una guida per le aziende

Controllo a distanza dei dipendenti: gli aspetti giuslavoristici, privacy e cybersecurity

Il tema del controllo a distanza dei dipendenti è sempre di grande attualità per le aziende. Anche se la casistica è varia e a volte è complesso orientarsi, operare conformemente alla normativa di settore consente ai datori di lavoro, al contempo titolari del trattamento, di dimostrare anche la propria accountability

13 Dic 2021
Nadia Martini

Partner e Head of Data Protection Rödl & Partner

Irene Pudda

Associate Partner Rödl & Partner

Amazon, cosa sappiamo della sanzione del Garante della privacy del Lussemburgo

Nella pratica aziendale quotidiana, allorquando si fa riferimento ai controlli a distanza dell’attività di lavoro, gli aspetti giuslavoristici e di gestione delle risorse umane e quelli propri della privacy & data protection risultano strettamente connessi.

La rivoluzione culturale introdotta dal Regolamento n. 679/2016 ha determinato, anche nel contesto dell’assegnazione di strumenti aziendali da cui possa derivare un controllo dell’attività di lavoro, la necessità da parte datoriale di adottare un approccio consapevole, proattivo ed effettivo, che bilanci le esigenze aziendali con la tutela dei dipendenti anche in ambito data protection in ciò rafforzando le stesse prescrizioni dell’art. 4 della Legge n. 300/1970.

Controllo a distanza del Pc dei lavoratori, quando è lecito? La pronuncia della Cassazione

Il quadro normativo di riferimento: la normativa giuslavoristica

La disciplina dei controlli a distanza, di cui all’art. 4 della Legge n. 300/1970 (Statuto dei Lavoratori) come modificato dal D.Lgs. n. 151/2015, è sempre attuale e ciò è dimostrato dalla giurisprudenza e dalla dottrina, nonché dai provvedimenti del Ministero del Lavoro e dell’Autorità Garante.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Cybersecurity

Nella prospettiva del diritto del lavoro italiano, l’art. 4, comma 1 dello Statuto dei Lavoratori, che è una norma inderogabile volta a tutelare i diritti fondamentali dei lavoratori, stabilisce nella sua attuale formulazione che “gli impianti audiovisivi e gli altri strumenti dai quali derivi la possibilità di controllo a distanza dell’attività dei lavoratori possono essere utilizzati esclusivamente per ragioni organizzative e produttive, per la sicurezza dei luoghi di lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo con le organizzazioni sindacali aziendali. […]”.

Qualora ricorra almeno una delle suddette condizioni (i.e., ragioni organizzative e produttive, sicurezza dei luoghi di lavoro e tutela del patrimonio aziendale), è necessario un altro passaggio obbligato: la norma stabilisce infatti che l’installazione può avvenire solo previo accordo con le Organizzazioni Sindacali o, in mancanza di tale accordo, gli impianti audiovisivi e gli altri strumenti possono essere installati previa autorizzazione da parte della sede territoriale dell’Ispettorato Nazionale del Lavoro (I.T.L.) o, in alternativa, nel caso di aziende con unità produttive ubicate in zone di competenza di più di una sede territoriale, dalla sede centrale dell’Ispettorato Nazionale del Lavoro (I.N.L).

A fronte del comma 1 dell’art. 4 cit. occorre chiarire la differenza tra controllo inteso come espressione in senso lato del potere direttivo del datore di lavoro (che resta indiscusso) e controllo mediante strumenti informatici che possono essere di diverso tipo, grazie alla costante evoluzione tecnologica, specificando come il legislatore dell’art. 4 dello Statuto dei Lavoratori sia diffidente nei confronti di un controllo de-personalizzato come quello effettuato sull’attività lavorativa attraverso strumenti informatici.

Infatti, non è il contenuto del controllo ma la modalità (occulta) dello stesso ad essere vietata. Ciò a prescindere da chi materialmente gestisce lo strumento (da cui può provenire il controllo sull’attività lavorativa), rispetto a chi è l’effettivo datore di lavoro, poiché è sempre quest’ultimo a beneficiare dei risultati dei controlli effettuati. Secondo l’interpretazione sviluppata nel tempo sull’art. 4 dello Statuto dei Lavoratori, infatti, ciò che è vietato è anche il controllo indiretto tramite strumenti informatici da parte di terzi a favore del datore di lavoro effettivo.

