Vuoi ricevere i nostri aggiornamenti?
Smart working, nuove tecnologie e tutela dei dati dei lavoratori: il perimetro imposto dalla normativa
Art. 4 Legge 300/1970 (Statuto lavoratori)
Un’indagine Doxa svolta su un campione di riferimento composto da impiegati, quadri e dirigenti occupati in organizzazioni con più di 10 dipendenti rivela che all’inizio del 2019, dopo poco più di un anno dopo l’approvazione della Legge 81/2017 sul “Lavoro agile”, si contano in Italia 480.000 smart worker occupati sia nel settore pubblico che privato, con una forte crescita dei progetti strutturati nel corso del 2018 soprattutto nelle grandi aziende.
Il successo dello smart working è legato alla possibilità di rispondere alla domanda delle persone di flessibilità e autonomia nella scelta degli spazi, degli orari e degli strumenti da utilizzare a fronte di una maggiore responsabilizzazione in relazione ai risultati.
Portare avanti un progetto strutturato di smart working richiede però un ripensamento delle policy organizzative aziendali, in termini di flessibilità di luogo e di tempi di lavoro, degli stili di leadership, degli spazi a disposizione dei dipendenti nonché l’uso di tecnologie digitali, che permettono di comunicare e relazionarsi anche a distanza, che supportino il lavoro anche in mobilità, che permettano un uso più flessibile e più efficace degli ambienti fisici e garantiscano la sicurezza dei dati anche da remoto e da device diversi.
L’uso massiccio delle nuove tecnologie consente però al datore di lavoro un trattamento più sistematico ed invasivo dei dati dei lavoratori.
Come noto l’attuale art. 4.1 dello Statuto dei lavoratori prevede che gli strumenti dai quali derivi anche solo la possibilità di un controllo a distanza dei lavoratori possano essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, previo accordo sindacale o, in mancanza, previa autorizzazione della competente sede territoriale dell’Ispettorato nazionale del lavoro.
Quanto previsto all’art. 4.1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa; sul punto il Ministero del lavoro ha avuto modo di precisare che non viene autorizzato alcun controllo a distanza, quanto piuttosto sono chiarite le modalità per l’utilizzo degli strumenti tecnologici impiegati per la prestazione lavorativa ed i limiti di utilizzabilità dei dati raccolti con questi strumenti.
L’espressione “per rendere la prestazione lavorativa” significa che l’accordo o l’autorizzazione non servono solo se lo strumento tecnologico serve al lavoratore per adempiere la prestazione; nel momento in cui il medesimo strumento viene modificato o dotato ad esempio di software che permettano di localizzare o monitorare il lavoratore diventa automaticamente strumento che serve al datore di lavoro per controllare la prestazione.
Poiché è palese che non esiste una definizione di strumento per rendere la prestazione lavorativa piuttosto che di strumento volto al controllo del lavoratore, si rende necessaria una valutazione caso per caso.
Si ricorda inoltre che tra i trattamenti individuati dal Garante privacy tra quelli da sottoporre a valutazione di impatto (DPIA) rientrano i trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti. L’attività di valutazione ed individuazione dei rischi specifici da parte del datore di lavoro dovrà anche tener conto dei provvedimenti adottati dal Garante privacy in sede di verifica preliminare, con i quali sono già stati valutati diversi profili di rischio relativi a diverse tipologie di trattamenti nell’ambito del rapporto di lavoro, specialmente quelli effettuati con strumenti elettronici. Il Garante in un provvedimento del luglio 2018 ha imposto al datore di lavoro l’applicazione dei principi di privacy by design e by default, intimando il rispetto della privacy degli utenti sin dalla progettazione dello strumento.
Nell’”Opinion on data processing at work” adottata l’8 giugno 2017 il WP 29 evidenzia i rischi relativi all’adozione delle nuove tecnologie, con cui è possibile tracciare il lavoratore in ogni momento, non solo sul posto di lavoro, ma anche in un contesto privato, tramite smartphone, pc, tablet, veicoli e wearable device.
Come utilizzare dunque legittimamente le tecnologie in ambito lavoristico?
È necessaria in primo luogo l’adozione di una policy aziendale comprensibile e facilmente accessibile che renda consapevoli i dipendenti dell’esistenza dei sistemi di monitoraggio presenti sui luoghi di lavoro ma anche sui device forniti dal datore di lavoro per rendere la prestazione lavorativa e che consenta loro di esercitare i propri diritti nonché di un’idonea informativa sulle modalità di trattamento dei dati.
Torna quindi la necessità di dare vita a progetti di smart working strutturati anche nella scelta degli strumenti tecnologici di cui dotare i lavoratori e nell’adozione delle policy aziendali.