Privacy e controllo a distanza
Il controllo a distanza: che cosa può fare l‘azienda?
Lavoratori lontani, a volte lontanissimi, per un tempo non prevedibile. Come può, se può, l‘azienda controllare se i suoi collaboratori stanno lavorando e se rispettano gli accordi presi quanto a disponibilità, raggiungibilità e reciproco supporto? Lo smart working, quello vero, supera ampiamente il tema del controllo, tuttavia non viene meno completamente, da parte dell‘azienda, la possibilità di verificare, magari insieme al collaboratore, come viene gestito il lavoro concordato. Certo è che il controllo a distanza rimanda anche a un tema di privacy molto delicato. E va normato.
Vediamo insieme alcuni scenari.
Domanda: lavoro in smart working, per lo più a casa ma a volte anche in luoghi esterni, da molti mesi. Che cosa può controlare la mia azienda? Il mio incarico, infatti, prevede anche il tattamento di dati sensibili: come mi devo regolare?
Risposta: partiamo dalla base giuridica. I riferimenti normativi su smart working e controlli si trovano anche nella legge 81/2017, sulla disciplina del lavoro agile, nonché sui DPCM vari 2020 e sulla legge finanziaria 2021, che recano una disciplina emergenziale del lavoro da remoto, semplificata, attualmente prorogata ormai fino al 31 dicembre.
Oltre a questa, una disciplina ulteriore – e più importante – deriva dall‘art. 4 dello statuto lavoratori, che disciplina i controlli sull‘attività lavorativa, nonché dal GDPR, per quanto concerne: 1) Indicazioni sulla raccolta ed il trattamento dei dati del dipendente e 2) Indicazione sui trattamenti di dati effettuati nello svolgimento dell’attività lavorativa.
Secondo il testo attuale dell‘art 4 statuto (legge 300/1970), il controllo dell‘azienda può avvenire su
- Mezzi: impianti audiovisivi o altri strumenti (ad es. software)
- Finalità: solo per esigenze organizzative e produttive, sicurezza sul lavoro e tutela patrimonio aziendale
- Requisiti: accordo sindacale o autorizzazione I.T.L.
Eccezioni: accordo/autorizzazione non richiesti per strumenti necessari alla prestazione lavorativa
Domanda: posso subire delle sanzioni se i controlli rilevano delle difformità?
Risposta: Il profilo disciplinare prevede la possibilità di controllare la prestazione del dipendente e può portare, in certi casi, alla scoperta di violazioni disciplinari. Il potere di controllo è infatti strettamente correlato al potere disciplinare. Dal controllo può scaturire la contestazione disciplinare, che potrebbe poi portare o meno a una sanzione (licenziamento incluso). È importante, quindi, che il controllo venga fatto in maniera legittima. In caso contrario anche la sanzione (e/o licenziamento) che ne consegue è sicuramente da mettere in discussione.
Domanda: il controllo da parte dell‘azienda è sempre finalizzato a una sanzione?
Risposta: tutt‘altro. In generale il controllo aiuta ad evitare rischi ed è quindi una prassi reciprocamente utile per il lavoratore come per l‘azienda. Per esempio, il controllo aiuta a limitare stress lavoro-correlato e rischio burn-out, normando l’orario di lavoro e una sua più equa distribuzione. Il controllo consente anche di prevenire la perdita e l’utilizzo improprio di know-how aziendale e di prevenire/identificare tempestivamente eventuali violazioni di sicurezza (data breach).
Domanda: molto spesso si parla di controllo legato alla tutela del patrimonio aziendale; ma cosa si intende, in pratica?
Risposta: in realtà, la finalità del controllo vuole essere la massima riservatezza in merito ai dati aziendali. Ciò prevede, per esempio, alcune prassi molto semplici.Utilizzo di password regolarmente aggiornate. Evitare di scrivere password e informazioni riservate su fogli incustoditi (alla conclusione della prestazione lavorativa giornaliera si deve provvedere alla distruzione dei documenti eventualmente stampati, ovvero alla loro conservazione in armadi, cassetti o altri contenitori muniti di serratura).
Non lasciare il computer acceso e liberamente accessibile ad altri. Porre attenzione ai software di videochiamata utilizzati (es. Teams, Skype, Hangouts, Zoom etc.) e chiuderli. In alcuni casi potrebbero verificarsi accessi non autorizzati da esterni, è quindi consigliabile creare sempre una waiting room privata e rendere obbligatoria l’autenticazione.
Connettersi alla rete aziendale solo attraverso la VPN o altri token aziendali. Se si usano dispositivi personali (ammessi dal datore di lavoro), attenzione ad aggiornare sempre il sistema operativo. In caso di attività sospette sugli strumenti utilizzati per lo smart working, avvisare subito il datore di lavoro utilizzando canali appropriati.
Domanda: per la privacy e sicurezza nella gestione dei dati personali, mi è richiesto di evitare il data breach, che cosa significa?
Risposta: la policy di gestione data breach è il documento che illustra il processo da seguire quando si verifica una violazione di dati e come e da chi debba essere notificata all’Autorità Garante Privacy.
