Con la pubblicazione nel numero 221 della Gazzetta Ufficiale del 23 settembre 2015 (Suppl. Ordinario n. 53), è entrato in vigore il Decreto Legislativo n. 151, recante «Disposizioni di razionalizzazione e semplificazione delle procedure e degli adempimenti a carico di cittadini e imprese e altre disposizioni in materia di rapporto di lavoro e pari opportunità, in attuazione della legge 10 dicembre 2014 n. 183». Si tratta, per chi non lo sapesse, del decreto attuativo della Legge del 10 dicembre 2014, n. 183, meglio nota come Jobs Act.
Nello specifico, l'articolo 23 del D.Lgs. summenzionato va a modificare l’Art. 4 della Legge n. 300 del 1970 - nota anche come Statuto dei Lavoratori - al fine di rimodulare il divieto dei controlli a distanza, chiarendo e specificando alcuni aspetti della precedente normativa nella consapevolezza di dover tener conto degli impianti audiovisivi e dei moderni strumenti di conrollo e/o lavoro a distanza.
Si tratta di una svolta epocale, certamente gradita alle associazioni di categoria che difendono gli interessi dei datori di lavoro, in quanto viene abolito il precedente comma 1 che vietava l'utilizzo delle suddette tecnologie, che recitava così:
1. E' vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività del lavoratore.
Questa la nuova formulazione:
1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali.
La venuta meno del divieto assoluto di carattere generale rende particolarmente rilevante la portata del secondo comma del nuovo art. 4, che recita quanto segue:
2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.
Come si può notare, la nuova formulazione esclude di fatto gli strumenti "utilizzati dal lavoratore per rendere la prestazione lavorativa" e quelli "di registrazione degli accessi e delle presenze" da quanto stabilito nel primo comma, consentendone di fatto l'utilizzo senza necessità di accordo sindacale o altra autorizzazione.
L'impatto di questo decreto sui diritti dei lavoratori, anche al netto delle nuove disposizioni del GDPR, è particolarmente forte: basti pensare, ad esempio al caso della registrazione degli accessi e delle presenze, che - grazie a questa modifica - potrebbe consentire all'azienda di registrare una serie di dati geografici, come ad esempio la presenza del lavoratore nei vari luoghi fisici (sedi aziendali, mezzi di trasporto aziendali et al.) durante la sua giornata lavorativa. Per non parlare della possibilità di estendere l'ambito della normativa agli strumenti che consentono di registrare accessi e presenze elettroniche, come ad esempio i dispositivi elettronici, i software gestionali ovvero i portali web.
Tra le numerose questioni sottovalutate, per non dire trascurate, dal legislatore si possono notare le seguenti:
- La presenza di numerosi servizi Cloud-based, come molti portali web gestionali di ultima generazione, sui quali il datore di lavoro non può garantire un controllo completo ovvero accurato, e che determinano intrinsecamente il trasferimento dei dati personali a soggetti terzi, non di rado operanti in paesi terzi (in alcuni casi extra-UE).
- La natura intrinsecamente ibrida di molti strumenti di lavoro utilizzati anche per scopi personali, come ad esempio gli Smartphone e i Mobile Device utilizzati in modalità COPE (Corporate Owned, Personal Enabled) o BYOD (Bring Your Own Device).
- L'inevitabile coinvolgimento dello staff ICT sulla maggior parte degli strumenti di controllo, sempre più spesso di natura informatica, con tutto ciò che comporta in termini di accesso potenziale ai dati dei lavoratori.
Queste problematiche, già rilevanti, sono soltanto la punta dell'iceberg: l'indeterminatezza normativa della nuova formulazione, con particolare riguardo al comma 2, presta il fianco anche a una serie di abusi da parte del datore di lavoro, che potrebbe produrre una serie di strumenti di controllo ed imporne l'utilizzo ai propri dipendenti a patto di dotarli di una connotazione "lavorativa": un perfetto esempio di questo è il noto braccialetto di Amazon, dotato di funzionalità tali - la localizzazione degli articoli sugli scaffali - da rientrare nell'eccezione di cui al comma 2, ma di fatto riconducibile anche - almeno potenzialmente - ad un sistema di controllo.
