Nella originaria formulazione dell’art.4 del citato Statuto le modalità tipiche di controllo erano: i) la catalogazione d’informazioni; ii) il posizionamento delle postazioni di lavoro così da rendere visibili tutti i lavoratori; iii) l’installazione di telecamere, dapprima utilizzate solo per riprendere in tempo reale, poi anche per memorizzare le immagini. L’evoluzione tecnologica ha accompagnato l’impiego delle telecamere nella conservazione delle informazioni raccolte, rendendole in tal modo disponibili per il tempo (limitato) della loro conservazione. A questo strumento, nel corso degli anni, se ne sono affiancati altri, come le centraline telefoniche, i telefoni aziendali, le vetture aziendali, i pc, ecc., fino (per ora) al traffico di rete.
L’art.4 dello Statuto si ascrive in quella “complessa normativa diretta a contenere in vario modo le manifestazioni del potere organizzativo e direttivo del datore di lavoro che, per le modalità di attuazione incidenti nella sfera interna della persona, si ritengono lesive della dignità e della riservatezza del lavoratore”, come osservato dalla giurisprudenza di legittimità” (Cass. sez. lav., 17.7.2007 n.15892). Oggi l’impatto tecnologico ha sconvolto quella visione, legata a strumenti circoscritti nella loro funzione. La quotidianità ci mette infatti alla prova di internet, cioè di uno strumento con un grande potere invasivo, ponendo la necessità, per quanto riguarda la presente tematica, di scomporre i dati riconducibili all’attività lavorativa da quelli che invece attengono alla sfera privata e/o personale.
Basti pensare – nella questione che qui viene affrontata – al potere di controllo che il datore di lavoro, come pure l’amministratore di sistema, può esercitare attraverso la rete, sulla quale si svolgono quasi tutte le attività aziendali e, quindi, anche dei propri dipendenti. E’ di immediata constatazione la potenza – in termini di spazio e di tempo – dello strumento tecnologico.
Per questo motivo il legislatore con il D.Lgs. n.151/2015 ha ampliato le fattispecie. Nel primo comma viene infatti introdotta la previsione che legittima l’installazione di impianti e strumenti in questione anche per la tutela del patrimonio aziendale. Essa va ad aggiungersi alle esigenze organizzative e produttive e di sicurezza sul lavoro, già contemplate.
Anche la procedura per l’autorizzazione all’installazione degli impianti audiovisivi e di altre apparecchiature per le finalità di controllo a distanza delle attività dei lavoratori è stata innovata: la nuova formulazione dell’art.4, n.1 comma 1 stabilisce che la loro installazione deve avvenire “previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali”. Nel caso, invece, “di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale”.
Una volta ottenuto l’accordo con le rappresentanze sindacali o l’autorizzazione dal Ministero del Lavoro, la nuova formulazione dell’art.4 prevede che le informazioni acquisiste mediante gli strumenti di controllo a distanza sono utilizzabili per tutti i fini connessi al rapporto di lavoro (inclusi quelli disciplinari) solo se il lavoratore sia stato preventivamente informato sulle modalità d’uso degli strumenti; sulle modalità di effettuazione dei controlli e sulle modalità del rispetto delle norme in materia di trattamento dei dati personali.
Tutte le considerazioni che precedono e i dati normativi commentati permettono di comprendere la portata del MODULO QUI DISPONIBILE realizzato dall’Ispettorato Nazionale del Lavoro per la richiesta dell’autorizzazione in questione. Con la dovuta accortezza che essa si riferisce a quell’ipotesi, cioè alla richiesta di autorizzazione all’installazione degli impianti audiovisivi. Dalla sola lettura del dato testuale del predetto documento si trae come le altre forme di controllo non vi siano ricomprese.
Sarà dunque necessario che il datore di lavoro valuti con attenzione l’impatto tecnologico del tipo di strumento attraverso il quale può esercitare una forma di controllo del lavoratore e se esso può rappresentare una ipotesi di trattamento. In questi ultimi due casi occorrerà ottenere il preventivo accordo o la preventiva autorizzazione, come sopra detto. Per tale fattispecie alleghiamo il relativo MODULO elaborato dall’Ispettorato Nazionale del Lavoro (istanza di autorizzazione alla installazione di altri strumenti di controllo).
