L’evoluzione tecnologica abbinata al costante cambiamento del mercato del lavoro impone un conseguente adeguamento anche in ambito legislativo. Sullo sfondo il nuovo Regolamento Europeo 2016/679, Regolamento ispirato ad una maggiore trasparenza nella gestione dei dati e finalizzato a dare un maggiore controllo ai cittadini sull’utilizzo dei propri dati personali. Tali regole si applicheranno anche al trattamento dei dati nell’ambito del rapporto di lavoro: non solo ai lavoratori dipendenti ma anche a quelli autonomi.
1. IL GDPR NEL DIRITTO
DEL LAVORO
Avv. Savino Figurati
Unione Industriale di Torino
1
2. PECULIARITÀ DEL DIRITTO DEL
LAVORO RICONOSCIUTE DAL GDPR
Gli Stati nazionali possono intervenire tramite
legge o contratti collettivi per gli aspetti di
protezione dei dati connessi al diritto del lavoro
(considerando 155 e art. 88)
2
3. ART. 9 GDPR AMMETTE TRATTAMENTO
DATI SENSIBILI ANCHE SENZA
CONSENSO QUANDO…
b)il trattamento è necessario per assolvere gli obblighi ed
esercitare i diritti specifici del titolare del trattamento o
dell'interessato in materia di diritto del lavoro e della
sicurezza sociale e protezione sociale, nella misura in cui
sia autorizzato dal diritto dell'Unione o degli Stati
membri o da un contratto collettivo ai sensi del diritto
degli Stati membri, in presenza di garanzie appropriate
per i diritti fondamentali e gli interessi dell'interessato;
d) il trattamento è effettuato, nell'ambito delle sue
legittime attività e con adeguate garanzie, da una
fondazione, associazione o altro organismo senza scopo di
lucro che persegua finalità politiche, filosofiche, religiose
o sindacali,…
3
4. BOZZA DI DECRETO ART. 7
Rientrerebbe nel trattamento di categorie
particolari di dati personali necessario per motivi
di interesse pubblico rilevante anche
«u) instaurazione, gestione ed estinzione di
rapporti di lavoro e di altre forme di impiego,
materia sindacale, occupazione e collocamento
obbligatorio, previdenza e assistenza, tutela delle
minoranze e pari opportunità»
4
5. Tuttavia si osserva che, nella gran parte dei casi,
nella gestione dei rapporti di lavoro si effettuano
trattamenti di ogni genere, spesso non
direttamente derivanti da obblighi legislativi o
contrattuali.
Pertanto rimane consigliabile chiedere il
consenso ai dipendenti.
5
6. Principi applicabili:
Liceità del trattamento
Principio di necessità, privacy by default, minimizzazione
Principio di correttezza dei dati
Determinatezza, legittimità ed esplicitazione del fine
Principio della conservazione dei dati solo per il tempo
necessario a realizzare gli scopi del trattamento
Trasparenza circa l’utilizzo dei dati raccolti (informative)
Principio di sicurezza nella conservazione dei dati
6
7. DIRITTI DEL LAVORATORE SECONDO IL
GDPR
Diritti di accesso e portabilità: si estendono
anche alle valutazioni? Solo se queste
costituiscono mere elaborazioni di dati oggettivi.
Il diritto del dipendente alla cancellazione dei
propri dati: sussiste solo se sono venute meno le
finalità del trattamento o l’interesse legittimo del
datore di lavoro (Garante 22/12/2016, n. 547, in
riferimento alle email aziendali).
7
8. PORTABILITÀ DEI DATI
Diritto introdotto dall’art. 17 GDPR:
L'interessato ha il diritto di ricevere in un
formato strutturato, di uso comune e leggibile da
dispositivo automatico i dati personali che lo
riguardano forniti a un titolare del trattamento e
ha il diritto di trasmettere tali dati a un altro
titolare del trattamento senza impedimenti da
parte del titolare del trattamento cui li ha forniti
qualora: a) il trattamento si basi sul consenso ai
sensi dell'articolo 6, paragrafo 1, lettera a), o
dell'articolo 9, paragrafo 2, lettera a), o su un
contratto ai sensi dell'articolo 6, paragrafo 1,
lettera b); e b) il trattamento sia effettuato con
mezzi automatizzati.
8
9. PERIODO DI CONSERVAZIONE
I dati possono essere «conservati in una forma che consenta
l'identificazione degli interessati per un arco di tempo non
superiore al conseguimento delle finalità per le quali sono
trattati» (art. 5, c. 1, lett. e GDPR).
In particolare, in alcuni casi il periodo di conservazione
deriva da limiti normativi (es. i dati necessari per la tenuta
del libro unico del lavoro possono essere conservati per
cinque anni dalla data dell’ultima registrazione ex art. 6
D.M. 9 luglio 2008)
Anche il termine di prescrizione relativi al contenzioso
rileva a questi fini
Tuttavia, nel recente Provvedimento 53/2018, il Garante
ha affermato che il contenzioso non deve essere meramente
potenziale.
