Il datore di lavoro che intenda adottare strumenti che gli consentano (anche solo potenzialmente) di controllare l’attività dei propri dipendenti, è tenuto a rispettare, oltre al Regolamento (UE) 679/2016 (GDPR), la specifica normativa nazionale posta a tutela della parte debole del rapporto lavorativo, ed in particolare l’art. 4 della Legge n. 300/1970 (Statuto dei lavoratori).
Detta norma introduce ulteriori condizioni di liceità del trattamento, tra cui un obbligo di disclosure in capo al datore di lavoro, il quale deve fornire al lavoratore specifiche informazioni relative all’utilizzo di detti strumenti e alle modalità di svolgimento dei controlli.
Ebbene, è proprio sull’importanza di tali obblighi informativi che pone l’accento l’Autorità garante per la protezione dei dati personali che, con il provvedimento del 15 aprile 2021 (Registro dei provvedimenti n. 136 del 15 aprile 2021 – doc. web n. 9586936), ha sanzionato un datore di lavoro dopo aver rilevato l’illiceità del trattamento di dati personali dei lavoratori effettuato attraverso un sistema informatico in uso presso l’azienda e idoneo a controllare l’attività svolta dai propri dipendenti. Oltre alla sanzione pecuniaria di 40.000,00 euro, si segnala l’imposizione della limitazione del trattamento dei dati raccolti tramite il sistema.
Prima di affrontare il caso, è opportuno un breve inquadramento dell’art. 4 dello Statuto dei lavoratori.
La norma in esame (espressamente richiamata dal Codice privacy) limita l’impiego di impianti audiovisivi e altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori (con esclusione degli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e degli strumenti di registrazione degli accessi e delle presenze) al perseguimento delle seguenti finalitàri
● esigenze organizzative e produttive
● sicurezza del lavoro
● tutela del patrimonio aziendale
e ne subordina l’installazione ed il successivo utilizzo:
● alla conclusione di un accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali, oppure, in mancanza di accordo,
● all’autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro (di seguito “ITL”),
Stabilisce, poi, al comma 3, uno specifico obbligo informativo in capo al datore di lavoro che, per poter utilizzare le informazioni raccolte mediante l’impiego di impianti audiovisivi e altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, deve:
● fornire al lavoratore adeguata informazione circa:
I) le modalità d’uso di detti strumenti e
II) l’effettuazione dei controlli e
● rispettare quanto disposto dal decreto legislativo n. 196/2003 (Codice privacy).
Nel provvedimento citato, il Garante ha preso in esame i trattamenti di dati personali dei lavoratori svolti da un datore di lavoro attraverso un sistema informatico in uso presso l’azienda e idoneo a controllare l’attività dei propri dipendenti.
Il sistema in questione era stato oggetto di autorizzazione rilasciata dal competente ITL, come richiesto dall’art. 4 dello Statuto sopra citato, ed era stato attivato previo rilascio di informativa ai lavoratori avente ad oggetto la sua attivazione e il suo funzionamento.
Nonostante ciò, a seguito dell’istruttoria svolta dal Garante, è emerso che:
1. venivano fatti trattamenti le cui finalità in parte eccedevano rispetto a quelle dichiarate, ne è la prova la verifica dei dati raccolti relativi ad un dipendente finalizzata all’adozione di un provvedimento disciplinare nei suoi confronti, ciò tra l’altro anche in violazione dell’autorizzazione rilasciata dall’ITL;
2. non venivano indicate, contestualmente alle finalità dichiarate, le specifiche e distinte basi giuridiche del trattamento;
3. alcuni dati asseritamente raccolti in forma aggregata erano invece riconducibili agli interessati;
4. veniva omessa la dovuta informazione circa il periodo di conservazione dei dati trattati.
Si noti che le riscontrate violazioni degli obblighi informativi sono state ritenute idonee a configurare violazioni, oltre che del principio di trasparenza e degli artt. 13 del GDPR e 4, co. 3, dello Statuto dei lavoratori, anche dei principi di:
– liceità (in quanto il rilascio dell’informativa sull’utilizzo dei dispositivi idonei a controllare i lavoratori è una delle specifiche condizioni di liceità del trattamento dei dati raccolti mediante tali dispositivi);
– correttezza (nel Provvedimento si legge che “Nell’ambito del rapporto di lavoro l’obbligo di informare il dipendente è altresì espressione del principio generale di correttezza dei trattamenti […]”).
