Smart working e sorveglianza digitale del lavoratore e controlli difensivi

L’istituto giuridico dello “smart working”, definito dai testi normativi “lavoro agile”, ha conosciuto negli ultimi anni, complice anche la recente pandemia, una diffusione capillare che ha interessato sia il settore pubblico che quello privato.

Disciplinato per la prima volta con la legge 22 maggio 2017, n. 81, il lavoro agile è stato pensato come “una modalità di esecuzione del rapporto di lavoro subordinato…con il possibile utilizzo di strumenti tecnologici per lo svolgimento di attività lavorativa” (art. 18): dove il termine generico di “strumenti tecnologici” va inteso come “strumenti telematici” ovvero “digitali”.

Il lavoro viene definito agile perché dovrebbe svolgersi con modalità e strumenti che consentano di renderlo “senza precisi vincoli di orario e di luogo di lavoro”, affrancando il lavoratore, almeno in parte, dai condizionamenti della “fisicità” dell’organizzazione.

La prestazione da rendersi “senza vincoli di luogo” e “attraverso strumenti tecnologici” ha portato gli interpreti ad interrogarsi sui confini della sorveglianza del lavoratore, tradizionalmente affidata alla sorveglianza in presenza, qui non più attuabile.

Ci si è trovati ad interrogarsi sulla possibilità, o meno, di: (i) installare (ed utilizzare per fini disciplinari o in giudizio) sui pc aziendali un software che tracci la presenza del dipendente davanti al computer e/o il suo collegamento alla rete aziendale, (ii) di effettuare controlli da remoto dell’attività svolta, (iii) geolocalizzare i dipendenti attraverso un GPS da inserire nel PC per sapere dove effettivamente si trovano durante l’orario lavorativo.

Per poter rispondere a tali interrogativi occorre collocarsi in un’area posta al trivio tra la regolamentazione sulla tutela dei dati personali, la tutela dei lavoratori e le aspettative degli imprenditori.

Ciò premesso, al fine di individuare elementi atti a permetterci di comprendere quali siano gli strumenti di controllo utilizzabili nei confronti di un lavoratore in smart working, occorre partire proprio dal pilastro del sistema, ovvero dall’art. 4, l. 300/1970.

All’art. 4 dello Statuto dei Lavoratori rinvia, infatti, anche il Codice della Privacy, aggiornato con l’entrata in vigore del GDPR, regolamento europeo in materia di protezione dati personali.

L’art. 4, al comma 1, prevede che l’azienda può adottare strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, ma:

- solo per determinate finalità (accanto alle esigenze organizzative e produttive e alla sicurezza sul lavoro compare l’esigenza di tutela del patrimonio aziendale)

- solo previo accordo collettivo stipulato con le RSU o le RSA ovvero con le associazioni sindacali comparativamente più rappresentative sul piano nazionale in caso di imprese con unità produttive ubicate in diverse province della stessa regione o in più regioni.

- in mancanza di accordo sindacale previa autorizzazione dell’Ispettorato del lavoro

Sempre l’art. 4 al comma 2, l. 300/1970, adesso prevede che in presenza di “strumenti di lavoro” che, per il loro funzionamento, potrebbero consentire un controllo a distanza dei dipendenti, non opera il filtro dell’accordo con le rappresentanze sindacali o dell’autorizzazione dell’INL.

Da ultimo l’art. 4 al comma 3 prevede che sia che si tratti di impianti audiovisivi o altri strumenti di potenziale controllo a distanza, sia che si tratti di strumenti di lavoro, i dati da questi raccolti sono utilizzabili a tutti i fini connessi al rapporto di lavoro (quindi, anche a quelli disciplinari) a due condizioni:

a. adeguata informazione dei lavoratori attraverso una policy aziendale che spieghi le modalità d’uso degli strumenti e di effettuazione dei controlli;

b. rispetto della normativa sulla Privacy.

Ciò significa che in mancanza di una policy aziendale adeguata e in caso di raccolta e trattamento dei dati secondo modalità contrarie alla legge sulla privacy, i dati non possono essere utilizzati, ad esempio, in sede giudiziale per dimostrare l’illegittimità del comportamento del dipendente evinto dai dati raccolti dagli strumenti di lavoro e non.

La norma, per come redatta, ha reso necessari chiarimenti in merito a cosa debba intendersi per strumento di lavoro rilevante ai sensi del comma 2, art. 4.

