Questa voce è stata curata da Caterina Camposano
Scheda sintetica
Il d.lgs. n. 151/2015 ha riformato l’art. 4 St. Lav., introducendo un nuovo regime dei controlli a distanza, muovendo dai riflessi delle nuove tecnologie sui rapporti di lavoro. Il legislatore, tuttavia, da un lato ha predisposto penetranti limiti e condizioni in ordine agli “impianti audiovisivi” e agli altri “strumenti dai quali possa derivare anche un controllo a distanza della prestazione” (comma 1 art. 4 St. Lav.), dall’altro esclude che tali stringenti limiti si applichino agli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (comma 2 art. 4 St. Lav.), ossia alle nuove tecnologie proprie della dimensione telematica del lavoro e caratterizzate da un’insita potenzialità di controllo della prestazione lavorativa.
In effetti, è evidente che strumenti come computer, smartphone e tablet sempre più utilizzati dalla maggior parte dei lavoratori, pur facilitando notevolmente l’esecuzione della prestazione, possano rendere più incisivo il potere di controllo del datore di lavoro, consentendo di accedere a informazioni relative a ciascun lavoratore anche in relazione all’adempimento degli obblighi connessi alla prestazione lavorativa.
Sorge quindi spontaneo chiedersi fino a dove possa spingersi il controllo del datore di lavoro e in quali casi le nuove tecnologie rientrino tra gli ”strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” del comma 2, (per l’installazione dei quali non è necessaria l’impalcatura autorizzativa del comma 1).
Normativa di riferimento
L. 300/1970, art. 4
Scheda di Approfondimento
Limiti al controllo datoriale sugli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”
Un primo limite del controllo datoriale si rinviene nel comma 3 dell’art. 4 St. Lav. in base al quale i dati raccolti possono essere utilizzati per la gestione del rapporto di lavoro, quindi anche a fini disciplinari, a particolari condizioni.
Gli altri limiti si possono rinvenire, di volta in volta, in relazione al funzionamento dei dispositivi telematici impiegati dal lavoratore.
- I computer e gli smartphone, sono sempre più spesso usati dal lavoratore per erogare la prestazione lavorativa e pertanto, si prestano ad essere controllati dal datore di lavoro. Sul punto è necessario distinguere tra hardware e software: solo il primo serve ad eseguire la prestazione lavorativa e rientra nel comma 2; il secondo è eventuale ed aggiuntivo, e pertanto, potrà essere oggetto di controllo nel rispetto del comma 1. La nozione di “strumenti utilizzati per rendere la prestazione lavorativa”, infatti, comprende soltanto i mezzi strettamente funzionali all’esecuzione della prestazione stessa (cfr. Min. Lav. 18.6.2015 e Provvedimento Garante per la protezione dei dati personali 13/7/2016, n. 303).
- La mail aziendale è strettamente funzionale all’esecuzione della prestazione; tuttavia non rientrano in tale nozione i sistemi software che consentono, con modalità non percepibili dall’utente (c.d. in background) e in modo del tutto indipendente rispetto alla normale attività dell’utilizzatore, il monitoraggio, il filtraggio, e la tracciatura costanti ed indiscriminati degli accessi al servizio di posta elettronica (Garante privacy 13.7.2016, n. 303). A prescindere dalla distinzione tra hardware e software, l’uso di programmi informatici esclusivamente diretti a monitorare l’attività dei lavoratori per rilevare inadempimenti di natura contrattuale deve reputarsi tutt’ora vietato, come stabilito dal il Consiglio di Europa con la raccomandazione CM/Rec (2015) n. 5 e dalle Linee guida del Garante della privacy per posta elettronica e internet (doc. web n. 1387522, paragrafo. 4). Una nota sentenza della Corte Europea dei Diritti dell’Uomo (Caso Barbulesu c. Romania, 12 gennaio 2016, C. 61496/08) ha riconosciuto che il controllo dell’account di posta elettronica dei dipendenti possa essere svolto dal datore di lavoro solo se rispetta alcune condizioni: il datore di lavoro deve preventivamente informare i lavoratori circa la possibile sottoposizione al controllo degli strumenti informatici da loro utilizzati; il controllo deve essere limitato nello scopo e proporzionato; continua ad essere vietato un controllo generalizzato ed indiscriminato.