La nuova formulazione dell’art. 4 dello Statuto dei Lavoratori non ammette applicazioni strumentali. Come rilevato dal Ministero del Lavoro (circolare 26 luglio 2017, n. 4), infatti, non è ammissibile un capovolgimento del “paradigma” fondamentale dell’art. 4 in modo tale da realizzare un controllo penetrante sullo svolgimento della prestazione dei lavoratori, al fine (“di comodo”) di garantire adeguate e più efficienti modalità organizzative e produttive all’interno dell’azienda. L’accordo sindacale o l’autorizzazione preventivi non legittimano peraltro il datore di lavoro a controllare qualunque tipo di comportamento.

Quanto al secondo comma dell’art. 4, questo precisa che l’accordo sindacale o l’autorizzazione amministrativa non sono necessari per gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (oltre che per i mezzi di registrazione degli accessi e delle presenze).

Per essere “strumento di lavoro”, il dato letterale esige che lo strumento debba essere “utilizzato” (è dunque richiesto l’intervento attivo del lavoratore) e lo strumento deve essere anche valutato nel senso della sua assoluta indispensabilità ai fini del corretto, esatto, celere adempimento della prestazione da parte del lavoratore.

Quando si fa riferimento ai temi dell’art. 4 Statuto dei Lavoratori non può non richiamarsi anche la disciplina della protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Il collegamento con la disciplina data protection emerge in maniera evidente con riferimento alle sanzioni previste in caso di violazione dell’art. 4, comma 1 Statuto dei Lavoratori laddove l’art. 171 Codice Privacy novellato prevede l’applicazione – a carico del datore di lavoro, unico responsabile della violazione delle norme statutarie – delle sanzioni penali previste dall’art. 38 del medesimo Statuto ossia

  1. ammenda da euro 154,00 ad euro 1.549,00 e/o arresto da 15 giorni ad un anno
  2. applicazione congiunta di arresto e ammenda
  3. pena accessoria della pubblicazione della sentenza di condanna (che incide notevolmente, nel contesto del GDPR e dell’accountability del titolare, sulla sua reputation a maggior ragione ove si dia luogo anche a pubblicazione di eventuali provvedimenti sanzionatori da parte dell’Autorità Garante).

A tali sanzioni si aggiungeranno anche quelle previste dall’art. 83 GDPR.

In ogni caso, come si vedrà nel prosieguo, non si tratta solo di collegamento in ambito sanzionatorio tra la disciplina giuslavoristica e la data protection.

Il quadro normativo di riferimento: la normativa privacy e cybersecurity

Per il tema che ci occupa, la normativa privacy di riferimento è rappresentata

  • dal Regolamento europeo in materia di protezione dei dati personali n. 679/2016 (“GDPR”) adottato il 25 maggio 2016 e definitivamente applicabile dal 25 maggio 2018;
  • dal Decreto Legislativo n. 196/2003 (“Codice della Privacy”) così come novellato dal Decreto Legislativo n. 101/2018;
  • dallo Statuto dei Lavoratori

nonché da una serie di provvedimenti e pareri emessi da parte di alcune autorità competenti, tra le quali rilevano in particolare:

  • le Linee Guida dell’Autorità Garante del 1 marzo 2007 (doc. web. 1387522) sull’utilizzo della posta elettronica e della rete Internet nel rapporto di lavoro;
  • Vademecum dell’Autorità Garante del 15 maggio 2015 in materia di privacy e lavoro;
  • le Linee-guida del Gruppo Articolo 29 adottate il 4 aprile 2017 come modificate e adottate da ultimo il 4 ottobre 2017 (WP 248rev.01) in materia di valutazione di impatto sulla protezione dei dati;
  • il Parere n. 2/2017 del Gruppo Articolo 29 (WP 249) adottato l’8 giugno 2017 sul trattamento dei dati sul posto di lavoro;
  • il Provvedimento dell’Autorità Garante dell’11 ottobre 2018 (doc. web. 9058979) il cui Allegato 1 reca un elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto.

