di Matteo Filice

Sommario: 1. Riflessioni introduttive 2. L’art. 4 dello Statuto dei lavoratori 3. La raccolta e l’utilizzo dei dati personali del lavoratore 4. Brevi conclusioni

  1. Riflessioni introduttive

L’obiettivo di questo contributo è quello di enucleare i profili teorici e pratici dell’utilizzo di “impianti audiovisivi” e di “altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori”1 di cui alla normativa ex art. 42 l. n. 300/1970, c.d. Statuto dei lavoratori.

L’approfondimento sgorga soprattutto dall’esigenza di affrontare il complesso rapporto tra la disciplina lavoristica e quella sulla protezione dei dati personali (i.e. privacy), di cui lo stesso art. 4 è portatore, tentando di individuare il punto di equilibrio e le implicazioni che l’una riverbera sull’altra.

Le problematiche che scaturiscono dalla commistione fra dette materie sono da ricondurre ad una molteplicità di ragioni, fra le quali primeggia la necessità di individuare gli interessi sottesi e di bilanciarli correttamente.

Non v’è dubbio alcuno che in prima istanza si voglia tutelare la dignità della persona, ma è altrettanto vero che si debbano tenere in debito conto altresì questioni per certi aspetti diverse.

La disciplina giuslavoristica intende offrire adeguata garanzia al lavoratore da controlli inopportuni ed illeciti, ma al contempo tutelare l’interesse datoriale ad una buona gestione dell’ente cui è a capo; la disciplina sulla privacy – non già da intendersi più quale tutela solo della propria intimità, ma, in senso più ampio ormai come protezione dei dati personali3 – volge lo sguardo verso la riservatezza del prestatore di lavoro.

L’esigenza di privacy, quale diritto fondamentale, è presa in considerazione da una normativa stratificatasi nel tempo appartenente a diversi livelli, essendo presidiata dalla disciplina europea, internazionale4 e da quella domestica5.

Non mancano i punti di contatto fra le due branche del sapere giuridico.

Anzitutto, un importante riferimento all’ambito lavoristico è contenuto nel Regolamento UE n. 2016/6796 (conosciuto come GDPR – acronimo di General Data Protection Regulation – ed entrato in vigore in Italia il 25 maggio 2018). Esso prevede all’art. 88 che “gli Stati membri possono prevedere, con legge o tramite accordi collettivi, norme più specifiche per assicurare la tutela dei diritti e delle libertà rispetto al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro”.

La predisposizione di norme ad hoc in un settore specifico è di rilevante importanza, in quanto eviterebbe un’universale e deprecabile applicazione della normativa indistintamente a tutti i settori del sapere. Un’indiscriminata attuazione delle norme determinerebbe l’imposizione di puntuali attività di adeguamento sproporzionate e poco funzionali rispetto agli obiettivi perseguiti, specie innanzi ad una delicata e sensibile intelaiatura di diritti e doveri quale quella che governa il rapporto di lavoro.

La doverosa elaborazione di una specifica attenzione legislativa è giustificata ad esempio dai molteplici “rischi determinati dall’inserimento del lavoratore nell’organizzazione altrui, riconoscendo [così] l’esigenza di consentire anche sul luogo di lavoro il libero sviluppo della personalità del dipendente ed opportunità di rapporti personali e sociali”7.

In relazione alle prescrizioni che la normativa privacy prevede, v’è da dire che in costanza di rapporto di lavoro, ai sensi dell’art. 6 del GDPR ed a tutela del prestatore di lavoro-interessato, si rinvengono oltre al consenso altre condizioni di liceità del trattamento8 dei dati personali, sicché lo stesso consenso assume carattere residuale. Esse si riscontrano nell’ “esecuzione di un contratto di cui l’interessato è parte o [nell’] esecuzione di misure precontrattuali adottate su richiesta dello stesso”, nel “perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali”. Inoltre, nell’elenco delle condizioni di liceità di cui al testé citato art. 6 compaiono “l’obbligo legale al quale è soggetto il titolare del trattamento” e “l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” i quali, anche in ipotesi di rapporto di lavoro, possono spiegare la propria efficacia legittimante9.
Il legislatore europeo per mezzo del GDPR, sciente delle peculiarità del rapporto di lavoro, si è spinto oltre, prevedendo all’art. 910 – rubricato “Trattamento di categorie particolari di dati personali” – e precisamente al paragrafo 2, lett. b), una deroga al divieto di trattamento di tali tipologie di dati. Infatti, autorizza il trattamento, fra le altre ipotesi, “quando è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione e degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.

Pertanto, in virtù di questi rilievi, non è necessario il consenso per l’utilizzabilità dei dati legittimamente raccolti11 che nel rapporto di lavoro svolge appunto un ruolo di secondo piano.

Tuttavia, nel rapporto di lavoro la mancata importanza attribuita al consenso dell’interessato non determina una minore tutela accordata al lavoratore, considerando forse che il consenso dello stesso, contraente debole, non riuscirebbe neppure a promettere una posizione di totale libertà e priva di qualsivoglia condizionamento12.