La violazione di dati si ha in ogni caso di perdita, modifica, alterazione, accesso di dati avvenuta in modo illecito, colposo o doloso (perdita di pc, distruzione colposa di documenti, accesso illegittimo di hacker, campagna di phishing).
I contenuti principali della policy comprendono:
- processo operativo di notifica e comunicazione di un data breach
- metodologia di analisi del rischio (alto, medio, basso) per i diritti e le libertà dell’interessato associato al data breach
Domanda: io uso il telefono, il computer, il tablet per lavorare: che cosa si intende esattamente per strumento di lavoro quando si parla di controllo e privacy?
Risposta: è impossibile predefinire una categoria astratta di “strumento utilizzato per rendere la prestazione“. È strumento di lavoro solo quello che è indispensabile per svolgere le proprie mansioni o anche quello che rende più agevole, rapida, conveniente la prestazione stessa.
Il dato letterale esige che lo strumento debba essere ‘utilizzato’. E’ dunque richiesto l’intervento attivo del lavoratore (es. non può ritenersi strumento di lavoro il braccialetto elettronico). Computer e smartphone possono definirsi strumenti ‘contenitore’, idonei a contenere innumerevoli programmi in merito ai quali, nuovamente, va valutata la potenziale qualificazione come ‘strumenti’ di lavoro. Lo strumento informatico, che potenzialmente può contenere infiniti programmi, va esaminato solo in relazione ai programmi strettamente connessi alla prestazione.
Domanda: l’azienda può controllare a distanza la mia posta elettronica, in quanto strumento di lavoro?
Risposta: Ci sono orientamenti interpretativi anche su questo tema. Il Ministero del lavoro, nota del 18.06.2015 – col nuovo art. 4 – non ‘liberalizza’ i controlli da parte del datore di lavoro, ma si limita a chiarire che possono essere considerati ‘strumenti di controllo a distanza’ gli strumenti che vengono assegnati al lavoratore ‘per rendere la prestazione lavorativa’ (una volta si sarebbero chiamati gli ‘attrezzi di lavoro’), come pc, tablet e cellulari.
Ancora, il Garante Privacy, 13 luglio 2016, n. 5408460 – indica che nella nozione di ‘strumenti di lavoro’ possono ricomprendersi solo ‘servizi, software o applicativi strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza’. Costituiscono parte integrante di questi strumenti anche il servizio di posta elettronica, così come i sistemi finalizzati alla sicurezza delle reti aziendali (es.: sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server).
Sempre il Garante Privacy, 1 febbraio 2018, n. 8159221, sancisce che la raccolta sistematica delle comunicazioni elettroniche sugli account dei dipendenti, la loro memorizzazione per un periodo non predeterminato e la semplice possibilità per il datore di lavoro di accedervi per astratte finalità di difesa in giudizio o legittimo interesse è contrario alla disciplina in materia di controlli a distanza. Non è consentito il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore.
La sentenza Cassazione, 31 marzo 2016, N. 13057 – qualora siano attivate caselle di posta elettronica – protette da password personalizzate – a nome di uno specifico dipendente indica che quelle <caselle> rappresentano il domicilio informatico proprio del dipendente. La casella rappresenta uno spazio esclusivo della persona, sicché la sua invasione costituisce lesione della riservatezza.
Infine, il Garante Privacy, 12 ottobre 2016, n. 5867780, sostiene che il controllo della posta elettronica del dipendente, formalmente finalizzato all’individuazione della fonte di un virus informatico, non può estendersi alla verifica della cronologia di navigazione sul pc per periodi temporali non compatibili con l’ordinario orario di lavoro.
Domanda: sul mio telefoninio sono installati software che indicano se sono o meno disponibile, se sto lavorando a un task o no. Possono essere usati dall’azienda come strumenti di controllo?
Risposta: non c’è dubbio che per strumenti assegnati al lavoratore debbano razionalmente considerarsi oltre che l’apparecchio telefonico anche le correlate piattaforme software indefettibilmente necessarie all’espletamento della prestazione lavorativa. Esistono software che raccolgono ed elaborano in tempo “quasi reale” i dati relativi agli stati di attività telefonica di ciascun operatore (libero, non disponibile, in pausa, ecc.) e i tempi medi di evasione delle diverse lavorazioni. Altri software, invece, quantificano la produttività giornaliera per ogni servizio reso, il tempo dedicato al lavoro per ciascuna commessa e le pause effettuate da ogni singolo lavoratore.
Questi software, pur funzionali a più o meno generiche esigenze produttive, consentono di realizzare un monitoraggio individualizzato costante e continuo su tutti gli operatori che finisce per dar vita ad un controllo minuzioso su tutta l’attività svolta, eliminando del tutto qualunque margine spazio-temporale nel quale il lavoratore possa ragionevolmente essere certo di non essere osservato, ascoltato o comunque “seguito” nello svolgimento della propria attività e dei propri movimenti.
Occorre verificare la reale funzionalità al lavoro, tenendo a mente la minimizzazione dei dati rispetto alla finalità perseguita (art. 5 GDPR)
Articolo a cura di Pasquale Dui
Avvocato - Partner presso DV-LEX DUI VERCESI & PARTNERS Studio Legale - Professore a contratto di diritto del lavoro - Revisore Legale - Giornalista pubblicista
