Nel 2015 ebbero molta eco, e ancora in parte continuano ad averne, le novità introdotte dal cosiddetto pacchetto Job Act, o meglio la legge che delegava il governo ad introdurre una sostanziale riforma di alcuni aspetti della vita dei lavoratori, attraverso dei decreti attuativi.

Tra le modifiche più rilevanti contenute nei decreti attuativi, troviamo quella all’art. 4 dello Statuto dei Lavoratori (L. 20 maggio 1970, n. 3001 Norme sulla tutela della libertà e dignità dei lavoratori, della libertà sindacale e dell'attività sindacale nei luoghi di lavoro e norme sul collocamento), riformato dal d. lgs. 151/2015.

L’art. 4 dello Statuto dei Lavoratori prima della riforma, sanciva al primo comma il divieto assoluto dei controlli intenzionali sulla attività del lavoratore e proseguiva con un secondo comma dove, in via di eccezione, stabiliva che gli impianti di sorveglianza potevano essere installati soltanto per esigenze organizzative, produttive o di sicurezza sul lavoro.

Ma dal 1970 al 2015 molto è cambiato: le modalità di svolgimento delle attività lavorative, negli anni, sono sempre più caratterizzate da processi automatizzati, l’uso di tecnologie anche sofisticate e spesso interconnesse tra loro per effettuare le proprie mansioni, hanno portato il legislatore a trovare un compromesso che permettesse, da un lato di prendere atto della mutata realtà lavorativa e non solo, dall’altro di perseguire gli obiettivi di tutela della dignità e della libertà del lavoratore costituzionalmente garantiti.

Il nuovo testo dell’art. 4 dello Statuto dei Lavoratori stabilisce i presupposti sottoelencati, declinati in 3 commi, per l’utilizzo legittimo di strumenti tecnologici atti a raccogliere dati personali:

1) gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali oppure previa autorizzazione delle sede territoriale dell'Ispettorato nazionale del lavoro;

2) non è necessario alcun previo accordo con le rappresentanze sindacali o autorizzazione per gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze;

3) le informazioni riguardanti il lavoratore sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.

L’articolo così riformulato, se da un lato ha sdoganato l’utilizzo da parte del datore di lavoro di sistemi e di tecnologie che sicuramente o potenzialmente possono raccogliere informazioni personali (controllo preterintenzionale) riguardanti i lavoratori, purché gli stessi siano impiegati per finalità strettamente connesse all’esercizio del rapporto di lavoro e dell’azienda, alla tutela del suo patrimonio ovvero siano necessari per lo svolgimento delle prestazioni lavorative, dall’altro ne ha espressamente subordinato l’utilizzabilità da parte del datore di lavoro al rispetto della disciplina in materia di trattamento di dati personali, oggi contenuta nel Regolamento Europeo 2016/679, il cosiddetto GDPR e in parte ancora nel d.lgs. 2003/196 novellato dal d.lgs. 101/2018.

Quali sono quindi i presupposti giuridici per utilizzare i dati personali del lavoratore nel rispetto della normativa privacy vigente, ad esempio per difendersi in giudizio, oppure per comminare una sanzione disciplinare, ma anche per valutare il rendimento del lavoro e quando invece il lavoratore può validamente eccepire un trattamento illecito dei dati innanzi all’Autorità Garante Privacy?

Innanzitutto, se l’utilizzabilità dei dati dipende dall’osservanza della disciplina privacy interamente richiamata dall’art. 4 dello Statuto dei Lavoratori, il datore di lavoro dovrà trattare i dati del personale secondo principi specifici, volti a tutelare proprio la dignità e la libertà delle persone, ovverosia il principio di necessità e minimizzazione (art. 3, GDPR): i dati personali vanno trattati solo quando e per quanto necessario alle finalità perseguite. Il principio di correttezza (art. 11, comma 1, lett. a) GDPR), secondo cui le caratteristiche essenziali dei trattamenti svolti mediante monitoraggio degli strumenti in dotazione per la prestazione lavorativa devono essere rese note ai lavoratori; i principi di determinatezza (art. 11, comma 1, lett. b) GDPR), legittimità ed esplicitazione del fine perseguito dal trattamento; i principi di pertinenza e non eccedenza dei dati trattati (art. 11, comma 1, lett. d) GDPR), che riguardano la proporzionalità dei dati trattati rispetto alle finalità dichiarate e alle reali esigenze dell’organizzazione; infine, il principio della conservazione dei dati per il tempo necessario a realizzare gli scopi del trattamento (art. 11, comma 1, lett. e) GDPR).

