A pochi mesi di distanza dal nostro articolo sul corretto esercizio dei poteri datoriali nell’ambito dello Smart Working (Clicca qui per leggere l’articolo), il Garante per la Protezione dei dati è entrato a gamba testa nel dibattito, infliggendo una sanzione da 50.000 euro ad un Ente di diritto pubblico per aver trattato illecitamente i dati personali appartenenti agli “smart worker”.
La varietà dei temi affrontati dal Garante all’interno del suo Provvedimento ci ha permesso di acquisire delle vere e proprie linee guida sul corretto esercizio del potere di controllo datoriale nei confronti dei dipendenti in modalità agile, ecco di seguito una sitentesi dei punti principali.
Indice
Il caso
La dipendente dell’Ente ARSAC ha lamentato presunte violazioni in materia di protezione dei dati personali, con particolare riferimento allo svolgimento di taluni controlli effettuati dal datore di lavoro tramite dispositivi di geolocalizzazione.
La finalità del controllo dichiarata da ARSAC era quella di verificare la compatibilità della posizione geografica della dipendente rispetto a quanto da lei indicato nell’accordo individuale in materia di lavoro agile sottoscritto.
Nel concreto, la segnalazione al Garante è scaturita in relazione alla contestazione disciplinare che l’Ente ha promosso nei confronti della dipendente in questione, accusandola di lavorare al di fuori dei luoghi concordati nell’accordo sul lavoro agile.
Il Garante quindi si è pronunciato sulla correttezza e liceità dei dati acquisiti dall’Ente, nonché sulla loro utilizzabilità ai fini disciplinari.
Il potere di controllo esercitato dall’Ente
L’Ente utilizzava un’applicazione (Time Relax) tramite la quale acquisiva le coordinate geografiche dello smartphone o del pc del dipendente in occasione dell’inizio e della fine dell’attività lavorativa o, comunque, in occasione della fruizione di eventuali permessi di cui il dipendente si avvalesse nell’ambito della sua fascia di reperibilità.
Oltre a questi controlli sistematici, venivano inoltre effettuati controlli sporadici su specifici dipendenti selezionati in via casuale:
- il dipendente sottoposto a controllo veniva contattato telefonicamente “a sorpresa” da parte del proprio responsabile, nel rispetto della fascia oraria di reperibilità, e veniva invitato ad effettuare una doppia timbratura mediante l’applicativo Time Relax, una in entrata e una in uscita;
- In seguito, il dipendente doveva dichiarare il luogo esatto in cui si trovava al momento dell’effettuazione del controllo mediante l’invio di una e-mail all’indirizzo di posta elettronica nei confronti del responsabile;
- Infine, il responsabile suddetto procedeva alla verifica della rispondenza tra il luogo o i luoghi di lavoro indicati dal lavatore nel contratto individuale di lavoro agile rispetto a quanto dichiarato tramite e-mail e a quanto risultante dall’applicativo Time Relax nel giorno e nell’orario in cui era stato svolto il controllo ispettivo;
In relazione a questi specifici trattamenti, il Garante valutava la documentazione presentata dall’Ente per accertare la sua conformità normativa o meno, risultando quanto segue.
L’irrilevanza dell’Accordo sindacale (Art. 4 Statuto dei Lavoratori)
ARSAC, nel difendere la propria posizione, argomentava la liceità e la correttezza delle modalità di controllo effettuate poiché era stato siglato uno specifico accordo con le rappresentanze sindacali ai sensi dell’art. 4 dello Statuto dei Lavoratori.
Tuttavia, l’accordo è stato ritenuto irrilevante dal Garante, dal momento che la disposizione appena citata consente il controllo (indiretto e preterintenzionale) del lavoratore esclusivamente per perseguire “esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”.
In questo specifico caso però, il controllo a distanza era preordinato alla verifica del rispetto dei contenuti dell’accordo individuale di lavoro agile siglato tra Ente e dipendente, e quindi più in generale, sull’osservanza dei doveri di diligenza del lavoratore, violando di conseguenza la disposizione lavoristica.
Tale finalità non può essere perseguita con strumenti tecnologici a distanza, non rientrando in nessuna delle tassative finalità selezionate dal legislatore e sopra richiamate (“organizzative e produttive”, “di sicurezza del lavoro” e “di tutela del patrimonio aziendale”).
Il potere di controllare la corretta esecuzione dell’attività lavorativa rientra nelle prerogative datoriali, ed è legittima se perseguita personalmente dal datore di lavoro o attraverso la propria organizzazione gerarchica (artt. 2086 e 2104 c.c.), non per il tramite di controlli tecnologici a distanza.
L’assenza di una base giuridica
L’Ente ha giustificato il proprio trattamento dichiarando che l’applicativo richiedeva, prima di attivare la geolocalizzazione, il consenso espresso del lavoratore.