- Sistemi di geolocalizzazione del lavoratore installati sugli autoveicoli aziendali: la circolare n. 2/2016 dell’Ispettorato nazionale del lavoro ha chiarito che il Gps non è di regola strumento necessario a rendere la prestazione lavorativa, in quanto l’installazione preordinata a soddisfare esigenze ulteriori, di tipo organizzativo, produttivo, assicurativo o per la sicurezza del lavoro, con conseguente necessità del consenso sindacale o dell’autorizzazione amministrativa; quando invece è strettamente funzionale allo svolgimento dell’attività lavorativa, ovvero quando rientra tra quegli “apparecchi, dispositivi, apparati, congegni che costituiscono il mezzo indispensabile al lavoratore per adempiere la prestazione lavorativa dedotta in contratto, e che per tale finalità siano stati posti in uso e messi a disposizione”, rientra nell’esenzione ex art. 4, comma 2. Ad abundantiam si precisa che il datore di lavoro può liberamente inserire il GPS allo strumento di lavoro anche quando l’installazione è richiesta da specifiche normative di carattere legislativo o regolamentare: ad esempio in ipotesi di trasporto di portavalori superiore a euro 1.500.000,00.
- i dati biometrici: Il Garante della privacy, con il Provvedimento 280 del 2014 ha ritenuto che possa essere consentita l’adozione di sistemi biometrici basati sull’elaborazione dell’impronta digitale o della topografia della mano per limitare l’accesso ad aree e locali ritenuti “sensibili” al fine di assicurare specifici livelli di sicurezza, oppure per consentire l’utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati e specificamente addetti alle attività. L’ispettorato del lavoro ha, quindi ritenuto che il riconoscimento biometrico installato sulle macchine, necessario per avviare il funzionamento della stesse e per impedirne l’utilizzo a soggetti non autorizzati, può essere considerato uno strumento di lavoro ai sensi del comma 2, art. 4 St. Lav.
L’utilizzabilità dei dati raccolti
Il comma 3 prevede che i dati raccolti mediante gli strumenti di cui ai commi 1 e 2 dell’art. 4 St. Lav., e quindi anche mediante gli strumenti per rendere la prestazione di cui sopra, sono utilizzabili a tutti i fini connessi al rapporto di lavoro e quindi senza dubbio anche a fini disciplinari, purché siano rispettate le seguenti condizioni:
- che il lavoratore sia informato in modo adeguato sulle modalità di uso degli strumenti e sulle modalità di effettuazione dei controlli;
- che l’uso avvenga nel rispetto della disciplina in materia di privacy, non più limitata al D.Lgs. 196/2003, ma estesa al Regolamento UE 2016 (c.d. GDPR).
In mancanza, le informazioni raccolte sono inutilizzabili.
La norma in oggetto riconosce esplicitamente la necessità del raccordo tra privacy ed ordinamento giuslavoristico: si impone, pertanto, un approfondimento sul tema privacy al fine di comprendere se e quando le informazioni racconte mediante l’attività di controllo datoriale siano o meno utilizzabili anche a fini disciplinari.
La prima condizione: il rispetto della privacy
Come premesso, le informazioni sui lavoratori acquisite tramite controlli a distanza costituiscono “dati personali” e, in quanto tali, sono sottoposti alla normativa sulla privacy, attualmente raccolta nel d.lgs 196/2003 (Codice della privacy), profondamente incisa dal Regolamento UE 2016/679 (General Data Protection Regulation c.d. GDPR, direttamente applicabile nel nostro ordinamento a decorrere dal 25 maggio 2018) e dal d.lgs 101/2018.
Il paragrafo 1 dell’art. 4 GDPR definisce dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. Il riferimento è al c.d.interessato – nel caso di specie, il lavoratore.
L’art. 9 del GDPR, definisce altresì i c.d. “dati particolari” ossia i dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
La disposizione circoscrive in negativo un’altra categoria di dati, i c.d. “dati comuni”: sono dati comuni quelli non compresi nell’elenco dei “dati particolari”.