Sul punto, sia l’Ispettorato nazionale del lavoro che il Garante privacy hanno elaborato una definizione.

In particolare, l’INL, con la circolare n. 2 del 07/11/2016, ha precisato che possono considerarsi strumenti di lavoro “gli apparecchi, dispositivi, apparati e congegni che costituiscono il mezzo indispensabile al lavoratore per adempiere la prestazione lavorativa dedotta in contratto, e che per tale finalità siano stati posti in uso e messi a sua disposizione”.

Analogamente, il Garante privacy con la verifica preliminare del 16/03/2017, in linea con l’Ispettorato, ha confermato che gli strumenti di lavoro sono tutti quei dispositivi “utilizzati in via primaria ed essenziale per l’esecuzione dell’attività lavorativa”, ovvero “direttamente preordinati all’esecuzione della prestazione lavorativa”.

Non rientrano, quindi, tra gli strumenti di lavoro rilevanti ai sensi dell’art. 4, comma 2, l. 330/1970 quelli che rappresentano un elemento “aggiunto” agli strumenti di lavoro in quanto non utilizzati in via primaria ed essenziale per l’esecuzione dell’attività lavorativa ma per rispondere a esigenze ulteriori di carattere assicurativo, organizzativo, produttivo o per garantire la sicurezza del lavoro.

In tali casi per poter procedere all’installazione/uso è necessario un previo accordo stipulato con la rappresentanza sindacale (che, per prassi, viene concessa sempre e solo con esclusione delle finalità di controllo e disciplinari) ovvero, in assenza di tale accordo, previa autorizzazione da parte dell’INL.

Per poter fronteggiare le problematiche che nascono dai nuovi strumenti di lavoro l’Ispettorato nazionale del lavoro ed il Garante per la privacy hanno siglato, il 22 aprile 2021, un protocollo finalizzato a creare una sinergia che permetta una valutazione più ponderata relativamente agli strumenti di controllo per i quali viene chiesta l’autorizzazione all’utilizzo.

Il protocollo, della durata di due anni, richiama la normativa in vigore, secondo cui i sistemi di controllo a distanza possono essere utilizzati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale. Mentre qualsiasi forma di verifica sull’attività (lavorativa) del lavoratore dovrà essere fatta nel rispetto delle previsioni di cui all’art 4, l. n. 300/1970.

Gli illustrati i principi generali trovano applicazione anche con riferimento allo smart working.

L’art. 21, comma 1 della l. 81/2017 richiama espressamente l’art. 4, l. 300/1970 statuendo che “l'accordo relativo alla modalità di lavoro agile disciplina l'esercizio del potere di controllo del datore di lavoro sulla prestazione resa dal lavoratore all'esterno dei locali aziendali nel rispetto di quanto disposto dall'articolo 4 della legge 20 maggio 1970, n. 300, e successive modificazioni”.

La norma, al secondo comma, chiarisce altresì che “l'accordo di cui al comma 1 individua le condotte, connesse all'esecuzione della prestazione lavorativa all'esterno dei locali aziendali, che danno luogo all'applicazione di sanzioni disciplinari”.

Questo implica che già nell’accordo istitutivo dello smart working è necessario fornire l’informativa sulle possibili forme di controllo e sulle condotte che, ove accertate, potrebbero far scaturire un procedimento disciplinare.

Ciò premesso, nello specifico, con riferimento al possibile controllo dei lavoratori in smart working, possiamo rilevare quanto segue.

- Per i sistemi di rilevazione GPS su auto aziendali, PC, Tablet ed altri strumenti di lavoro

È stato ritenuto applicabile il limite dell’art. 4, comma 1, l. 300/1970 allorquando i sistemi GPS installati non sono risultati necessari per l’esecuzione dell’attività lavorativa, ma per rispondere a esigenze ulteriori di carattere assicurativo, organizzativo, produttivo o per garantire la sicurezza del lavoro. In questi casi sono stati considerati un elemento “aggiunto” agli strumenti di lavoro in quanto non utilizzati in via primaria ed essenziale. In tali casi è stato ritenuto necessario per la loro installazione il previo accordo stipulato con la rappresentanza sindacale ovvero, in assenza di tale accordo, la previa autorizzazione da parte dell’INL.

