6 maggio 2015

Privacy e lavoro: cosa dice l’Europa e cosa prevede il Jobs Act

Vittoria Deregibus e Gaetano Machì


Il Consiglio d’Europa, con raccomandazione CM/Rec(2015)5 adottata il 1 aprile 2015 dal Comitato dei Ministri degli Stati Membri, è recentemente intervenuto in materia di elaborazione e trattamento dei dati personali nel contesto lavorativo, aggiornando la normativa vigente alle nuove tecnologie ed ai mezzi di comunicazione elettronica, il cui uso è ormai abituale nelle relazioni di lavoro.

 

Il testo normativo, oltre a disciplinare le modalità di raccolta e conservazione dei dati personali dei lavoratori, introduce una regolamentazione specifica sul controllo a distanza dell’attività lavorativa, sia effettuato tramite il monitoraggio informatico – inclusi Internet, comunicazioni elettroniche e videosorveglianza – che tramite l’uso di dispositivi di localizzazione.

 

Trattasi di temi il cui interesse è di particolare attualità, considerando che l’art. 1 comma 7 della l. n. 183/2014 (c.d. Jobs Act), ha conferito al Governo la delega ad adottare uno o più decreti legislativi con l’obiettivo, tra gli altri, di intervenire per la «revisione della disciplina dei controlli a distanza sugli impianti e sugli strumenti di lavoro, tenendo conto dell’evoluzione tecnologica e contemperando le esigenze produttive ed organizzative dell’impresa con la tutela della dignità e della riservatezza del lavoratore».

 

La raccomandazione del Consiglio d’Europa interviene proprio nei giorni in cui il Governo sta proseguendo i lavori per l’attuazione della delega, al cui appello, dopo l’emanazione dei decreti in materia di contratto a tutele crescenti (d.lgs. 4 marzo 2015, n. 22) e di ammortizzatori sociali (d.lgs. 4 marzo 2015, n. 23), manca ancora quello recante la disciplina dei controlli a distanza.

 

Prima di analizzare i punti principali della raccomandazione, è opportuno ricordare che si tratta di un documento adottato dal Comitato dei Ministri del Consiglio d’Europa – organo decisionale composto dai 47 Ministri degli Esteri degli Stati Membri o dai loro Rappresentanti Permanenti a Strasburgo – che è privo di efficacia vincolante, avendo valore di indirizzo nell’ottica dell’adozione di una politica comune. Ciò significa che non sussiste un obbligo di adeguamento per gli Stati membri e che la raccomandazione non può essere invocata innanzi alla Corte europea dei Diritti dell’Uomo come parametro di legittimità delle legislazioni nazionali.

 

Ciò non significa, tuttavia, che la mancata applicazione dei principi stabiliti dalla raccomandazione resti a priori priva di conseguenze.

Considerato che l’atto di indirizzo costituisce attuazione dell’art. 8 CEDU – che tutela il diritto alla vita privata ed è più volte richiamato nel preambolo e nel corpo dell’atto – la legislazione nazionale che fosse manifestamente contrastante con i suoi principi potrebbe ugualmente essere passibile di sanzione innanzi alla Corte, in quanto violazione diretta di quel “right to private life” tutelato dalla Convenzione e la cui interpretazione estensiva di “diritto a stabilire relazioni con altri esseri umani”, include le relazioni di lavoro o di affari (Corte europea diritti dell’uomo, sez. III, 25 ottobre 2007, V.V. C. Paesi Bassi).

 

L’ambito di applicazione della raccomandazione è molto ampio, applicandosi tanto al settore pubblico che a quello privato e – fatta salva una diversa disposizione delle normative nazionali –anche alle agenzie per il lavoro, riguardando generalmente «any processing of personal data for employment purposes» (art. 1). Con tale espressione si intende qualsiasi operazione effettuata su un dato personale (dalla semplice raccolta, alla conservazione, diffusione e cancellazione), che sia realizzata in relazione ad un contratto di lavoro ed al suo corretto adempimento e, più in generale, all’ efficiente organizzazione del lavoro e della produzione (art. 2).

