Smart working e tutela della privacy

Di seguito, un contributo riepilogativo sullo “Smart working tra disciplina giuslavoristica e GDPR” tratto da Privacy e diritto alla salute ai tempi dell'emergenza sanitaria, un eBook autorevole e completo che presenta una panoramica sulle soluzioni attuabili per garantire un trattamento di dati personali in linea con i principi del GDPR durante uno stress test di particolare rilevanza come quello che stiamo vivendo. 

Acquistalo qui!

Lo smart working tra disciplina giuslavoristica e GDPR

Per far sì che il lavoratore possa operare al di fuori dei locali aziendali, lo smart worker viene normalmente munito di strumenti (ove non già assegnati) che gli garantiscano una connessione con quella che è la sua realtà lavorativa. “Connessione” è proprio parola chiave quando si parla di smart working. Il lavoratore vive gran parte del suo orario di lavoro connesso a una rete (internet o aziendale). Questo permette al dipendente di scambiarsi documenti e informazioni con colleghi, clienti e fornitori, e di accedere ai server aziendali e, al datore di lavoro, di poter contattare lo smart worker, assegnargli attività e controllarne l’operato. L’occhio umano del datore di lavoro, quindi, è sostituito nello smart working dall’analisi dei dati prodotti dal lavoratore mentre utilizza gli strumenti a lui assegnati (pc, smartphone, rete VPN ecc.).

Lo svolgimento della prestazione al di fuori dei locali aziendali rende inevitabile ciò che, di norma, costituisce una anomalia sia in termini di normativa giuslavoristica, sia in materia di protezione dei dati personali, ossia il controllo a distanza dell’attività dei lavoratori.

Il concetto di controllo a distanza ha sia una dimensione spaziale sia temporale. Costituisce controllo a distanza sia il controllo da remoto, all’insaputa dei lavoratori, sia il controllo svolto in presenza dei lavoratori su azioni da essi compiute nel passato. Entrambi i casi (sia in presenza dei lavoratori, che non) costituiscono un controllo a distanza ai sensi dell’art. 4 dello Statuto dei Lavoratori (Corte di Appello di Milano, 30 settembre 2005, Tribunale di Milano, 31 marzo 2004, Corte di Cassazione, 12 febbraio 1983, n. 1236). Nello specifico caso dello smart working, il controllo è attuato sicuramente a distanza da un punto di vista spaziale, mentre, dal punto di vista temporale, può essere effettuato sia in tempo reale, sia con riferimento ad azioni passate. I controlli devono riguardare solo ed esclusivamente i beni aziendali e non potranno essere eccessivamente invasivi (ad esempio, a differenza che in azienda, non sarà possibile installare videocamere presso l’abitazione dello smart worker).

La L. n. 81/2017 non regola in maniera specifica né le forme di controllo dello smart worker attuabili dal datore di lavoro, né le modalità con le quali debbano essere trattati i dati personali del lavoratore, ma si limita a rinviare all’art. 4, L. n. 300/1970 (c.d. Statuto dei Lavoratori). In particolare, l’art. 21, comma 1, L. n. 81/ 2017 prevede che l’esercizio del potere di controllo del datore di lavoro sulla prestazione resa dal lavoratore all’esterno dei locali aziendali sia regolato dall’accordo individuale relativo alla modalità di lavoro agile disciplina “nel rispetto di quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300”. A tal fine, viene dunque in rilievo il comma 3 del suddetto art. 4, che disciplina le condizioni di utilizzo dei dati raccolti dal datore di lavoro per il tramite di strumenti di controllo a distanza.

In sintesi, non essendoci previsioni particolari previste dalla L. n. 81/2017 in materia di trattamento di dati personali, il datore di lavoro, titolare del trattamento, è tenuto al rispetto dell’art. 4, comma 3, dello Statuto dei lavoratori che stabilisce i seguenti adempimenti:

a) consegna al lavoratore di adeguata informativa che indichi, da un lato, le modalità d’uso degli strumenti e ai controlli che possono essere effettuati e, dall’altro, tutte le informazioni connesse al trattamento di dati personali previste dalla normativa vigente all’epoca della riforma ossia del D.Lgs. n. 196/2003 (poi aggiornato dal D.Lgs. n. 101/2018 che ha recepito il Reg. UE 2016/679, c.d. GDPR);

b) rispetto dei principi e delle regole sanciti dalla normativa privacy per il trattamento di dati personali connesso all’utilizzo degli strumenti di controllo.

Quanto all’obbligo di adeguata informativa, il punto di riferimento, anche ai fini dell’art. 4, è ora l’art. 13 del GDPR che, rispetto alla normativa precedente (art. 13, D.Lgs. n. 196/2003), prevede elementi aggiuntivi quali l’indicazione delle basi giuridiche del trattamento e i tempi di conservazione dei dati. Inoltre, come anticipato, l’informativa dovrà contenere anche una componente più “lavoristica” e non regolata dal GDPR: il datore di lavoro deve, infatti, spiegare al lavoratore sia come deve utilizzare gli strumenti assegnati, per quali fini e con quali limiti, sia in quali forme potrà esercitare forme di controllo grazie a tali strumenti.

Passando al rispetto dei principi e delle regole sanciti dalla normativa privacy, la norma fa riferimento solo all’obbligo di informativa. Non va tuttavia dimenticato che la normativa sul trattamento dei dati personali opera su un piano parallelo e integrativo rispetto allo Statuto dei lavoratori. In concreto, ciò comporta che il datore di lavoro dovrà rispettare sia specifici adempimenti che vedremo meglio in seguito (oltre all’informativa, l’effettuazione di un DPIA e l’aggiornamento del registro dei trattamenti), sia, più in generale, tutti i principi sanciti dal GDPR (finalità, pertinenza, minimizzazione, conservazione e proporzionalità) nell’effettuare il trattamento dei dati personali.

Un trattamento di dati personali effettuato senza che l’interessato abbia ricevuto un’informativa è illecito. Di conseguenza:

1) i dati raccolti sono inutilizzabili (art. 4, c. 3, Statuto dei lavoratori e art. 24- decies, D. Lgs. 196/2003).

Si pensi, ad esempio, al caso in cui il datore di lavoro venisse a conoscenza del fatto che lo smart worker non si sia mai connesso al proprio pc durante l’orario di lavoro e, quindi, non abbia lavorato. Questa condotta potrebbe avere rilevanza disciplinare ed essere contestata al lavoratore, ma il datore di lavoro potrà farlo solo se avrà preventivamente informato lo smart worker circa le modalità di controllo e le questioni attinenti al trattamento di dati personali;

2) ammenda da 154 Euro a 1.549 Euro (elevabile fino al quintuplo) o arresto da 15 giorni ad un anno (sanzione, quest’ultima, che non risulta sia mai stata applicata) (art. 38, Statuto dei lavoratori);

3) interruzione del trattamento dei dati personali per il datore di lavoro fino a che non sia posto rimedio alla situazione di non conformità (art. 58, par. 2, lett f, GDPR);

4) sanzioni amministrative pecuniarie sino all’importo superiore tra (i) 20.000.000 Euro e (ii) il 4 % del fatturato mondiale totale annuo dell’esercizio precedente (art. 83, par. 5, lett. b), GDPR);

5) risarcimento del danno per l’Interessato, ove, in concreto, il lavoratore abbia subito un effettivo danno dalla condotta del datore di lavoro.

Scopri di più qui.