Si specifica che prima del 25 maggio 2018, il Codice della privacy impiegava l’espressione “dati sensibili” per identificare quelli che il GDPR denomina “dati particolari”; con l’entrata in vigore del Regolamento lo stesso Codice della privacy si è adeguato alla nuova denominazione: l’art. 98, comma 2 precisa, infatti, che l’espressione “dati sensibili” a tutt’oggi contenuta nel Codice si intende riferita alla categoria dei c.d. “dati particolari” appena delineata.
Come premesso, l’utilizzo di dati personali da parte del datore di lavoro rappresenta una forma di “trattamento”: attività anch’essa definita nell’art. 4 paragrafo 1 del GDPR. Di conseguenza, il datore di lavoro, ai sensi della normativa privacy, prende il nome di “responsabile del trattamento”.
Proprio perché “trattamento”, l’attività di impiego dei dati personali derivanti dai controlli ex art. 4 St. Lav. è subordinata al rispetto dei principi delineati dall’art. 5 GDPR:
a) il trattamento dei dati personali deve rispondere a finalità determinate, esplicite e legittime (finalità del trattamento);
b) il trattamento deve essere preceduto dal rilascio di informazioni che indichino la ragione della raccolta dei dati e la modalità di attuazione della stessa (trasparenza del trattamento);
c) il trattamento deve sempre essere indirizzato ad un fine: pertanto deve esservi corrispondenza tra finalità e trattamento espletato, i dati devono essere sempre adeguati, pertinenti e limitati a quanto necessario rispetto alla finalità (proporzionalità del trattamento);d) il trattamento deve essere sempre effettuato tramite misure opportune per la conservazione dei dati (sicurezza del trattamento).
Il datore di lavoro, inoltre, è chiamato a seguire regole specifiche in materia di consenso, diverse a seconda del tipo di dato personale (comune e/o particolare) trattato.
Il consenso riveste un ruolo centrale nella regolamentazione del trattamento dei dati personali. In effetti, secondo il codice della privacy il consenso costituiva il primo requisito di legittimità del trattamento, oggetto dell’intero capo III, di cui agli artt. da 23 a 27, poi abrogati dal d.lgs. n. 101/2018.
A seguito dell’abrogazione di cui sopra, la disciplina di riferimento è quella delineata dal GDPR.
Per “consenso” si intende qualsiasi manifestazione libera, specifica, informata e inequivocabile dell’interessato con la quale quest’ultimo manifesta il proprio assenso a che i dati personali che lo riguardano siano oggetto di trattamento: assenso dimostrato mediante dichiarazione o azione positiva inequivocabile.
Quando ad essere trattati sono i c.d. “dati comuni”, il consenso non è sempre necessario: anche qualora il consenso manchi, infatti, il trattamento potrebbe essere lecito se rispetta almeno una delle condizioni tipizzate dall’art. 6 del GDPR.
La disposizione delinea le condizioni di liceità del trattamento, attribuendo al consenso il ruolo di condizione di liceità residuale.
Qualora il trattamento si basi sul consenso, è sul datore di lavoro che grava l’onere probatorio in punto di rilascio del consenso. L’art. 7 GDPR prescrive, infatti, che “qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali”.
Con riguardo ai “dati particolari”, invece, il legislatore ha posto un generale divieto di trattamento, temperato da alcune eccezioni elencate nel paragrafo 2, prima tra tutte il consenso esplicito dell’interessato.
È opportuno precisare che nell’ambito di un rapporto lavorativo, sono molti i dati particolari trattati dal datore di lavoro: a titolo esemplificativo, si pensi ai dati biometrici qualora l’azienda utilizzi apparecchiature biometriche, si pensi all’appartenenza o meno di un lavoratore ad un sindacato per il rilascio di permessi ai dirigenti sindacali, ancora si pensi ai dati relativi alla salute, fondamentali in caso di malattia e infortunio.
Riprendendo l’impostazione dell’art. 9 GDPR, il Garante Privacy ha emanato il provvedimento n. 146 del 5 giugno 2019 che contiene “prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro” e che si applica a tutti coloro che “a vario titolo […] effettuano trattamenti per finalità d’instaurazione, gestione ed estinzione del rapporto di lavoro”.