Interessante, infine, evidenziare la posizione del Garante con riferimento alle basi giuridiche prospettate nella nuova informativa elaborata dall’azienda.
L’Autorità, a tal proposito, ha dichiarato quanto segue:
“Tra le predette finalità [esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale] non rientra quella preordinata al perseguimento del “legittimo interesse del titolare”, che costituisce in termini generali una delle condizioni di liceità del trattamento […], né quella preordinata all’adempimento di obblighi stabiliti con il contratto di lavoro. Pertanto, la società dovrà individuare le finalità in concreto riconducibili a quanto autorizzato, salva l’operatività dell’art. 4, comma 3, l. n. 300/1970 cit. (tenuto conto dell’obbligo di applicare in ogni caso i principi di protezione dei dati e, nel caso di specie, di osservare la condizione apposta all’autorizzazione del 9.7.2018 relativamente alle finalità disciplinari e di accertamento dell’obbligo di diligenza). (…)”
Ci si chiede: in base al Provvedimento, l’autorizzazione dell’ITL può costituire una idonea base giuridica o, diversamente, anche per tali trattamenti debba individuarsi la specifica base giuridica tra quelle elencate agli artt. 6 e 9 del GDPR, ivi compresa, se del caso, la necessità di perseguire un interesse legittimo del titolare del trattamento?
A parere di chi scrive è quest’ultima l’unica soluzione percorribile.
Quindi, il datore di lavoro che intenda trattare i dati personali dei propri lavoratori mediante strumenti idonei a controllarne l’attività, sarà tenuto, tra l’altro, oltre al rispetto dell’art. 4 dello Statuto dei lavoratori:
– a individuare specificamente le finalità del trattamento e le rispettive basi giuridiche e, nel caso in cui venga individuato il legittimo interesse quale base giuridica,
– a svolgere una preliminare operazione di bilanciamento (cd balancing test), comparando l’interesse legittimo che si intende perseguire con gli interessi e i diritti dei lavoratori interessati.
Ma vi è di più. In contesti lavorativi, qualora i trattamenti non siano riconducibili alla necessità di eseguire il rapporto di lavoro o alla necessità di adempiere obblighi ed esercitare diritti in materia di diritto del lavoro, probabilmente sarà proprio la necessità di perseguire un legittimo interesse del datore di lavoro a rappresentare idonea base giuridica del trattamento.
Peraltro, tipico esempio del legittimo interesse quale idonea base giuridica che rende lecito il trattamento di dati personali sul posto di lavoro si rinviene in relazione ad un’attività solitamente subordinata all’ottenimento dell’autorizzazione dell’ITL: la videosorveglianza sui luoghi di lavoro.
Quindi, l’autorizzazione dell’ITL non esclude l’osservanza degli obblighi del GDPR tra cui l’individuazione della base giuridica corretta.
Cosa deve fare, dunque, il datore di lavoro per installare correttamente un sistema di controllo dell’attività dei dipendenti?
Come già detto, sono due i riferimenti normativi da applicare: la normativa in materia di protezione dei dati personali e la normativa nazionale giuslavoristica.
Tra i vari adempimenti spiccano l’individuazione delle finalità del trattamento dei dati raccolti tramite il sistema che si intende installare, nonché delle rispettive basi giuridiche, e la consegna, ai lavoratori interessati, di un’apposita informativa, che sia chiara a trasparente sul trattamento che si intende attuare.
Un’operazione di bilanciamento degli interessi in gioco è opportuna, se non necessaria: a tal fine, il coinvolgimento, nel progetto, delle rappresentanze sindacali in rappresentanza dei lavoratori, o i lavoratori stessi, aiuterebbe a valutare in maniera effettiva gli interessi, i diritti e le libertà degli interessati.
Naturalmente si consiglia anche di valutare l’eventuale necessità di svolgere una valutazione di Impatto.
Senza dimenticare l’applicazione dei presupposti di cui all’art. 4 dello Statuto dei lavoratori, ossia (prima di iniziare il trattamento) apposito accordo sindacale o autorizzazione all’autorità competente utilizzando la modulistica messa a disposizione dall’Ispettorato Nazionale del Lavoro per ottenere l’autorizzazione per impianti di videosorveglianza, localizzazione satellitare, altri strumenti di controllo.