era basata sulla immediata previsione di un divieto generale di controllo È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori” , salve le deroghe eccezionali per i controlli preterintenzionali e il divieto flessibile” di cui all’art. 4.2, il Legislatore del 2015 inverte totalmente l’approccio alla tematica prevedendo oltre alle novità in materia di rappresentanza sindacale per gli accordi a l’assenza di un divieto generale b la possibilità di controlli preterintenzionali, previo accordo c la possibilità di monitorare strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e gli strumenti di registrazione degli accessi e delle presenze senza necessità di accordi od autorizzazioni, fatta però salva l’adeguata e preventiva informazione al lavoratore circa le modalità d'uso degli strumenti e di effettuazione dei controlli e il rispetto delle norme sul trattamento dei dati personali d la possibilità di utilizzare le informazioni raccolte per tutti i fini connessi al rapporto di lavoro previsione assente nella precedente formulazione dell’art. 4 . Con riferimento alla possibilità di controlli preterintenzionali, è interessante osservare come rispetto al precedente testo, ora le esigenze che costituiscono il presupposto della installazione non sono più solo quelle 1 organizzative 2 produttive 3 per la sicurezza del lavoro, ma anche 4 di tutela del patrimonio aziendale. Tale previsione non è una aggiunta – per così dire – formalistica in precedenza, difatti, vi è spesso stata la difficoltà di far rientrare in esigenze produttive, organizzative o di sicurezza quella che era un’altra – primaria – esigenza datoriale, appunto la specifica tutela del patrimonio aziendale si pensi anche ad esempio a furti o danneggiamenti di beni aziendali, anche perpetrati dagli stessi lavoratori , che ora è finalmente e specificatamente prevista come presupposto per la installazione di impianti audiovisivi o altri strumenti da concordare. Al tempo stesso però, il Legislatore – sempre innovando rispetto alla precedente formulazione normativa – specifica che i presupposti organizzativi, produttivi, di sicurezza o di tutela del patrimonio aziendale sono esclusivi”, apparendo restringersi anche come bilanciamento dell’abrogazione del divieto generale le possibilità interpretative di una elencazione che ora appare certamente tassativa. Con riferimento alle modifiche che il nuovo testo dell’art. 4 post riforma ha introdotto al d.lgs. n. 196/2003 Codice della privacy è significativo osservare quanto segue. Nell’attuale versione dello Statuto dei Lavoratori la violazione dell’art. 4 non è assistita da alcuna previsione sanzionatoria specifica e diretta difatti, l’art. 38 dello Statuto, prevede sanzioni penali l'ammenda da euro 154 a euro 1.549 o l'arresto da 15 giorni ad un anno in ipotesi di specifica violazione solo degli articoli 2 Guardie Giurate” , 5 Accertamenti sanitari” 6 Visite personali di controllo” e 15 Atti discriminatori” . Il Codice della privacy si occupa del raccordo della disciplina sul trattamento dei dati personali dei lavoratori con lo Statuto dei Lavoratori prevedendo che in tema di trattamento dei dati personali del lavoratore finalizzato al controllo a distanza Resta fermo quanto disposto dall'art. 4, legge n. 300/1970 art. 114 e in ipotesi di violazione dell’art. 114 si applicano le sanzioni di cui all’art. 38 dello Statuto art. 171 del Codice della privacy . Il Legislatore ha modificato tale norma sostituendo il riferimento alla violazione dell’art. 114 con il riferimento diretto alla violazione dell’art. 4, comma 1 e 2, Statuto dei Lavoratori. Non è una modifica solo testuale o formalistica mentre prima la sanzione penale era correlata alla violazione delle norme sul trattamento dei dati personali in ciò il richiamo diretto all’art. 114 del Codice fatto dall’art. 171, quindi si trattava di una sanzione privacy” , ora la sanzione è di natura lavoristica” pura, poiché l’art. 171 del Codice della privacy colpisce la violazione diretta dell’articolo 4 dello Statuto, al di là di ogni aspetto sul trattamento dei dati personali es può essere sanzionato anche il mancato rispetto di procedure autorizzatorie ivi previste, al di là e anche prima di ogni trattamento dei dati personali mediante istallazione ed operatività degli impianti . L’aspetto che appare veramente singolare è che il Legislatore ha per la prima volta previsto una sanzione diretta per la violazione dell’articolo 4 dello Statuto dei Lavoratori quale norma lavoristica” in un testo normativo diverso il Codice della privacy . Il che la dice lunga sulla visione sistematica – da un lato – e sul timore quasi reverenziale di modificare una sorta di totem intoccabile quale è lo Statuto, se è vero che una modifica che avrebbe dovuto sistematicamente essere inserita all’articolo 38 dello Statuto aggiungendo appunto le ipotesi di violazione dell’art. 4 è stata inopinatamente inserita in una norma l’art. 171 del Codice della privacy dedicata alle sanzioni penali per violazione del trattamento dei dati personali che ora risulta applicabile anche a casi che nulla hanno a che vedere con il trattamento dei dati.