Quanto al legittimo interesse, quale presupposto di liceità del trattamento dei dati personali, il Garante per la protezione dei dati personali ne ha osservato la ricorrenza quando il trattamento sia diretto a soddisfare “esigenze organizzative e produttive” del datore di lavoro13. Nel novero delle esigenze organizzative rientra la considerazione normativa rivolta alla liceità della diffusione dei dati quando ciò sia necessario per dare esecuzione a obblighi derivanti dal contratto. Ad esempio, per consentire l’affissione “nella bacheca aziendale di rdini di servizio, di turni lavorativi e feriali, oltre che di disposizioni riguardanti l’organizzazione del lavoro e l’individuazione delle mansioni”14.

A ben vedere, nell’ordito normativo dell’art. 4 dello Statuto, per come confezionato, pacifica il “legittimo interesse” – ex art. 6 GDPR – del titolare del trattamento dei dati15, nelle vesti di datore di lavoro, unitamente alla ragionevole aspettativa di privacy del lavoratore.

Per quanto d’interesse nel presente contributo, è indubbio che il datore di lavoro abbia un “legittimo interesse” che fondi la liceità del trattamento idoneo a giustificare l’uso delle tecnologie ex art. 4.

Invero, il legittimo interesse è in re ipsa in ordine agli strumenti di cui al primo comma – ossia “gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori”, posto che la loro installazione è consentita soltanto “per esigenze organizzative e produttive, per la sicurezza sul lavoro e per la tutela del patrimonio aziendale”. Non muta tale indirizzo interpretativo con riguardo alla strumentazione utilizzata per rendere la prestazione di lavoro, ovvero per la registrazione degli accessi e delle presenze di cui al secondo comma in ordine alle quali la norma “rappresenta una valutazione tipica legale di rispondenza ad esigenze legittime”16.

Nell’art. 4 non è stata però riconosciuta la legittimità di qualsiasi trattamento di dati, perché legittimi sono solo quei trattamenti che il lavoratore può ragionevolmente attendersi che abbiano luogo, in ragione della relazione contrattuale che lo lega al datore di lavoro e dell’adeguata informazione sulle modalità di uso degli strumenti e di effettuazione dei controlli.
Del resto il considerando n. 47 del GDPR specifica che il “legittimo interesse” del titolare del trattamento potrebbe sussistere, ad esempio, “quando esiste una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento”, che ricorre qualora l’interessato sia alle dipendenze del titolare del trattamento. Al fine di valutare se l’interesse legittimo del titolare del trattamento prevalga o meno sui diritti e le libertà fondamentali dell’interessato, bisogna valutare “le ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento”, essendo postulata “un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento [per un determinato] fine”. Indi, continua il considerando de quo, “gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possono ragionevolmente attendersi un ulteriore trattamento dei dati personali”.

E’ pur vero, però, che si possa presentare il caso del trattamento dei dati personali quale imposizione di un vero e proprio obbligo legale posto in capo al datore: si pensi all’ipotesi in cui il trattamento sia funzionale all’adozione di misure necessarie per salvaguardare l’integrità fisica e la personalità morale dei propri dipendenti ai sensi dell’art. 2087 c.c.17

Per esigenze di completezza, con riferimento al compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, si osserva che l’art 2-sexies del d.lgs. 196/2003, per come aggiornato dal d.lgs. 101/2018, “considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri” anche nelle seguenti materie: “igiene e sicurezza sui luoghi di lavoro”; “istruzione e formazione in ambito (…) professionale”; “instaurazione, gestione ed estinzione di rapporti di lavoro di qualunque tipo, anche non retribuito o onorario, e di altre forme di impiego, materia sindacale, occupazione e collocamento obbligatorio, previdenza e assistenza, tutela delle minoranze e pari opportunità nell’ambito dei rapporti di lavoro, adempimento degli obblighi retributivi, fiscali e contabili”, ovvero “accertamento della responsabilità (…) disciplinare”.

Tuttavia, l’interpretazione del rapporto interdisciplinare, qui oggetto di analisi, si fa ancora più difficile laddove si rifletta su ulteriori profili applicativi, insiti nei controlli a distanza, affrontati nei paragrafi che seguono.

  1. L’art. 4 dello Statuto dei lavoratori

All’inattività e perplessa applicazione dell’art. 4 l. n. 300/1970, vecchio testo, causata anche dall’impossibilità di realizzare la riservatezza dei lavoratori, ha posto fine la novella dell’art. 4 de quo apportata dall’art. 23, d.lgs. n. 151/2015. Essa ha fissato i limiti legali allo svolgimento dei controlli a distanza in una prospettiva che si affanna ad offrire una soluzione alla pervasività di detti controlli, frutto della costante ed irrefrenabile innovazione tecnologica.

Preliminarmente occorre soffermarsi sulla differenza di trattamento riservata dal legislatore ai primi due commi dell’art. 4.