Sotto il profilo della protezione dei dati, prima di implementare strumenti da cui possa derivare un controllo anche solo potenziale o indiretto dell’attività di lavoro (il controllo deve essere conseguenza potenziale ed indiretta di una diversa esigenza quale la tutela del patrimonio, organizzazione del lavoro, ecc.), quindi prima di avviare il trattamento di dati che scaturisce dall’utilizzo di un certo strumento, il datore di lavoro in qualità di titolare del trattamento deve osservare alcune prescrizioni preliminari:

  • informare preventivamente il lavoratore, in qualità di interessato (art. 4 comma 3 dello Statuto dei Lavoratori), circa (i) gli strumenti che consentono il controllo a distanza nelle loro caratteristiche e funzionamento, (ii) le modalità e le regole di utilizzo di tali strumenti, (iii) la tipologia di controlli che possono essere effettuati dall’azienda, (iv) i dati memorizzati e le persone abilitate ad accedervi, (v) i periodi di conservazione dei dati, (vi) le sanzioni disciplinari che possono essere comminate al dipendente. Oltre a questi elementi, le informazioni rilevanti per il dipendente comprendono anche quelle richiamate dall’art. 13 GDPR;
  • valutare l’impatto privacy degli strumenti sui propri dipendenti ai sensi dell’art. 4 dello Statuto dei Lavoratori e dell’art. 35 GDPR (cfr., Provv. Garante della Privacy dell’11 ottobre 2018, doc. web. 9058979, All. 1, Line Guida del WP 29 n. 248rev. 01 adottate il 4.04.2017, come modificate e adottate da ultimo il 4.10.2017).

Conclusi gli adempimenti preliminari, una volta implementati gli strumenti, i controlli saranno operati in conformità al GDPR ed alle Linee Guida del Garante per la posta elettronica e internet del 1 marzo 2007.

In questo senso, il datore di lavoro/titolare del trattamento adotterà sia adeguate misure organizzative, ulteriori rispetto alla citata informativa come l’adozione di un regolamento per il corretto utilizzo degli strumenti aziendali o disciplinare o policy acceptable use, sia adeguate misure tecniche.

A livello tecnico-operativo, i controlli saranno svolti a campione (da parte degli amministratori di sistema su istruzione del titolare del trattamento e secondo le prescrizioni del Provvedimento dell’Autorità Garante del 28 novembre 2008 doc. web. n. 1577499) e saranno volti a salvaguardare la funzionalità e il corretto impiego degli strumenti aziendali (tanto gli strumenti di lavoro, quanto gli strumenti da cui possa derivare un controllo sull’attività di lavoro) da parte dei dipendenti dal punto di vista della sicurezza software, hardware ed in generale di tutti gli strumenti e sistemi informatici aziendali, al fine di assicurare la disponibilità e l’integrità dei sistemi informativi e dei dati, anche per prevenire utilizzi indebiti che possano essere fonte di responsabilità. In nessun caso tali controlli verranno utilizzati per un monitoraggio dell’attività lavorativa del dipendente, nel rispetto delle disposizioni dello Statuto dei Lavoratori e dei provvedimenti autorizzativi (accordo sindacale o autorizzazione dell’Ispettorato competente).

Inoltre, nello svolgimento dei controlli saranno rispettati i principi di pertinenza e non eccedenza, onde evitare un’interferenza ingiustificata sui diritti e sulle libertà fondamentali dei lavoratori. Nel caso in cui un evento dannoso o una situazione di pericolo non sia stata impedita con preventivi accorgimenti tecnici, il datore di lavoro/titolare del trattamento metterà in atto le opportune misure tecniche volte alla verifica dei comportamenti anomali secondo alcuni principi di base quali (i) l’impiego di strumenti hardware e software (firewall, antispam, antivirus e altri strumenti di controllo passivo come sistemi di filtraggio che consentono il blocco totale o parziale di dell’accesso a determinati siti internet e che garantiscono la sicurezza da eventuali intrusioni illecite dall’esterno), (ii) lo svolgimento di controlli preliminari su dati aggregati e anonimi, riferiti all’intera struttura lavorativa o a sue specifiche aree, che si concluderanno con un avviso generalizzato all’intera popolazione aziendale o a specifiche aree e relativo al rilevato utilizzo anomalo degli strumenti aziendali e con l’invito ad attenersi alle istruzioni impartite dal titolare. In caso di perduranti anomalie (cfr., Linee Guida dell’Autorità Garante del 1° marzo 2007 – doc. web. 1387522), il titolare potrà procedere con controlli su base individuale.

