Smart working: dal potere di controllo del datore di lavoro alla normativa in materia di privacy

---

Condividi l'articolo:

---

Il Decreto Rilancio, seguendo, senza soluzione di continuità, i provvedimenti emanati dal Governo per fronteggiare l'emergenza epidemiologica da COVID-19, prevede, all'art. 90, che i datori di lavoro privati possano ricorrere ad applicare le modalità di lavoro agile, disciplinate dagli artt. da 18 a 23, Legge 22 maggio 2017, n. 81, per tutta la durata dell'emergenza epidemiologica e comunque non oltre il 31 dicembre 2020 anche in assenza degli accordi individuali previsti, fermo restando gli obblighi informativi di cui all'art. 22 della medesima legge.

La procedura, ancorché semplificata dall'assenza di accordo individuale ex art. 18, Legge 22 maggio 2017, n. 81, non esonera il datore di lavoro dal considerare gli aspetti tipici volti a regolamentare:

• l'esecuzione della prestazione lavorativa;
• le forme di esercizio del potere direttivo del datore di lavoro;
• i tempi di riposo;
• gli strumenti tecnologici utilizzati e le misure volte a garantire la disconnessione degli stessi.

Un particolare aspetto, tenuto conto degli artt. 4 e 7 della Legge 20 maggio 1970, n. 300, è certamente relativo all'esercizio del potere di controllo e disciplinare del datore di lavoro.

 

Potere di controllo e potere disciplinare

Ai sensi dell'art. 21, Legge 22 maggio 2017, n. 81, l'accordo relativo alle modalità di lavoro agile disciplina l'esercizio del potere di controllo del datore di lavoro sulla prestazione resa dal lavoratore all'esterno dei locali aziendali nel rispetto di quanto disposto dall'art. 4 della Legge 20 maggio 1970, n. 300, e successive modificazioni. L'accordo deve individuare le condotte, connesse all'esecuzione della prestazione lavorativa all'esterno dei locali aziendali, che danno luogo all'applicazione di sanzioni disciplinari.

La nuova formulazione del sopracitato art. 4, avvenuta ad opera dell'art. 23, comma 1, Decreto Legislativo 14 settembre 2015, n. 151, consente l'installazione di impianti audiovisivi ed altri strumenti, dai quali possa derivare anche il controllo a distanza dell'attività dei lavoratori, esclusivamente per esigenze organizzative, produttive, per la sicurezza sul lavoro e la tutela del patrimonio aziendale, previo accordo con la rappresentanza sindacale unitaria o le rappresentanze sindacali aziendali ovvero, in mancanza di accordo, previa autorizzazione della sede territoriale dell'Ispettorato Nazionale del Lavoro. Da tale procedura, ai sensi del comma 2, restano esclusi gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e gli strumenti di registrazione degli accessi e delle presenze.

In particolare, come precisato dall'Ispettorato Nazionale del Lavoro nella Circolare 7 novembre 2016, n. 2, rientrano nel comma 2, art. 4, con conseguente esonero della procedura sindacale o amministrativa, "quegli apparecchi, dispositivi, apparati o congegni che costituiscono il mezzo indispensabile al lavoratore per adempiere la prestazione lavorativa dedotta in contratto, e che per tale finalità siano stati posti in uso e messi a sua disposizione". Invero, ove l'apparecchiatura tecnologica utilizzi marchingegni utili al controllo preterintenzionale della prestazione lavorativa, lo strumento non potrà intendersi servente alla prestazione, bensì al controllo della stessa, sfuggendo alle disposizioni del comma 2 e ricadendo, conseguentemente, all'interno degli obblighi previsti dal comma 1.

In concreto, il datore di lavoro che intenda avvalersi della prestazione lavorativa resa in modalità agile potrà esercitare il proprio potere di controllo esclusivamente attraverso la verifica dei risultati e degli obiettivi posti, previa informazione del dipendente e dell'eventuale regime d'utilizzabilità dei dati con espresso richiamo alla normativa in materia di privacy.

Ciò assunto, ai tempi del Coronavirus, risulterà assolutamente necessario che il datore di lavoro, in conformità con le disposizioni della Legge 22 maggio 2017, n 81, regolamenti i sopraindicati aspetti, ancorché in assenza di acquisizione del consenso del lavoratore.

Allo stesso modo, in materia di procedimento disciplinare, non rinvenendosi espresse deroghe alle previsioni dell'art. 7, Statuto dei Lavoratori, ed in assenza di accordo tra le parti, sarà utile tipizzare le condotte sanzionabili riconducendole alle sanzioni disciplinari previste dalla contrattazione collettiva e dal regolamento aziendale, anche alla luce delle possibili tutele rispetto agli obblighi di pubblicità e del corretto procedimento.

 

Privacy e controlli tecnologici

Il lavoro agile, così come tutte le possibili altre forme di lavoro a distanza, deve essere realizzato necessariamente attraverso l'utilizzo di strumenti tecnologici, software o hardware, forniti dal datore di lavoro, che consentono al prestatore di aver accesso alla rete, ai sistemi o alle risorse dell'impresa. In tal senso, le modalità di connessione ai sistemi informatici aziendali possono certamente comportare un rischio aggiuntivo per la protezione dei dati dell'impresa. All'adozione di strumenti tecnologici di sicurezza volti a ridurre il rischio di attacchi informatici esterni, come quelli relativi ad analisi del traffico, dai quali possa derivare la possibilità di tracciare, controllare o verificare le attività del dipendente, deve precedere un'attenta valutazione d'impatto privacy ex art. 35, Regolamento UE 679/2016.

Dalla redazione del sopradetto documento dovrà evincersi che l'utilizzo delle apparecchiature informatiche, nonché dei software idonei a controllare l'attività prestata dal dipendente, non siano esclusivamente adottati per la verifica della prestazione resa ma che siano configurati per tutelare la riservatezza del lavoratore, con contestuale limitazione d'accesso del datore di lavoro.

Chiaramente, ulteriore onere del datore di lavoro sarà quello di informare preventivamente lo smart worker circa le modalità di esecuzione dei controlli sulla prestazione lavorativa, anche in ragione del c.d. principio di trasparenza, fermo restando l'obbligo d'individuazione di una corretta base giuridica del trattamento.

A tal proposito, come specificato dal Working Party art. 29, nel parere dell'8 giugno 2017, n. 2, si noti che i dipendenti non sono quasi mai nella posizione di poter concedere, rifiutare o revocare liberamente il consenso al trattamento dei dati, proprio in ragione della condizione oggettivamente debole in cui si trovano nei confronti del datore di lavoro. Invero, atteso che il consenso al trattamento deve intendersi come qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, appare opportuno chiedersi quale sia il grado di libertà idoneo a far acconsentire il prestatore di lavoro subordinato al trattamento dei propri dati. La scelta di tale base giuridica dovrà intendersi utilizzabile esclusivamente nei casi in cui l'accettazione o il rifiuto del prestatore di lavoro sia assolutamente priva di conseguenze. Diversamente, il fondamento giuridico per il trattamento dei dati che potrà essere invocato dal datore di lavoro sarà quello del legittimo interesse, ma solo nel caso in cui il trattamento sia strettamente necessario per conseguire finalità legittime e sia conforme ai principi di proporzionalità e di sussidiarietà. Pertanto, prima dell'adozione dello strumento di monitoraggio sarà opportuno accertare che:

• tutti i dati siano effettivamente necessari;
• il trattamento non violi i diritti generali alla vita privata, anche sul luogo di lavoro;
• siano adottate misure idonee a garantire un rischio minimo per le violazioni dei diritti alla vita privata ed alla segretezza delle comunicazioni.

Si rammenta, infine, che è preclusa la possibilità di utilizzare webcam, software o altre tecnologie per verificare gli spostamenti del lavoratore o mappare in modo costante i siti visitati. 

 

Alcune valutazioni propedeutiche all'adozione dello smart working
Attività	Documenti	Descrizione
Controllo dei lavoratori	Accordo o autorizzazione (art. 4, L. n. 300/1970)	Ove siano utilizzati strumenti dai quali possa derivare l'attività di controllo del dipendente è generalmente e fortemente consigliata la sottoscrizione di un accordo sindacale ovvero l'autorizzazione amministrativa all'adozione delle misure tecnologiche adottate.
Adempimenti privacy	Registro dei trattamenti (art. 30, Reg. UE 679/2016)	Implementazione dei trattamenti relativi alle attività dei lavoratori in smart working.
	Valutazione d'impatto (art. 35, Reg UE 679/2016)	Valutazione delle finalità, della necessità e della proporzionalità del trattamento da porre in essere. Valutazione del rischio per i diritti e le libertà degli interessati, nonché delle misure di sicurezza e delle garanzie adottate per la protezione dei dati personali.
	Informativa sui trattamenti (artt. 12 e ss., Reg. UE 679/2016)	In ossequio ai principi di trasparenza, è opportuno informare il dipendente sui nuovi trattamenti datoriali connessi allo smart working anche, eventualmente, adottando specifiche attività di formazione.
	Sicurezza dei dati (art. 32, Reg. UE 679/2016)	Verifica che i software o gli altri strumenti informatici adottati per l'esecuzione della prestazione in modalità agile siano adatti a garantire un livello di sicurezza adeguato al rischio.
Regolamentazione delle attività	Atto datoriale sostitutivo dell'accordo ex art. 18, L. n. 81/2017.	Informazioni in materia di sicurezza e salute sul lavoro, indicazioni sulle modalità di realizzazione della prestazione lavorativa, anche con riferimento ai tempi ed ai luoghi di lavoro, avviso sulle modalità di comportamento e sull'eventuale adozione di provvedimenti disciplinari. Modalità d'uso delle apparecchiature tecnologiche e raccomandazioni sulle misure tecniche ed organizzative da adottare a garanzia della riservatezza, dell'integrità e dei rischi di perdita o modifica dei dati ed indicazioni dei dati di contatto del titolare del trattamento o dell'amministratore di sistema per eventuali dubbi o necessità.
	Policy aziendale sull'utilizzo di strumenti informatici e non.	Per quanto concerne i documenti fisici ed hardware: evitare di lasciare documenti incustoditi; conservare accuratamente la documentazione aziendale o gli hardware forniti (locali, armadi o cassetti chiusi dotati di chiave, casseforti, etc.); evitare di stampare documenti aziendali e, comunque, ove necessario distruggerli accuratamente. Relativamente ai software: mantenere i sistemi operativi aggiornati; divieto di installazione di software o applicativi non autorizzati; adozione di misure di protezione (antivirus, firewall, etc.); criteri di modifica delle password di accesso; divieto di apertura di email o allegati sospetti; divieto di memorizzare file su supporti esterni, salvo autorizzazione della direzione aziendale; divieto di modifica della configurazione impostata dal datore di lavoro; divieto di connessione da wi-fi altrui o linee pubbliche.

 

 

 

QUADRO NORMATIVO Legge 22 maggio 2017, n. 81 Legge 20 maggio 1970, n. 300