L’a. si interroga sull’esercizio del potere di controllo e sui suoi limiti, alla luce delle più recenti modifiche normative in tema di controllo a distanza della prestazione lavorativa, privacy e protezione dei dati personali, e di come ciò si riverberi sulle nuove modalità di esecuzione della prestazione di lavoro da remoto.
The author explores employer power and control dynamics in light of recent legislative developments in distance control of work, privacy and personal data protection and how it affects new remote work practises.
Articoli Correlati: controlli a distanza - controllo a distanza - smart working - protezione dati
1. Delimitazione del campo d’indagine - 2. Il potere di controllo nella prestazione di lavoro agile - 3. I nuovi strumenti di controllo e di utilizzo per rendere la prestazione lavorativa - 3.1. La posta elettronica, gli smartphone ed i computer - 3.2. Gli strumenti per la geolocalizzazione - 3.3. I rilevamenti degli accessi e delle presenze - 4. Il legittimo utilizzo dei dati raccolti ed il codice della privacy - 5. Il legittimo utilizzo dei dati raccolti e l’adeguata informazione - 6. Considerazioni conclusive - NOTE
Il tema del potere di controllo declinato all’epoca della c.d. quarta rivoluzione industriale 1, prefigura nuove e molteplici problematiche, che richiamano l’incessante interrogarsi “sulla capacità adattativa del sistema giuslavoristico rispetto all’evoluzione della tecnica” 2, nonché, ed in misura ancor maggiore, sulla capacità di tener fermo il suo “paradigma originario” 3. Queste problematiche, del resto, sono indotte, da un lato, dalle nuove forme di organizzazione del lavoro connesse all’informatizzazione ed alla digitalizzazione, che determinano un diverso ed inedito esercizio dei poteri datoriali, nonché, dall’altro lato, dalla circostanza che le modalità di controllo del corretto adempimento, proprio in ragione dell’utilizzo degli “strumenti di lavoro” digitali, consentono al datore di lavoro che lo volesse, una vigilanza occulta e pervasiva, del tutto assimilabile a quella che nella fabbrica fordista poteva realizzarsi con l’uso degli impianti audiovisivi. Impianti audiovisivi oggetto dell’incisivo intervento protettivo di procedimentalizzazione – rarefazione dei poteri datoriali operato dallo Statuto dei lavoratori nel 1970 4. Da qui numerose e complesse esigenze. Anzitutto, certo, quella di raccordare la speciale disciplina lavoristica a quella generale della protezione dei dati personali 5; ma poi, ancor di più, quella di verificare se l’intervento di “modernizzazione” del jobs act sull’art. 4 della legge n. 300/1970 – filtrato dalle successive letture di adeguamento operate dal Garante della privacy, dalla giurisprudenza e dalla contrattazione collettiva nei suoi diversi livelli – possa ritenersi sufficiente a regolare il fenomeno del lavoro da remoto. Fenomeno che, ad oggi, non sembra essere più frutto della spontanea creazione dell’autonomia privata, né risultato di accordi individuali, non assistiti o collettivi, in sintonia con l’intervento del legislatore del 2017, ma generalizzato, come modalità diffusa e prevalente dello svolgimento della prestazione, stante un’opzione unilaterale del datore di lavoro, per lo più imposta dalla pandemia. Tutto ciò comporta che il tema del potere di controllo, dei suoi limiti e delle modalità del [continua ..]