Sono, invece, stati ricondotti nell’alveo dell’art. 4, comma 2 (esenzione da accordo sindacale) casi particolari in cui i GPS sono stati ritenuti veri e propri strumenti di lavoro. Si tratta del caso in cui i sistemi di localizzazione siano installati per consentire la concreta ed effettiva attuazione della prestazione lavorativa (cioè la stessa non possa essere resa senza ricorrere all’uso di tali strumenti), ovvero del caso in cui l’installazione sia richiesta da specifiche normative di carattere legislativo o regolamentare (es. uso dei sistemi GPS per il trasporto di portavalori superiore a euro 1.500.000,00).

- Per i software per la tracciabilità delle chiamate e la rilevazione costante dello stato di connessione.

Rientrano negli stretti limiti del comma 1 dell’art. 4 i software che raccolgono ed elaborano in tempo reale i dati relativi agli stati di attività telefonica di ciascun lavoratore (libero, non disponibile, in pausa) e i tempi medi di evasione delle diverse lavorazioni, che quantificano la produttività giornaliera per ogni servizio reso, il tempo dedicato al lavoro per ciascuna commessa e le pause effettuate da ogni singolo lavoratore.

Questi sistemi, funzionali a più o meno generiche esigenze produttive e lungi dall’essere indispensabili per lo svolgimento della prestazione, consentono di realizzare un monitoraggio continuo su tutti gli operatori e, pertanto, cadono sotto l’ambito di applicazione dell’art. 4 comma 1 St. lav.

Il ricorso a questi apparecchi può essere consentito solo in caso di accordo sindacale o di autorizzazione dall’Ispettorato territoriale del lavoro, per motivi di sicurezza aziendale o per esigenze produttive, che difficilmente potrà essere raggiunto, trattandosi di strumenti unicamente finalizzati al controllo dell’attività lavorativa piuttosto che indispensabili alla sua esecuzione.

- Per i software di controllo della produttività e delle e-mail in entrata ed in uscita.

Nel corso della pandemia da coronavirus si sono diffusi in diversi Stati software utilizzati per controllare che gli standard di produttività giornaliera vengano rispettati anche a distanza.

Una volta scaricati e installati su un pc o uno smartphone, i software iniziano a monitorare virtualmente tutte le attività svolte sul dispositivo: dai movimenti del mouse al numero di battute sulla tastiera, passando per le email lette, i siti visitati e il tempo passato sui social media.

Alcuni programmi, poi, possono anche scattare fotografie con la webcam per controllare che i dipendenti siano realmente seduti davanti allo schermo.

Tali strumenti nel nostro ordinamento non sono consentiti posto che sono finalizzati unicamente al controllo della prestazione lavorativa.

Ove presenti i dati acquisiti non potranno essere utilizzati in modo alcuno, neanche in giudizio per finalità difensive, in quanto raccolti in modo illecito.

Software utilizzabili nel nostro ordinamento sono quelli di Data Loss Prevention, alcune funzionalità del firewall, MDM (Mobile device monitoring), alcune funzionalità del content filtering ovvero tutti quei software che proteggono la rete da attacchi esterni, o servono a monitorare la posta elettronica in entrata e uscita, sempre per ragioni di sicurezza.

Questi tool, installati all’interno del pc o del cellulare del lavoratore, hanno, infatti, come fine quello di tutelare il patrimonio aziendale e la sicurezza informatica.

Gli stessi, però, per essere installati richiedono l’accordo sindacale e il rispetto dei requisiti in tutela degli accordi sulla privacy.

- Per gli applicativi che registrano l’inizio e la fine dell’attività lavorativa.

Per alcuni lavoratori in smart working potrebbe essere prevista la rilevazione dell’accesso al sistema e della disconnessione.

Si ritiene che sia lecito prevedere, senza bisogno di un accordo sindacale, uno strumento che consenta un questo tipo di controllo, a condizione che i file di log si limitino a registrare data e ora di connessione e di disconnessione, in quanto questo consente di tracciare il rispetto delle pause obbligatorie e l’eventuale diritto a straordinari.

Non devono, cioè, registrare le attività svolte dall’utente tra il momento della connessione e quello della disconnessione (ovvero non possono rilevare se sta scrivendo, se sta accedendo a una pagina non attinente alla prestazione lavorativa ecc.)

