La sorveglianza negli ambienti di lavoro è sempre stato un tema particolarmente delicato.
Storicamente associata alla video sorveglianza, che, come noto, deve rispettare determinate condizioni per la normativa a tutela della privacy (vedi i nostri approfondimenti Cosa fare per una videosorveglianza a prova di GDPR? e per le disposizioni a tutela dei lavoratori Come far coincidere il “controllo” delle attività dei dipendenti con i principi del GDPR e dello Statuto dei lavoratori), la sorveglianza può diventare inevitabile nei sistemi di Smart working. L’obiettivo è chiaro e resta invariato: proteggere la proprietà aziendale che viene, in un certo senso, preferita a una potenziale lesione di riservatezza del lavoratore. Sempre più spesso, infatti, si parla di un nuovo tipo di sorveglianza: la c.d “Sorveglianza Digitale”, nata agli inizi della pandemia quando è stata implementata l’attività lavorativa in modalità smart working in maniera affrettata e poco strutturata tanto da creare parecchi dubbi su cosa una azienda potesse e/o dovesse fare.
Indice
Che cos’è la sorveglianza digitale?
Le Aziende, durante la pandemia hanno dovuto cambiare le proprie abitudini, dotandosi di sistemi moderni per rendere possibile lo svolgimento delle normali attività lavorative da postazioni remote e per adattarsi alle richieste della crisi pandemica.
Contestualmente, si è registrata una parallela crescita della richiesta di strumenti di protezione di reti e sistemi, oggi maggiormente esposti a nuovi rischi ed attacchi informatici. Questi sistemi di protezione, se da un lato consentono di disincentivare gli attacchi informatici attualmente in forte aumento, dall’altro potrebbero essere utilizzati in maniera illecita da parte dei datori di lavoro.
Ma non solo.
Alcuni tipi di lavoro – pensiamo ad esempio ai Raider piuttosto che agli autotrasportatori – per poter svolgere la loro attività vengono dotati, sempre più di frequenti, di sistemi di GPS o APP che inevitabilmente permettono un monitoraggio della loro attività.
Tutto questo rientra nella definizione di sorveglianza digitale, ossia sistemi che possono produrre il controllo mirato e sistematico dei dati personali, effettuato attraverso sistemi di monitoraggio dei dispositivi telematici, smartphone o sistemi di rilevamento delle tracce lasciate in Internet.
Nonostante la crescente attenzione che le Autorità stanno attualmente dimostrando, stabilire il confine tra la liceità e l’illiceità di alcune particolari tipologie di trattamento appare spesso molto labile, condizione altresì alimentata dall’inadeguatezza dell’attuale normativa, ancora molto arretrata dal punto di vista “tecnologico” per poter essere applicata senza esitazione.
La differenza tra strumenti di lavoro e strumenti di controllo stabilita dalla normativa
La normativa non è contro il progresso tecnologico o l’introduzione di strumenti di questo tipo, ma stabilisce principi precisi al fine di individuare quando questi strumenti debbano essere considerati strumenti di mero controllo del lavoratore e quando invece sono da considerare “leciti”, poiché necessari all’attività lavorativa.
L’articolo 4 dello statuto dei lavoratori stabilisce al primo comma: “gli altri strumenti di lavoro dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per: esigenze organizzative e produttive, per la sicurezza del lavoro, per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla” RSU o RSA oppure, in mancanza, previa autorizzazione dell’Ispettorato del lavoro”.
Il secondo comma dello stesso articolo consente l’impiego di strumenti da cui possa derivare un controllo a distanza dei lavoratori senza accordo o autorizzazione, solo quando:
-tali strumenti siano “utilizzati dal lavoratore per rendere la prestazione lavorativa”;
-si tratti di “strumenti di registrazione degli accessi e delle presenze”, quest’ultima forse meno rilevante nello scenario prospettato dallo Smart working.
Il punto centrale della questione sta quindi nel riuscire ad individuare quali siano i c.d. strumenti serventi alla prestazione di lavoro.
Nello specifico si tratta di quegli strumenti indispensabili all’attività lavorativa come ad esempio il pc, il tablet o gli smartphone, i quali, nel momento in cui tali strumenti vengono modificati nelle loro impostazioni di default, attraverso l’introduzione, ad esempio, di software di filtraggio o monitoraggio che permettono di controllare il lavoratore, passano da strumenti che “servono” al lavoratore per rendere la prestazione, a strumenti che servono al datore per controllarne la prestazione. In questo caso rientriamo nell’ambito del primo comma dell’art. 4 dello Statuto, per cui potranno essere utilizzati solo se ricorrono particolari esigenze e solo se vi è accordo sindacale o autorizzazione dell’Ispettorato.
Come vedremo il nuovo protocollo sul lavoro agile ha definito per la prima volta i criteri e le condizioni per la corretta implementazione degli strumenti di lavoro.
Lavoro agile e controllo a distanza: misure da mettere in atto per garantire la tutela necessaria per i lavoratori ed evitare sanzioni
Lo smart working o più correttamente lavoro agile è la nuova filosofia manageriale fondata sulla restituzione alle persone di flessibilità e autonomia nella scelta degli spazi, degli orari e degli strumenti da utilizzare a fronte di una maggiore responsabilizzazione sui risultati, la quale pone nuove sfide all’applicazione della sorveglianza digitale del lavoratore.