La legge n. 81/2017 nel disciplinare il lavoro “agile” quale modalità di esecuzione del lavoro “subordinato”, svolta “in parte all’interno dei locali aziendali ed in parte all’esterno” (art. 18), non avendo introdotto una nuova tipologia contrattuale, ma destandardizzando 19 il lavoro subordinato dalle regole aristoteliche dell’unità luogo/lavoro e dell’unità tempo/lavoro che lo avevano presidiato sinora 20, ha fisiologicamente disposto una disciplina “leggera” dell’istituto, rinviando alle classiche fonti regolative del rapporto di lavoro subordinato 21. Peraltro, la stessa legge n. 81/2017 nella “consapevolezza che alle multiformi varianti fattuali del lavorare in modo subordinato, ed alle multiformi esigenze dell’organizzazione di impresa, non è possibile rispondere con una disciplina unica, rigida ed inderogabile” 22 prevede possibili margini adattativi della disciplina generale della subordinazione alla modalità di svolgimento da remoto attraverso il patto di lavoro agile di cui all’art. 19 23. Tanto è vero che l’art. 21 della legge n. 81/2017 sull’esercizio del potere di controllo e disciplinare nella prestazione di lavoro subordinato in modalità agile, dispone che la possibilità dell’esercizio di questi classici poteri datoriali possa essere definito nelle sue modalità e regole, “per la parte di prestazione svolta al di fuori dell’azienda”, dalla disciplina individuale del patto di lavoro agile. Certo la norma, pur prevedendo spazi di manovra inediti nel diritto del lavoro per l’autonomia individuale 24, richiama il necessario rispetto della normativa generale dell’art. 4 della legge n. 300/1970 nella predisposizione dell’accordo individuale, cosicché sembrerebbe confermarsi che se le nuove modalità organizzative dello svolgimento della prestazione subordinata nella modalità agile, richiedono un rinvio all’autonomia individuale per meglio cogliere le evoluzioni tecnologiche/gestionali di queste più recenti forme di esecuzione della prestazione subordinata, dall’altro lato, quella stessa autonomia negoziale deve circoscriversi ed iscriversi nel perimetro dello statuto protettivo della subordinazione 25. Non [continua ..]
Come anticipato, l’elemento di reale novità della novella del 2015 risiede nell’abolizione dei preventivi controlli sindacali ed amministrativi, rispetto alla causale generativa, per l’esercizio del potere di controllo del datore di lavoro da remoto attraverso “gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, nonché in relazione agli “strumenti di registrazione degli accessi e delle presenze”, laddove la distinzione concettuale tra strumenti di lavoro e strumenti di controllo alla base della pregressa dizione della norma statutaria sembrava aver perso nitidezza a seguito delle nuove modalità organizzative e tecnologiche derivanti dalla rivoluzione industriale 4.0 30. Da qui, il tentativo di analizzare e richiamare l’interpretazione dottrinale e giurisprudenziale del perimetro definitorio degli strumenti più diffusi per l’esercizio del lavoro da remoto, ed in particolare nella modalità di lavoro agile, al fine di qualificarli o no nella nozione di “strumenti utilizzati per rendere la prestazione lavorativa” e, dunque, inquadrare i limiti al legittimo esercizio del poter di controllo da parte del datore di lavoro. Peraltro, preme ricordare come, trattandosi di una disciplina “autosufficiente” ed “autoconclusa” che non consente interventi integrativi derivanti dall’applicazione della disciplina in materia di protezione dei dati personali, l’attività interpretativa del Garante della privacy non possa condurre all’introduzione di condizioni legittimanti diverse da quelle previste dalla norma statutaria e dall’interpretazione giurisprudenziale della stessa 31. Se, dunque, la riforma della norma statutaria sembrerebbe aver ampliato i margini di esercizio del potere di controllo del datore di lavoro attraverso l’utilizzo dei nuovi strumenti tecnologici, adeguandosi ai più moderni modelli organizzativi d’impresa ed alle esigenze di ampliamento dello svolgimento della prestazione lavorativa da remoto, altrettanto non può dirsi di una certa corrente interpretativa che ha tentato di utilizzare la dizione del comma 3 dell’art. 4 legge n. 300/1970 per imbrigliare nuovamente la raccolta dei dati connessi allo svolgimento della prestazione lavorativa ed il loro legittimo utilizzo “a tutti i fini connessi [continua ..]