Come prima si accennava, il Legislatore sottopone la novità dell’assenza di accordi preventivi per il controllo degli strumenti conferiti al lavoratore a quanto previsto dal Codice della privacy in materia di tutela dei dati del lavoratore. Il Codice della privacy, tuttavia, contiene norme di carattere generale e non specifico sulla tutela dei lavoratori in relazione al trattamento dei dati implicato da attività di controllo sono appunto le norme sopra richiamate e che rinviano allo Statuto dei Lavoratori. In primo luogo occorre chiedersi in cosa consista praticamente il rinvio al Codice della privacy. Intanto, un primo problema applicativo potrebbe essere rappresentato dalla questione se il rinvio al Codice includa anche le norme esterne a tale testo normativo così come contenute – ad esempio – nei Provvedimenti Generali del Garante che l’Autorità ha specificatamente emanato in materia di trattamento dei dati personali dei lavoratori implicati dall’impiego di particolari strumenti si pensi al provvedimento generale del 1° Marzo 2007 recante le Linee Guida per posta elettronica e Internet o al provvedimento generale dell’8 Aprile 2010 sulla videosorveglianza o ai provvedimenti generali recanti le Linee Guida in materia di trattamento dei dati dei lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati Deliberazione 53/2006 e pubblici Deliberazione 23/2007 . E’ un aspetto non secondario in quanto il Codice della privacy contiene in materia solo norme di principio generali, mentre le vere regole esecutive sono contenute nella produzione di secondo livello ad opera dell’Autorità Garante. Dunque se formalmente si ritenesse il Codice della privacy quale unica fonte normativa che i datori di lavoro devono rispettare, si rischierebbe uno svuotamento effettivo delle tutele. E’ un altro esempio della assoluta carenza e disattenzione applicate dal Legislatore nella redazione del nuovo testo dell’art. 4 dello Statuto dei Lavoratori. In realtà il riferimento generico al Codice della privacy deve includere anche tutti i provvedimenti e le norme secondarie esecutive come nel tempo emanate dal Garante privacy in forza di uno specifico richiamo contenuto all’art. 154, comma 1, lett. c , Codice della privacy, che prevede che il Garante può prescrivere anche d'ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti. Alcuni principi da rispettare Chiarito questo aspetto, i datori di lavoro, nell’implementare i trattamenti di monitoraggio e controllo degli strumenti affidati ai lavoratori per lo svolgimento della prestazione lavorativa dovranno comunque anche in assenza di obbligatori accordi sindacali rispettare in seguenti principi a il principio di necessità, secondo cui i sistemi informativi e i programmi informatici relativi a detti strumenti devono essere configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi in relazione alle finalità perseguite art. 3 del Codice b il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti svolti mediante monitoraggio degli strumenti affidati per la prestazione lavorativa devono essere rese note ai lavoratori art. 11, comma 1, lett. a , del Codice . c i trattamenti devono essere effettuati per finalità determinate, esplicite e legittime art. 11, comma 1, lett. b , del Codice , osservando il principio di pertinenza e non eccedenza. Il datore di lavoro deve trattare i dati nella misura meno invasiva possibile le attività di monitoraggio devono essere svolte solo da soggetti preposti ed essere mirate sull'area di rischio, tenendo conto della normativa sulla protezione dei dati e, se pertinente, del principio di segretezza della corrispondenza d in base al richiamato principio di correttezza, l'eventuale trattamento deve essere ispirato ad un canone di trasparenza, come prevede anche la disciplina di settore art. 4, secondo comma, Statuto dei lavoratori d.lgs. 81/2008 sulla sicurezza sui luoghi di lavoro in materia di uso di attrezzature munite di videoterminali , il quale esclude la possibilità del controllo informatico all'insaputa dei lavoratori grava quindi sul datore di lavoro l'onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli. Al di là poi di questi canoni generali, i datori di lavoro – per