9
10. La recente giurisprudenza afferma che, dopo la
riforma Fornero, la prescrizione non decorre
durante il rapporto di lavoro.
Pertanto, attendere la prescrizione del
contenzioso anche eventuale comporterebbe un
periodo di conservazione pressochè illimitato.
10
11. VECCHIO TESTO:
“E’ vietato l’uso di impianti audiovisivi e di altre
apparecchiature per finalità di controllo a
distanza dell’attività dei lavoratori”.
11
CONTROLLI A DISTANZA: ARTICOLO 4CONTROLLI A DISTANZA: ARTICOLO 4
DELLO STATUTO DEI LAVORATORIDELLO STATUTO DEI LAVORATORI
12. CONTROLLI PRETERINTENZIONALI
“Gli impianti e le apparecchiature di controllo
che siano richiesti da esigenze organizzative e
produttive ovvero dalla sicurezza del lavoro, ma
dai quali derivi anche la possibilità di controllo
a distanza dell’attività dei lavoratori, possono
essere installati soltanto previo accordo con le
rappresentanze sindacali aziendali, oppure, in
mancanza di queste, con la commissione interna.
In difetto di accordo, su istanza del datore di
lavoro, provvede l’ispettorato del lavoro,
dettando, ove occorra, le modalità per l’uso di
tali impianti”. 12
14. DISCIPLINA PREVIGENTE
Divieto assoluto di installazione di impianti
finalizzati al controllo dell’attività del lavoratore
(limite teleologico).
Ammissibilità dei controlli preterintenzionali,
condizionati all’accordo sindacale o
all’autorizzazione amministrativa.
14
15. COSIDDETTI “ CONTROLLI
DIFENSIVI”
Corte di Cassazione 3 aprile 2002, n. 4746:
“Ai fini dell’operatività del divieto di utilizzo di
apparecchiature per il controllo a distanza
dell’attività dei lavoratori previsto dall’art. 4
legge n. 300 del 1970, è necessario che il
controllo riguardi (direttamente o indirettamente)
l’attività lavorativa, mentre devono ritenersi
certamente fuori dall’ambito di applicazione
della norma sopra citata i controlli diretti ad
accertare condotte illecite del lavoratore
(cosiddetti controlli difensivi)…”.
15
16. CONTROLLI “ DIFENSIVI”
Cass. 22 febbraio 2010, n. 4375:
“La insopprimibile esigenza di evitare condotte
illecite da parte dei dipendenti non può assumere
portata tale da giustificare un sostanziale
annullamento di ogni forma di garanzia della
dignità e riservatezza del lavoratore, per cui tale
esigenza non consente di espungere dalla
fattispecie astratta i casi dei c.d. controlli
difensivi, ossia di quei controlli diretti ad
accertare comportamenti illeciti dei lavoratori,
quando tali comportamenti riguardino l’esatto
adempimento delle obbligazioni nascenti dal
rapporto di lavoro…”.
16
17. CONTROLLI DIFENSIVI
La categoria dei controlli difensivi, priva di un
fondamento normativo, è creata dalla
giurisprudenza, che successivamente se ne
discosta.
17
18. IL CASO FACEBOOK: CONTROLLO
DIFENSIVO O CONTROLLO NON A
DISTANZA?
Cass. 27 maggio 2015, n. 10955:
“La creazione da parte del datore di lavoro di un falso
profilo facebook attraverso il quale chattare con il
lavoratore al fine di verificare l’uso da parte dello stesso
del telefono cellulare durante l’orario di lavoro, esula dal
campo di applicazione dell’art. 4 della legge 300 del
1970, trattandosi di un’attività di controllo che non ha ad
oggetto l’attività lavorativa e il suo esatto adempimento,
ma l’eventuale perpetrazione di comportamenti illeciti da
parte del dipendente, idonei a ledere il patrimonio
aziendale sotto il profilo del regolare funzionamento e
della sicurezza degli impianti”. 18
19. IL CASO FACEBOOK
In realtà, il controllo diretto da parte del datore di
lavoro, anche tramite la sua organizzazione
gerarchica o investigatori privati, è da sempre
considerato legittimo, in quanto non integra
controllo a distanza.
Qui, e non nel concetto di controllo difensivo, sta la
spiegazione della legittimità della condotta nel caso
facebook. 19
20. UNO SPUNTO:
Trattandosi di materia penalmente sanzionata,
potrebbe esserci una spazio per l’applicazione
della legittima difesa di cui all’art. 52 del codice
penale.