Appare quindi evidente come si passi dal divieto del controllo a distanza dell'attività del lavoratore (salvo specifici accordi sulle modalità) alla legittimazione del controllo, sia con i vecchi strumenti di controllo (audiovisivi) sia con gli attuali e più moderni strumenti tecnologici e informatici, per definizione ibridi (o facilmente ibridabili): per i primi (comma 1) serve un accordo specifico, mentre per i secondi (comma 2) non serve alcuna autorizzazione.
La situazione si complica ulteriormente con il comma 3, la cui nuova formulazione recita così:
3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.
Appare evidente come la formulazione preveda un ampio spettro interpretativo: tra i "fini connessi al rapporto di lavoro" possono infatti esservi finalità disciplinari, di valutazione delle prestazioni, et al.; e non convincono affatto le due condizioni imposte dal legislatore al datore di lavoro, ovvero:
- La necessità di dare al lavoratore "adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli [...]", impegno che può essere agevolmente assolto mediante la più classica delle informative inviate per conoscenza al dipendente al momento della definizione del rapporto di lavoro: la presenza combinata dei nuovi commi 1 e 2 esclude qualsivoglia possibilità di contrattazione, rendendo di fatto tale informativa unilaterale e non negoziabile.
- La necessità di agire nel rispetto di quanto disposto dal D. Lgs. del 30 giugno 2003, n. 196, ovvero dal (vecchio) Codice Privacy e, di conseguenza, di tutte le disposizioni ad esso collegato.
Se la prima condizione appare estremamente inefficace, per i motivi espressi, a tutelare i diritti dei lavoratori, la seconda pone una serie di problematiche giuridiche che rischiano di compromettere l'utilità dell'intero Art. 4 in termini di effettiva usabilità dei dati raccolti.
Le conseguenze di questo "ponte" costruito dal legislatore tra diritto del lavoro e diritto alla Privacy sono molteplici: anzitutto, la scelta di applicare la logica del ne bis in idem in questi due ambiti non appare formalmente corretta, in quanto i centri di imputazione giuridica sono spesso diversi e potrebbero coincidere solo incidentalmente; inoltre, diventa estremamente difficile - per non dire impossibile - ottenere l'autorizzazione all'utilizzo effettivo dei dati raccolti ai sensi dei commi 1 e 2 in conseguenza dei principi generali previsti dal vecchio Codice Privacy e quindi, dal 25 maggio 2018, dal GDPR: è infatti del tutto probabile - ed esistono già alcuni casi di specie - che il Garante della Privacy possa eccepire, in caso di ricorso o segnalazione, sul mancato rispetto dei principi di liceità, correttezza, necessità, trasparenza, roporzionalità e/o eccedenza.
In tutti questi casi, il "ponte" di cui sopra potrebbe dunque avere l'inedita conseguenza di rendere il Garante della Privacy un garante de facto dei diritti del lavoratore, in sostituzione (o per meglio dire, "facendo le veci") di quanto precedentemente garantito dal diritto del Lavoro. Tale avvicendamento, oltre ad apparire poco opportuno, ha l'indubbio effetto di indebolire ulteriormente la posizione del lavoratore: benché infatti il GDPR contenga numerose novità a tutela dei diritti delle persone fisiche, non si può non sottolineare come il divieto del controllo a distanza sull'attività del lavoratore, in precedenza posto a difesa del principio forte relativo alla dignità del lavoratore nel proprio lavoro, sia stato oggi derubricato all'interno di un quadro normativo che attiene al rispetto della Privacy, overo alle varie modalità di trattamento (accesso, divulgazione, archiviazione et al.) dei dati personali.
Hai bisogno di organizzare un corso per te o per la tua azienda? Consulta il programma del nostro Corso di Formazione su GDPR e Privacy e/o chiedici un preventivo senza impegno!