Testo integrale con note e bibliografia
1. Lo Statuto dei lavoratori ... quando ancora non esisteva la privacy
Pochi contesti, quanto quello lavorativo, mostrano l’esigenza pressante di garantire la tutela della riservatezza e la protezione dei dati personali. Sul luogo di lavoro la conoscenza di informazioni riguardanti il lavoratore da parte del datore di lavoro accresce notevolmente l’influenza di quest’ultimo, finendo per accentuare lo squilibrio di potere che caratterizza fisiologicamente il rapporto fra le parti. Non è quindi un caso se, nel nostro Paese, le prime disposizioni in materia di tutela della riservatezza sono state introdotte proprio con riferimento all’ambito lavorativo, attraverso lo Statuto dei lavoratori del 1970: da questo punto di vista, si può arrivare a sostenere che la tutela dei dati personali del lavoratore ha in qualche modo preceduto quella del consumatore e quella del cittadino.
La ricostruzione storica della disciplina in materia di protezione dei dati personali nel nostro ordinamento evidenzia, dunque, il peso di una tardiva positivizzazione, avvenuta solo con la legge del 31 dicembre 1996, n. 675, in recepimento della direttiva 95/46/CE.
Sebbene l’esigenza di garantire la riservatezza della persona alla stregua di un diritto inviolabile ex se, indipendentemente dalla condizione personale e sociale dell’interessato, fosse fortemente avvertita nel corpo sociale – tanto da trovare ampio riconoscimento nel diritto pretorio e finanche nei noti pronunciamenti della Corte Costituzionale del 12 aprile 1973, n. 38 – l’introduzione di tale diritto si è posta, in un primo momento, in una posizione strettamente funzionale all’attuazione del mercato unico comunitario : la prima legge organica in materia di protezione dei dati, infatti, venne adottata in recepimento della sopra citata direttiva, il cui scopo era appunto quello di assicurare che, nel quadro dell’integrazione economica in atto, anche i dati personali potessero circolare liberamente, ma in forma corretta, all’interno dei confini dell’allora Comunità europea.
Non sempre si ha la piena percezione che questo vuoto di tutela era, invece, parzialmente anticipato dallo Statuto dei lavoratori che, fin dal 1970, aveva individuato una serie di garanzie proprio a tutela della giusta pretesa dell’individuo (rectius del lavoratore) a mantenere una propria sfera di intimità intangibile da ingerenze altrui (rectius del datore di lavoro) che non trovassero alcuna giustificazione nell’espletamento di un rapporto, quello lavorativo, bilanciato secondo parametri di reciproca correttezza tra i soggetti coinvolti. Solo in un ambito altrettanto delicato, quello sanitario, la tutela della riservatezza delle informazioni sulla persona era già presidiata a livello normativo.
Come detto sopra, lo Statuto dei lavoratori ha introdotto nell'ordinamento alcuni principi di diritto che avrebbero costituito, oltre venti anni dopo, i principali capisaldi della disciplina in materia di protezione dei dati personali anticipando, con straordinaria lungimiranza, molti dei criteri fondamentali che permeano le norme sulla riservatezza: si pensi alle cautele previste per tutelare la libertà di opinioni politiche, sindacali e di fede religiosa del lavoratore (artt. 1 e 8), il suo stato di salute (art. 5), il suo diritto di associazione e attività sindacale (art. 14), ovvero alla protezione contro atti diretti a fini di discriminazione politica, religiosa o razziale (art. 15). Cautele riguardanti quelli che decenni dopo, a partire dalla legge n. 675/1996, sarebbero stati qualificati come dati “sensibili” e assoggettati, proprio per il potenziale altamente discriminatorio insito nella loro natura, a un regime di protezione ancora più elevato rispetto ad altri dati, oltre ad essere ancora oggi annoverati nelle “categorie particolari di dati personali” ai sensi del Regolamento (UE) 2016/679 (di seguito anche “Regolamento”) che, come noto, disciplina oggi la materia.
Vi è, poi, la disposizione statutaria che, forse ancora più di quelle citate, congloba nei suoi contenuti la formula primordiale e concreta di tutela del patrimonio informativo della persona, cioè dei dati che riguardano e identificano il lavoratore: ci si riferisce all’art. 4 che, nel regolamentare l’utilizzo datoriale degli strumenti di controllo, offre uno strumento normativo di garanzia a tutto tondo della riservatezza del lavoratore.
