***
I controlli effettuati mediante strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e di registrazione di accessi e presenze
Il nuovo testo dell’art. 4 St. lav., nella versione rivista nel 2015, sembra invece aprire la pista al controllo «preterintenzionale» anche in un altro senso, cioè a quella forma di controllo dell’attività lavorativa che possa derivare accidentalmente dall'utilizzo legittimo di strumenti necessari alla prestazione lavorativa e di registrazione di accessi e presenze (art. 4, c. 2, St. lav.).
In questo caso, ritiene il legislatore della riforma, non si richiede al datore di sottoporsi al controllo preventivo sindacale, ma si lascia il passo al controllo successivo del giudice, che dovrà valutare se quello utilizzato per il controllo fosse effettivamente uno strumento utilizzato per rendere la prestazione lavorativa o di registrazione di accessi o presenze. Anche in caso affermativo, comunque, il datore dovrebbe sottoporsi all’ulteriore vaglio della correttezza dell’informativa di cui al comma 3 dello stesso art. 4 St. lav. e della sussistenza degli altri requisiti richiesti dal GDPR per l’utilizzo di tecnologie che coinvolgano la libertà e la privacy dei lavoratori; inoltre, un terzo problema che potrebbe ostacolare la legittimità dei controlli così esercitati potrebbe riguardare la validità del consenso del lavoratore al trattamento dei suoi dati in una situazione di sbilanciamento di potere, quale è quella tra datore di lavoro e lavoratore.
L'esatta perimetrazione del novero degli strumenti di cui al comma 2 appare però assai difficile, poiché la natura polifunzionale di molti dispositivi tecnologici rende ambiguo il confine tra strumento di controllo puro e strumento di lavoro, da cui derivi anche un controllo indiretto .
Da una ricostruzione puntuale si evince chiaramente la confusione che è emersa subito dalla lettura della nuova formulazione.
Innanzi tutto, si è sostenuto che non serva l’accordo sindacale in questo caso, ma sarebbe comunque richiesto il rispetto delle finalità organizzative di cui al vecchio comma 2, ora trasfuse nel comma 1 , ma in effetti questa statuizione sembra piuttosto tautologica, visto che se gli strumenti devono servire a lavorare, di certo rispettano una certa finalità organizzativa aziendale. È quindi più sensato parlare di vincolo di strumentalità con lo svolgimento della prestazione lavorativa, da valutarsi complessivamente e, quindi, ad esempio, di certo non potrebbero rientrare in questa definizione le applicazioni Whatsapp o Facebook, che sono solo incidentalmente utilizzati per lavoro, mentre prevale l’uso personale del lavoratore. Sono tuttavia stati inclusi strumenti non imprescindibili, ma comunque utilizzati dai lavoratori come ausilio allo svolgimento della propria prestazione, come la tessera Viacard intestata al datore di lavoro ed utilizzata sull'autovettura in uso al dipendente.
L'influenza della nuova disciplina sulla privacy: correttezza dell’informativa di cui al comma 3 dello stesso art. 4 St. lav. e sussistenza degli altri requisiti richiesti dal GDPR per l’utilizzo di tecnologie che coinvolgano la libertà e la privacy dei lavoratori
Sotto un altro aspetto, invece, rileva la conformità del trattamento dei dati ai principi di necessità e proporzionalità in relazione alle finalità perseguite (v. art. 5, par. 1, lett. c), del Regolamento, “minimizzazione dei dati”), e sotto questo profilo, ad esempio, sono stati ritenuti conformi alcuni dispositivi indossabili sul polso (tipo “braccialetto”) idonei ad effettuare la lettura di etichette elettroniche (tag) mediante tecnologia RFID e dotati di funzionalità di localizzazione geografica mediante sistema GPS . Tuttavia, anche in presenza di un trattamento astrattamente legittimo, vi sono altri requisiti che vengono richiesti dalla legge per la validità del trattamento e l’utilizzabilità dei dati trattati, tra cui anche la corretta informazione ai dipendenti prevista dall’art. 4, c. 3, St. lav. e dall’art. 13 GDPR; nel caso citato, ad esempio, nel modello di informativa ai dipendenti, la finalità dei sistemi era riferita ad «esigenze di sicurezza [e] tutela del patrimonio aziendale» che, con riguardo all’uso dei «dispositivi mobili», non erano menzionate nei documenti autorizzatori e, pertanto, il Garante ne chiedeva l’aggiornamento, con esclusione del riferimento alla menzionata finalità relativamente al trattamento dei dati da effettuarsi mediante dispositivi mobili. Infatti, l’utilizzabilità dei dati raccolti è subordinata alla condizione che «sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196» (art. 13 GDPR; art. 4, c. 3, St. lav.).
