Il monitoraggio dei lavoratori attraverso strumenti digitali è una pratica in rapida espansione, accelerata dalla diffusione del lavoro da remoto e dalla trasformazione digitale delle imprese. Prima di adottare questi sistemi, tuttavia, è indispensabile comprendere il quadro normativo che ne disciplina l’utilizzo.
Indice degli argomenti
Il fenomeno del bossware: una nuova frontiera del controllo datoriale
Negli ultimi anni l’influenza della trasformazione digitale dei processi aziendali e la diffusione del lavoro da remoto hanno favorito l’adozione di strumenti tecnologici sempre più sofisticati per il monitoraggio dell’attività lavorativa. Tali soluzioni – definite anche tramite il neologismo inglese “bossware” che vede unire i termini “boss” e “software”, ossia “il software del capo” o “il software per il capo” – consentono di tracciare tempi di connessione, utilizzo delle applicazioni, flussi di comunicazione, livelli di produttività, geolocalizzazione e, in alcuni casi, di acquisire screenshot o registrazioni delle attività svolte.
Se da un lato questi strumenti promettono maggiore efficienza organizzativa e tutela del patrimonio aziendale, dall’altro sollevano interrogativi rilevanti sul piano giuridico ed etico, incidendo direttamente sulla riservatezza dei lavoratori, sul rapporto fiduciario e sul clima aziendale.
Il quadro normativo italiano: Statuto dei lavoratori e GDPR
In Italia, il perimetro giuridico dei controlli a distanza è notoriamente tracciato dall’art. 4 della Legge n. 300/1970 (il meglio noto “Statuto dei Lavoratori“).
La distinzione tra strumenti di controllo e strumenti di lavoro
La normativa vigente distingue tra:
- impianti audiovisivi e altri strumenti di controllo dai quali possa derivare un monitoraggio a distanza, utilizzabili solo per esigenze organizzative e produttive, di sicurezza del lavoro o di tutela del patrimonio aziendale e previa stipula di un accordo sindacale o dell’ottenimento di una autorizzazione dell’Ispettorato del lavoro competente; e
- strumenti di lavoro e strumenti di registrazione degli accessi e delle presenze, per i quali invece non è richiesto il previo accordo o l’autorizzazione.
Tutto ciò, ferma restando, la necessità di fornire un’adeguata informativa ai lavoratori e di rispettare tutto quanto previsto dalla normativa in materia di protezione dei dati personali.
Parallelamente, il Regolamento (UE) 2016/679 in materia di protezione dei dati personali (il “GDPR“) e il D.lgs. 196/2003 (il “Codice Privacy“) impongono che ogni trattamento di dati personali avvenga nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione e proporzionalità (artt. 5 e 6 GDPR). Il monitoraggio sistematico dell’attività lavorativa costituisce, nella maggior parte dei casi, un trattamento ad alto rischio che richiede una valutazione d’impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 GDPR.
Trasparenza e obblighi informativi: il ruolo delle policy aziendali
Il principio di trasparenza rappresenta uno snodo fondamentale nella gestione dei sistemi di sorveglianza digitale. Il datore di lavoro è tenuto a informare preventivamente e in modo chiaro i lavoratori circa:
- gli strumenti utilizzati;
- le tipologie di dati raccolti;
- le finalità del monitoraggio;
- i tempi di conservazione;
- i soggetti autorizzati all’accesso;
- l’eventuale utilizzabilità dei dati a fini disciplinari.
Le informative di cui agli artt. 13 e 14 GDPR e le policy sull’utilizzo degli strumenti informatici diventano, pertanto, condizione imprescindibile per la legittimità del trattamento. L’assenza di un’adeguata informazione o lo svolgimento di controlli che non rispettano puntualmente quanto previsto dalla normativa vigente comportano l’illiceità del monitoraggio, da cui conseguono (i) l’inutilizzabilità dei dati raccolti e (ii) l’esposizione dell’azienda a sanzioni amministrative.
I limiti ai controlli: proporzionalità, minimizzazione e controlli difensivi
Anche quando il monitoraggio sia astrattamente consentito, esso deve rispettare rigorosamente il principio di proporzionalità: non è legittimo un controllo generalizzato, continuo e indiscriminato dell’attività dei lavoratori. E se esistono strumenti o modalità di controllo meno invasivi ma comunque idonei a perseguire le medesime finalità devono essere preferiti.
I controlli difensivi: quando sono ammessi
Affrontando questi temi, è quasi necessario dedicare particolare attenzione al tema dei c.d. “controlli difensivi”. Tale tipologia di controlli, di origine giurisprudenziale, è ammessa solo in presenza di:
- un fondato sospetto di illecito;
- un monitoraggio mirato a soggetti determinati;
- una acquisizione di dati che sia esclusivamente successiva all’insorgere del sospetto.
Le indicazioni del Garante per la protezione dei dati personali hanno più volte ribadito che i sistemi di tracciamento massivo o di profilazione sistematica delle performance risultano incompatibili con i principi del GDPR.
Gli impatti sul rapporto fiduciario e sull’organizzazione aziendale
L’adozione di strumenti di “bossware” non produce effetti solo sul piano giuridico ma incide in maniera profonda sulle relazioni lavorative. Un eccesso di sorveglianza rischia di compromettere il rapporto fiduciario, ridurre l’autonomia dei lavoratori e generare un clima di sospetto, con ricadute negative sulla motivazione, sui rapporti umani, sul clima ambientale e da ultimo, ma non per importanza, sulla produttività.
In un contesto in cui modelli organizzativi basati su responsabilizzazione e flessibilità – pensiamo al riconoscimento da parte delle aziende del lavoro agile e quindi dell’acconsentire a che i propri dipendenti lavorino in ambienti da cui non li si può controllare – assumono un ruolo centrale, la tecnologia deve essere governata come un vantaggio, una evoluzione, uno strumento migliorativo e non come strumento di controllo, a tratti definibile addirittura, punitivo.
Rischi sanzionatori e reputazionali per le imprese
L’utilizzo non conforme di queste nuove tecnologie espone le aziende a molteplici profili di rischio. Si pensi, ad esempio, a:
- le imponenti sanzioni amministrative previste dalla normativa privacy;
- il rischio di contenzioso con i lavoratori e i connessi profili risarcitori;
- gli interventi ispettivi delle autorità competenti;
- i danni reputazionali, anche in chiave di ESG.
Le tematiche legate alla sorveglianza digitale sono sempre più sensibili: per i lavoratori, per l’opinione pubblica e per gli investitori, rendendo imprescindibile un approccio prudente e trasparente.
Il fenomeno del “bossware” rappresenta una delle sfide più attuali e complesse del mondo del lavoro. In questo contesto, la compliance non può esaurirsi nel rispetto formale delle norme ma deve tradursi in una cultura aziendale orientata alla trasparenza, alla fiducia e alla valorizzazione delle sue persone.