Se oggi si esaminano in parallelo lo Statuto dei lavoratori e il complesso normativo in materia di protezione dei dati personali (costituito dal Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e dal d.lgs. n. 196/2003, recentemente novellato dal d.lgs. n. 101/2018, recante il “Codice il materia di protezione dei dati personali”, di seguito anche “Codice”) appare evidente come si tratti di due centri gravitazionali che transitano uno nell’orbita dell’altro, in un rapporto quasi simbiotico e inscindibile senza, però, che il primo assorba totalmente il secondo o viceversa.
Si tratta di un’immagine forse suggestiva che però trova conferma, ed anzi viene esaltata, anche nel dettato normativo, dal fatto che, in entrambi, figura un espresso richiamo reciproco come non si registra per altre disposizioni le quali, parimenti, si intersecano con essi: se da un lato l’art. 4 dello Statuto invoca il rispetto del d.lgs. n. 196/2003; dall’altro lato, gli artt. 114 e 171 si riallacciano agli artt. 4 e 8 dello Statuto medesimo. Da parte sua, il Regolamento (UE) 2016/679 consente agli Stati membri – in aggiunta all’art. 9, par. 2, lett. b), sul trattamento delle categorie particolari di dati personali – l’adozione di norme più specifiche rispetto ai trattamenti che si svolgono nell’ambito dei rapporti di lavoro per assicurare la tutela dei diritti e delle libertà dei dipendenti, nel cui alveo vanno dunque ricomprese le norme statutarie (v. art. 88).
La vexata quaestio del controllo a distanza dei lavoratori posto in essere attraverso strumenti tecnologici (quali ad esempio la videosorveglianza o il monitoraggio degli accessi alla rete Internet o del sistema aziendale di posta elettronica) di cui all’art. 4 dello Statuto dei lavoratori, come riformulato dal d.lgs. n. 151/2015 e successivamente dal d.lgs. n. 185/2016 su delega del Jobs Act (legge n. 183/2014, che al suo art. 1, comma 7, lett. f), ha espressamente previsto la revisione della disciplina dei controlli a distanza), esige dunque l’esame dello stretto legame tra le due discipline: se lo Statuto prevede fondamentalmente le regole di natura procedurale, la normativa sulla protezione dei dati personali individua i limiti sostanziali sui quali si deve fondare la correttezza del trattamento.
2. I diritti datoriali e quelli del lavoratore: un bilanciamento difficile, ma necessario
Uno dei primi interrogativi per chi si accosta alla tematica dei controlli a distanza in ambito lavorativo è come si possa arrivare a conciliare due diritti apparentemente contrapposti, entrambi fondati sulla Carta fondamentale: nell’art. 2 Cost. quello alla riservatezza del lavoratore e nell’art. 41 Cost. quello alla libertà di iniziativa economica e di impresa del datore di lavoro, nel rispetto di libertà e dignità riconosciuto del lavoratore stesso . Si tratta di un inquadramento estremamente esemplificativo che, per esigenze di sintesi, porta a trascurare la doverosa analisi non solo dell’art. 1 Cost., ai sensi del quale la Repubblica è fondata sul lavoro, ma anche la complessità interpretativa che pongono le altre due disposizioni citate. In questa sede, appare sufficiente un richiamo al fatto che entrambi i diritti in gioco hanno un solido fondamento costituzionale, proprio a dimostrazione della loro interrelazione quali elementi che, correttamente bilanciati, concorrono all’attuazione del sistema democratico sussistendo tra essi una antinomia solo apparente.
Nell’ambito del rapporto che li vincola reciprocamente, quindi occorre individuare gli elementi di convergenza sui quali, pur mantenendo una sostanziale distanza nei diversi diritti e interessi perseguiti, datore di lavoro e lavoratore si possano incontrare. Il punto di convergenza va allora individuato nella liceità e correttezza reciproca nel rapporto tra due soggetti con interessi potenzialmente differenti o contrapposti.
Al fine di dare concreta attuazione ai due predetti parametri, occorre porre a raffronto l’art. 4 dello Statuto dei lavoratori con i principi fondamentali della disciplina in materia di protezione dei dati personali (operazione inevitabile e costante nell’applicazione dell’art. 4, visto l’espresso rinvio contenuto, nel suo 3 comma, al d.lgs. n. 196/2003 vigente al momento della novella e che oggi deve naturalmente ricomprendere anche il Regolamento UE 2016/679) e desumere i criteri che legittimano il rapporto nel senso sopra citato.