Il primo comma riconosce la possibilità di impiego degli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori solo per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, previo accordo sindacale od autorizzazione amministrativa dell’Ispettorato del lavoro.

Il secondo comma prevede una deroga, ossia la non applicazione del comma precedente agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.

La diversa disciplina si spiega per il fatto che i controlli ex comma 2 sono effettuati per il tramite di strumenti che, essendo adoperati per lavorare o accedere ai luoghi di lavoro, non possono per la stessa funzione primaria cui si ricollega l’adempimento degli impegni contrattuali essere assoggettati ad una causale che ne giustifichi l’uso, né a rigore può essere prevista una preventiva autorizzazione sindacale o amministrativa18; è come se lo stesso disposto normativo inverasse, a dispetto del comma 1, un’autorizzazione ex ante dell’eventuale controllo derivante degli strumenti cui si riferisce.

Sul fronte datoriale rileva indubbiamente l’interesse al controllo della prestazione resa dal lavoratore e della commissione di illeciti; detto controllo è strumentale all’esercizio del potere organizzativo, direttivo e disciplinare ai sensi degli artt. 2086, 2094, 2106 c.c.

Si è allora al cospetto di un palese contrasto logico e giuridico tra l’esercizio dei poteri datoriali testé menzionati e l’interesse del prestatore di lavoro cui gli adempimenti imposti dalla disciplina privacy sono preordinati.

Ciò introduce l’ulteriore problematica della liceità e della validità dei controlli difensivi19 condotti dal datore ad insaputa del lavoratore, ossia diretti ad accertare comportamenti illeciti.

È merito ascrivibile all’attività poietica della giurisprudenza20 aver dettagliato la disciplina applicabile ai controlli c.d. difensivi rispetto a quanto prescritto dall’art. 4 l. n. 300/1970.

Soffermandoci sull’argomento, è opportuno però dare conto di come antitetiche soluzioni interpretative dottrinarie si siano contese il campo.

Secondo un primo orientamento21 l’inserimento della “tutela del patrimonio aziendale” fra le necessità che permettono l’installazione di strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori induce a legittimare la riconduzione anche dei controlli difensivi nel raggio d’azione della norma statutaria di cui al comma 1 dell’art. 4”.
Altri Autori22 hanno di contro precisato che una tale ricostruzione importerebbe l’impossibilità di accertare e sanzionare illeciti qualora l’imprenditore non abbia preventivamente ottenuto l’autorizzazione all’installazione dell’impianto di controllo: a fronte di un tale pericolo, secondo questo indirizzo, è da rinvenire una scappatoia nel principio generale della legittima difesa nei rapporti interprivati, ai sensi degli artt. 2044 c.c. e 52 c.p., avverso gli atti lesivi del patrimonio altrui, sì da legittimare l’estraneità di tali controlli all’art. 4.

A parere di chi scrive e’ evidente che i controlli predisposti ex ante per le esigenze enucleate dal primo comma dell’art. 4 – di tipo organizzativo, produttivo, di tutela del patrimonio o sicurezza sul lavoro – non possono essere sovrapposti alle indagini effettuate ex post per reprimere specifici illeciti, i.e. controlli difensivi strictu sensu. Le due tipologie di controlli, distinguendosi per la funzione cui assolvono, mettono in risalto come l’indagine teleologicamente orientata ad accertare illeciti è del tutto inconciliabile con la soluzione normativa ex art. 4, comma 1, in quanto risulterebbe inficiato il segreto tipico delle indagini. Inoltre, la procedura sindacale od amministrativa di cui al primo comma non risponderebbe ad alcuna logica repressiva o preventiva di illeciti.

Dirimente sul punto è la pronuncia della Suprema Corte, del 28 maggio 2018, n. 13266, nella quale gli Ermellini – in continuità con l’orientamento secondo cui le garanzie procedurali imposte dall’art. 4, l. n. 300/1970, trovano applicazione ai controlli c.d. difensivi, finalizzati ad accertare comportamenti illeciti dei lavoratori, quando, però, tali comportamenti riguardino l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, e non già quando riguardino la tutela di beni estranei al rapporto stesso – hanno affermato che non rientra nel campo di applicazione della norma di cui all’art. 4 il caso in cui il datore abbia posto in essere verifiche utili ad accertare comportamenti del prestatore illeciti lesivi del patrimonio e dell’immagine aziendale23.

Quanto alla disciplina privacy inerente detti controlli, il Garante ha operato un’interpretazione ancorata a quelle disposizioni in base alle quali l’informazione ed il consenso dell’interessato non sono necessari se il trattamento dei dati è effettuato “esclusivamente” con il fine di “far valere o difendere il diritto in sede giudiziaria” e “per il periodo strettamente necessario al loro perseguimento”24.

Tale soluzione ermeneutica mostra la manchevolezza della disciplina, in quanto l’attività investigativa del datore di lavoro può essere svolta ad esempio per accertare ed eventualmente sanzionare illeciti del lavoratore, ma solo in via ipotetica e residuale in vista della difesa di un diritto in sede giudiziaria.

