Testo integrale con note e bibliografia
1. In questo breve intervento tenterò di rispondere, in maniera sommaria e salvo migliore approfondimento in successive riflessioni, al seguente quesito: ha ancora un senso parlare di limiti al potere di controllo datoriale in contesti organizzativi del lavoro pienamente digitalizzati?
Anticipando la risposta, ritengo che se da un lato non si possa più fare affidamento al livello di bilanciamento classico raggiunto tra libertà di impresa e tutela dei diritti fondamentali del lavoro (dignità, riservatezza, libertà di autodeterminazione, libertà di espressione) a causa dello sconvolgimento epocale non solo dei mezzi e modi di produzione ma anche, più in generale, delle forme di comunicazione e interrelazione fra individui, dall’altro un argine, sebbene inesorabilmente mobile, deve essere assicurato per garantire il mantenimento della linea di demarcazione fra sfera privata e sfera lavorativa, fra dominio della prima, riservato al lavoratore, e dominio della seconda, di competenza dell’impresa.
2. Come ampiamente noto, la dimensione della privacy come situazione giuridica protetta sub specie di “right to be let alone”, ossia di diritto a decidere se rendere pubblici o meno, ed entro quali limiti, propri pensieri, emozioni, comportamenti privati, si è affermata a partire dall’ordinamento anglosassone fra la fine dell’Ottocento e l’inizio del Novecento proprio in correlazione all’avvento delle nuove tecnologie dell’epoca (fotografia, telefono, ecc.) . Tale diritto, tuttavia, ha stentato ad affermarsi nel nostro ordinamento; ne troviamo traccia solo a partire dagli anni ’60, dapprima in ambito dottrinale e giurisprudenziale, poi anche in ambito normativo attraverso gli artt. 4 e 8 St. lav. che hanno rappresentato una straordinaria svolta innovativa e protettiva che ha aperto successivamente la strada alla normativa sul trattamento dei dati (l. 676/1996, d.lgs. n. 196/2003, GDPR ed infine d.l. n. 101/2019 ), che a sua volta ha consolidato e completato l’assetto garantista, seppur in una diversa dimensione del diritto, inteso come rispetto della vita privata e familiare e delle proprie comunicazioni, compendiato nella facoltà di “governare” la circolazione delle informazioni personali, prevenendo eventuali usi indebiti ed abusivi. L’esigenza di adozione di tali strumenti normativi è sorta anch’essa in stretta correlazione all’introduzione di tecnologie più sofisticate di controllo da remoto e di catalogazione dei dati (impianti audiovisivi a distanza e PC di archiviazione) in un contesto sociale e giuridico di crescente sensibilità per la salvaguardia dei diritti fondamentali della persona.
Per circa un quarantennio la soluzione offerta dal legislatore, aggiornata per via di interpretazione evolutiva dalla giurisprudenza e dalla prassi amministrativa (per tutti si ricordi il riferimento, nella rubrica dell’art. 4, ad “Impianti audiovisivi”), ha retto ed ha rappresentato l’equilibrio legislativo nel bilanciamento fra contrapposti interessi costituzionali. A partire dal nuovo millennio l’insoddisfazione fra gli operatori è cresciuta tanto che il legislatore è dovuto intervenire dapprima per abilitare il contratto collettivo aziendale di prossimità ad adottare soluzioni anche derogatorie all’art. 4 in relazione all’impatto delle nuove tecnologie sull’organizzazione del lavoro e sulla produzione (art. 8, c. 2, lett. a), d.l. n. 138/2011), quindi per modificare il tenore dell’art. 4 (art. 23, comma 1, d.lgs. n.151/2015), rendendolo compatibile con l’effettiva realtà tecnologica e organizzativa che ha attraversato la società civile, prima ancora che l’azienda .
Il nuovo assetto proposto dal legislatore, di chiara frattura ed alterazione del compromesso precedentemente raggiunto, ha faticato in un primo momento ad affermarsi in dottrina ed in giurisprudenza, sia per inevitabili resistenze ideologiche sia per alcuni rilievi critici al tenore letterale della disposizione; ma poi, spinto da un lato dall’inarrestabile evoluzione tecnologica degli strumenti e dei processi, dall’altro da una casistica giurisprudenziale che evidenziava un utilizzo largamente strumentale delle obiezioni al modello proposto in quanto applicativamente volte a garantire l’inutilizzabilità delle prove raccolte anche in presenza di comportamenti palesemente integranti illeciti civili e penali, si è progressivamente consolidato nel corso dell’ultimo triennio, assicurando quel diverso equilibrio di valori necessitato dall’avvento dei nuovi modelli di monitoraggio e decisionali automatizzati, ormai pienamente integrati nei sistemi organizzativi aziendali. Quindi, pur nel permanente divieto di controllo a distanza della prestazione lavorativa, si sono allargate le maglie delle deroghe e si è data una configurazione stabile (anche se allo stato con qualche sbavatura ) del controllo “difensivo”.