Lo smart working vero e proprio, così come definito dalla Legge n. 81/2017 è diverso dal lavoro agile che abbiamo vissuto in periodo emergenziale, va strutturato e definito in maniera puntuale anche rispetto all’uso degli strumenti aziendali.
Nel periodo emergenziale, infatti, era prevista una forma di smart working “semplificata” che ha concesso all’azienda, anche in maniera piuttosto confusa, di organizzare il lavoro da remoto, senza particolari disposizioni rispetto agli strumenti di lavoro o alla sicurezza del lavoratore.
Lo smart working “semplificato” per le aziende del settore privato è stato prorogato fino al 31 agosto da una recente modifica al disegno di legge di conversione al decreto-legge n. 24 del 2022 fino a quella data le aziende continueranno ad utilizzare la procedura semplificata di comunicazione dello smart working di cui all’art. 90 commi 3 e 4 del D.L 19 maggio 2020, n. 34, convertito con modificazioni in L.17 luglio 2020, n .77.
Da settembre invece le aziende che prevederanno forme di lavoro in modalità agile dovranno necessariamente predisporre gli accordi individuali tra datore di lavoro e lavoratori e tali dovranno essere stilati sulla base delle disposizioni stabilite dal “Protocollo nazionale sul lavoro in modalità agile” adottato dal Governo e dalle Organizzazioni Sindacali il 7 dicembre del 2021.
Il nuovo protocollo pone l’accento su temi che erano stati tralasciati nel periodo pandemico soprattutto in riferimento agli strumenti tecnologici dati in dotazione al lavoratore e alla tutela del lavoratore su possibili attività di controllo a distanza.
Nella fase di costruzione dell’accordo individuale, il protocollo prevede che debbano essere regolamentati obbligatoriamente determinati aspetti, in particolare:
- per gli strumenti di lavoro devono essere previsti i criteri e requisiti minimi di sicurezza da implementare;
- su chi ricadono le spese di manutenzione degli strumenti;
- l’attuazione della procedura di data breach qualora gli strumenti vengano smarriti o rubati;
- le modalità di controllo della prestazione lavorativa all’esterno dei locali aziendali, la quale deve essere svolta nel pieno rispetto di quanto previsto sia dall’art. 4, legge 20 maggio 1970, n. 300 (Stat. Lav.) e s.m.i.
E’ compito del datore di lavoro di informare il lavoratore agile in merito ai trattamenti dei dati personali che lo riguardano, anche nel rispetto di quanto disposto dall’art. 4 Stat. Lav. e s.m.i. , deve inoltre fornire al lavoratore agile le istruzioni e l’indicazione delle misure di sicurezza che lo stesso deve osservare per garantire la protezione, segretezza e riservatezza delle informazioni che egli tratta per fini professionali.
Spetterà al datore di lavoro/titolare del trattamento l’aggiornamento del registro del trattamento dei dati connessi alle attività svolte anche in modalità di lavoro agile.
“Il protocollo nazionale sul lavoro in modalità agile”, ancora, stabilisce che al fine di verificare che gli strumenti utilizzati per il lavoro in modalità agile siano conformi ai principi di privacy by design e by default, è sempre raccomandata l’esecuzione di valutazione d’impatto (DPIA) dei trattamenti.
Ma non solo, il datore di lavoro, inoltre, dovrà:
- promuovere l’adozione di policy aziendali basate sul concetto di security by design, incluse la gestione dei data breach e l’implementazione di misure di sicurezza adeguate; che comprendono, a titolo meramente esemplificativo: l’adozione di sistemi di autenticazione e VPN, la definizione di piani di backup e protezione malware.
- favorire iniziative di formazione e sensibilizzazione dei lavoratori sia sull’utilizzo, custodia e protezione degli strumenti impiegati per rendere la prestazione, sia sulle cautele comportamentali da adottare nello svolgimento della prestazione lavorativa in modalità agile, compresa la gestione dei data breach.
Le Parti sociali convengono sulla necessità di adottare un codice deontologico e di buona condotta per il trattamento di dati personali dei lavoratori in modalità agile da sottoporre al previsto giudizio di conformità da parte dell’Autorità Garante per la Protezione dei dati personali.
Ricapitolando: per l’implementazione di queste tecnologie le aziende dovranno in primo luogo effettuare una valutazione d’impatto, valutando la necessità e la proporzionalità del trattamento e successivamente si dovrà trovare un accordo con le OO.SS o in alternativa si chiederà autorizzazione alla sede territoriali dell’Ispettorato nazionale del lavoro;
Non dimentichiamoci che l’implementazione di questi strumenti dovrà essere svolta in maniera più che trasparente da parte del datore di lavoro che dovrà necessariamente indicare le modalità e le finalità del trattamento, fornendo apposite informative ai propri dipendenti, oltre a disporre una puntuale policy in merito all’utilizzo di tali dispositivi, assolvendo così anche l’obbligo di formazione.