Inoltre, in seguito, ha aggiunto che fosse l’accordo sindacale a legittimare l’intero trattamento, per poi integrare le proprie dichiarazioni adducendo di avere un proprio atto amministrativo generale che autorizzava l’Ente ad adottare il sistema di geolocalizzazione.
Tuttavia, il Garante ha chiarito che né il consenso, né l’accordo sindacale e men che meno l’atto amministravo fossero basi giuridiche idonee a legittimare il trattamento ex. art. 6 del GDPR, con la conseguenza che, sul piano della protezione dei dati personali, il relativo trattamento è risultato sprovvisto di un’idonea base giuridica, rendendolo illegittimo.
Di seguito, singolarmente, vediamo il perché.
Il consenso nei rapporti di lavoro
La natura della relazione esistente fra dipendente e datore di lavoro, caratterizzata dalla subordinazione del primo al potere direttivo del secondo, data la sussistenza di un considerevole squilibrio (economico e contrattuale) fra i suddetti soggetti, rappresenta un elemento che induce a ritenere invalido il consenso eventualmente prestato dal dipendente.
Il Gruppo Art. 29 ha infatti evidenziato come “Data la dipendenza risultante dal rapporto datore di lavoro/dipendente, è improbabile che l’interessato sia in grado di negare al datore di lavoro il consenso al trattamento dei dati senza temere o rischiare di subire ripercussioni negative come conseguenza del rifiuto. È improbabile che il dipendente sia in grado di rispondere liberamente, senza percepire pressioni, alla richiesta del datore di lavoro di acconsentire, ad esempio, all’attivazione di sistemi di monitoraggio”.
(Gruppo di lavoro “Articolo 29”, Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249, p. 7 e 26 e Linee Guida sul consenso ai sensi del Regolamento UE 2016/679 – WP 259 – del 4 maggio 2020).
L’accordo sindacale
Il GDPR richiede al titolare del trattamento di individuare la specifica base giuridica tra quelle tassativamente indicate agli artt. 6 e 9 del GDPR, indipendentemente dall’obbligo giuridico di concludere un accordo con le rappresentanze sindacali in azienda ai sensi dell’articolo 4 dello Statuto dei lavoratori.
La Corte di Giustizia dell’UE ha chiarito infatti che anche i contenuti dei contratti collettivi, nonostante siano ammessi per prevedere disposizioni più specifiche in materia di protezione dei dati, devono comunque rispettare gli obblighi e i principi del GDPR.
Pertanto, Il datore di lavoro/titolare del trattamento deve verificare la sussistenza di un idoneo presupposto di liceità (cfr. artt. 5, par. 1, lett. a), e 6 del Regolamento) prima di effettuare trattamenti di dati personali dei lavoratori, poiché il solo fatto di aver raggiunto un’intesa con le rappresentanze sindacali non è sufficiente a rendere lecito un trattamento di dati ai sensi del GDPR.
[Per maggiori approfondimenti, vedi qui il nostro articolo sull’ accordo sindacale]
L’atto amministrativo generale
Discorso analogo è stato fatto per gli atti amministrativi generali, i quali non possono derogare il GDPR e quindi non possono “rendere legittimi” i trattamenti di dati personali in assenza di base giuridica idonea.
Gli atti amministrativi generali emanati dalle autorità pubbliche, come espressamente chiarito dal Garante, non possono contravvenire o modificare le norme sovraordinate di riferimento (il GDPR e il Codice Privacy), avendo un mero effetto eventualmente integrativo dell’ordinamento.
Pertanto, non si rinviene nell’atto amministrativo generale l’attitudine ad apportare innovazioni o modifiche nell’ordinamento in relazione al trattamento dei dati personali.
L’informativa privacy
All’interno del nostro articolo sugli strumenti di lavoro (vedi anche: Strumenti di lavoro o strumenti di controllo? Facciamo chiarezza), abbiamo visto come tutti i dispositivi aziendali che raccolgono dati personali dei lavoratori devono essere accompagnati da un’informativa privacy contenente tutti gli elementi informativi essenziali richiesti dall’art. 13 del GDPR.
In questo contesto, l’Ente si era limitato a richiamare il “Regolamento sul lavoro agile” per assolvere ai propri obblighi informativi, risultando pertanto insufficiente.
Difatti i “Regolamenti aziendali” sono redatti per assolvere obblighi diversi rispetto a quelli derivanti dalla disciplina in materia di protezione dei dati e non possono quindi sostituirsi all’informativa che il titolare deve rendere agli interessati, prima di iniziare il trattamento, in merito alle caratteristiche essenziali dello stesso e allo scopo di consentire agli stessi di esser pienamente consapevoli della tipologia di operazioni di trattamento che possono essere effettuati.
Pertanto, il Garante ha altresì accertato la violazione degli artt. 5, par. 1, lett. a), e 13 del GDPR.