Si tratta di un problema tutt’altro che secondario, dal momento che le imprese dovrebbero fornire informazioni dettagliate e comprensibili circa ciascun dispositivo utilizzato e circa le modalità di utilizzo dello stesso, dovendosi poi conformare alle finalità dichiarate ed all’utilizzo che ne consegue.
Un'altra prescrizione stringente che deriva alla fattispecie dal richiamo al Regolamento è costituita dalla necessità di effettuare una valutazione d'impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679, laddove il trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, «allorché preved[a] in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità […]». Tali trattamenti a «rischio elevato» dovrebbero essere individuati secondo nove criteri, tra i quali il Garante ha annoverato anche il trattamento svolto «nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti».
Il problema del consenso del lavoratore al trattamento dei dati
Vengono in rilievo, in ultimo, quelle considerazioni specifiche contenute nel Regolamento che evidenziano come «per assicurare la libertà di prestare il consenso, è opportuno che il consenso non costituisca un valido fondamento giuridico per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l'interessato e il titolare del trattamento e ciò rende pertanto improbabile che il consenso sia stato prestato liberamente in tutte le circostanze di tale situazione specifica» (Considerando n. 43 GDPR). Se, infatti, è vero che il Regolamento consente il trattamento dei dati «nell'ambito dei rapporti di lavoro, in particolare per finalità di assunzione» e «esecuzione del contratto di lavoro», è anche vero, dall’altro lato, che fuori da questi compiti specificamente elencati si dovrebbe ritenere che il consenso rientri nell’ipotesi di squilibrio contemplata nel preambolo ogni volta che il trattamento dei dati non sia assolutamente e strettamente reso necessario dall’adempimento amministrativo, contabile, fiscale o contributivo connesso al rapporto di lavoro. Infatti, il Regolamento precisa che «si presume che il consenso non sia stato liberamente prestato se non è possibile prestare un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso» (Considerando n. 43 GDPR) e che «nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto» (art. 7 GDPR).
Si tratta a ben vedere proprio dell’ipotesi che ricorre nel contratto di lavoro subordinato, quando il lavoratore si veda sottoporre, all’inizio del proprio rapporto, una serie di «documenti di assunzione», che egli firma sempre senza alcuna remora, soverchiato dall’entusiasmo di aver trovato un impiego anelato o dalla necessità di reperirne velocemente uno necessario. In questa «serie» di consensi raccolti in relazione ai suoi dati, quindi, occorrerebbe in ogni caso andarsi a chiedere in un secondo momento se i trattamenti autorizzati in quella sede siano effettivamente «strettamente necessari» all’adempimento degli obblighi amministrativi ed esecutivi e quali siano invece diretti a finalità diverse da quelle essenzialmente connesse al rapporto di lavoro .
Qui si porrebbe il problema, a voler applicare con rigore la norma del Regolamento, che anche il consenso espresso dal lavoratore a finalità e modalità di trattamento ulteriori rispetto a quelle puramente amministrative dovrebbe intendersi soggetto ad una presunzione di invalidità, e resta quindi responsabilità del datore di lavoro trattare i dati solo nella misura in cui questo sia necessario ai fini amministrativi ovvero nella misura in cui le finalità siano state effettivamente e consapevolmente rese note al lavoratore.