Le investigazioni difensive

Ma le regole sopra indicate non trovano applicazione nel caso dei c.d. “controlli difensivi” ovvero quelli svolti dal datore, anche con apparecchiature di controllo a distanza, e condotti sul proprio personale al fine di tutelare il patrimonio aziendale.

Tali controlli sono possibili anche nei confronti dei lavoratori in smart working.

Pur non trattando nello specifico dei lavoratori in smart working, desta interesse una recente sentenza con cui la Corte di Cassazione è tornata ad esaminare il tema dei controlli difensivi volti ad accertare gli illeciti del lavoratore che utilizzi il computer aziendale per la navigazione on line a scopi personali, arrecando danni al patrimonio dell’impresa (la sentenza è la n. 25732 del 22 settembre 2021).

Di particolare importanza il passaggio nel quale la Suprema Corte chiarisce che i controlli difensivi non rientrano nel campo di applicazione dell’art. 4 anche nella formulazione post D. Lgs. 151/2015.

Il chiarimento è importante in quanto, nella nuova versione l’art. 4 condiziona anche l’esercizio dei controlli per la “tutela del patrimonio aziendale” alla sottoscrizione dell’accordo sindacale o dell’autorizzazione dell’INL.

Ciò aveva fatto sorgere un dibattito tra gli interpreti oggi chiarito dalla Cassazione.

Sul punto la Corte di Cassazione sostiene che esiste una doppia nozione di controlli difensivi:

a) quelli che riguardano un insieme generalizzato di lavoratori a contatto con il patrimonio aziendale nello svolgimento del proprio lavoro (ad esempio i magazzinieri) e che richiedono l’attivazione delle tutele di cui all’art. 4 dello Statuto del Lavoratori;

b) quelli che riguardano l’accertamento di (sospette) condotte illecite ascrivibili a singoli dipendenti.

In questo senso, il primo tipo di controllo riguarda la fisiologia del rapporto di lavoro, mentre il secondo la patologia, perché accerta non il normale svolgimento del lavoro ma la commissione di illeciti di vario profilo, e quindi eventi “straordinari ed eccezionali”, involgenti uno o pochi lavoratori.

Ne consegue che il controllo tecnologico “difensivo del secondo tipo” è sempre ammesso e si situa “anche oggi, all’esterno del perimetro applicativo dell’art. 4” ogni qual volta sia:

a. occasionato dal sospetto concreto e dalla conseguente necessità di accertare il comportamento illecito (non semplicemente inadempiente) del lavoratore;

b. attuato ex post, vale a dire dopo l’insorgere del fondato sospetto sull’esperimento di condotte illecite e lesive degli interessi aziendali da parte di un proprio dipendente (i.e: non si possono azionare controlli random e se viene fuori qualcosa avvalermi dell’esimente “difensiva”).

*

Concludendo, è possibile sostenere che, salvi i controlli difensivi, affinché i dati possano essere utilizzati sia a fini disciplinari che in un eventuale giudizio, occorre in primis valutare se si rientra nell’ipotesi di cui al comma 1 o al comma 2 dell’art. 4 l. 300/1970 e, in ogni caso, considerare che l’utilizzo delle informazioni raccolte è consentito a tutti i fini connessi al rapporto di lavoro (anche disciplinare) a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto della normativa sulla privacy nella raccolta e nel trattamento dei dati.

L’informativa deve contenere espressamente l’indicazione degli strumenti che consentono il controllo a distanza, delle loro caratteristiche e funzionamento, le modalità e le regole di utilizzo di tali strumenti, il tipo di controlli che potranno essere effettuati dall’azienda, i dati conservati e i soggetti abilitati ad accedervi, nonché le modalità e i tempi di conservazione dei dati stessi e le eventuali sanzioni, anche di tipo disciplinare, che potranno essere comminate al dipendente/trasgressore.

In definitiva, quindi, in mancanza di una policy aziendale adeguata e in caso di raccolta e trattamento dei dati secondo modalità contrarie alla legge sulla privacy, i dati non possono essere utilizzati, ad esempio, in sede giudiziale per dimostrare l’illegittimità del comportamento del dipendente accertato sulla base dei dati raccolti dagli strumenti di lavoro e non.

Avv. Andrea Patrizi, Avv. Annalisa Ebreo

4 visualizzazioni0 commenti