Sotto il profilo della protezione dei dati personali, il rapporto dovrà essere improntato ai principi di liceità, limitazione della finalità e del periodo di conservazione, minimizzazione, esattezza, integrità e riservatezza dei dati personali dei lavoratori (art. 5, par. 1).
Andrà altresì precisata la base giuridica che legittima il trattamento delle informazioni sul dipendente: poiché, per opinione quasi unanime, si esclude che il consenso , stante lo squilibrio di potere tra le due parti del rapporto lavorativo, possa costituire una base autonoma di liceità del trattamento e sopperiranno a tal fine gli altri presupposti di liceità dello stesso di cui all’art. 6, par. 1, del Regolamento. Potranno perciò rilevare le disposizioni normative (in particolare in ambito pubblico) oppure il "legittimo interesse" del datore di lavoro o ancora, ove applicabili, gli altri presupposti di liceità individuati dalla disposizione citata.
Ulteriore elemento fondamentale per assicurare la trasparenza, e quindi la correttezza, del trattamento, come peraltro sancito dal comma 3 dell’art. 4, è la previa informativa all’interessato. Informativa che dovrà preferibilmente avere un contenuto più ampio di quello previsto dall’art. 13 del Regolamento, dovendo contenere ragguagli anche sulle modalità d’uso degli strumenti e ai controlli che possono essere effettuati: dovrà dunque contenere l’indicazione della possibilità che sia controllata l’attività lavorativa le ragioni di cui al comma 1, mentre non si ritiene necessario specificare che lo strumento sarà utilizzato per contestare illeciti che, per l’appunto, non hanno alcuna connessione, neppure indiretta, con l’espletamento dei vincoli contrattuali da parte de lavoratore.
Infine, quali ulteriori requisiti di legittimità integrativi per i trattamenti di cui al 1 comma dell’art. 4, si segnala l’obbligo a carico del datore-titolare del trattamento dei dati del lavoratore di effettuare una valutazione di impatto ex art. 35 del Regolamento (quale estrinsecazione del principio di privacy by design di cui all’art. 25), come chiarito dal Garante per la protezione dei dati personali (di seguito “Garante”) e, nel caso emergano particolari rischi come risultato di tale analisi, si dovrà consultare il Garante (art. 36). Nel caso di imprese con 250 dipendenti o più il titolare-datore di lavoro è tenuto anche a predisporre un registro delle attività di trattamento svolte sotto la propria responsabilità (art. 30): si tratta di obblighi aggiuntivi a quello della previa informativa enunciato al comma 3 dell’art. 4, ricompresi nel rispetto della disciplina parimenti invocata dal comma 3 .
3. La vexata quaestio dei controlli esperibili.
Uno degli aspetti più controversi della riforma riguarda i confini entro i quali il datore di lavoro si può muovere per effettuare controlli a distanza del lavoratore con strumenti elettronici, già vietati nel sistema vigente prima della riforma dello Statuto, operata a seguito del Jobs Act, mediante le due note categorie giurisprudenziali dei controlli preterintenzionali (legittimi solo in caso di previo esperimento della procedura concertativo-autorizzativa di cui al comma 1 dell’art. 4) e dei controlli difensivi per la tutela del patrimonio aziendale (già ammessi dal diritto vivente e ora legittimati dal legislatore) .
Va preliminarmente considerato che i controlli datoriali, avendo ad oggetto i dati personali dei dipendenti, devono essere vagliati sotto il profilo della relativa liceità e della correttezza secondo le disposizioni in materia di protezione dei dati personali sopra citate, anche in virtù del rinvio a esse rinvenibile al comma 3 dell’art. 4.
Il punto di partenza per il rispetto della disciplina si può individuare nel principio di limitazione delle finalità (art. 5, par. 1, lett. b, del Regolamento) che, necessariamente astratto, deve essere di volta in volta identificato concretamente per determinare i confini del trattamento dei dati personali. Si tratta di un principio mobile che costituisce, però, la chiave di volta di qualunque trattamento di dati personali, sul quale si dovranno poi parametrare gli altri principi enunciati sempre all’art. 5 del Regolamento (liceità, minimizzazione, limitazione della conservazione, esattezza, integrità e riservatezza dei dati) per valutare la correttezza del controllo effettuato dal datore di lavoro: non a caso è citato anche nell’art. 8 della Carta dei diritti fondamentali dell’Unione europea.
