Nell’attuale contesto dell’era digitale, l’intersezione tra la protezione dei dati personali e i diritti dei lavoratori riveste un ruolo di crescente importanza all’interno degli ambienti lavorativi.
Le tecnologie avanzate hanno rivoluzionato la raccolta, l’elaborazione e la conservazione dei dati, offrendo nuove opportunità per l’ottimizzazione delle attività aziendali e la gestione delle risorse umane. Tuttavia, questo progresso tecnologico pone sfide e questioni giuridiche complesse.
In particolare, il Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation, GDPR) dell’Unione Europea, operando una “rivoluzione copernicana” da un punto di vista giuridico e sociale, si è affermato come un pilastro fondamentale nella tutela della privacy individuale e ha introdotto importanti implicazioni nel rapporto tra datore di lavoro e lavoratore subordinato.
Tra GDPR e Statuto dei lavoratori: quadro generale
Più particolarmente, a guadagnare spesso gli onori della cronaca è il tema del controllo a distanza dei lavoratori, ove il rispetto della procedura prevista dalla legge 20 maggio 1970, n. 300 (Statuto dei Lavoratori) e dal Decreto legislativo 30 giugno 2003, n. 196 (Codice della Privacy) costituisce un requisito essenziale per la correttezza dei trattamenti dei dati personali dei lavoratori in azienda.
Il nucleo essenziale sul piano giuslavoristico è costituito dall’articolo 4, comma 1, dello Statuto dei Lavoratori, ai sensi del quale, per poter utilizzare gli impianti audiovisivi e gli altri strumenti dai quali derivi la possibilità di controllo a distanza dell’attività dei lavoratori, deve sussistere alternativamente una delle seguenti condizioni:
- ragioni organizzative e produttive;
- sicurezza dei luoghi di lavoro;
- tutela del patrimonio aziendale.
Inoltre, qualora ricorra almeno uno di detti requisiti, occorre ulteriormente ottenere il previo accordo con le Organizzazioni Sindacali o, in mancanza di tale accordo, la previa autorizzazione da parte della sede territoriale dell’Ispettorato Nazionale del Lavoro (I.T.L.).
Sul piano della regolamentazione privacy rilevano invece i già citati GDPR e Codice della privacy.
L’intersezione delle due normative configura una procedura di garanzia tale per cui il datore di lavoro (titolare del trattamento dei dati), prima di implementare strumenti da cui possa derivare un controllo anche solo potenziale o indiretto dell’attività di lavoro, è tenuto a osservare una serie di prescrizioni preliminari.
In primo luogo, occorre informare il lavoratore (interessato al trattamento dei dati) circa le modalità d’uso degli strumenti e di effettuazione dei controlli come indicato dall’articolo 4, comma 3, dello Statuto dei Lavoratori, nonché circa gli altri aspetti richiamati dall’articolo 13 del GDPR.
In secondo luogo, è richiesto esaminare se sia necessario procedere alle valutazione dell’impatto privacy degli strumenti di lavoro sui lavoratori dipendenti ai sensi dell’articolo 4 dello Statuto dei Lavoratori e dell’articolo 35 del GDPR.
Si consideri, inoltre, che l’interazione tra le suddette normative configura l’esposizione a una responsabilità “a doppo binario” tale per cui da una parte, sussiste una responsabilità penale del datore di lavoro ai sensi dell’articolo 38 dello Statuto dei lavoratori; e dall’altra, vi è una responsabilità amministrativa dell’ente ai sensi dell’articolo 83 del GDPR.
Tra GDPR e Statuto dei lavoratori: il provvedimento del Garante
Su queste premesse, è di particolare rilievo un provvedimento del Garante per la Protezione dei Dati Personali (Garante) del 1° giugno 2023, che è intervenuto su asserite molteplici violazioni della privacy da parte di una società che aveva installato tre distinti apparati tecnologici ed in particolare:
- un sistema di allarme la cui attivazione e disattivazione si basava sull’uso delle impronte digitali;
- un impianto di videosorveglianza;
- un applicativo per la geolocalizzazione di alcuni lavoratori.