Più specificamente, ed al netto di marginali deviazioni , l’assetto emerso allo stato è:
a. il controllo a distanza generalizzato e preventivo sull’adempimento della prestazione lavorativa è illegittimo, salvo quanto rilevato sub lett. c) (c.d. controllo diretto);
b. il controllo a distanza generalizzato e preventivo attuato dal datore di lavoro per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, che determini indirettamente un controllo sull’adempimento della prestazione lavorativa è legittimo ed i dati raccolti possono essere utilizzati a tutti i fini connessi al rapporto di lavoro purché sia stato, e nei limiti in cui sia stato, autorizzato o dal contratto collettivo o dall’autorità amministrativa e sia stata data adeguata informazione ai lavoratori, ed in taluni casi alle rappresentanze sindacali in azienda, circa le modalità di effettuazione dei controlli (c.d. controllo preterintenzionale ex art. 4, c. 1);
c. il controllo a distanza generalizzato e preventivo attuato dal datore di lavoro tramite strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (non necessariamente “indispensabili” ma di fatto “utili” allo svolgimento della prestazione in quanto ne accrescono l’efficienza ed il rendimento ) e tramite strumenti di registrazione degli accessi e delle presenze è legittimo ed i dati raccolti possono essere utilizzati a tutti i fini connessi al rapporto di lavoro purché sia stata data adeguata informazione ai lavoratori, ed in taluni casi alle rappresentanze sindacali in azienda, circa le modalità di effettuazione dei controlli (c.d. controllo diretto ex art. 4, c. 2)
d. il controllo a distanza personalizzato e specifico, realizzato a posteriori, anche in via occulta, per scopi difensivi dal datore di lavoro è legittimo ed i dati raccolti possono essere utilizzati a tutti i fini connessi al rapporto di lavoro purché: i. l’avvio del controllo sia condizionato alla sussistenza di un ragionevole sospetto circa l'esistenza di condotte illecite commesse dal lavoratore (non è sufficiente che il sospetto poggi sul convincimento soggettivo del datore di lavoro, sono richiesti degli indizi materiali e riconoscibili a supporto dell’iniziativa datoriale); ii. il controllo sia finalizzato all’accertamento di un illecito civile e/o penale commesso dal lavoratore non di un semplice inadempimento contrattuale; iii. sia assicurato in concreto un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali correlate alla libertà di iniziativa economica e le imprescindibili tutele della dignità e della riservatezza del lavoratore, ossia sia verificato, in base alle modalità di realizzazione del controllo, il rispetto dei principi cardine di proporzionalità, pertinenza e non eccedenza allo scopo, che si esprimono negli indicatori concreti, da testare caso per caso, dell’estensione spaziale e temporale del controllo, della invasività dello strumento adottato, della platea dei lavoratori coinvolti, della unicità e non alternatività o comunque evidente prevalenza dello strumento adottato allo scopo concreto perseguito di accertamento dell’illecito (c.d. controllo difensivo o controllo difensivo in senso stretto secondo l’originale quanto inutile precisazione della Cassazione – n. 25732/2021).
Sul controllo difensivo, per la verità, rimane aperta una questione introdotta dalla sentenza della Cassazione n. 25732 del 22 settembre 2021 relativamente all’estensione temporale del controllo. In maniera del tutto inaspettata in relazione ai suoi precedenti , la Corte, nel ricostruire correttamente i termini di liceità del controllo difensivo, specifica che il controllo deve riguardare soltanto “i dati acquisiti successivamente all'insorgere del sospetto”. La giustificazione di tale bizzarra conclusione sarebbe che non si può legittimare ex post, neppure tramite il controllo difensivo, un’eventuale pratica di acquisizione generalizzata ex ante di dati effettuata in violazione delle regole di cui all’art. 4 St. lav. Non scendo nei dettagli, rinviando alle brillanti argomentazioni di Roberto Romei che condivido in pieno ; mi limito ad aggiungere che l’eventuale acquisizione di dati tramite il controllo difensivo non legittima ex post alcuna violazione dell’art. 4 St. lav. riferendosi ad una specifica posizione per cui va comunque svolto, come visto sopra al punto d), un check concreto di adeguato bilanciamento tra le esigenze di salvaguardia della dignità e riservatezza del dipendente e quelle di protezione, da parte del datore di lavoro, dei beni aziendali, secondo i canoni generali della correttezza e buona fede contrattuale, ragionevolezza, proporzionalità e pertinenza.
È evidente l’errore logico in cui è incorsa la Suprema Corte tra momento di effettuazione del controllo, che deve essere necessariamente successivo al manifestarsi del fondato e obiettivo sospetto di illecito, e l’oggetto del controllo che ben può coprire sia attività passate del dipendente, sia attività future, pur nel rispetto dei suddetti limiti di esercizio . Non vi possono essere limitazioni temporali in ordine all’oggetto della verifica datoriale poiché lo strumento del controllo difensivo non è finalizzato solo alla prevenzione della commissione di ulteriori illeciti ma è anche finalizzato alla repressione di condotte illecite già commesse dal lavoratore, ai fini di un corretto accertamento e dimostrazione in sede giudiziale.