La finalità perseguita determina, infatti, i caratteri fondamentali del trattamento, graduando alla luce dei restanti parametri, l’estensione o meglio, i limiti, del controllo esercitabile dal datore di lavoro sul dipendente.
E’ il datore di lavoro, in qualità di titolare, che è chiamato a effettuare tale ponderazione prima di iniziare il trattamento: alla luce dei presupposti di legittimità di cui all’art. 6 del Regolamento. In particolare, il datore di lavoro non si potrà sottrarre a un preliminare test comparativo, in base al principio di responsabilizzazione di cui all’art. 5, par. 2, del Regolamento, di bilanciamento tra i diritti in gioco, in modo che il trattamento non produca degli effetti pregiudizievoli ingiustificati sui diritti e le libertà del singolo, tenendo conto delle ragionevoli aspettative di riservatezza degli interessati .
Sulla base di tale iter metodologico si potrà verificare la liceità dei controlli c.d. preterintenzionali di cui al comma 1 dell’art. 4 , i quali – essendo comunque assoggettati a una procedura concertativa-autorizzativa, oltre ad essere finalizzati al perseguimento degli scopi tassativamente indicati al medesimo 1 comma - difficilmente potranno raggiungere una pervasività tale da renderli eccessivamente invasivi e, quindi, censurabili.
I medesimi criteri dovranno essere applicati per valutare la vigilanza datoriale introdotta al comma 3, che consente l’utilizzabilità dei dati raccolti ai sensi dei primi due commi dell’art. 4 “per tutti i fini connessi al rapporto di lavoro” .
Di fronte all’ambiguità del testo normativo, non si deve infatti cadere in interpretazioni poco garantiste per il lavoratore, aprendo la strada ad un ampliamento degli scopi legittimanti l’utilizzo da remoto di sistemi tecnici volti a monitorare l’attività del dipendente, notoriamente vietati nella formulazione originaria dell’art. 4, ma ammessi dalla giurisprudenza, dopo il superamento di orientamenti contrapposti, solo se funzionali alla tutela dell’integrità del patrimonio aziendali e per contrastare condotte fraudolente del dipendente, ma non per provare l’inadempimento contrattuale del lavoratore e la corretta esecuzione della prestazione lavorativa . Se adesso il comma 1 consente a determinate condizioni il controllo “preterintenzionale” (ex ante e in astratto), il controllo a distanza per tutti i fini connessi al rapporto di lavoro, finanche per verificare le modalità di esecuzione della prestazione lavorativa, il medesimo trattamento sarà però legittimo solo nella misura in cui siano rispettate le stringenti condizioni esplicitate dal legislatore: non solo l’obbligo di fornire una preventiva informativa al lavoratore, ma anche il rispetto di tutti gli altri istituti previsti dalla disciplina in materia di protezione dei dati personali .
Questo è tanto più vero nell’epoca attuale, in cui gli sviluppi e le grandi potenzialità offerte dalla tecnologia richiedono di essere mitigate dal rigoroso rispetto della disciplina in materia di protezione dei dati personali, in modo da impedire la realizzazione di una sorveglianza massiva e totale, continua e anelastica, sproporzionata e invasiva, del lavoratore .
Analoghe valutazioni vanno poi effettuate in relazione ai controlli difensivi realizzati in forma occulta, permettendo forme di vigilanza a distanza finalizzate ad accertare condotte del lavoratore illecite che non riguardino l’esatto adempimento della prestazione lavorativa, ma che assumono rilevanza sul diverso piano penale ed extracontrattuale.
Anche in tal caso spetta al datore di lavoro effettuare una valutazione prognostica per attivare, dopo aver tentato misure preventive meno limitative dei diritti dei lavoratori , un controllo necessitato da un pericolo attuale , derivante dal verificarsi di specifiche anomalie o accadimenti illeciti, che potrà essere anche di tipo retrospettivo , secondo una severa applicazione in concreto delle norme in materia di protezione dei dati personali: egli dovrà essere in grado di dimostrare che l’esercizio dei poteri datoriali, sia fondato sui presupposti di liceità di cui sopra, e che sia giustificata la limitazione della sfera di riservatezza del lavoratore, che non potrà comunque mai sconfinare nell’arbitrio e nell’irragionevolezza. Il controllo non potrà avvenire al di fuori dei consueti canoni di proporzionalità e selettività per il periodo strettamente necessario, così da assicurare che i controlli sul lavoro siano graduali nell’ampiezza e nella tipologia di intervento, rendendo marginali invece quelli maggiormente pervasivi, dovendosi censurare un controllo datoriale indiscriminato ed una illimitata attività di indagine anche al di fuori del contesto lavorativo.