Sul punto è importante menzionare la Raccomandazione del Consiglio d’Europa n. 5 del 1 aprile 2015 la quale prevede che, qualora dovesse essere condotta un’indagine interna dal datore di lavoro, l’esercizio dei diritti del lavoratore inerenti l’accesso, la rettifica e l’opposizione “può essere differito sino alla conclusione dell’indagine qualora l’esercizio di tali diritti possa nuocere all’indagine stessa”25. Ergo, non già solo il diritto di difesa di un giudizio, ma anche la necessità di evitare che la divulgazione di informazioni inerenti l’attività medesima possa frustrare l’obiettivo dell’indagine stessa, giustifica il trattamento dei dati scevro da qualsiasi informativa, a patto che si attuino i principi di ragionevolezza e proporzionalità nell’utilizzo degli strumenti di controllo.

Poi, per individuare gli strumenti cui l’art. 4 fa riferimento, ai fini di un’esaustiva definizione, si deve tenere in debita considerazione la relazione intercorrente tra gli strumenti enucleati dal comma 1 e quelli di cui al comma 2, volgendo lo sguardo alle finalità perseguite con il loro utilizzo nell’organizzazione predisposta dal datore di lavoro, al di là di una differenza di tipo strutturale degli stessi strumenti. Infatti, relativamente alla portata semantica del termine “strumenti” affibbiato ai dispositivi serventi la prestazione lavorativa dal comma 2, si osserva che per tali debbano intendersi tutti quelli utilizzati – sia componenti hardware che software – dal lavoratore a valle delle determinazione datoriali che in qualsiasi modo servono a rendere la prestazione lavorativa, ivi comprese l’organizzazione e la gestione di quest’ultima.

Da qui si impongono alcune considerazioni inerenti esempi concreti di soluzioni eventualmente adottabili, ma, per brevità, in questa sede ci si limita ad approfondire uno solo di essi.

Si pensi, a tal riguardo, al sistema di geo-localizzazione – oggi sempre più diffuso nello svolgimento dell’attività lavorativa – il cui trattamento di dati26 che importa può presentare diversi rischi specifici per le libertà, i diritti e la dignità dei lavoratori. Si consideri il caso di un dipendente che, per rendere una prestazione lavorativa, debba transitare da un luogo all’altro; in questo caso la geo-localizzazione ha il pregio di consentire l’adempimento veloce individuando facilmente il luogo da raggiungere. Alla luce di una dinamica di tal fatta, la geo-localizzazione – le cui risultanze siano nella diretta disponibilità del datore di lavoro – non può che ascriversi nel campo di applicazione del comma 2 dell’art. 4 integrando l’ampio spettro di strumenti utili a rendere la prestazione lavorativa da esso contemplato.

Diversamente, qualora l’attività del dipendente non si inveri in alcuna necessità di mobilità, la geo-localizzazione non essendo pertanto strumentale a rendere la prestazione potrebbe ricondursi al comma 1 dell’art. 4: è il caso della geo-localizzazione attivata per tutelare un bene facente parte del patrimonio aziendale.

Quanto alla corretta individuazione degli strumenti di registrazione degli accessi e delle presenze di cui al comma 2 dell’art. 4, il legislatore ha inteso allontanarsi da quell’indirizzo anche giurisprudenziale27 che affermava l’applicabilità dell’art. 4 previgente al sistema informatizzato di rilevazione delle presenze all’inizio ed alla fine dell’orario di lavoro, perché capace di realizzare un controllo a distanza sui tempi della prestazione dovuta dal lavoratore, con l’effetto che l’avviamento di tale sistema avrebbe dovuto essere preceduto dall’accordo sindacale o dell’autorizzazione amministrativa.

Nella formulazione attuale, invece, gli strumenti di registrazione degli accessi e delle presenze sono assimilati agli strumenti utili per rendere la prestazione di lavoro per i quali non è necessario l’accordo sindacale o l’autorizzazione amministrativa.
Nondimeno l’incertezza interpretativa si potrebbe porre con riferimento al termine “presenze”, suscettibile di ampia esegesi: non è precisato, infatti, se trattasi solo di quelle che si registrano all’entrata ed in uscita, lasciando così plausibili definizioni che permetterebbero l’uso di strumenti in grado di monitorare a distanza la mobilità del dipendente anche all’interno dei luoghi di lavoro. Quest’ultima ipotesi, a rigore, parrebbe non essere in linea con quella tipizzata dalla norma, che accomuna la registrazione degli accessi a quella delle presenze, sottolineando così che si tratta di due condizioni per le quali è necessario acquisire “un dato preciso relativo alla posizione del dipendente nel momento dell’accesso o di inizio del lavoro; un dato che, attraverso il controllo, viene fissato nel tempo, tanto è vero che rispetto ad esso il legislatore ne prevede la «registrazione»”28.

  1. La raccolta e l’utilizzo dei dati personali del lavoratore

Il legislatore, valorizzando l’uso delle tecnologie nell’ambiente di lavoro e nello svolgimento della prestazione di lavoro, nella riforma dell’art. 4 dello Statuto ha voluto discernere l’attività della raccolta, da quella successiva ed ipotetica dell’utilizzo dei dati.

