Da quando gli strumenti di lavoro offerti in dotazione al lavoratore da semplici strumenti di lavoro sono diventati anche strumenti di controllo dello stesso in mano al datore di lavoro, quest’ultimo può potenzialmente sorvegliare gli spostamenti, le comunicazioni, le navigazioni in rete, le comunicazioni e cosi via dicendo del lavoratore.
Per questa ragione, il d.lgs. 151 del 2015, noto come Jobs Act, in modifica dell’articolo 4 della legge 300 del 1970, ha introdotto nell’ordinamento il principio per cui, al ricorrere di talune condizioni, è legittimo e non necessita di alcuna procedura autorizzatoria il controllo del lavoratore derivante dall’utilizzo degli strumenti di lavoro idonei a determinare altresì la sorveglianza dello stesso (ad esempio, GPS, tablet, etc).
Il legislatore, in altri termini, ha preso atto che il controllo, in alcuni casi, è diventato così immanente alla prestazione di lavoro che appare anacronistico l’obbligo di una qualsiasi procedura per autorizzarlo.
Per controbilanciare tale sdoganamento, tuttavia, il legislatore ha previsto al comma 3 del nuovo articolo 4, a carico del datore di lavoro, un obbligo di informare il lavoratore circa il trattamento dei dati personali e identificativi acquisiti in conseguenza dei controlli sui lavoratori.
In particolare, tale comma stabilisce: “le informazioni raccolte ai sensi del primo e del secondo comma sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal 1 decreto legislativo 30 giugno 2003, n. 196”.
Si tratta, a ben vedere, di un dovere di informativa mutuato è previsto dall’articolo 13 del d.lgs. 196 del 2003, il famoso codice sulla privacy, che obbliga, in linea generale, all’informativa circa “le finalità e modalità del trattamento cui sono destinati i dati” e che ha già avuto una declinazione lavoristica con la Deliberazione dell’Autorità Garante per la protezione dei dati personali n. 13 del 1 marzo 2017 in tema di utilizzo della posta elettronica e della rete internet aziendali da parte del lavoratore.
Secondo tale deliberazione, grava sul datore di lavoro “l’onere di indicare in ogni caso quali siano le modalità degli strumenti (n.d.r. di lavoro) messi a disposizione ritenute corrette e con quali modalità, vengono effettuati i controlli”.
I principi su cui tale deliberazione si articola sono due.
Il primo è quello di necessità enunciato dall’articolo 3 del d.lgs. 196 del 2003, che vieta un utilizzo disinvolto dei dati personali e dei dati identificativi.
Il secondo è quello enunciato dall’articolo 11 del d.lgs. 196 del 2003, secondo cui i dati devono essere trattati “per scopi determinati, espliciti e legittimi, pertinenti e non eccedenti rispetto alle finalità per le quali sono state raccolte” con un tempo di conservazione non superiore a quello necessario “agli scopi per i quali sono stati raccolti o successivamente trattati”.
E così, sul piano pratico, per effetto della citata deliberazione, il datore di lavoro, attraverso un disciplinare interno, è tenuto a molteplici adempimenti. In via esemplificativa, deve: individuare le modalità di utilizzo della posta elettronica e della navigazione internet per ragioni personali (ad es. fuori dall’orario di lavoro), specificare la tipologia dei siti di libero accesso nonché i download di software o di file musicali consentiti, stabilire se e in che misura si riserva di effettuare controlli e le specifiche ragioni alla base di essi, evidenziare le modalità di tali controlli e le conseguenze di rilievo disciplinare in conseguenza dell’accertamento dell’uso indebito della posta elettronica o di internet.
Ed ancora, il datore di lavoro deve individuare i siti correlati con la prestazione lavorativa, utilizzare filtri o sistemi che prevengano determinate operazioni, o infine disporre l’eventuale attribuzione di un indirizzo di posta elettronica diverso per uso privato.
Su queste premesse, e passando al secondo punto dell’analisi, può argomentarsi che l’attuale normativa sul controllo a distanza sia difficilmente compatibile con lo smart working sia sotto il profilo della finalità che essa persegue sia sotto quello degli obblighi in materia di tutela della riservatezza da essa derivanti.