La rilevanza della questione che precede merita il diretto esame di un caso che è stato oggetto di specifico esame da parte del Garante per la protezione dei dati personali, conclusosi con il provvedimento assunto in data 13.7.2016. In tal modo si vuole offrire una ulteriore riflessione, attraverso un caso concreto, e dare maggiore consapevolezza nell’affrontare la tematica, di per sé complessa.
Il caso riguarda la lamentata violazione della disciplina dei dati personali, con riguardo, tra l’altro, all’asserito controllo posto in essere dal datore di lavoro in ordine all’utilizzo di sistemi di comunicazione elettronica e di videosorveglianza da parte del personale dell’Università degli studi G. d’Annunzio di Chieti – Pescara nei confronti dell’Ateneo.
L’attenzione dell’Autorità interpellata si è concentrata sul trattamento dei dati, più precisamente “quando il trattamento – le cui specifiche caratteristiche, derivanti dalla configurazione del sistema, articolandosi anche in operazioni di controllo, filtraggio, monitoraggio e tracciatura delle connessioni e dei collegamenti ai siti internet esterni, registrati in modo sistematico e conservati per un ampio arco temporale – sia idoneo a consentire un controllo dell’attività e dell’utilizzo dei servizi della rete individualmente effettuato da soggetti identificabili. Ciò, nei casi in cui il trattamento sia posto in essere nei confronti dei dipendenti ed in presenza del menzionato collegamento tra i dati relativi alla connessione e la persona utilizzatrice”, osserva il Garante, “consente di ricostruire anche indirettamente l’attività e risulta in contrasto con il principio di liceità nonché con la rilevante disciplina di settore in materia di lavoro (art.11 comma 1, lett a) e 114 Codice Privacy e art.4 L. n.300/1970). Tanto sia con riguardo alla disciplina in materia di impiego di apparecchiature idonee al controllo a distanza dell’attività dei lavoratori vigente all’epoca in cui il trattamento è iniziato (prima della riforma dell’art.4 dello Statuto dei lavoratori del 2015, ndr) sia con riguardo al quadro normativo risultante dalle modifiche intervenute per effetto dell’art.23 del D. Lgs. n.151/2015” (che ha introdotto le modifiche all’art.4 cit.).
Proprio in riferimento alla nuova formulazione dell’art.4, il Garante pone la sua attenzione sulla tipologia degli apparati utilizzati per poi valutarne la riconducibilità o meno alla categorie degli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa. L’osservazione del Garante muove dal trattamento e con quali strumenti è effettuato: per il tramite di apparati (differenti dalle ordinarie postazioni di lavoro) e di sistemi software che consentono, con modalità non percepibili dall’utente (c.d. in background) e in modo del tutto indipendente rispetto alla normale attività dell’utilizzatore (cioè senza alcun impatto o interferenza sul lavoro del dipendente), operazioni di “monitoraggio”, “controllo”, “filtraggio” e “tracciatura” costanti ed indiscriminati degli accessi a internet o al servizio di posta elettronica. Rispetto a tali strumenti, al contesto e alle finalità di utilizzo, il Garante esclude che essi possano essere considerati “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, definizione ricavabile dall’art.4 comma 2 L.300/70, come modificata dall’art.23 D.Lgs. 151/2015.
Spiega il Garante come “in tale nozione – e con riferimento agli strumenti oggetto del presente provvedimento, vale a dire servizio di posta elettronica e navigazione web – è da ritenere che possano ricomprendersi solo servizi, software e applicativi strettamente funzionali alla prestazione di lavoro, anche sotto il profilo della sicurezza. Da questo punto di vista, a titolo esemplificativo, possono essere considerati strumenti di lavoro alla stregua della normativa citata il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale) e gli altri servizi della rete aziendale, fra cui il collegamento ad internet. Costituiscono parte integrante di questi strumenti anche i sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore (come i sistemi di
loggin per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella c.d. “envelope” del messaggio, per una breve durata non superiore ai sette giorni; sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso).
Altri strumenti pure utili al conseguimento di una elevata sicurezza della rete aziendale non possono normalmente consentire controlli sull’attività lavorativa, non comportando un trattamento di dati personali dei dipendenti, e di conseguenza non sono assoggettati alla disciplina dell’art.4 Statuto Lav. (ad esempio, sistemi di protezione perimetrale in funzione antintrusione, sistemi di prevenzione e rilevamento di intrusioni”). In conclusione, si conferma centrale la valutazione che l’impatto tecnologico ha nel trattamento dei dati personali.
Avv. Giuseppe Maria Giovanelli