Trattasi di capire, quindi, quando finisce l’attività di controllo datoriale e quando inizia quella di utilizzo dei dati.
Il nuovo art. 4 pare chiarire che il potere di controllo di cui ai primi due commi si configura già nell’istante in cui il dato viene raccolto, al di là dell’ipotetico utilizzo, considerato dal comma 329, che invece agendo “sul piano delle regole per l’utilizzazione del dato a tutti i fini connessi al rapporto di lavoro» (…) attiene non già al potere di controllo, bensì a quelli di gestione del rapporto di lavoro, in particolare (ma non solo) al potere disciplinare”30.

Tuttavia, i limiti al potere di controllo posti dall’art. 4, comma 1, trovano comunque vigenza anche nel momento in cui lo strumento raccoglie il dato inerente l’attività lavorativa, non solo quando tale dato verrebbe analizzato per valutarne ad esempio il rilievo a fini disciplinari, ossia quando è utilizzato. Diversamente sarebbe irragionevole che l’intervento sindacale o amministrativo dovrebbe essere richiesto solo se il datore di lavoro avesse interesse ad utilizzare il dato, tralasciando invece l’acquisizione di esso che comunque potrebbe cagionare, fra gli altri, danni alla presupposta dignità del lavoratore.

Certamente appare convincente identificare l’utilizzazione dei dati con l’analisi degli stessi da parte del datore di lavoro; trattasi di un’attività eventuale e consecutiva, come lo è d’altronde quella relativa all’adozione di misure consequenziali, rispetto a quella di raccolta dei dati.
Seguendo questa impostazione e la lettera della norma di cui al comma 3 dell’art.4 si può affermare che il datore di lavoro deve rispettare le prescrizioni di cui allo stesso comma quando ritiene di esaminare i dati legittimamente raccolti attraverso le modalità di cui ai commi precedenti; l’utilizzo dei dati, per i fini connessi al rapporto di lavoro, per come prescrive la disposizione31, infatti richiede, a garanzia dei dipendenti, l’adeguata informativa che deve riferire sulle “modalità d’uso degli strumenti e l’effettuazione dei controlli”, prescrivendo indi un contenuto ben preciso; l’informativa non può dunque essere generica e superficiale. Inoltre, la stessa deve contenere le informazioni di cui all’art. 1332 GDPR ed essere redatta nel rispetto dei principi di cui all’ art. 533 GDPR. In difetto di ottemperanza a detta procedura, il datore deve provvedere alla cancellazione dei dati o alla conservazione in modo tale che il lavoratore non risulti identificato per mezzo dei medesimi dati.

L’adeguata informazione, in altri termini, consente di determinare quale ragionevole aspettativa di privacy il lavoratore può riporre all’interno del luogo di lavoro.

Il datore di lavoro, quindi, quale titolare del trattamento dei dati, in virtù della disciplina generale, resta comunque sottoposto agli obblighi formali e sostanziali, nonché all’adozione di determinate misure, che il GDPR ed il d.lgs. n. 196/2003 prevedono, oltre al riconoscimento di una serie di diritti – ex art. 15 e ss.34 GDPR – a favore dell’interessato strumentale all’esercizio da parte di quest’ultimo del potere di controllo sui propri dati.

Infatti, in base al principio di limitazione della finalità, il datore di lavoro deve configurare i sistemi tecnologici in modo tale che i dati siano raccolti per finalità determinate, esplicite, legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità, salvi i fini di archiviazione nel pubblico interesse, di ricerca scientifica, storica o a di tipo statistico35.

Al contempo egli deve assicurare la c.d. minimizzazione dei dati per far sì che i dati oggetto di trattamento siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati36. Ad esempio, il datore di lavoro che voglia controllare se un dipendente abbia o meno rispettato il divieto di utilizzare il computer di lavoro per navigare sul web, dovrà semplicemente limitarsi ad accertare se il lavoratore abbia effettuato o meno accessi ad internet, senza controllare il contenuto di tali accessi37; agendo diversamente, si approprierebbe di dati inerenti i siti visitati dal lavoratore che rappresentano informazioni non necessarie ed ultronee rispetto alla finalità di accertamento della violazione del divieto de quo.

Inoltre, in ossequio al principio di limitazione della conservazione, i dati devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”, salvi i casi di trattamento per finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici38.
Osservando tale principio, il datore di lavoro è quindi vincolato all’utilizzo di sistemi software che consentano di cancellare automaticamente, al raggiungimento delle finalità predeterminate, i dati personali registrati dagli strumenti elettronici o informatici39.

Con riguardo al modo con il quale l’informativa deve essere portata a conoscenza dei destinatari, v’è da osservare che non può essere rinvenuta risposta soddisfacente nel dualismo comunicazione individuale – pubblicità collettiva. Trattasi di un “tertium datur”. C’è una terza soluzione che nel caso che ci occupa trova successo: l’informativa deve essere resa solo ai prestatori di lavoro che fanno ricorso all’impiego degli strumenti cui la stessa informativa riferisce.