Sotto il primo profilo, basti osservare che lo smart worker svolge la propria attività al di fuori della mura aziendali e nell’ottica della produttività. Di conseguenza, viene meno l’esigenza di sorvegliare che lo stesso, leda il patrimonio aziendale semplicemente perché non entra a contatto con esso.
Sotto il secondo profilo, il controllo della gran parte dei dati personali e identificativi dello smart worker da parte del datore di lavoro è più che immanente allo svolgimento della prestazione lavorativa stessa posto che essa si svolga da remoto e quindi per mezzo di un’ininterrotta connessione di tali dati tra datore di lavoro e lavoratore.
Se dunque il datore di lavoro entra “comodamente” nella sfera privata dello smart worker , allora perde senso l’onere informativo in ordine ai dati identificativi e personali del lavoratore declinato dall’ Autorità Garante della Protezione dei dati con la nota Deliberazione n. 13 del 1 marzo 2017.
In tale contesto, e passando all’ultimo punto dell’analisi, si impone la necessità di ripensare per lo smart worker la normativa sui controlli del lavoratore, di cui all’articolo 4 dello Statuto dei lavoratori, in due direzioni.
-La prima è quella della disapplicazione di tale disposizione per lo smart worker, soprattutto attraverso la contrattazione aziendale, eventualmente in deroga, che, di volta in volta, potrebbe elaborare le discipline sul controllo dello smart worker più rispondenti alle esigenze del caso specifico.
-La seconda è quella dell’introduzione del nuovo paradigma per cui il controllo dei dati personali e identificativi, in quanto più che insito alla prestazione dello smart worker, è un rischio che lo stesso accetta di correre e rispetto a cui il datore di lavoro è semplicemente onerato di fornire congrua informativa.
Significherebbe, in altri termini, spostare la riflessione in ordine a tale controllo sul terreno della normativa sulla sicurezza del lavoratore ovvero all’interno del perimetro tracciato dal d.lgs. n. 81 del 2008.
In tal senso, rappresenta un’occasione unica l’entrata in vigore (nel 2018) del Regolamento europeo sulla privacy n. 679 del 4 maggio 2016, che affida agli Stati membri il compito di prevedere, attraverso la legge o la contrattazione collettiva, “norme più specifiche per assicurare la tutela dei diritti e delle libertà rispetto al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro”.
A ben vedere, del resto, proprio tale Regolamento europeo sembra creare interferenze tra la disciplina sulla protezione dei dati e quella sulla sicurezza sul lavoro.
Ad esempio, sul piano della privacy by design, ovvero del criterio che impone di disciplinare la protezione dei dati per l’intero ciclo di vita dei dati, il Regolamento sembra evocare i criteri della prevenzione dei rischi alla fonte e della programmazione della prevenzione nell’ottica dell’ “eliminazione e/o riduzione dei rischi al minimo in relazione alle conoscenze acquisite in base al progresso tecnico”.
Sul piano del privacy impact assessment, ovvero del criterio che impone di valutare l’impatto che i trattamenti dei dati possono determinare sugli interessati, il Regolamento onera il datore di lavoro di compiere la valutazione di tutti i rischi e di redigere un documento contenente la programmazione e l’individuazione dei rischi e delle misure da predisporre al pari di quanto previsto dagli articoli 17 e 28 del d.lgs. n. 81 del 2008.
In conclusione, lo smart working pone il nostro ordinamento dinanzi a nuove sfide che, per essere superate, richiedono al legislatore di guardare alla realtà con lenti nuovi, dismettendo quelle novecentesche, e una buona dose di ingegneria legislativa.
Il successo dello smart working dipende del resto in buona parte da questo. Se il legislatore continuerà ad avvilupparlo nei lacci e lacciuoli dei vecchi schemi del diritto del lavoro, lo smart working non sarà in grado di esprimere le sue potenzialità. E nemmeno la contrattazione collettiva potrà essere determinante in tal seso.
Si tratterebbe dell’ennesima occasione sprecata di rilancio del nostro mercato del lavoro. In fondo, il cambiamento ci chiama a costruire una società win win in cui innovazione, lavoro e uomo vincono insieme.
Per approfondire http://www.garanteprivacy.it/regolamentoue