Il datore di lavoro dovrà quindi informare dettagliatamente il lavoratore in merito alle finalità e modalità di trattamento dei suoi dati personali all’atto dell’assunzione. Il GDPR, all’articolo 13, stabilisce i contenuti che l’informativa sul trattamento dei dati personali deve avere. Tra gli altri, nell’informativa si farà riferimento anche ai diritti che il lavoratore/interessato potrà esercitare a sua tutela. La base giuridica di legittimità del trattamento risiede nel rapporto contrattuale tra le parti.

Dopodiché, seguendo l’ordine di cui ai commi 1) e 2) dell’art. 4 dello Statuto dei Lavoratori sopra ripresi in sintesi, laddove – 1) ‑ il datore di lavoro volesse installare degli impianti audiovisivi o altri strumenti che permettano il controllo a distanza del lavoratore (es. sistemi di geolocalizzazione, con qualsiasi strumento o dispositivo), lo stesso, oltre a dover ottenere un previo accordo con i sindacati ovvero essere autorizzato dall’ispettorato del lavoro, dovrà obbligatoriamente, ai sensi dell’art. 35 del GDPR, svolgere preliminarmente una valutazione di impatto protezione dati comprendente una valutazione del rischio (risk assessment) di violazione del trattamento dei dati e le misure adottate per mitigarlo.

Il documento consta di un testo analitico operativo, che contiene anche il dettaglio delle specifiche dei sistemi utilizzati e gli stessi devono essere installati ed utilizzati di modo da garantire che il trattamento avvenga secondo i principi sopra elencati. Il datore di lavoro è responsabile dei contenuti del documento di valutazione ed eventuali discrasie operative, oltre ad essere passibili di sanzioni, potrebbero rendere il trattamento dei dati illecito e quindi senza possibilità di utilizzo degli stessi.

Inoltre, il datore di lavoro dovrà fornire al personale un’informativa specifica relativa al trattamento dei dati per mezzo del sistema di videosorveglianza o di geolocalizzazione. L’informativa seguirà i contenuti di cui all’art. 13 e seguenti del GDPR.

Quando invece il ‑ 2) ‑ il datore di lavoro intende mettere a disposizione, come oramai accade per moltissime prestazioni lavorative, un computer (fisso e/o portatile) ovvero uno smartphone o analoghi strumenti informatici ai lavoratori, la condizione, di cui al comma 3) dello Statuto dei Lavoratori, ossia che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli, unitamente all’obbligo di rispettare i principi sanciti dal GDPR a tutela della dignità e della libertà delle persone impongono allo stesso – di dotarsi di una regolamentazione interna (cd. policy aziendale) disciplinante l’uso degli strumenti informatici e, se adottati presso la realtà aziendale considerata, l’uso dei badge per l’accesso e l’uscita in azienda. Le policy sull’uso degli strumenti informatici disporranno anche in merito all’uso di internet ed eventuali restrizioni rispetto i social network o installazione di app e software, nonché riguardo l’uso di chiavi d’accesso a banche dati specifiche. Allo stesso modo si regolamenterà, se del caso, l’uso dello smartphone.

Il datore di lavoro che non indicasse chiaramente che gli strumenti informatici sono uno strumento di lavoro e i relativi limiti e condizioni di utilizzo, potrebbe vedere fortemente limitata, se non del tutto impedita, in mancanza di qualsiasi indicazione a riguardo verso i dipendenti, la facoltà di utilizzare validamente in una controversia le informazioni eventualmente estrapolate dall’account di posta elettronica del lavoratore o per comminare una sanzione disciplinare.