Spetterà all’autorità adita dal lavoratore, che eventualmente lamenti un trattamento illecito dei suoi dati personali, effettuare una verifica ex post, sulla base delle modalità di accertamento utilizzate dalla parte datoriale, misurando il controllo difensivo sui richiamati criteri di correttezza, necessità, lealtà e proporzionalità.
Se il Jobs Act ha dunque fornito una copertura legislativa di rango primario alla materia dei controlli a distanza, i predetti approdi ermeneutici appaiono coerenti con i principi dettati anche dalla CEDU, offrendo una via interpretativa per contemperare posizioni inevitabilmente contrapposte .
4. La strumentazione in dotazione al lavoratore e la registrazione della presenza dei lavoratori: quid iuris?
L’art. 4, al comma 2, introduce una deroga al generale divieto di controllo a distanza, sottraendo ai limiti di cui al comma 1, gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e quelli di registrazione degli accessi e della presenza, utilizzati dal datore per controllare il rispetto dell’orario di lavoro.
L’eccezione alla regola del comma 1 può trovare applicazione nei casi in cui lo strumento sia essenziale per lo svolgimento della prestazione lavorativa; al contrario, se lo strumento viene impiegato per migliorarne l’efficienza, il connesso trattamento si rientra nell’alveo del comma 1 con conseguente necessità di attivare le previste procedure concertative-autorizzative.
E’ sempre il datore di lavoro-titolare del trattamento dei dati a dover effettuare, secondo il principio di responsabilizzazione (art. 5, par. 2, del Regolamento) una verifica in concreto sulla tipologia di strumenti utilizzabili, sugli scopi perseguiti e sul rispetto delle norme: sebbene la norma in questione non si limiti a prevedere unicamente che lo strumento in dotazione al lavoratore sia utilizzato nello svolgimento dell’attività lavorativa, senza precisare alcun criterio di valutazione, al fine di godere l’esenzione dalle procedure di cui al comma 1 dell’art. 4.
Una sottile linea di confine, quella proposta dal legislatore, che è stata invece tracciata nettamente dal Garante con riferimento ai servizi software o applicativi, i quali per rientrare nell’esenzione di cui al comma 2 dovranno essere strettamente funzionali a rendere la prestazione lavorativa, anche sotto il profilo della sicurezza; viceversa, sono soggetti al comma 1 dell’art. 4 i dispositivi che rappresentano un elemento «aggiunto» agli strumenti di lavoro, senza avere alcuna utilità rispetto all’attività del lavoratore e senza che questi li possa utilizzare in via primaria ed essenziale per l´esecuzione dell’attività lavorativa .
Per quanto riguarda gli strumenti di registrazione degli accessi e delle presenza si ritiene di aderire a quell’orientamento dottrinario che interpreta staticamente la disposizione, ritenendo applicabile l’esenzione del comma 2 solo agli strumenti che individuano l’orario di ingresso e uscita, non anche quelli dinamici che individuano l’esatta ubicazione del lavoratore durante la giornata di lavoro , così dilatando a dismisura il potere di controllo del datore di lavoro fino a consentire una sorta di Panopticon datoriale . In ogni caso, le esigenze organizzative e di sicurezza produttive non possono derogare comportare dei trattamenti esorbitanti da tali finalità: ad esempio, il Garante si è espresso in senso critico, nell'esercizio dei suoi poteri consultivi, sulle misure di contrasto di cui all’art. 2 del disegno di legge recante interventi per la concretezza dell’azione delle pubbliche amministrazioni, approvato dal Parlamento e divenuto legge n. 56/2019 (in base al quale, ai fini della verifica dell'osservanza dell'orario di lavoro in ambito pubblico, è consentita l’introduzione di sistemi di identificazione biometrica e di videosorveglianza) ritenendo esorbitante dallo scopo perseguito l’utilizzo sistematico e generalizzato di strumenti così invasivi, in assenza di specifici fattori di rischio o di particolari presupposti, per violazione dei principi i liceità, di proporzionalità e di “minimizzazione dei dati” di cui all’art. 5 del Regolamento
5. Lavoro agile e piattaforme digitali: il rischio di un “periscopio datoriale” nella vita degli altri.
La tematica dei controlli a distanza e il correlato bilanciamento tra il potere datoriale di controllo e la tutela della riservatezza del lavoratore presenta una problematicità ancora più evidente nei casi in cui viene consentito al dipendente di eseguire la prestazione lavorativa al di fuori della sede di lavoro : si pensi al telelavoro (nel cui ambito il lavoro è interamente svolto all’esterno dei locali aziendali) e al lavoro agile (che prevede invece la possibilità di svolgere la prestazione lavorativa in parte al di fuori dei locali, modalità fortemente incentivata a seguito dell’emergenza epidemiologica da Covid-19) .