Nell’ottica della funzionalità ed utilità nell’esecuzione della prestazione lavorativa vanno sicuramente richiamati per primi quegli strumenti che nella moderna organizzazione lavorativa sono strettamente connessi con lo svolgimento della prestazione lavorativa da remoto ed anzi ne sono il necessario presupposto, laddove proprio l’uso di massa di tali strumenti si è reso l’antecedente indispensabile all’introduzione delle nuove modalità agili di svolgimento della prestazione lavorativa e, come precedentemente rilevato, la spinta a quella modifica normativa della norma statutaria volta alla liberalizzazione dell’uso di tali strumenti. Liberalizzazione mossa dalla volontà legislativa di dipanare i dubbi interpretativi della giurisprudenza sulla pregressa versione della norma statutaria, laddove, per il costante incremento dell’utilizzo di questi strumenti di ultima generazione, una parte della giurisprudenza aveva tentato di ricondurre i possibili controlli datoriali nella categoria dei c.d. “controlli difensivi” 37 e, cioè, di quei controlli diretti ad accertare comportamenti illeciti e lesivi del patrimonio o dell’immagine aziendale, effettuati ex post 38 e che per questo avrebbero potuto esulare dalle garanzie del comma 2 dell’art. 4. ante riforma. Si riteneva così legittima la possibilità di controllare ex post le email aziendali per accertare eventuali comportamenti illeciti o la possibilità di verificare l’utilizzo a fini esclusivamente lavorativi del computer aziendale, nel rispetto della libertà e della dignità dei lavoratori. nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali, i principi di correttezza, di pertinenza e non eccedenza di cui all’art. 11, comma 1, d.lgs. n. 196/2003 39. Ad oggi, a seguito della riforma della norma statutaria, come poc’anzi accennato, il lavoro interpretativo del giudice dovrà focalizzarsi sulla verifica di un’effettiva utilizzazione dello strumento di lavoro da parte del prestatore di lavoro 40 e, soprattutto, sulla connessione funzionale dello strumento in relazione all’esecuzione dell’oggetto del contratto di lavoro subordinato. Questa operazione qualificatoria relativa al nesso funzionale tra strumento e prestazione, [continua ..]
Se, dunque, la situazione interpretativa appare complessa già in riferimento ai più comuni e collaudati strumenti informatici, sicuramente maggiori perplessità ha suscitato e susciterà, in relazione alla disciplina dell’art. 4 della legge n. 300/70, il tema delle nuove tecnologie in grado di localizzare i lavoratori. Mi riferisco non solo ai rilevatori GPS (Global Positioning System) o alle c.d. black box installate sulle vetture dei dipendenti dalle quali è possibile rilevare dati relativi all’uso dell’autovettura aziendale, ma anche alle c.d. wearable technology (come, ad esempio, i famosi braccialetti elettronici della Amazon) in grado di supportare ed aiutare il lavoratore nell’espletamento della prestazione lavorativa. In relazione, agli strumenti di geolocalizzazione (GPS e black box), nella vigenza del vecchio testo della norma statutaria, la giurisprudenza si era espressa anche in queste ipotesi facendo riferimento ai c.d. controlli difensivi con le conseguenti limitazioni e causali legittimanti richiamate nel paragrafo che precede. In relazione alla nuova versione della norma statutaria ed al carattere della funzionalità/utilità tra l’utilizzo dei dati rilevati dallo strumento di geolocalizzazione e l’esecuzione della prestazione lavorativa, sarà necessario operare una distinzione caso per caso in relazione alle mansioni od alle esigenze organizzative per le quali la localizzazione è effettuata. In altri termini, si potrebbe ritenere che il sistema di geolocalizzazione andrebbe esente dai vincoli di cui al comma 1 dell’art. 4 qualora consentisse un’esecuzione della prestazione lavorativa in tempi più rapidi e fosse utilizzato da lavoratori chiamati a svolgere interventi in luoghi diversi 43. Ipotesi differente, del tutto priva di problematicità, sembrerebbe invece concretizzarsi nell’ipotesi delle c.d. black blox presenti su di una macchina aziendale, laddove il sistema di rilevamento sia stato inserito dal datore di lavoro per diminuire i costi dell’assicurazione della vettura ed i dati rilevati restino nell’esclusiva disponibilità della compagnia assicurativa. In relazione invece ai nuovi strumenti c.d. di wearable technology ritengo si possono richiamare le considerazioni fatte in merito ai pc od agli smartphone andando ad analizzare caso per caso in relazione al singolo [continua ..]
