La nuova disciplina dei controlli a distanza dei lavoratori introdotta dal Jobs act (Dlgs 151/2015, articolo 23) semplifica alcuni passaggi burocratici e gestionali propedeutici all’installazione degli impianti ma non altera l’assetto complessivo delle regole e delle tutele esistenti in una materia tanto delicata. Tuttavia, per applicare correttamente le regole della riforma (il nuovo articolo 4 dello Statuto dei lavoratori), le aziende devono attenersi a determinati criteri. Vediamo quali. Un’azienda che intende installare un apparecchio che consente di monitorare la prestazione lavorativa, deve innanzitutto dimostrare che questo strumento non ha la finalità esclusiva di controllare a distanza l’attività dei lavoratori. Se il datore di lavoro deve, invece, soddisfare alcune esigenze lecite (di tipo organizzativo e produttivo, sicurezza del lavoro, tutela del patrimonio aziendale), e il controllo a distanza dell’attività lavorativa è un effetto indiretto dell’attività dell’impianto, questo può essere installato.
Bisogna seguire, però, un percorso di autorizzazione, del tutto analogo a quello esistente prima della riforma. L’autorizzazione – finalizzata a verificare che lo strumento sia conforme ai requisiti di legge – può essere data dalle rappresentanze sindacali o, in alternativa, dalla direzione territoriale del Lavoro. Per le imprese che hanno unità produttive situate in province differenti oppure in più regioni, la legge offre una semplificazione importante: l’accordo può essere raggiunto con le associazioni comparativamente più rappresentative sul piano nazionale o con il ministero del Lavoro.
Gli strumenti di lavoro
Una rilevante novità riguarda gli apparecchi necessari a eseguire la prestazione lavorativa, e quelli usati per registrare gli accessi e le presenze. Questi potranno essere installati e utilizzati senza la necessità di seguire la procedura di autorizzazione ordinaria, sindacale o amministrativa.
Questa innovazione consente di superare molte incertezze applicative che prima della riforma accompagnavano l’utilizzo di strumenti di lavoro assolutamente comuni (navigatori satellitari, tablet, telefoni) che, secondo la vecchia normativa, avrebbero dovuto essere assoggettati alle procedure di autorizzazione.
Il datore di lavoro deve usare l’impianto installato e autorizzato, nel rispetto delle regole previste dal Codice della privacy (Dlgs 196/2003) per tutte le operazioni di “trattamento” di dati personali. Queste regole si applicano ogni volta che il datore di lavoro svolge attività di raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, estrazione, raffronto, utilizzo e distruzione di dati personali.
La regola generale posta dagli articoli 23 e 24 del Codice della privacy sul trattamento dei dati è che questo deve avvenire con il consenso espresso dell’interessato. Il consenso non è tuttavia necessario nei casi in cui il trattamento è funzionale ad adempiere obblighi previsti dalla legge o per dare esecuzione al contratto (come nel rapporto di lavoro).
A prescindere dal consenso, il datore di lavoro ha sempre l’obbligo (articolo 13 del Codice della privacy) di informare i lavoratori su finalità e modalità con cui i loro dati saranno trattati. Questo adempimento è una condizione di legittimità per poter raccogliere e trattare i dati personali che si acquisiscono con strumenti telematici (e anche per utilizzare le informazioni raccolte a fini disciplinari).
Anche se il trattamento dei dati è ammesso (o autorizzato, dall’interessato e dal Garante) e se è stata data l’informativa, il datore di lavoro non può effettuare controlli in maniera indiscriminata: ogni forma di controllo deve, infatti, essere conforme ai principi di liceità, pertinenza, trasparenza e compatibilità del trattamento.
I risvolti disciplinari. Per le verifiche sugli strumenti telematici l’azienda deve avere un regolamento interno
Accessi alla posta solo se c’è una policy
Il nuovo articolo 4 dello Statuto dei lavoratori stabilisce che le informazioni assunte tramite strumenti di controllo a distanza possono essere utilizzate «a tutti i fini connessi al rapporto di lavoro», e in particolare per l’esercizio del potere disciplinare. La condizione è che il datore abbia dato al dipendente una adeguata informazione sulle modalità d’uso degli strumenti e di effettuazione dei controlli.
La norma fa espresso riferimento a quanto disposto dal Codice della privacy (Dlgs 196/2003), e quindi l’informativa è quella prevista dall’articolo 13 del Testo unico: non viene, pertanto, introdotto un nuovo adempimento. Viene, però, fissato un discrimine chiaro tra le informazioni utilizzabili e quelle che invece non lo sono, per tutti gli atti di gestione del rapporto.
Il datore di lavoro può, quindi, utilizzare lecitamente le informazioni raccolte con un impianto di controllo a distanza per contestare al dipendente determinate mancanze disciplinari (e irrogare le relative sanzioni) solo se:
ha dato al dipendente l’informazione preventiva;
prima ancora di dare l’informativa, ha installato correttamente l’impianto (ottenendo l’autorizzazione sindacale o amministrativa, ove necessaria);
ha raccolto i dati nel rispetto dei principi del Codice della privacy.
Inoltre, per i controlli effettuati sugli strumenti telematici l’informativa non basta. Il datore di lavoro, infatti, può controllare la posta elettronica dei dipendenti o l’uso che fanno di internet solo a condizione che siano adottati e diffusi codici disciplinari interni ad hoc, tramite i quali è portata a conoscenza dei lavoratori la policy aziendale sull’uso della posta (il Garante si è pronunciato più volte, dalla delibera del marzo 2007 sino alla recente decisione relativa ai controlli su Skype).
Questa comunicazione serve a far venir meno l’aspettativa di segretezza della email aziendale e di internet ed evitare che il dipendente utilizzi gli strumenti di lavoro per comunicazioni personali.
Sempre per le email e internet, il Garante della privacy ha fissato alcuni paletti sui controlli:
devono essere giustificati da una finalità lecita, quale ad esempio la tutela di un diritto esercitabile in via giudiziaria (si pensi alla repressione di una condotta illecita del dipendente);
non possono essere prolungati, costanti o indiscriminati;
devono essere circoscritti a specifiche aree di lavoro.
Infine, devono essere preferiti quando possibile controlli anonimi e su dati aggregati, e devono essere cancellati periodicamente e automaticamente i dati relativi agli accessi a internet e al traffico telematico.
Giampiero Falasca – Il Sole 24 Ore – 12 ottobre 2015