La smaterializzazione della postazione di lavoro e l’assenza di vincoli di continuità della prestazione, in gran parte flessibile e demandata all’autonomia organizzativa del dipendente che risponde per obiettivi, genera l’esigenza di attivare forme di controllo da remoto del dipendente digitale, anche al fine di poter esercitare quegli indispensabili poteri direttivi e di coordinamento della prestazione del lavoratore in modo da trarne l’utilità attesa: evidentemente la tutela del lavoratore non può comprimere, fino ad annullare del tutto, le legittime esigenze produttive e di sicurezza della parte datoriale.
Per quanto riguarda il lavoro agile, l’art. 21 della legge n. 81/2017 sottopone, con una forma un po' pleonastica, al rispetto dell’art. 4 della legge n. 300/1970 l’esercizio del potere di controllo del datore di lavoro sulla “prestazione resa dal lavoratore all’esterno dei locali aziendali”.
Sebbene la lettera della norma sembri limitare l’oggetto del controllo datoriale, di fatto esso può sconfinare anche sull’attività resa, in quanto, essendo state demandate al lavoratore le scelte organizzative, queste potrebbero essere anche oggetto di verifica parte del datore di lavoro. Non solo: anche l’ordinaria attività lavorativa in sé può comportare l’uso di applicazioni informatiche – ad esempio le piattaforme più frequentemente utilizzate per riunioni virtuali – che permettono al datore di entrare in casa del dipendente. Ne deriva il rischio di intrusioni nella sfera addirittura domestica o comunque strettamente privata del lavoratore, come non accade per la prestazione fornita nei locali di lavoro.
L’art. 4 della legge n. 300/1970, specie il suo comma 1, in tale ambito viene ridimensionato, poiché incide sul potere di controllo datoriale con una diversa intensità rispetto al tradizionale rapporto di lavoro: in quest’ultimo, l’intento del legislatore è solo quello di delineare, ma non limitare o vietare, il controllo sull’attività del lavoratore o, meglio, sull’esatto adempimento: per ottenere tale risultato occorre, però, un cambiamento di prospettiva. La vera sfida deve essere quella di valorizzare l’autonomia e difendere la dignità dei lavoratori spostando il controllo in tutti i casi in cui è possibile dagli orari ai risultati, dalla verifica puntuale delle azioni agli obiettivi.
Analogamente, il lavoro tramite piattaforme anche digitali (come disciplinato dal d.l. n. 101/2019, convertito in legge, con modificazioni, dall'art. 1, comma 1, legge n. 128/2019, che ha ampliato e integrato alcune previsioni già contenute nel d.lgs. n. 81/2015) cioè attraverso “i programmi e le procedure informatiche delle imprese che, indipendentemente dal luogo di stabilimento, organizzano le attività di consegna di beni, fissandone il prezzo e determinando le modalità di esecuzione della prestazione”, richiede inevitabilmente l’esposizione del lavoratore a forme di controllo da remoto; ciò, sebbene la novella legislativa, nell'estendere le tutele proprie del lavoro subordinato abbia, tra le altre cautele, introdotto l’espresso obbligo di trattare i dati personali dei lavoratori in conformità al Regolamento e al d.lgs. n. 196/2003 (art. 47-sexies del d.lgs. n. 81/2015).
Fermo restando che il monitoraggio deve comunque avvenire nel rispetto della disciplina in materia di protezione dei dai personali, e che nell’ambito di tali rapporti viene rimarcato – non a caso, proprio per la loro peculiarità – l’obbligo del datore di lavoro di garantire il rispetto della sua personalità e della sua libertà morale (v. art. 115 del Codice), il panorama normativo, de jure condito, appare povero di indicazioni concrete in tal senso .
Tuttavia, non per questo il potere direttivo del datore può trasformarsi in un “periscopio” virtuale che si insinua nella vita domestica del lavoratore, né quest’ultimo può ritenersi esente da ragionevoli forme di coordinamento e verifica. La ricerca di un difficile punto di equilibrio tra potere datoriale e diritto alla riservatezza, senza che nessuno dei due esondi nell’arbitrio e nell’abuso del diritto, potrà essere soddisfatta seguendo due vie parallele.