Come precedentemente accennato, la nuova formulazione del comma 2 dell’art. 4, legge n. 300/1970, libera dalla procedura autorizzatoria sindacale o amministrativa anche gli “strumenti di rilevamento degli accessi e delle presenze”, realizzando, così, anche in tale fattispecie un adattamento dei modelli organizzativi e del connesso esplicarsi dei poteri datoriali alle nuove tecnologie. Del resto, se la giurisprudenza più risalente era stata alquanto permissiva sulla possibilità di utilizzo di siffatti strumenti di rilevamento, negli ultimi anni si era assistito ad un notevole inasprimento dell’interpretazione giudiziale anche in relazione alla rilevazione dei dati di entrata ed uscita dall’azienda. L’interpretazione restrittiva che si andava consolidando riteneva che qualsiasi strumentazione di rilevazione dei dati degli accessi e delle presenze che avesse consentito di controllare il rispetto dell’orario di lavoro o la correttezza dell’esecuzione della prestazione, anche se predisposta “a vantaggio dei dipendenti” 44 o con “l’esigenza di evitare condotte illecite” sarebbe dovuta passare per il previo accordo sindacale od amministrativo per garantire “la dignità e la riservatezza del lavoratore” 45. La nuova formulazione della norma statutaria, nell’utilizzo dell’ampia formula normativa, riferita non solo agli accessi, ma anche alle presenze in azienda sembrerebbe risolvere i dubbi interpretativi sorti in precedenza e, soprattutto, sembrerebbe atta a superare la citata visone restrittiva della giurisprudenza. Tale conclusione sarebbe avvalorata dall’interpretazione maggioritaria della nuova disposizione statuaria secondo la quale la ratio legis è finalizzata a garantire una maggiore libertà, non solo nel controllo degli accessi, ma anche nel seguire i movimenti dei dipendenti all’interno dei locali aziendali 46, purché ciò non si traduca in un costante monitoraggio dei suoi spostamenti 47 e sia presente una giustificazione “razionale” 48. Il medesimo ragionamento potrebbe, poi, essere esteso anche alla rilevazione dei dati di uscita e di rientro del dipendente per usufruire della pausa pranzo al di fuori dei locali aziendali e, cioè, per quelle pause che presentano una durata maggiore rispetto alle pause brevi [continua ..]
Richiamato così, seppur brevemente, lo stato dell’arte in relazione alla legittimità delle operazioni di raccolta dati, operate dal datore di lavoro attraverso gli strumenti di cui al comma 2 dell’art. 4, legge n. 300/1970, è necessario approfondire, anche, e soprattutto, in relazione alla possibilità di esercizio del potere di controllo in quei rapporti di lavoro che si volgono da remoto, il diverso ed autonomo profilo relativo all’utilizzabilità di quei dati precedentemente raccolti “a tutti i fini connessi al rapporto di lavoro”. Qui il comma 3 della norma statutaria impone, come già ricordato, che “sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”, noto come codice della privacy e recentemente modificato dal d.lgs. 10 agosto 2018, n. 101 54. A tal proposito, ricordiamo come nel nostro ordinamento proprio con il d.lgs. 30 giugno 2003 n. 196, denominato Codice sulla protezione dei dati personali, è stata introdotta per la prima volta una normativa specifica in materia di tutela della privacy 55, laddove si sancisce un precipuo diritto 56 alla protezione dei dati personali 57, distinto da quello alla riservatezza 58 e di come di recente, il d.lgs. 10 agosto 2018, n. 101 abbia attuato il regolamento generale UE 2016/679, noto come GDPR General Data Protection Regulation), regolamento che ha raccolto e consolidato il quadro dei diritti e delle garanzie della pregressa direttiva oramai abrogata, apportando elementi di innovazione come la positivizzazione del diritto all’oblio o del diritto alla portabilità del dato 59. Un elemento innovativo del GDPR si concretizza, poi, nella valorizzazione dei doveri che gravano sui titolari del trattamento dei dati; del resto, l’avvento e la diffusione delle smart tecnologies non solo nel sistema produttivo, ma anche e soprattutto nella società, con la conseguente digitalizzazione del consumo e della vita privata, ha reso indefettibile l’introduzione di una normativa volta alla regolazione e responsabilizzazione nell’elaborazione dei dati e nel loro trattamento. Così, con il GDPR si introducono istituti volti alla responsabilizzante di coloro che si trovino [continua ..]