 

La prima parte della raccomandazione (artt. 1 – 13) ribadisce alcuni principi generali in materia di protezione dei dati personali dei lavoratori, il cui obiettivo è diminuirne al minimo la circolazione e garantire la maggior trasparenza possibile nel loro utilizzo.

 

I principi a cui deve attenersi il datore di lavoro nel trattamento dei dati personali sono quelli del trattamento minimo – ovvero limitato ai dati necessari all’obiettivo da conseguire nel caso specifico – e dello sviluppo di misure idonee ad assicurare l’applicazione dei principi e delle obbligazioni posti dalla raccomandazione, adeguate al tipo e al volume di dati trattati ed alle attività svolte, tenendo comunque in considerazione le possibili implicazioni che il trattamento può avere per i diritti fondamentali e le libertà dei lavoratori (art. 4).

 

Il trattamento dei dati personali inizia al momento della loro raccolta, che l’art. 5 prevede sia fatta al solo diretto interessato. Fanno eccezione i casi in cui la richiesta a terzi sia «necessary and lawful», come – cita la raccomandazione – accade nel caso di verifica delle referenze professionali, per le quali è possibile rivolgersi direttamente al referente, ma solo dopo averne precedentemente informato il soggetto a cui le informazioni si riferiscono.

 

L’uso dei dati personali così raccolti deve essere circoscritto alla finalità specifica che ne ha giustificato la richiesta (art. 6) e la comunicazione a terzi è ammessa solo se si tratti di rappresentanze sindacali – e sia comunque necessaria per l’adeguata tutela degli interessi del lavoratore – o sia richiesta da soggetti pubblici, nei limiti previsti dall’art. 8.

 

Per garantire la trasparenza è previsto il diritto di conoscere, direttamente o tramite le rappresentanze sindacali, quali informazioni possiede l’azienda e chi può accedervi (art. 10), essendo altresì previsto il diritto alla loro rettifica e cancellazione, la cui deroga è possibile solo se prevista dalla legge o richiesta da motivi di ordine pubblico, economico o di sicurezza nazionale (art. 11.6).

 

La seconda parte della raccomandazione (artt. 14 – 21) introduce invece novità di rilievo per quanto riguarda le possibili forme di controllo derivanti dall’utilizzo delle nuove tecnologie, ponendo diverse garanzie a favore dei lavoratori, soprattutto in materia di trasparenza e giustificatezza del trattamento dei dati personali connessi all’uso di Internet e posta elettronica.

 

Un tema di grande attualità è quello dell’utilizzo di Internet – anche per motivi non inerenti alla prestazione lavorativa – tramite gli strumenti di lavoro e più in generale attraverso «all technical devices and ICTs used by an employee», problema più che mai vivo ora che dispositivi di uso comune consentono di accedere alla Rete con facilità.

L’art. 14.1 vieta interferenze ingiustificate con il diritto alla vita privata dei lavoratori, essendo a tal fine preferibile l’adozione di misure preventive che precludano determinate operazioni (ad esempio sistemi di blocco per determinati siti), piuttosto che i più intrusivi controlli ex post. La normativa non sembra comunque precludere al datore di lavoro – previa informazione dell’interessato ed in presenza di un ragionevole motivo – l’accesso ai dati relativi al traffico Internet dei propri dipendenti.

Analogamente, accedere alle comunicazioni elettroniche è possibile solo in quanto necessario per motivi di sicurezza o per altre «legitimate reasons» – tra cui l’assenza dal luogo di lavoro – ferma la necessità di averne previamente informato l’interessato e di aver adottato procedure idonee ad evitare accessi abusivi. Resta comunque esclusa la possibilità di monitorare comunicazioni elettroniche private (art. 14.4).

 

Limiti più stringenti sono invece posti all’uso delle apparecchiature di videosorveglianza, che non possono essere utilizzate al solo fine di controllare l’attività ed il comportamento dei lavoratori; il controllo è legittimo solo in quanto effetto indiretto di attività finalizzate alla tutela della salute, della produzione, della sicurezza e dell’efficiente organizzazione della produzione (art. 15.2). Possiamo dedurne che le telecamere non possano – in linea di principio – essere installate in luoghi in cui non viene svolta alcuna attività lavorativa come, ad esempio, mense, bagni o spogliatoi.

L’installazione è comunque subordinata alla consultazione delle rappresentanze sindacali.