In tale procedimento il Garante ha rilevato profili di illegittimità in relazione all’utilizzo di tali sistemi e ha, inter alia, comminato alla società una sanzione amministrativa pari a 20.000 euro ai sensi dell’articolo 83 del GDPR.
Di seguito esamineremo in maniera partita le conclusioni raggiunte dal Garante in relazione ai singoli sistemi.
Il sistema di allarme
In primo luogo, il Garante ha posto sotto la propria “lente di ingrandimento” un particolare sistema di allarme utilizzato dalla Società che adottava rilevatori di impronte digitali e registrava attivazioni e disattivazioni dell’allarme, conservando le impronte dei dipendenti abilitati all’utilizzo di detto sistema.
In sostanza, dunque, il Garante ha lamentato che con quel sistema, in teoria finalizzato ad azionare allarmi in caso di intrusioni di terzi presso la sede societaria, la società operava invece un illecito trattamento di dati particolari dei dipendenti. Inoltre, si è contestato che non fosse stata data la necessaria informativa.
Nelle difese della società si è sostenuto che la rilevazione delle impronte digitali era avvenuta facendo riferimento alle linee guida fornite dal Garante e che, in proposito, fosse comunque stata data una comunicazione orale alle risorse aziendali sulle peculiarità del sistema.
Sul punto, l’Autorità ha osservato che tale trattamento (di regola vietato poiché compreso nella categoria dei c.d. dati particolari) sarebbe stato consentito esclusivamente in presenza di una delle condizioni indicate dall’articolo 9, par. 2 del Regolamento.
In altri termini, il sistema avrebbe dovuto essere “… necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale …“.
In tal senso, il Garante non ha ritenuto ricorrere il suddetto elemento nel caso di specie, posto che l’utilizzo dei dati biometrici sarebbe invece stato meramente finalizzato all’attivazione e disattivazione del sistema di allarme.
Inoltre, si è ritenuto che la comunicazione orale nei confronti dei lavoratori circa la finalità e l’utilizzo del sistema non fosse sufficiente; al contrario il GDPR chiarisce all’articolo 12 che “… il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 […] in forma concisa, trasparente, intelligibile e facilmente accessibile […]. Le informazioni sono fornite per iscritto o con altri mezzi, anche se del caso, con mezzi elettronici …“.
Alla luce di quanto sopra si è dunque riconosciuta l’illegittima installazione del sistema di trattamento dei dati biometrici in parola.
Il sistema di videosorveglianza
Il Garante ha contestato alla società anche l’utilizzo di un apparecchio preposto alla videosorveglianza.
In questo caso, era fuor di dubbio che la società non avesse dato corso alla specifica procedura di garanzia descritta ex articolo 4 dello Statuto dei Lavoratori, volta ad ottenere, in caso di assenza di rappresentanze sindacali aziendali (come nella fattispecie in esame), il rilascio di una apposita autorizzazione da parte dell’Ispettorato del Lavoro. Inoltre, non risultavano essere stati apposti cartelli informativi indicanti la presenza del sistema.
A riguardo, la Società si è difesa asserendo in primo luogo che l’autorizzazione non sarebbe stata necessaria. Il sistema sarebbe infatti stato installato in risposta ad un furto ed utilizzato per soli scopi di sicurezza al fine di proteggere il patrimonio aziendale. Non si sarebbe dunque potuto registrare alcun controllo sui lavoratori (risultando dunque non necessaria l’autorizzazione dell’ITL). Inoltre, non vi sarebbe nemmeno stata necessità di affiggere in società apposita cartellonistica dato che la telecamera avrebbe inquadrato solamente la reception.
All’esito dell’istruttoria, il Garante ha tuttavia accertato che tali apparecchi erano idonei ad operare un controllo a distanza dell’attività lavorativa. Si è infatti rilevato che il legale rappresentante della società e alcuni suoi famigliari potevano visionare in diretta via app quanto ripreso dalla telecamera.
Si è dunque concluso che, essendo il sistema idoneo ad operare un controllo dei lavoratori, sarebbe stato necessario ottenere l’autorizzazione dell’ITL per la sua installazione. Del pari, il Garante ha ribadito che anche in questo caso sarebbe stato necessario fornire apposita informativa (a nulla rilevando che il sistema inquadrasse solo certe aree della sede societaria).