Richiamata, la disciplina in materia di privacy, ricordiamo come il comma 3 della norma statutaria imponga che “sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”. Si impone, così, un doppio requisito al datore di lavoro: l’adeguata informazione al lavoratore per l’utilizzo, e ricordiamo non per la raccolta, dei dati personali che lo riguardano ed il rispetto dei limiti posti dal codice della privacy, come se “a parziale compensazione della contrazione delle tutele del lavoratore assoggettato al controllo”, l’ordinamento avesse previsto uno “spostamento del baricentro normativo dal piano collettivo a quello individuale” 80. Proprio sul piano della tutela individuale, l’informativa al lavoratore dovrà riguardare tutti gli strumenti individuati nell’art. 4, legge n. 300/1970, e dovrà essere espressa con un linguaggio semplice e chiaro, poiché il suo obiettivo sarà quello di rendere il lavoratore edotto di come verranno trattati i dati, a quale scopo e da chi e, soprattutto, di consentire di conoscere ex ante al lavoratore quale sia l’adempimento dovuto, che potrebbe rilevare anche sotto il profilo dell’esercizio del potere disciplinare, nonché rispettare il divieto di controlli occulti. Non solo il lavoratore dovrà essere informato del tempo di conservazione dei dati e del diritto di accedervi, della possibilità di revocare o chiedere limitazioni al trattamento dei dati stessi 81. non prevedendosi, peraltro, quale condizione di legittimità del trattamento la manifestazione di consenso da parte del lavoratore stesso 82, né alcun particolare requisito di forma. Del resto, anche la formulazione originaria dell’art. 4 legge n. 300/1970 non richiedeva il consenso del lavoratore per il trattamento dei dati raccolti previo accordo sindacale o provvedimento amministrativo. Per comprendere come possa essere redatta una corretta ed adeguata informativa privacy da sottoporre ai dipendenti, può essere utile far riferimento alle già citate Linee Guida elaborate dal Garante per la protezione dei dati personali. Il Garante riconosce come sia fondamentale la sottoscrizione da parte dei dipendenti di una policy [continua ..]
Le considerazioni sin qui svolte, ed il richiamo alla disciplina generale in tema di legittimo esercizio del potere di controllo del datore di lavoro, sembrerebbero evidenziare come, in relazione al tema dei controlli del datore nelle ipotesi di lavoro da remoto o a distanza, i nuovi processi di digitalizzazione ed il massivo utilizzo delle nuove tecnologie, qualificabili come “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” tendano ad esonerare il datore di lavoro da limiti stringenti nella raccolta dei dati e spostino il piano della legittimità nel successivo utilizzo di quei dati sul versante della tutela della privacy e della adeguata consapevolezza individuale sulla loro possibile utilizzazione “a tutti i fini connessi al rapporto di lavoro”. Ond’è che, valutata la funzionalità dello strumento di lavoro utilizzato per rendere la prestazione lavorativa da remoto, funzionalità ad eseguire la prestazione e/o l’utilità delle stesso in relazione al modello organizzativo (e non certo la sua indispensabilità), tale caratteristica sarà sufficiente a garantire la legittima raccolta dei dati. Successivamente, poi, e sotto altro profilo, in relazione all’utilizzazione di quei dati legittimamente raccolti, si dovrà valutare se il lavoratore è stato correttamente e adeguatamente edotto del possibile futuro utilizzo di quei dati e se sono stati rispettati i principi di accountability, minimizzazione e finalizzazione propri della nuova disciplina in materia di privacy. Tale conclusione interpretativa deve essere poi mitigata e bilanciata con l’esigenza di trovare un corretto contemperamento tra esigenze imprenditoriali e diritti del lavoratore nell’ipotesi dei c.d. controlli difensivi e, cioè, quando il controllo venga effettuato successivamente al compimento di un illecito del lavoratore per reprimere o prevenire futuri ulteriori illeciti. Qui, l’effettuazione dell’indagine difensiva, da non confondersi mai con la diversa fattispecie del controllo occulto generico ed indeterminato, circoscritta nel tempo, finalizzata al rilevamento dell’illecito, motivata da “giustificazione più importante” 83 e limitata rispetto al soggetto interessato, potrebbe consentire un momentaneo arretramento del diritto alla riservatezza del lavoratore e della disciplina della [continua ..]
Iscrivendoti alla newsletter di Giappichelli non riceverai spam, ma bensì gli aggiornamenti sulle nuove uscite di tuo interesse, sconti e iniziative promozionali.
Copyright G. Giappichelli Editore - 2020
ISSN 0025-4959- Massimario di Giurisprudenza del Lavoro (Online)
Iscrizione al R.O.C. n. 25223
Per informazioni: ufficioabbonamenti@giappichelli.it