Da una parte, bisogna garantire che le nuove tecnologie rappresentino un fattore di progresso (e non di regressione) sociale, valorizzando anziché comprimendo le libertà affermate sul terreno lavoristico: diventa allora indispensabile garantirne la sostenibilità sotto il profilo democratico e la conformità ad alcuni irrinunciabili principi che confluiscono tutti nel diritto alla protezione di dati personali riguardanti i lavoratori. Occorre pensare a un nuovo Statuto dei lavoratori, che, anche alla luce di un diritto emergenziale che ha imposto il diffuso ricorso alle forme di lavoro da remoto, cd. lavoro agile, generalmente necessitato e improvvisato sul campo, sappia coniare nuovi diritti nuovi doveri di lavoratori e datori di lavoro, a fronte dell’ormai irrinunciabile utilizzo delle nuove tecnologie nel mondo lavorativo: un esempio per tutti, assicurare anche un diritto alla disconnessione, inteso come possibilità di distaccarsi dalle sollecitazioni inerenti la sfera lavorativa e preservare i necessari spazi di vita privata, individuando quindi limiti in assenza dei quali finiscono per essere messe in discussione molte delle conquiste di tutela del lavoratore e della sua dignità, che costituiscono elementi essenziali del diritto del lavoro” ..
Sotto un diverso profilo, occorre fare anche ricorso a strumenti duttili, in grado di superare la rigidità del dato normativo e rispondere alle incalzanti sfide derivanti dal progresso tecnologico: ci si riferisce alle regole deontologiche in ambito lavorativo (cfr. artt. 2-quater e 111 del Codice), che dovendo peraltro essere adottate nell'osservanza del principio di rappresentatività e sottoposte a consultazione pubblica, consentono anche di superare eventuali critiche su un paventato deficit di democraticità nel momento in cui si sottraggono al procedimento legislativo vero e proprio.
6. Il quadro sanzionatorio e il dilemma dell’inutilizzabilità dei dati raccolti in violazione della disciplina sulla riservatezza: per un approccio privacy-oriented in sede giudiziaria.
Infine, un breve cenno merita il sistema sanzionatorio, declinato sempre nell’ottica della protezione dei dati personali, vale a dire qualora si registri una violazione dell’art. 4 dello Statuto quale conseguenza diretta e immediata del mancato rispetto delle norme che presidiano la riservatezza del lavoratore.
La maggior parte delle disposizioni citate in materia di protezione dei dati personali è assoggettata, in caso di inosservanza, alle sanzioni amministrative pecuniarie di cui all’art. 83, par. 4 e 5, del Regolamento, anche in virtù del rinvio effettuato ad esso dall’art 166, commi 1 e 2, del Codice (con eventuale sanzione accessoria della pubblicazione del provvedimento sanzionatorio e con iscrizione del caso nel registro delle violazioni di cui all’art. 57, par. 1, lett. u, del Regolamento). Il datore di lavoro, inoltre, potrà essere destinatario di misure correttive, come previsto dall’art. 58, par. 2, del Regolamento, e può essere chiamato al risarcimento del danno patito dal suo dipendente, secondo quanto previsto dall’art. 82 del Regolamento medesimo.
A rigore l’art. 4, comma 3, dello Statuto, nel condizionare l’utilizzabilità delle informazioni raccolte ai sensi dei commi precedenti al rispetto delle disposizioni in materia di protezione dei dati personali contiene un chiaro limite probatorio nell’ipotesi in cui la raccolta dei dati del lavoratore sia fondata su controlli inammissibili.
La lettera della norma non dovrebbe lasciare spazio ad alcun dubbio, stante l’espresso rinvio al rispetto della disciplina in materia di protezione dei dati personali: ai sensi dell’art. 2-decies del Codice, infatti, i dati trattati in sua violazione sono inutilizzabili . Si tratta di un principio generale che viene apparentemente derogato dalla circostanza che tale ultima disposizione fa salvo, a sua volta, quanto previsto dall’art. 160-bis del Codice, il quale dispone che la validità, l'efficacia e l'utilizzabilità di dati trattati in difformità dalle norme sulla riservatezza è disciplinato secondo il codice di rito.
In ambito civilistico, a differenza di quello penale che all’art. 191 c.p.p. censura con l’inutilizzabilità la prova acquisita in violazione dei divieti di legge , non si rinviene alcuna norma che sancisca l’inutilizzabilità delle prove legittimamente acquisite. Una questione non banale, visto che il giudice deve fondare le sue decisioni sulle prove proposte dalle parti (art. 115 c.p.c.) il che porterebbe a interrogarsi se possa ricorrere anche a quelle raccolte in violazione della riservatezza del lavoratore.
Uno scenario ancora più critico si apre sull’apparato sanzionatorio penale: originariamente, il Codice, da un lato, aveva abrogato l’inciso dell’art. 38 dello Statuto che sanzionava penalmente l’art. 4, dall’altro lato, aveva disposto all’art. 171 del Codice medesimo che la violazione dell’art. 4 dello Statuto fosse punita con le sanzioni dell’art. 38 dello Statuto.
L’art. 23, comma 2, d.lgs. 151/2015, ha cercato di riordinare il sistema attraverso una novella all’art. 171 del Codice, ma limitando la sanzione penale per la violazione solo dei primi due commi del nuovo art. 4 dello Statuto. A ben vedere il richiamo al comma 2, norma permissiva e quindi non suscettibile di violazione, si è rivelato superfluo, tanto che è stato eliminato dall’art. 15, comma 1, lett. f), del d.lgs. n. 101/2018, sicché il presidio penale avverso controlli a distanza illeciti permane unicamente in riferimento al comma 1 .
Nessun reato si configura per la violazione del comma 3, per cui il trattamento di dati del lavoratore effettuato ai sensi dei commi 1 e 2 senza la prevista informativa o in violazione delle norme sulla riservatezza rimane confinato nell’area del penalmente lecito. Anche in questo caso, tuttavia, la legge penale può rientrare in considerazione con riferimento alle possibili violazioni della disciplina sui dati personali come detto, esplicitamente richiamata come limite e quindi parametro di liceità dei trattamenti la quale è a sua volta presidiata da sanzioni non solo amministrative, ma anche penali.
Sarà compito del giudice adito effettuare una valutazione privacy-oriented sulle risultanze dell’attività datoriale.
Ad esempio, specie nei casi in cui abbia ad oggetto dati di cui agli artt. 9 e 10 del Regolamento, il trattamento potrà anche qualificarsi come illecito ai sensi dell’art. 167 del Codice. E ancora, specie in ambito civilistico, lasciando all’autorità giudiziaria il compito di valutare lo scenario probatorio; diversamente si sarebbe corso il rischio anche di una interferenza ingiustificata da parte del Garante per la protezione dei dati personali nell’attività giudiziaria (peraltro chiaramente scongiurata anche ai sensi dell’art. 23, par. 1, lett. f, del Regolamento e dell’art. 2-duodecies del Codice, che prevedono limitazioni alla disciplina in relazione ai trattamenti effettuati per ragioni di giustizia), essendo l'autorità che solitamente viene interpellata per verificare la liceità del trattamento.
Sarà il giudice a dover garantire quell’equo bilanciamento tra diritti anche nella fase patologica del rapporto tra lavoratore e datore di lavoro.
* * *
Da un quadro così complesso quale quello sopra delineato, si rileva come, specialmente in ambito lavorativo, il baricentro del sistema risieda nella protezione dei dati: è una disciplina che deve necessariamente affiancare le norme dello Statuto ed anzi, come si è ipotizzato precedentemente, rappresentare anche la base per l’approvazione di un nuovo o rinnovato Statuto dei lavoratori.
E’ indubbio che le risorse e le facilitazioni offerte dalla tecnologia e dall'informatica non devono comprimere la dignità del lavoratore, che proprio su di esse deve basare la propria qualificazione professionale. Peraltro, il nostro Paese non si può sottrarre alla modernizzazione digitale che rappresenta un fattore ineludibile di competitività a livello mondiale.
La vera sfida sarà quella di conciliare uomo e macchina, lavoro e vita privata, diritti e doveri del dipendente con diritti e doveri del datore di lavoro. L’obiettivo non potrà che essere quello di garantire il diritto alla protezione dei dati personali, in un panorama lavorativo profondamente modificato dalla diffusione delle tecnologie digitali nonché sempre più fondato sull’utilizzo dei dati personali: la disciplina sull’uso dei dati finisce quindi per diventare uno degli elementi più sensibili e delicati per garantire un corretto bilanciamento fra i poteri ed i doveri reciproci delle parti.