Strumento di lavoro o di controllo: la casistica

Pur partendo dal dato normativo e anche utilizzando i canoni ermeneutici suggeriti dai provvedimenti del Ministero del Lavoro, dell’Autorità Garante e dalla giurisprudenza, non è sempre facile distinguere tra uno strumento che consente il controllo a distanza e uno strumento, dispositivo, applicativo, tool (qualunque sia la definizione utilizzata) assegnato al lavoratore per lo svolgimento della sua attività lavorativa ed attivamente utilizzato dal lavoratore.

A titolo esemplificativo, computer e smartphones sono dispositivi assegnati per rendere la prestazione lavorativa (art. 4, comma 2) e, nonostante ciò, essendo strumenti informatici, e poiché contengono (potenzialmente) infiniti programmi, ognuno di essi va esaminato (mediante mappatura) in relazione ai programmi strettamente connessi alla prestazione (hardware, software, tools, applicativi, features specifiche, ecc.) per valutare se si tratti ancora ed effettivamente di “strumenti di lavoro”.

Ancora, il GPS (“Global Positioning System”) è un elemento aggiunto agli strumenti di lavoro, la cui installazione richiede un accordo sindacale o l’autorizzazione dell’I.T.L. fatta salva l’imposizione di specifiche norme regolamentari. Si veda in proposito, la circolare 7.11.2016, n. 2 dell’Ispettorato Nazionale del Lavoro, riguardante l’installazione di impianti GPS, che ha chiarito che “in casi del tutto particolari – qualora […] l’installazione [dei sistemi] sia richiesta da specifiche normative di carattere legislativo o regolamentare (es. uso dei sistemi GPS per il trasporto di portavalori superiore a euro 1.500.000,00, ecc.) – si può ritenere che gli stessi finiscano per “trasformarsi” in veri e propri strumenti di lavoro” e, pertanto, si possa prescindere, ai sensi del comma 2, art. 4 dello Statuto dei Lavoratori, sia dall’intervento della contrattazione collettiva che dal procedimento amministrativo di carattere autorizzativo.

Per quanto concerne la posta elettronica aziendale, in quanto necessaria allo svolgimento della prestazione lavorativa, per essa non sono richiesti gli adempimenti previsti dal comma 1 dell’art. 4 Statuto dei Lavoratori ed i dati raccolti possono essere utilizzati dal datore a tutti i fini connessi al rapporto di lavoro, ivi compreso quello disciplinare, purché sia stata data al lavoratore adeguata informazione sulle modalità d’uso di tale strumentazione e di effettuazione dei controlli (secondo le Linee Guida del Garante del 1° marzo 2007 doc. web n. 1387522) e sempre fermo il divieto di controllo massivo, prolungato e indiscriminato dell’attività del lavoratore.

Per quanto concerne gli strumenti telefonici, questi non costituiscono strumenti di lavoro quando consentono il monitoraggio costante ed individualizzato sui lavoratori talché anche un’eventuale autorizzazione o un accordo preventivi non potrebbero essere ritenuti validi.

Evidentemente, occorre distinguere tra il telefono o lo smartphone aziendali che consentono al lavoratore di svolgere la propria prestazione di lavoro e i cd. programmi di telefonia che consentono varie forme di monitoraggio (tramite chat, live listening e ascolto di chiamate registrate) degli operatori assegnati ai call center o al customer relationship management (CRM). Come rilevato dal Ministero del Lavoro nella circolare del 26 luglio 2017 n. 4, esistono software che raccolgono ed elaborano in tempo “quasi reale” i dati relativi agli stati di attività telefonica di ciascun operatore (libero, non disponibile, in pausa, ecc.) e i tempi medi di evasione delle diverse lavorazioni, mentre altri software quantificano la produttività giornaliera per ogni servizio reso, il tempo dedicato al lavoro per ciascuna commessa e le pause effettuate da ogni singolo lavoratore. Tali software, rincara il Ministero, “pur funzionali a più o meno generiche esigenze produttive, consentono di realizzare un monitoraggio individualizzato costante e continuo su tutti gli operatori che finisce per dar vita ad un controllo minuzioso su tutta l’attività svolta […], eliminando del tutto qualunque margine spazio-temporale nel quale il lavoratore […] possa ragionevolmente essere certo di non essere osservato, ascoltato o comunque “seguito” nello svolgimento della propria attività e dei propri movimenti”.