Ad eccezione di qualche aggiustamento in via di assestamento , il quadro regolativo è sostanzialmente definito e cambia rispetto al passato nella propria matrice protettiva. Mentre prima l’essenza della tutela risiedeva nella verifica di compatibilità effettuata ex ante dalle organizzazioni sindacali o dall’Autorità pubblica, successivamente il baricentro si è spostato sull’informativa e sulla conoscibilità a priori da parte dei lavoratori delle regole non solo di ingaggio ma anche di verifica in corso d’opera della qualità e contenuti del proprio apporto (condizioni di lavoro trasparenti e prevedibili). Emblematica in tal senso la nuova disciplina sull’informativa individuale e sindacale circa l’utilizzo ed il funzionamento di sistemi decisionali o di monitoraggio automatizzati da parte dell’azienda (scopi, logica, metriche, meccanismi di correzione dei processi automatizzati tramite intervento umano) di cui all’art. 4 d.lgs. n. 104/2022, che riprende non solo l’art. 22 del GDPR, ma anche la proposta di direttiva sui lavoratori delle piattaforme digitali (spec. artt. 6-10) .
Preso atto che il lavoro è ormai pressoché integralmente digitalizzato e che i nuovi tools disponibili di organizzazione del lavoro e dei processi sono inestricabilmente connessi con l’apporto umano, l’ordinamento ha abbandonato la vecchia ed irripetibile stagione statutaria ed ha imboccato la nuova strada dell’informazione preventiva su quello che il lavoratore può e non può fare quando esegue la sua performance lavorativa, e su come, per quali finalità ed entro quali contesti la sua prestazione può essere oggetto di controllo e verifica automatizzata . In tal senso non sarà sufficiente per legittimare le soluzioni di monitoraggio adottate dal datore una semplice informativa, ma tale informativa dovrà essere adeguata al livello di rischio, e quindi al grado di pervasività del controllo realizzato, sufficientemente dettagliata per indicare gli strumenti adottati dall’impresa, le modalità di funzionamento, le logiche che li supportano ed ogni riferimento utile per capire quali dati raccolgano e come gli algoritmi insiti nell’AI che li governa operino e quali azioni assumano .
3. Certo, si potrebbe osservare che il cambiamento di prospettiva disciplinare porta ad una significativa recessione del diritto alla privacy a discapito di altri valori costituzionali, con una compressione degli assetti preesistenti che si fa fatica a digerire, almeno per chi ha vissuto altre stagioni.
Ma non si deve dimenticare che la realtà del lavoro e della società in genere è radicalmente mutata nel corso di pochi anni con la rivoluzione digitale che ci ha travolto. Non si tratta più solo di IoT, blockchain, supercomputer che immagazzinano ed elaborano moli enormi di dati, sistemi di intelligenza artificiale che assumono decisioni, ma siamo arrivati addirittura al Metaverso, ai simulatori di conversazione di esseri umani con elaborazioni di linguaggio naturale (per tutti, pensiamo a Chat GPT), agli algoritmi di apprendimento automatico tramite deep learning e calcolo quantistico . Difficile immaginare che gli strumenti normativi validi 40 anni fa possano ancora resistere e che il modello regolatorio non debba evolvere costantemente per mantenere aderenza con la realtà gestionale in divenire. Ma nel contempo non si può nemmeno abdicare alla “frontiera infinita” dell’evoluzione tecnologica, perché quest’ultima deve essere guidata da valori umani fondamentali. E se la riservatezza inevitabilmente arretra, pur nella doverosa resistenza di paletti definiti di agibilità, comunque non lo deve fare la dignità, sicurezza e valorizzazione della professionalità umana, che devono essere costantemente preservate e promosse anche in momenti epocali, quale l’attuale, di dirompente integrazione uomo-macchina.
Ritengo pertanto che la svolta promossa dall’ordinamento italiano, pur con il limite territoriale della regolazione a fronte della natura internazionale del fenomeno, si muova nella giusta direzione di fornire un nuovo approccio basato sullo scambio di informazioni preventivo e sulla previsione di modelli di condotta univoci. Ora sta alle imprese, ai lavoratori ed alle organizzazioni sindacali investire su di esso e adottare buone pratiche di conoscenza, condivisione e formazione, per valorizzare l’accesso consapevole alle informazioni, evitando comportamenti opportunistici da entrambi i lati. Tenendo sempre conto che, se è vero che i dati sono sempre più dinamici e relazionali e sempre meno proprietari , se è vero che i sistemi digitali sono sempre meno conoscibili dalla stessa impresa utilizzatrice che se ne serve ma spesso non li governa, tuttavia è innegabile che esiste una disparità di potere derivante dall’asimmetria informativa fra le parti del rapporto, che deve essere il più possibile colmata attraverso regole prescrittive, per consentire al prestatore di lavoro di sviluppare piena consapevolezza e capacità critica.