 

Altrettanto stringenti sono i limiti posti all’uso di strumenti tecnologici che monitorino la posizione dei lavoratori, attraverso i quali può indirettamente realizzarsi un controllo a distanza della prestazione lavorativa (art. 16).

L’ambito di utilizzo deve essere ristretto ai soli casi in cui sia necessario per il tipo di attività lavorativa svolta dal dipendente o per motivi di salute e sicurezza. Il controllo sul lavoratore è comunque accidentale rispetto alla funzione primaria del sistema di controllo della posizione, che non può comportare il monitoraggio continuo della sua posizione e la cui introduzione o modifica richiede la previa consultazione delle rappresentanze sindacali.

 

Nel complesso, la prospettiva è quella di assoggettare la disciplina dei controlli ai medesimi limiti vigenti per il trattamento dei dati personali, coordinati con la logica collettiva attinente alla regolazione dei rapporti di lavoro: l’informazione preventiva del diretto interessato, la trasparenza, il rispetto dei principi di necessità, pertinenza, proporzionalità e non eccedenza del trattamento, si accompagnano talora alla necessaria consultazione delle rappresentanze sindacali (art. 21 lett. c).

 

Si prende atto che, nell’era digitale, la prestazione lavorativa si esprime attraverso un flusso di dati, il cui trattamento deve essere normativamente regolato poiché suscettibile di realizzare un controllo sui dipendenti o comunque un’intrusione nella loro sfera privata.

Estrarre dati relativi al traffico Internet, accedere ad uno scambio di comunicazioni elettroniche, analizzare le informazioni di localizzazione fornite dai dispositivi assegnati ai dipendenti – oltre ad essere trattamento di un dato personale – può realizzare un controllo della prestazione lavorativa, che deve avvenire sempre in maniera trasparente ed essere giustificato da necessità inerenti all’attività produttiva, richiedendo nei casi in cui i diritti fondamentali siano più a rischio, tutele ulteriori.

 

La modernità della dimensione normativa europea è proprio nella distinzione tra strumenti di lavoro come Internet e le comunicazioni elettroniche – che pur avendo un’astratta funzionalità di registrazione degli eventi sono concepiti per finalità diverse da quelle del controllo – e strumenti di controllo come la videosorveglianza, che hanno come scopo diretto e funzionale quello di realizzare operazioni di verifica e riscontro.

Se la trasparenza, l’accessibilità ed il trattamento minimo restano principi comuni, nel caso degli strumenti di lavoro la disciplina è caratterizzata dalla maggiore flessibilità tipica della protezione dei dati personali e dalla rilevanza centrale del consenso individuale, mentre nel caso degli strumenti di controllo la logica resta quella dell’accordo sindacale autorizzatorio.

 

Sembra procedere in questa direzione anche la legge delega del Jobs Act, che prescrive al legislatore delegato di riscrivere la disciplina dei controlli “sugli strumenti di lavoro” e non sull’attività, tenendo «conto dell’evoluzione tecnologica [..] contemperando le esigenze produttive ed organizzative dell’impresa con la tutela della dignità e della riservatezza del lavoratore».

 

Si auspica pertanto che il Governo, in sede di attuazione della delega, si lasci guidare dalla strada tracciata dalla raccomandazione, che consentirebbe di superare le tensioni interpretative sorte intorno all’art. 4 dello Statuto dei Lavoratori, circoscrivendone la rigidità del meccanismo di tutela a quegli strumenti che siano per loro natura destinati al controllo a distanza della produzione e abbiano un’intrinseca potenzialità lesiva dei diritti e delle libertà fondamentali dei lavoratori. Lasciando invece che l’uso di strumenti lavorativi digitali privi di tale finalità sia regolato dai principi di trasparenza, accessibilità e ragionevolezza, nonché da apposite procedure preventive dirette a regolarne l’uso legittimo, piuttosto che a verificarne successivamente l’abuso.

 

Vittoria Deregibus

Laureata in giurisprudenza, Università degli Studi di Torino

@v_deregibus

 

Gaetano Machì

Studente di giurisprudenza, Università degli Studi di Milano

@Gae95

 

Scarica il pdf pdf_icon

 




PinIt