In proposito, rappresentativo è il caso di cui al Provvedimento del Garante dell’8 marzo 2018 doc web n. 8163433 – cd. Caso Salesforce – in cui il sistema di CRM fornito agli operatori telefonici per la gestione delle chiamate dei clienti non si limitava ad associare la chiamata e l’anagrafica del cliente per facilitare la gestione della richiesta di quest’ultimo, ma consentiva anche la raccolta di dati personali degli stessi operatori di call center. La possibilità di ricostruire, anche indirettamente, l’attività effettuata dagli operatori rappresentava un sistema idoneo a realizzare un controllo, anche solo potenziale, dell’attività lavorativa talché il sistema gestionale non poteva costituire “strumento di lavoro” in quanto le funzioni dello stesso non risultavano esclusivamente funzionali alla mera gestione del contatto con il cliente e, dunque, al mero svolgimento della prestazione lavorativa. Pertanto, il trattamento è stato ritenuto illecito stante anche il mancato ottenimento dell’accordo sindacale.

Gli ultimi interventi del Garante Italiano

Il Garante italiano è molto sensibile alle previsioni dell’art. 4 Statuto dei Lavoratori e lo manifesta nei propri provvedimenti in tema di strumenti di lavoro e di controlli a distanza, rendendo ancora più concreto il collegamento esistente tra aspetti di data protection e giuslavoristici. Sul tema in parola, il Garante si è pronunciato recentemente in occasione

  • Dell’Ordinanza ingiunzione del 15 aprile 2021 (doc. web n. 9586936):
  • in cui il Garante ha sanzionato una società per omessa informativa relativamente al trattamento dei dati personali derivanti dall’utilizzo di un sistema informatico (autorizzato dall’I.T.L. competente per territorio) per la gestione della produttività interna tale da determinare un potenziale controllo a distanza dell’attività del lavoratore. In particolare, il Garante ha rilevato l’illiceità del trattamento, richiesto al titolare l’adozione di adeguate misure di segregazione dei dati raccolti e di adottare un’adeguata informativa e limitare il trattamento a quanto strettamente necessario per lo svolgimento dell’attività, disponendo il pagamento della somma di 40.000 euro a titolo di sanzione amministrativa e, infine, altresì la pubblicazione del provvedimento sul sito web dell’Autorità Garante.
  • Dell’Ordinanza Ingiunzione del 13 maggio 2021 (doc. web n. 9669974):
  • in cui il Garante ha sanzionato un Comune per aver implementato un sistema di controllo della navigazione in internet senza aver reso ai lavoratori una informativa ai sensi dell’articolo 13 GDPR. Il Garante ha stabilito che non è possibile monitorare la navigazione internet dei lavoratori in modo indiscriminato, indipendentemente da specifici accordi sindacali. Il Garante, tenendo conto della piena collaborazione dell’amministrazione, ha disposto una sanzione di 84.000 euro per l’illecito trattamento dei dati del personale e prescritto l’adozione di misure tecniche e organizzative per anonimizzare il dato relativo ai singoli dipendenti, la cancellazione dei dati personali presenti nei log di navigazione web registrati, nonché l’aggiornamento delle procedure interne individuate e inserite nell’accordo sindacale.

Conclusioni

L’azienda può mettere a disposizione dei dipendenti diverse tipologie di strumenti. La cautela, quando si tratta di strumenti da cui possa derivare il controllo a distanza dell’attività di lavoro, è di operare in presenza di valide finalità e dopo aver completato gli step autorizzativi preliminari ai sensi dell’art. 4 dello Statuto dei Lavoratori. Il bilanciamento degli interessi aziendali con quelli dei dipendenti appare fondamentale e preventivo. Sul profilo della protezione dei dati personali, si procederà con la consegna tempestiva dell’informativa ai dipendenti, con la valutazione preliminare d’impatto secondo i provvedimenti descritti sopra e con l’adozione di ulteriori misure organizzative e tecniche adeguate che servono a dare evidenza dinanzi all’Autorità Garante dell’accountability del titolare del trattamento ai sensi dell’art. 24 GDPR.

WHITEPAPER
Comunicazioni professionali: le tue sono davvero protette?
Legal
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 4