Controllo dei lavoratori e GDPR: strumento illegittimo o uso illegittimo dello strumento?

17 giugno 2024Ultimo aggiornamento 30 settembre 2024
  • Home
  • Blog
  • Normativa
  • Controllo dei lavoratori e GDPR: strumento illegittimo o uso illegittimo dello strumento?
Tempo di lettura stimato: 7'
Torniamo finalmente a parlare di strumenti. È passato qualche anno. Se ci segui, forse ricorderai l’articolo uscito al tempo del Covid: come scegliere gli strumenti per fare smart working (e non solo). Stavolta riprendiamo l’argomento per ribadire un concetto che mi pare molti facciano fatica a digerire: strumento illegittimo o illegittimo uso dello strumento? E lo facciamo toccando una materia molto delicata: il controllo dei lavoratori, insieme a Barbara Sabellico, Avvocato, DPO, esperta di Privacy, che ho già intervistato a proposito del provvedimento del Garante francese contro Amazon France

Se non lo hai già letto, corri a recuperarlo e poi torna qui.
Fatto? Bene. Ora puoi proseguire con la lettura. 

Il discrimine non è lo strumento in sé, ma è come lo si usa

Andrea Chiozzi: Barbara, torniamo un attimo al caso Amazon France. Controlli in eccesso, controllo del singolo lavoratore, mancanza di informativa… Diciamo che l’azienda avrebbe potuto agire diversamente. È un problema di strumento?
 
Avvocato Sabellico: A parte gli estremismi, io dico che non esiste uno strumento di per sé illegittimo, ma esiste l'illegittimità di come uso lo strumento. Lo dico perché? Perché tutto il caos che si sente su certa strumentazione, nasce da una profonda confusione sull'articolo 4 dello Statuto dei lavoratori

Andrea Chiozzi: Bene, su questo vorrei che fossimo tutti più attenti, anche noi consulenti che ogni tanto ci dimentichiamo alcune cose… 
 
Avvocato Sabellico: In Italia, abbiamo dei principi cardine, di rango costituzionale. Tra questi, l'iniziativa economica che va tutelata. Dall’altra parte, però, c'è un diritto ugualmente di rango costituzionale, che è la riservatezza del lavoratore. Lo Statuto dei lavoratori nasce per andare a contemperare quello che è iniziativa economica e quello che è diritto alla riservatezza del lavoratore. Risale al lontano 1970 e al famoso articolo 4, che col Jobs Act, nel 2015, viene profondamente modificato. Perché da quel momento c'è stato il caos. Ancora oggi, quando mi trovo a discutere con i consulenti privacy, si fa un po' un minestrone dell'applicabilità o meno dell'articolo 4.

Strumenti di controllo e articolo 4 dello Statuto dei lavoratori

Avvocato Sabellico: L'articolo 4, prima del 2015, nella sua definizione originaria, diceva: è divieto espresso l'utilizzo di strumenti audiovisivi e di apparecchiature per finalità di controllo a distanza sui lavoratori. Però era consentita l'installazione di strumenti dai quali potesse derivare anche indirettamente un controllo a distanza, in due casi, che potevano essere alternativi o cumulativi: 1) esigenze organizzative e produttive e/o 2) legate alla sicurezza sul lavoro. Si poteva effettuare il controllo solo in questi casi e previo accordo con le rappresentanze sindacali, ove esistevano. Dove non esistevano, si poteva fare ricorso all'Ispettorato del lavoro. Al di là di quello che è successo prima e dopo il 2015, la giurisprudenza, negli anni, ha sviluppato un'altra categoria, che è quella dei cosiddetti controlli difensivi

Significa che il datore di lavoro, nell'ipotesi di controllo difensivo, può non considerare l’articolo 4. Uno dei primi provvedimenti del Garante su questa situazione fu il caso del supermercato che si rese conto che c'erano dei cassieri che rubavano durante il turno. Quindi in fretta e furia aveva montato delle telecamere riuscendo a individuare 2 o 3 soggetti che poi hanno seguito il corso della giustizia. In quel caso il datore di lavoro non aveva fornito l'informativa, non aveva convocato le rappresentanze, aveva solo avvisato i Carabinieri. 

Andrea Chiozzi: Me lo ricordo bene… 

Avvocato Sabellico: E non ci dimentichiamo che tutto questo paracadute legislativo viene meno nel momento in cui il datore di lavoro si trova a doversi difendere. Ma è chiaro che non posso installare le telecamere per 6 mesi. Le installo per il tempo necessario a capire chi ruba. Ecco perché dico che non esistono strumenti illegittimi, esiste l'illegittimità di come utilizzo lo strumento

Cosa cambia col Jobs Act? 

Avvocato Sabellico: I controlli difensivi sono sempre stati legittimi. Col Jobs Act cosa succede? Succede che quello che era previsto dal famoso comma 1 dell'articolo 4 viene raso al suolo. La norma dice: non c'è più questo problema, perché introduco un'altra possibilità, che viene data al datore di lavoro qualora abbia bisogno di mettersi in sicurezza. Restano l'esigenza organizzativa e produttiva, resta la sicurezza sul lavoro e si aggiunge l'esigenza di tutela del patrimonio aziendale. Nel caso in cui l'azienda intenda tutelare il proprio patrimonio, non ha più bisogno di seguire l'iter o avere divieti in capo. Capisci che in questa maniera praticamente si sdogana la possibilità di installare telecamere. 

