Controlli a distanza: l’informativa è necessaria

Premessa - I controlli sui lavoratori attraverso strumenti informatici o audiovisivi, sono stati al centro degli argomenti su cui il Garante per la protezione dei dati personali – istituito attraverso la L. 675 del 31 dicembre 1996 – ha dovuto fornire indicazioni: sono state infatti importantissime le linee guida che si sono avvicendate nel corso del tempo, le quali trovano una certa stabilità seppur la normativa a seguito del D.Lgs. 151/2015 abbia subito delle notevoli modifiche.

Il Codice Privacy - Il D.Lgs. 196/2003 ha avuto un ruolo fondamentale in tal senso, anche nell’indirizzare verso il rispetto di alcuni principi generali riguardanti il trattamento dei dati personali, partendo innanzitutto dalla definizione di “dati personali” per i quali si intende infatti “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” (D.Lgs. 196/2003 art. 4 comma 1 lett. B): sulla base di questo principio, nel corso del tempo il Garante ha ribadito più volte che “non è legittimo provvedere all’installazione di un impianto di video-sorveglianza senza che sia intervenuto il relativo accordo con le rappresentanze sindacali o, in subordine, senza l’autorizzazione rilasciata dalla Direzione Territoriale del Lavoro”.

Il rispetto dei principi. Capo III, Titolo X - L’argomento relativo ai controlli a distanza, non è di poco conto sul tema della privacy in quanto ogni controllo che il datore di lavoro effettua sull’attività del lavoratore, comporta in qualche modo un’interferenza all’interno della privacy dello stesso, per la quale vige il rispetto del Codice della Privacy: ed il tema è così importante che proprio il D.Lgs. 196/2003 dedica il capo III del titolo X alla Videosorveglianza e impone che nel procedere all’installazione sia assolutamente necessario rispettare i criteri di:

• necessità;
• proporzionalità;
• finalità;
• il rispetto delle regole sulla conservazione e indicazione delle aree videosorvegliate;
• una valida informazione dei dipendenti e la predisposizione di soggetti responsabili di tali sistemi.

L’informazione - Con riferimento all’ultimo punto dell’elenco citato, occorre fermarsi e approfondire uno dei temi che maggiormente appare utile chiarire: l’adeguata informazione del dipendente. Infatti, a nulla vale l’accordo con le rappresentanze sindacali (o l’autorizzazione amministrativa) circa l’istallazione di strumenti dai quali derivi un controllo a distanza, se i dipendenti soggetti a tale controllo non ne sono informati.
L’impianto della norma non cambia assolutamente dopo la modifica dell’art. 4 St. Lav. ad opera del D.Lgs. 151/2015: semmai, quel che cambia nei fatti, è solamente la platea di strumenti per la cui installazione è necessario richiedere l’autorizzazione.

Il documento di policy - A prescindere dall’autorizzazione infatti, è comunque necessario che i dipendenti siano informati sulle apparecchiature elettroniche e informatiche utilizzate durante lo svolgimento del proprio lavoro, nello specifico con un documento di policy interno, il quale è nella pratica, quello strumento che permette al datore di lavoro di procedere con sanzione disciplinare qualora a seguito del controllo si ponessero le condizioni: si ritiene infatti che in assenza di un’informativa chiara, il controllo sarebbe da considerarsi come non annunciato, con la conseguenza che sarebbe impossibile utilizzare le informazioni ricavate per “bacchettare” il dipendente.

Le Linee Guida del 2007 - L’importanza dell’informazione si rileva anche da un importante documento divulgato dal Garante della Privacy nel 2007, recante “Le linee guida del Garante per posta elettronica e internet (del 1° marzo 2007)” che per dovere di completezza si riportano in allegato. Secondo il documento infatti è opportuno che si valuti attentamente l'impatto sui diritti dei lavoratori (prima dell'installazione di apparecchiature suscettibili di consentire il controllo a distanza e dell'eventuale trattamento) così come si determini quale ubicazione è riservata alle postazioni di lavoro per ridurre il rischio di un loro impiego abusivo.
Il datore di lavoro ha inoltre l'onere di adottare tutte le misure tecnologiche volte a minimizzare l'uso di dati identificativi (c.d. privacy enhancing technologies–PETs).

La pubblicazione della policy - Ai sensi di tale documento, ancora, è “onere del datore di lavoro di prefigurare e pubblicizzare una policyinterna rispetto al corretto uso dei mezzi e agli eventuali controlli” a cui si affianca il dovere di informare comunque gli interessati ai sensi dell'art. 13 del Codice della Privacy, segnalando pedissequamente tutti gli strumenti in dotazione al personale e le relative modalità di utilizzo, così come la graduazione dei controlli e la conservazione delle informazioni nel tempo; in caso di inosservanza delle prescrizioni derivanti dalla normativa sulla Privacy, le sanzioni sono ingenti e possono arrivare fino a 180.000 euro.