L’adeguata informazione inoltre deve rispondere all’istanza di trasparenza di cui lo stesso art. 5 GDPR si fa portavoce.
Rendere edotto il prestatore significa “corroborare” ancora di più il controllo cui è sottoposto. Tuttavia, meglio essere resi consapevoli e sapere come vengono trattati propri i dati, che non esserlo e consentire che “parti” del nostro essere siano bistrattate.

  1. Brevi conclusioni

La tematica sviscerata muovendo dal rapporto tra l’art. 4 dello Statuto dei lavoratori ex l. n. 300/1970 e la disciplina della riservatezza del lavoratore di cui al Regolamento UE n. 2016/679, nonché al d.lgs. n. 196/2003, pone in rilievo come anche nell’ambito del rapporto di lavoro si riscontrino significative trasformazioni derivanti dal sempre più massiccio ricorso alle nuove tecnologie, all’informatica ed alla telematica. In particolare, tale impatto ha dato vita a diverse soluzioni sia dal lato del datore di lavoro – per quanto concerne l’esercizio dei suoi poteri di controllo – sia dal lato del dipendente – con riferimento allo svolgimento della prestazione lavorativa.

Dai rilievi svolti nel presente contributo emerge come il legislatore del 2015, riformando l’art.4, ha desiderato riacquistare nell’ambito del diritto del lavoro le garanzie sostanziali in materia di controlli a distanza, lasciando al d.lgs. n. 196/2003, cui oggi si aggiunge il GDPR, il governo degli aspetti strettamente relativi alla protezione dei dati personali, seppur integrato dalla specificità della disciplina giuslaburistica. Quest’ultima, infatti, prevede ulteriori adempimenti funzionali a regolamentare meglio le fattispecie concrete, quali quelli di cui alla prescrizione del comma 3 dell’art. 4 cit. relativi all’informativa sulle modalità d’uso degli strumenti e di effettuazione dei controlli.

La norma di cui all’art. 4 per come confezionata non legittima la costituzione di una sorta di panopticon nei luoghi di lavoro, avendo il legislatore bilanciato gli interessi datoriali e quelli alla riservatezza di cui sono titolari i lavoratori. Anzi, posto che gli effetti dell’utilizzo degli strumenti considerati dall’art. 4 debbano essere informati da un equilibrato contemperamento fra la garanzia della dignità del lavoratore e le esigenze datoriali di controllo, v’è da dire che un proficuo componimento lo si può individuare nel ruolo principe svolto dal principio di proporzionalità alla stregua del quale – tenendo in debito conto gli strumenti utilizzati, il contesto del trattamento, la natura dei dati trattati ed i soggetti interessati, le misure da approntare – può determinarsi se il trattamento dei dati personali che derivi dall’utilizzo degli strumenti considerati dai primi due commi dell’art. 4 possa o meno essere proporzionato rispetto alle finalità perseguite dal datore di lavoro e non ledere la riservatezza dei dipendenti interessati40. Lo stesso GDPR rammenta nel considerando n. 4 “che il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”.

Per concludere, bisogna tributare notevole riconoscimento alla normativa speciale lavoristica per essere riuscita a facilitare l’impiego delle tecnologie secondo procedure e presupposti che siano in grado di attestarne la legittimità a tutto vantaggio della dignità dei lavoratori, seppur affrontando diverse criticità e cercando di governare al meglio le difficili interazioni che affiorano dal sostrato normativo della norma statutaria.

1 Per un trattazione organica sull’argomento si rinvia a P. Lambertucci, Potere di controllo del datore di lavoro e tutela della riservatezza del lavoratore: i controlli a “distanza” tra l’attualità della disciplina statutaria, promozione della contrattazione di prossimità e legge delega del 2014 (cd. Jobs act), CSDLE, It, n. 255/2015; V. Maio, La nuova disciplina dei controlli a distanza sull’attività dei lavoratori e la modernità post panottica, ADL, 2015, 1186; M.T. Salimbeni, La riforma dell’articolo 4 dello Statuto dei lavoratori: l’ambigua risolutezza del legislatore, q. Riv., 2015, I, 589; M.T. Carinci, Il controllo a distanza dell’attività dei lavoratori dopo il “Jobs act” (art. 23 d.lgs. 151/2015): spunti per un dibattito, Labour & Law Issues, vol. 2, n. 1, 2016; R. Del Punta, La nuova disciplina dei controlli a distanza sul lavoro (art. 23, d.lgs. n. 151/2015), q. Riv., 2016, 77; M. Marazza, Dei poteri (del datore di lavoro), dei controlli (a distanza) e del trattamento dei dati (del lavoratore), CSDLE, It, n. 300/2016;

2 La norma recita nei seguenti termini: “1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione delle sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi. 2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze. 3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”.

3 Sulla natura ed evoluzione del diritto alla privacy si rinvia a S. Niger, Le nuove dimensioni della privacy: dal diritto alla riservatezza alla protezione dei dati personali, Cedam, 2006.