Andrea Chiozzi: Indubbiamente… però c’è il GDPR…. 

Avvocato Sabellico: Infatti. E qual è l'altra cosa che fa piuttosto rumore? È che il comma 2 dell'articolo 4 prevede che tutto questo iter - autorizzazione con i sindacati o ispettorato - viene meno nell'ipotesi in cui gli strumenti usati dal lavoratore sono strumenti indispensabili alla prestazione, oppure se si tratta di strumenti di registrazione degli accessi e delle presenze. Un altro colpo di spugna. Perché dice: attenzione azienda, se quegli strumenti sono necessari per l'esecuzione della prestazione o si tratta semplicemente degli accessi e delle presenze del lavoratore - vedi cosa è successo col Decreto Trasparenza - non opera il filtro dell'accordo. Il Jobs Act mette in piedi un sistema autorizzatorio diverso. Quindi se si tratta di impianti audiovisivi e di strumenti che consentono il controllo a distanza del lavoratore, devo necessariamente passare attraverso l'accordo sindacale. Se invece si tratta solamente di strumenti di lavoro e di registrazione degli accessi, non vi è alcun divieto e a quel punto lì non devo neanche chiedere l’accordo sindacale o l’autorizzazione dell'ispettorato del lavoro. L'aspetto amministrativo è risolto. Ma non ci dimentichiamo mai che se ci troviamo in sistemi di controllo del lavoratore o strumenti di lavoro, la normativa privacy deve essere sempre rispettata. In che maniera? Devo dare l'informazione. Il lavoratore deve sapere.

Cosa si intende con strumento di lavoro

Andrea Chiozzi: E come faccio a capire qual è uno strumento di lavoro? 

Avvocato Sabellico: Me lo chiedono e mi chiedono anche “Posso avere un ancoraggio normativo nell'ipotesi in cui ci siano discussioni?” La risposta è sì. Esistono diversi provvedimenti. Uno dell'Ispettorato nazionale del lavoro numero 2 del 7 novembre 2016, che inquadra esattamente cos'è lo strumento di lavoro e dice: possono considerarsi strumenti di lavoro gli apparecchi, i dispositivi, gli apparati e i congegni che costituiscono il mezzo indispensabile al lavoratore per adempiere la prestazione lavorativa. Anche il Garante dà una definizione e dice che sono quegli strumenti che devono essere utilizzati in maniera primaria ed essenziale dal lavoratore per svolgere la prestazione, senza i quali non potrebbe neanche lavorare. 

Andrea Chiozzi: Quindi col GPS, per esempio, c’è o non c’è bisogno di passare dai sindacati? 

Avvocato Sabellico: C'è confusione. Se guardiamo cosa dicono l'Ispettorato e il Garante sembra che il GPS non sia uno strumento di lavoro, perché posso guidare l’auto anche senza. Di fatto, la risposta sarebbe no. Il GPS non è strumento principale o strettamente connesso alla prestazione; quindi, necessariamente devo passare per accordo sindacale o per Ispettorato del lavoro. Ma non è detto. Faccio un esempio: i portavalori per legge devono avere il GPS. In questo caso lo strumento non passa per il filtro dell'articolo 4. 

Andrea Chiozzi: I computer aziendali e la posta elettronica?
 
Avvocato Sabellico: Su questo non vi sono dubbi. La giurisprudenza è costante nel definire il computer aziendale e la posta elettronica aziendale strumenti di lavoro strettamente necessari all'esecuzione della prestazione. Qual è il problema che genera confusione? Spesso leggiamo articoli e sentenze che dicono: l’azienda è stata sanzionata perché ha licenziato la dipendente che è andata su certi siti e ha preso un virus. Oppure un altro dipendente è stato licenziato perché faceva un accesso abnorme sui siti di trading online. Il licenziamento è stato considerato illegittimo perché la prova era inutilizzabile. O ancora un altro dipendente licenziato perché emetteva fatture false, anche lì la prova è inutilizzabile.

Il problema è che, se abbiamo appena detto che non è necessario passare per il filtro, dove è stato l'errore dell'azienda? Nella non corretta applicazione del GDPR

Spesso il problema è che non viene applicato correttamente il GDPR

Avvocato Sabellico: È mancata l'idonea informazione al lavoratore. Cioè, io ti devo dire che faccio il controllo e questo è il primo passaggio, ma quello che sfugge nel 99% dei casi è che non devo darti solo l'informativa, ma devo anche spiegarti nel dettaglio che tipologia di controllo andrò a fare.

Il lavoratore deve essere informato del fatto che una sua specifica attività - come gli accessi a Internet - può essere controllata dal datore di lavoro secondo modalità che consentono ad esempio di verificare la tipologia di siti internet visitati, e di accertare la durata degli accessi ai siti medesimi. Tornando ad Amazon, cosa vuol dire? Non è che gli indici non possono essere utilizzati, non è che il controllo del lavoratore non si può fare, ma dipende dalla modalità con cui io utilizzo questi strumenti, perché poi il passaggio da violazione dell'articolo 4 o non violazione dell'articolo 4 è veramente labile. Quello che vince sempre è un'informazione non solo trasparente ma anche puntuale.

Vuoi saperne di più? 
Questo è solo un assaggio!

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione. 

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è il fondatore di PRIVACYLAB, per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy