La digitalizzazione e l’impiego massiccio di tecnologie informatiche nel mondo del lavoro hanno reso necessaria una regolamentazione chiara e precisa dei controlli a distanza sui dipendenti. L’equilibrio tra esigenze organizzative e produttive delle imprese e il diritto alla privacy dei lavoratori è regolato, in Italia, da una combinazione tra il Regolamento Generale sulla Protezione dei Dati (GDPR) e lo Statuto dei Lavoratori, Legge n. 300 del 1970.
Il quadro di riferimento
Gli artt. 4 e 8 dello Statuto dei Lavoratori, in particolare, tracciano le linee guida per i controlli che possono incidere sulla privacy del dipendente, imponendo vincoli stringenti sull’uso di strumenti tecnologici da parte del datore di lavoro. Queste norme si intersecano con le disposizioni del GDPR, che rafforzano la tutela dei dati personali, richiedendo che ogni forma di controllo rispetti i principi di trasparenza, minimizzazione e proporzionalità. Il Provvedimento n. 231 del 1° giugno 2023 del Garante per la Protezione dei Dati Personali s’inserisce in questo ambito in quanto ha affrontato un caso concreto di violazione delle norme sui controlli a distanza.
Lo Statuto dei lavoratori e i controlli a distanza
L’art. 4 dello Statuto dei Lavoratori stabilisce che l’installazione di impianti audiovisivi e altri strumenti che permettono un controllo a distanza sui lavoratori è ammessa solo se giustificata da esigenze organizzative, produttive o di sicurezza. Tuttavia, l’uso di tali dispositivi deve essere preceduto da un accordo con le rappresentanze sindacali aziendali o, in loro assenza, dall’autorizzazione dell’Ispettorato del Lavoro. La norma mira a evitare che i datori di lavoro possano sorvegliare indiscriminatamente l’attività dei dipendenti, garantendo che ogni monitoraggio sia proporzionato e finalizzato esclusivamente alla tutela degli interessi legittimi dell’azienda. L’art. 8 dello Statuto, invece, vieta esplicitamente di effettuare indagini sulle opinioni politiche, religiose o sindacali dei lavoratori. Questo divieto si estende anche ai controlli che potrebbero, indirettamente, consentire al datore di lavoro di ottenere informazioni personali non strettamente legate alla prestazione lavorativa.
Corso di formazione: il procedimento disciplinare nel settore privato
Il corso “Il procedimento disciplinare nel settore privato” si propone di fornire un’analisi approfondita delle regole e delle modalità di gestione dei procedimenti disciplinari in ambito privato, con particolare attenzione alle tutele e ai diritti del lavoratore, nonché agli obblighi del datore di lavoro. Il programma include lo studio delle principali fasi del procedimento, dalle contestazioni alle sanzioni, con un focus sulle implicazioni normative, come lo Statuto dei Lavoratori e le recenti evoluzioni giurisprudenziali. Il corso si rivolge a professionisti HR, consulenti del lavoro e avvocati.
Il contributo del GDPR
L’introduzione del GDPR ha ulteriormente rinforzato la protezione dei dati personali in ambito lavorativo, imponendo nuove regole che i datori di lavoro devono rispettare quando trattano dati personali dei dipendenti. Il Regolamento stabilisce che ogni trattamento di dati deve essere basato su un fondamento giuridico valido, come l’adempimento di un obbligo contrattuale o un interesse legittimo del datore di lavoro. In ogni caso, il trattamento deve essere trasparente: i lavoratori devono essere informati in modo chiaro su quali dati vengono trattati, per quali finalità e con quali modalità.
Uno dei principi fondamentali del GDPR è quello della minimizzazione dei dati, secondo cui il datore di lavoro può raccogliere solo i dati strettamente necessari per le finalità dichiarate. Questo principio ha un impatto diretto sui controlli a distanza, come la videosorveglianza o la geolocalizzazione dei lavoratori, che devono essere progettati e gestiti in modo tale da limitare il trattamento dei dati al minimo indispensabile per garantire la sicurezza o l’organizzazione del lavoro. Il GDPR, inoltre, impone obblighi specifici in materia di informativa. Il datore di lavoro è tenuto a fornire ai dipendenti un’informativa chiara e trasparente sul trattamento dei loro dati, specificando i diritti che possono esercitare, come il diritto di accesso, rettifica o cancellazione dei dati. La mancanza di un’informativa adeguata può comportare sanzioni significative, come dimostrato dal caso esaminato dal Garante nel 2023.
Il Provvedimento del Garante n. 231/2023
Il Provvedimento n. 231 del 1° giugno 2023 del Garante per la Protezione dei Dati Personali ha sanzionato una società per diverse violazioni relative all’uso di sistemi di videosorveglianza, geolocalizzazione e rilevazione di dati biometrici sui lavoratori. Questo caso rappresenta un esempio significativo di come le normative sul trattamento dei dati debbano essere rispettate per evitare sanzioni amministrative.
Il Garante ha riscontrato che l’azienda aveva installato un sistema di videosorveglianza nella reception senza aver ottenuto le autorizzazioni previste dallo Statuto dei Lavoratori. Il sistema era in grado di registrare sia immagini che suoni, consentendo al datore di lavoro di monitorare in tempo reale l’attività dei dipendenti. Questo controllo non era stato né concordato con le rappresentanze sindacali, né autorizzato dall’Ispettorato del Lavoro, violando così l’art. 4 dello Statuto. Inoltre, l’azienda non aveva fornito ai lavoratori un’informativa adeguata sulle modalità di trattamento dei dati derivanti dalla videosorveglianza.
Anche l’uso della geolocalizzazione continua tramite un’applicazione installata sugli smartphone aziendali dei dipendenti è stato giudicato illecito. L’app, infatti, tracciava la posizione dei lavoratori in modo continuativo durante l’orario lavorativo, dalle 8 alle 18, senza limitazioni temporali né giustificazioni adeguate. Il Garante ha rilevato che tale monitoraggio violava il principio di minimizzazione dei dati, in quanto la raccolta continua della posizione geografica risultava sproporzionata rispetto alle finalità dichiarate. Il provvedimento ha quindi imposto il divieto di utilizzo di questo sistema di geolocalizzazione, evidenziando l’importanza di limitare il trattamento dei dati al minimo necessario.
Un ulteriore punto critico riguarda il trattamento dei dati biometrici. L’azienda aveva installato un sistema di rilevamento delle impronte digitali per l’attivazione e la disattivazione di un allarme, ma non aveva rispettato le disposizioni del GDPR in materia di biometria. Il trattamento dei dati biometrici richiede una base giuridica solida, data la natura particolarmente sensibile di queste informazioni, e deve essere accompagnato da un’informativa chiara ai dipendenti. Nel caso di Ew Business Machines S.p.A., il Garante ha riscontrato l’assenza di una base giuridica adeguata e la mancanza di trasparenza nel trattamento, sanzionando l’azienda per violazione dei principi di proporzionalità e liceità.
Conclusioni
La combinazione delle norme dello Statuto dei Lavoratori e del GDPR impone obblighi stringenti ai datori di lavoro, che devono garantire la trasparenza, la minimizzazione e la proporzionalità nel trattamento dei dati personali. Il mancato rispetto di queste normative può comportare non solo sanzioni amministrative, come nel caso analizzato, ma anche danni reputazionali e una compromissione del rapporto di fiducia tra datore di lavoro e dipendente.