4 Cfr. già la Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale del 28 gennaio 1981, n. 108; si v., altresì, art. 8, par. 1, della Carta dei diritti fondamentali dell’Unione europea, nonché art. 16, par. 1, del TfUe, la direttiva 95/46/CE; il Regolamento UE n. 2016/679, c.d. GDPR.

5 Si v. la l. n. 675/1996 e il codice in materia ex d.gs. n 196/2003, per come aggiornato dal d.lgs. n. 101/2018.

6 Il trionfo del GDPR ha innovato per diversi motivi l’approccio alla gestione dei dati personali, abrogando la direttiva 95/46/CE , fino a questo momento normativa di riferimento in materia. La novità principale risiede nel principio anglosassone di accountability che tradotto in italiano significa responsabilità, ossia rendere al contempo conto e dimostrazione del proprio operato. Tale principio informa tutta la disciplina nel regolamento contenuta, introducendo di fatto un notevole mutamento del metodo. Cambia, infatti, la gestione della protezione dei dati che risulta essere incentrata appunto sulla responsabilità, anche in termini di capacità di provare l’efficacia delle soluzioni adottate a tutela dei diritti degli interessati, perfino in fasi precedenti al trattamento. Per un approfondimento sul GDPR, si consenta di rinviare a G. Finocchiaro (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Zanichelli editore, 2017, M. Maglio, M. polini, N. Tilli, Manuale di diritto alla protezione dei dati personali, la Privacy dopo il regolamento UE 2016/79, Maggioli, 2017.

7 G. Proia, Trattamento dei dati personali, rapporto di lavoro e l’“impatto” della nuova disciplina dei controlli a distanza, RIDL, fasc.4, 2016, 547 ss.

8 Ai sensi dell’art. 4, n.2 del GDPR per “trattamento” è da intendersi “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

9 In questo solco concettuale, merita considerazione il provvedimento del 23 novembre 2006 del Garante per la protezione dei dati personali, in www.garanteprivacy.it, recante le “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati”, con il quale è stato disposto che il datore di lavoro debba chiedere “preventivamente il consenso solo quando, anche a seconda della natura dei dati, non sia corretto avvalersi di uno degli altri presupposti equipollenti al consenso”.

10 Dal par. 1 dell’art. 9 si evince oltre ad un generico divieto, cosa si intende per categoria particolare di dati. Esso recita nei seguenti termini: “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

11 I. Alvino, I nuovi limiti al controllo a distanza dell’attività dei lavoratori nell’intersezione fra le regole dello Statuto dei lavoratori e quelle del Codice della privacy, Labour & Law Issues, 2016, vol. 2, n. 1

12 Si v. il testo della proposta di Regolamento generale approvata dalla Commissione il 25 gennaio 2012, nel considerando n. 34, che rilevava come “il consenso non costituisce una valida base giuridica per il trattamento dei dati personali in presenza di evidenti squilibri contrattuali”, e che ciò accade “quando i dati personali di un lavoratore sono trattati dal suo datore di lavoro nel contesto dei rapporti di lavoro”. Tale rilievo, però, non è più contenuto nel testo definitivo.

13 Cfr. i provvedimenti del Garante dell’11 settembre 2014 (doc. web n. 3474069) e del 9 ottobre 2014 (doc. web n. 3505371), in www.garanteprivacy.it

14 Si v. art. 5.3. del provvedimento già citato del 23 novembre 2006 del Garante per la protezione dei dati personali, con il quale è anche precisato che non è, invece, consentita, in base ai principi di finalità e pertinenza (art. 11 del Codice), l’affissione di documenti che fanno riferimento a condizioni personali quali emolumenti, sanzioni disciplinari, assenze per malattia, adesione ad associazioni.

15 Ai sensi dell’art. 4, n. 7 GDPR per titolare del trattamento è da intendersi “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

16 G. Proia, op.cit., 547 ss.

17 Cfr. A. Sitzia, Il diritto alla “privatezza” nel rapporto di lavoro tra fonti comunitarie e nazionali, Cedam, 2013.

18 La tesi era già sostenibile nel vigore dell’art. 4 vecchia formulazione, v. da ultimo R. Del Punta, op.cit., q. Riv., 2016, I, pp. 77 ss., e, precedentemente, A. Maresca – S. Lucrezio Monticelli, Tutela della riservatezza nei rapporti di lavoro: divieto di controllo a distanza e telelavoro, in Trattato di Diritto Amministrativo, a cura di G. Santaniello, vol. XXXVI, Cedam, 2005, 537 ss. e, sul punto, 552.

19 La categoria dei controlli difensivi è frutto della creazione giurisprudenziale. Si v., a tal proposito, Cass. 3 aprile 2002, n. 4746, nella quale è stata elaborata le definizione.