l’effettuazione di controlli su strumenti affidati ai lavoratori per la prestazione lavorativa, anche senza preventivi accordi sindacali - dovranno comunque rispettare le specifiche prescrizioni degli applicabili provvedimenti settoriali del Garante, tra cui vanno per lo meno ricordati 1. il Provvedimento del Garante del 1° Marzo 2007 recante le Linee Guida per posta elettronica e Internet che difatti è stato puntualmente richiamato dalla nota del Ministero del Lavoro per ricordare che la riforma dell’art. 4 dello Statuto dei Lavoratori è in linea con il quadro normativo privacy” 2. il Provvedimento del Garante del 12 Novembre 2014 recante le Linee guida in materia di riconoscimento biometrico e firma grafo metrica ad esempio, se tra gli strumenti di registrazione degli accessi e delle presenze” vengono utilizzati sistemi che utilizzano dati biometrici, come le impronte digitali in luogo di badge 3. l’Autorizzazione Generale n. 1/2014 sul trattamento dei dati sensibili dei lavoratori, se i trattamenti finalizzati al controllo degli strumenti affidati in uso ai lavoratori abbiano ad oggetto anche dati sensibili cioè i soli dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale 4. le Linee Guida in materia di trattamento dei dati dei lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati Deliberazione 53/2006 e pubblici Deliberazione 23/2007 . Invece, per gli impianti audiovisivi” di cui al primo comma del nuovo art. 4 dello Statuto, oltre a permanere la necessità di accordi sindacali o dell’autorizzazione della Direzione Territoriale del lavoro si ricorda - sul punto - che a seguito della emanazione della Nota n. 7162 del 16 aprile 2012 il Ministero del Lavoro ha chiarito le nuove procedure per il rilascio delle autorizzazioni previste in caso di installazione di apparecchiature per la videosorveglianza, che escludono l’accesso tecnico preventivo e l’esame dei luoghi e degli impianti da parte degli ispettori , i datori di lavoro – anche laddove l’installazione sia concordata o autorizzata – dovranno in ogni caso rispettare anche le prescrizioni contenute nel Provvedimento generale sulla Videosorveglianza del Garante dell’8 Aprile 2010, cui si rinvia. Il nuovo testo dell’art. 4 dello Statuto sottopone poi l’abrogazione dell’obbligo di accordi sindacali per il controllo degli strumenti affidati al lavoratore per la resa della prestazione lavorativa alla ulteriore condizione che sia fornita al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli . Sul punto si osserva che il concetto di adeguata informazione” potrebbe essere ben più ampio potrebbe non essere sufficiente fornire al lavoratore la dovuta l’informativa sul trattamento dei dati personali ex articolo 13 del Codice della privacy, o per lo meno questa dovrebbe essere integrata con informazioni di dettaglio oltre a quanto previsto dall’art. 13 del Codice in merito ai requisiti informativi fondamentali. Consenso del lavoratore? Sempre per quanto riguarda il rapporto tra Codice della privacy e trattamento dei dati del lavoratore implicato dall’utilizzo e dal controllo degli strumenti affidati per la resa della prestazione ai sensi del nuovo art. 4 dello Statuto, può essere opportuno chiedersi se alla luce della disciplina del Codice, e proprio perché è venuto meno il filtro degli accordi sindacali e delle autorizzazioni per tali strumenti, il datore di lavoro debba chiedere il consenso del lavoratore. La risposta è negativa il consenso del lavoratore non è necessario - proprio ai sensi delle norme del Codice - se il relativo trattamento ovviamente nell’alveo di liceità dei controlli a è necessario per eseguire obblighi derivanti dal contratto di lavoro del quale è parte il lavoratore [art. 24, comma 1, lettera b del Codice] b per quanto riguarda i dati sensibili, è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall'autorizzazione generale [art. 26, comma 4, lettera d del Codice] c si conforma ai Provvedimenti settoriali del Garante, che prevedono il c.d. bilanciamento di interessi”, cioè l’esclusione dell’obbligo di richiedere il con-senso ove il titolare del trattamento rispetti pienamente tutte le prescrizioni emanate dal garante nei provvedimenti applicabili.