Il Garante stabilisce che il trattamento dei “dati particolari” può essere effettuato solo se necessario, ossia se finalizzato esclusivamente:
- ad adempiere gli obblighi previsti dalle norme dell’Unione Europea, dalle leggi nazionali, dai regolamenti o dai contratti collettivi anche aziendali ai fini dell’instaurazione, gestione ed estinzione del rapporto di lavoro;
- alla tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti;
- a perseguire la salvaguardia della vita o dell’incolumità del lavoratore o di un terzo;
- a far valere o difendere un diritto;
- all’adempimento degli obblighi che derivano da contratti di assicurazione volti alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di salute e sicurezza del lavoro e di malattie professionali, o per i danni cagionati a terzi nell’esercizio dell’attività lavorativa professionale;
- a garantire le pari opportunità nel lavoro;
- a perseguire gli scopi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi, in materia di assistenza sindacale ai datori di lavoro.
Il rispetto della normativa privacy sopra sinteticamente espressa è solo una delle condizioni di utilizzabilità delle informazioni raccolte mediante l’attività di controllo.
La seconda condizione: l’informativa del datore di lavoro
Come già premesso, infatti, il comma 3 dell’art. 4 St. Lav. prescrive che le informazioni raccolte a seguito di controllo siano utilizzabili solo se venga rispettata anche l’ulteriore condizione: il rilascio al lavoratore di un’adeguata informativa.
Il Codice della Privacy prevedeva espressamente un obbligo in tal senso: l’art. 13 C.d.p., infatti, disciplinava l’obbligo di informare previamente, per iscritto o oralmente, l’interessato del trattamento dei dati, indicando il contenuto dell’informativa.
Anche l’art. 13 C.d.p. è stato abrogato, pertanto, la disciplina da considerare è quella codificata dagli artt. 13 e 14 del GDPR.
L’art. 13 GDPR disciplina l’ipotesi in cui i dati personali siano raccolti presso l’interessato (ossia nel caso di specie il lavoratore) e prescrive il contenuto minimo dell’informativa.
Il legislatore sovranazionale ha altresì specificato che, qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di trattarli deve fornire all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente.
Quando i dati personali non sono raccolti direttamente presso l’interessato (art. 14 GDPR), l’informativa deve essere fornita entro un tempo non superiore a un mese dall’ottenimento dei dati personali o, nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato oppure, nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.
L’art. 15 del Codice della Privacy prescriveva che il trattamento dei dati in in violazione di legge facesse sorgere il diritto al risarcimento del danno, anche non patrimoniale: danno inteso da parte della giurisprudenza alla stregua di lesione della personalità morale del lavoratore, ex art. 2087 c.c..
Attesa l’abrogazione anche di quest’ultima disposizione, si deve considerare l’art. 82 del GDPR che prevede che chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento.
L’inutilizzabilità dei dati raccolti. Violazione dell’art. 4 St. Lav.
Tanto la violazione delle condizioni di utilizzo degli strumenti di lavoro quanto la violazione della normativa privacy si traduce nella violazione dell’art. 4 St. Lav. il che comporta l’inutilizzabilità del dato informativo acquisito.
La violazione integra, altresì, un illecito penale ex art. 38 dello Statuto dei Lavoratori. Tale disposizione non richiama più espressamente l’art. 4 St. Lav. (a decorrere dal 1 gennaio 2004, a seguito di modifica intervenuta con d.lgs n. 196/2003); le conseguenze sanzionatorie della violazione dell’art. 4 St. Lav. sono, infatti, codificate espressamente dall’art. 171 del D. Lgs. n. 196/2003. Tale ultima disposizione, come riformata nel 2015, è rubricata “Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori” che stabilisce quanto segue: “la violazione delle disposizioni di cui agli articoli 4, comma 1, e 8 della legge 20 maggio 1970, n. 300, è punita con le sanzioni di cui all’articolo 38 della medesima legge”.
Da ultimo, si evidenzia che la violazione dell’art. 4 St. Lav., qualora si traduca anche in una violazione della normativa privacy, oltre a comportare l’inutilizzabilità del dato raccolto, fa insorgere, altresì, una responsabilità risarcitoria in capo al datore di lavoro, con conseguente diritto del lavoratore al risarcimento di tutti i danni patrimoniali e non patrimoniali patiti (ex art. 82 GDPR).
Casistica di decisioni della Magistratura
Si veda la sezione sulle decisioni della giurisprudenza alla voce Controllo a distanza dei lavoratori.