20 Cfr. Cass. 23 febbraio 2012, n. 2722; 27 maggio 2015, n. 10955; 2 maggio 2017, n. 10636; 28 maggio 2018, n. 13266.

21 R. Del Punta, op.cit., 101.

22 V. Maio, op.cit., p. 1200; M. Marazza, op.cit., p. 18.

23 Si v. A. Maresca, Controlli tecnologici e tutele del lavoratore nel nuovo art. 4 dello statuto dei lavoratori, RIDL, fasc.4, 2016, 512 ss.

24 Cfr., ad esempio, il Provvedimento del 23 luglio 2015 (doc. web n. 4373088), in www.garanteprivay.it.

25 Art. 11.7. della Raccomandazione del 1º aprile 2015.

26Trattasi di soluzioni che adottano dati geo-referenziati, ovvero quei dati che permettono di rilevare la posizione geografica e il percorso del soggetto su cui sono installati i relativi sensori. Cfr. a riguardo Opinion 1/2017 on the Proposed Regulation for the ePrivacy Regulation (2002/58/EC), adottata il 4 aprile 2017 del Gruppo di lavoro Articolo 29 per la protezione dei dati, secondo cui “i dati di localizzazione derivanti dall’apparecchiatura terminale di una persona fisica sono dati personali e quindi il loro trattamento è soggetto agli obblighi del Regolamento (UE) 2016/679”.

27 Cass. 17 luglio 2007, n. 15892.

28 A. Maresca, op.cit., 512 ss.

29 Il comma 3 recita nei seguenti termini: “Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”.

30 Ivi.

31 Ragionando su tale aspetto, si può argomentare che l’espressione usata dal legislatore nella norma “per tutti i fini connessi al rapporto di lavoro” con riferimento all’utilizzabilità dei dati faccia soggiacere all’obbligo di informativa solo l’utilizzabilità dei dati per tali fini, restando esclusa l’utilizzabilità per fini diversi da quelli connessi al rapporto di lavoro. In verità, posta la generale applicazione della normativa in materia di privacy, l’adeguata informativa al dipendente andrebbe resa comunque, ma priva del contenuto specifico indicato dalla norma con riguardo alle modalità d’uso degli strumenti e di effettuazione dei controlli.

32 “1. In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, paragrafo 1, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili.

2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d) il diritto di proporre reclamo a un’autorità di controllo;

e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.

4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l’interessato dispone già delle informazioni”.

33“I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessatoliceità, correttezza e trasparenza»);b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattatiesattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali(«integrità e riservatezza»).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo responsabilizzazione»)”.

34 Trattasi del diritto di accesso, diritto di rettifica, diritto alla cancellazione, diritto di limitazione di trattamento, diritto alla portabilità dei dati, diritto di opposizione. Tuttavia ad accordare effettiva tutela agli interessi del lavoratore ha comunque provveduto la giurisprudenza del lavoro che ha riconosciuto il diritto del lavoratore di accedere alla documentazione effettivamente necessaria per l’esercizio del diritto di difesa. Riconoscimento accordato non già sulla base della disciplina della protezione dei dati personali, bensì sull’applicazione dei principi generali di buona fede e correttezza nell’esecuzione del contratto. Cfr. a tal proposito Cass. 28 ottobre 2015, n. 22025.

35 Si v. art. 5 GDPR par.1, lett. b.

36 Si v. art. 5 GDPR par.1, lett. c.

37 Si veda, tra gli altri, il provvedimento del Garante del 2 febbraio 2006, con il quale il Garante ha ritenuto illegittimo il controllo effettuato sul computer del lavoratore perché, mentre nell’informativa che quest’ultimo aveva ricevuto si prevedeva soltanto la possibilità di backup periodici, il controllo aveva riguardato non i file di backup, ma la directory temporary internet files contenuta in una cartella del computer.

38 Si v. art. 5 GDPR par.1, lett. e.

39 Si v. per un significativo approfondimento sul tema le “Linee del Garante per posta elettronica e internet” del 10 marzo 2007, in www.garanteprivacy.it

40 Sul punto si v. la sentenza della Corte Europea dei Diritti dell’Uomo, European Court of Human Rights (Grand Chamber), case of Bărbulescu v. Romania, Application no., 61496/08, 5 September 2017. In tale pronuncia la Grande Camera della Corte di Strasburgo ha individuato espressamente i criteri utili al fine di stabilire se una determinata misura sia proporzionata all’obiettivo perseguito e se il dipendente interessato sia tutelato contro interferenze arbitrarie nella sua sfera personale. Infatti, dalla lettura delle sentenza emerge che la protezione della privacy dei lavoratori deve essere assicurata dalla comunicazione al lavoratore: della possibilità che il datore di lavoro possa monitorare la sua attività, delle modalità tramite le quali viene attuato il monitoraggio, della portata del controllo datoriale e del grado di intrusione nella privacy del dipendente; della legittimità della giustificazione che il datore di lavoro pone a fondamento del monitoraggio; del ricorso a misure adeguate e quanto più possibile meno invasive per l’effettiva tutela del lavoratore; delle conseguenze del monitoraggio per il lavoratore e dell’uso da parte del datore di lavoro dei risultati dell’operazione di monitoraggio.