La valutazione di impatto
Nel panorama dei trattamenti di dati personali, ne esistono alcuni specifici “potenzialmente rischiosi” che richiedono di effettuare in via preventiva una Valutazione di impatto sulla protezione dei dati (vedi anche: “Quando occorre fare la valutazione d’impatto?”).
La finalità è quella di permettere al titolare di valutare correttamente il rischio, di introdurre misure tecniche e organizzative per mitigarlo ed eventualmente valutare alternative valide che assicurino maggiore protezione dei diritti e delle libertà fondamentali degli interessati.
L’Ente in questione non ha svolto nessuna valutazione d’impatto del trattamento dei dati relativi alla geolocalizzazione del personale dipendente, nonostante la presenza di diversi elementi che ne suggerivano il carattere obbligatorio ai sensi dell’art. 35 GDPR:
- In considerazione della particolare “vulnerabilità” degli interessati nel contesto lavorativo;
- In considerazione dei rischi, in termini di monitoraggio dell’attività dei dipendenti.
All’interno del Provv. 11 ottobre 2018, n. 467, il Garante ha pubblicato un elenco di trattamenti soggetti all’obbligo di valutazione di impatto, i cui punti 3 e 5 sono risultati applicabili all’Ente poi sanzionato, in quanto il trattamento dei dati raccolti tramite il sistema di localizzazione satellitare comporta rischi specifici per i diritti e le libertà degli interessati nel contesto lavorativo.
L’utilizzo dei dati in sede disciplinare
Infine, l’articolo 4 dello Statuto dei Lavoratori chiarisce come i dati raccolti dagli strumenti di lavoro e dai dispositivi di controllo siano utilizzabili “a tutti i fini connessi al rapporto di lavoro” (anche ai fini disciplinari), a patto che siano rispettate le condizioni previste dell’articolo 4 dello Statuto dei Lavoratori e la disciplina in materia di protezione dei dati.
[Per un approfondimento si veda anche: I controlli difensivi datoriali: limiti, condizioni e buone prassi]
Pertanto, avendo accertato l’assenza di una base giuridica, l’assenza di informativa privacy e il mancato rispetto delle condizioni dell’articolo 4 comma 1 dello Statuto dei Lavoratori, il Garante ha concluso che l’utilizzo dei già menzionati dati per fini disciplinari sia avvenuto in maniera non conforme al GDPR.
Conclusioni
Il Garante ha concluso l’istruttoria irrogando all’Ente una sanzione da 50.000,00 euro per le violazioni commesse.
Sicuramente la mancata individuazione della corretta base giuridica ha permesso, a “cascata”, il generarsi di una serie di ulteriori violazioni a catena, senza peraltro che il Garante fornisse degli orientamenti per la sua individuazione.
Probabilmente, a nostro avviso, perché attualmente nessuna base giuridica è grado di legittimare la geolocalizzazione dei dipendenti, al solo fine di controllarne la corretta esecuzione della prestazione lavorativa.
Diversa sarebbe invece l’ipotesi in cui la geolocalizzazione si rendesse necessaria per perseguire finalità legate alla sicurezza sul lavoro o alla tutela del patrimonio aziendale, la cui base giuridica si potrebbe individuare nell’adempimento di un obbligo di legge o nel perseguimento del legittimo interesse del titolare.
[Si veda come esempio il ragionamento fatto sugli esoscheletri e illustrato nel nostro articolo “I dispositivi indossabili “intelligenti”: tra sicurezza sul lavoro e GDPR”]
Best practices
Vediamo allora quali sono le possibili soluzioni alternative per evitare sanzioni analoghe e perseguire al contempo le esigenze aziendali:
- In primo luogo, l’esigenza di assicurare anche nel caso del lavoro agile la riservatezza e la sicurezza dei dati (personali, aziendali, segreti industriali e know-how) deve essere perseguita anzitutto impartendo specifiche istruzioni ai dipendenti autorizzati, anziché attraverso dispositivi di monitoraggio come la geolocalizzazione del personale;
- In secondo luogo, la necessità di verificare il corretto adempimento della prestazione lavorativa svolta in modalità agile può consistere, ad esempio, nella redazione da parte del lavoratore di report periodici o documenti di sintesi in merito all’attività svolta oppure in momenti di confronto nei giorni di presenza in sede sugli obiettivi raggiunti in relazione a quelli assegnati.
In linea con il dettato dell’articolo 25 GDPR, è necessario valutare, fin dalla progettazione del futuro trattamento, tutte le condizioni necessarie per assicurare al titolare di essere “Accountable”,
con la consapevolezza che, a volte, in un mondo sempre più dominato dalla tecnologia, le soluzioni più semplici e tradizionali possono essere altrettanto efficaci nel perseguire gli interessi aziendali.