Alla Società è stato dunque intimato il divieto di trattamento dei dati mediante il sistema di videosorveglianza fino a corretta implementazione della procedura di garanzia prevista dallo Statuto dei Lavoratori.
Il tracciamento della posizione geografica dei lavoratori
Il Garante ha infine contestato l’utilizzo di un’applicazione che, installata sullo smartphone dei lavoratori, registrava la loro posizione geografica. Anche in questo caso si è asserito che ciò avrebbe costituito un indebito controllo a distanza dei lavoratori in assenza di necessaria autorizzazione ITL.
La società si è difesa sostenendo che detto tracciamento sarebbe avvenuto solo quando l’app era attiva o in uso e al solo fine di garantire la gestione degli interventi tecnici che si espletavano esternamente alla sede aziendale, specificamente per una corretta contabilizzazione dei servizi così forniti “… onde evitare contestazioni in sede di fatturazione …”.
Anche in tal caso, come sopra, il Garante ha rilevato l’insussistenza delle condizioni previste dall’articolo 4 dello Statuto dei Lavoratori concludendo per l’illegittimità dell’installazione del sistema.
Alla luce di tutto quanto sopra, il Garante ha disposto il divieto del monitoraggio continuo della posizione dei dipendenti attraverso l’app in parola fino ad ottenimento di autorizzazione da parte dell’ITL.
Considerazioni conclusive
Il provvedimento emesso dal Garante si mostra come eloquente esempio della complessa interazione tra GDPR e diritto del lavoro.
L’attenzione rivolta al caso esaminato evidenzia l’importanza della corretta gestione dei dati personali nell’ambito giuslavoristico e sottolinea il difficile equilibrio esistente tra la protezione dei diritti dei lavoratori e le legittime esigenze aziendali.
Parallelamente, il provvedimento solleva questioni riguardo tale bilanciamento: la necessità di monitorare l’accesso fisico alle strutture aziendali o di garantire un ambiente di lavoro sicuro, si scontra infatti con temi relativi alla sorveglianza e al trattamento eccessivo dei dati personali dei lavoratori.
Inoltre, le osservazioni del Garante e i limiti imposti alle attività di monitoraggio dei datori di lavoro, sebbene aventi una genesi estranea al contesto normativo giuslavoristico, nondimeno potrebbero avere un impatto non da poco anche in un’ottica contenziosa lavoristica.
Infatti, la violazione od anche solo la non corretta puntuale applicazione delle disposizioni (normative o regolamentari) in materia di trattamento dei dati personali, potrebbe inficiare la raccolta e soprattutto l’utilizzo di dati ed informazioni ottenute dal datore di lavoro con l’obiettivo di gestire correttamente (ed efficacemente) i rapporti di lavoro, limitando, in tal modo, il diritto costituzionale dell’imprenditore ad esercitare liberamente la propria iniziativa economica privata (art. 41 Cost.).
A tale osservazione si potrebbe tuttavia obiettare che, già in Costituzione, il diritto di esercitare liberamente l’iniziativa economica privata è subordinato al rispetto di altri diritti pur costituzionalmente riconosciuti, quali quelli alla salute, all’ambiente, alla sicurezza, alla libertà ed alla dignità umana, questi ultimi, appunto, oggetto di specifica tutela da parte del Garante.
Da tutto quanto sopra, si evidenzia come risulti di cruciale importanza:
una pianificazione oculata nell’implementazione di sistemi di videosorveglianza e di rilevamento della posizione (tenendo a mente la necessità di adottare ove necessario la procedura di garanzia prevista dallo Statuto dei Lavoratori);
l’effettuazione di un’analisi di tali sistemi per verificare che siano conformi ai principi sanciti dal GDPR;
un preventivo accurato bilanciamento, da parte dell’imprenditore, tra il proprio diritto costituzionalmente garantito al libero esercizio dell’iniziativa economica privata e quello dei lavoratori, altrettanto costituzionalmente garantito, alla libertà ed alla dignità umana (che la normativa in tema di protezione dei dati personali mira a tutelare.