20
21. IL NUOVO TESTO DELL’ARTICOLO 4
DELLO STATUTO DEI LAVORATORI
“Gli impianti audiovisivi e gli altri strumenti dai
quali derivi anche la possibilità di controllo a
distanza dell’attività dei lavoratori possono
essere impiegati esclusivamente per esigenze
organizzative e produttive, per la sicurezza del
lavoro e per la tutela del patrimonio aziendale e
possono essere installati previo accordo
collettivo stipulato dalla rappresentanza
sindacale unitaria o dalle rappresentanze
sindacali aziendali”.
21
22. IL NUOVO TESTO DELL’ARTICOLO 4
“In alternativa, nel caso di imprese con unità
produttive ubicate in diverse province della stessa
Regione ovvero in più Regioni, tale accordo può
essere stipulato dalle associazioni sindacali
comparativamente più rappresentative sul piano
nazionale. In mancanza di accordo gli impianti e gli
strumenti di cui al periodo precedente possono
essere installati previa autorizzazione della
Direzione territoriale del lavoro o, in alternativa,
nel caso di imprese con unità produttive dislocate
negli ambiti di competenza di più direzioni
territoriali del lavoro, del Ministero del lavoro e
delle politiche sociali”. 22
23. NOVITÀ:
Il limite teleologico rimane, anche se espresso in
negativo. L’installazione degli strumenti da cui
può derivare il controllo è ammessa solo per fini
prefissati, e, dunque, vietata fuori da questi casi.
Il controllo sull’attività lavorativa in sé continua
ad essere vietato.
23
24. NOVITÀ
I fini ammessi sono: esigenze organizzative e
produttive, sicurezza del lavoro e tutela del
patrimonio aziendale.
Il riferimento alla tutela del patrimonio aziendale
supera il concetto di controlli difensivi: anche i
controlli finalizzati a prevenire illeciti
soggiacciono alla disciplina di cui al primo
comma. 24
25. NOVITÀ
La disposizione contiene indicazioni precise sul soggetto
titolare del potere contrattuale, anche nel caso di imprese
multilocalizzate.
“In mancanza di accordo” interviene la competente
Direzione territoriale del lavoro.
L’espressione deve intendersi nel senso che ci si può
rivolgere alla Dtl non solo se manchino le
rappresentanze sindacali, ma anche se esse rifiutino
l’accordo.
25
26. IL NUOVO TESTO DELL’ARTICOLO 4
“La disposizione di cui al comma 1 non si
applica agli strumenti utilizzati dal lavoratore
per rendere la prestazione lavorativa e agli
strumenti di registrazione degli accessi e delle
presenze”.
26
27. NOVITÀ:
E’ un’eccezione rispetto al comma uno: dunque, è di
stretta interpretazione e non può costituire oggetto di
estensione analogica.
Gli “strumenti utilizzati dal lavoratore per rendere la
prestazione lavorativa” devono avere connaturata la
possibilità di controllo : se lo strumento è modificato per
rendere possibile il controllo, o gli si aggiunge qualcosa
a tale fine, non siamo più nel campo di applicazione di
questa norma.
27
28. NOTA STAMPA DEL MINISTERO DEL
LAVORO 18 GIUGNO 2015
“L’espressione per rendere la prestazione lavorativa
comporta che l’accordo o l’autorizzazione non servono
se, e nella misura in cui, lo strumento viene considerato
quale mezzo che serve al lavoratore per adempiere la
prestazione: ciò significa che, nel momento in cui tale
strumento viene modificato (ad esempio, con l’aggiunta
di appositi software di localizzazione o filtraggio) per
controllare il lavoratore, si fuoriesce dall’ambito della
disposizione: in tal caso, infatti, da strumento che serve
al lavoratore per rendere la prestazione il pc, il tablet o il
cellulare divengono strumenti che servono al datore per
controllarne la prestazione”. 28
29. IN SOSTANZA:
Se lo strumento non rientra nel secondo comma
per i motivi sopra esposti, sarà o vietato, o
sottoposto alla disciplina del primo comma, a
seconda del fine per cui è utilizzato: controllo
fine a sé stesso o controllo preterintenzionale.
29
30. STRUMENTI DI REGISTRAZIONE
DEGLI ACCESSI E DELLE PRESENZE
La disposizione si spiega perché parte della
giurisprudenza considerava controllo a distanza
l’installazione del badge utilizzato dai dipendenti
per accedere agli uffici (Cass. 17 luglio 2007, n.
15892).
30
31. IL NUOVO ARTICOLO 4
“Le informazioni raccolte ai sensi dei commi 1 e 2 sono
utilizzabili a tutti i fini connessi al rapporto di lavoro a
condizione che sia data al lavoratore adeguata
informazione delle modalità d’uso degli strumenti e di
effettuazione dei controlli e nel rispetto di quanto
disposto dal D.lgs. 30 giugno 2003, n. 196” (Codice
della privacy).
31
33. PRIVACY
In sostanza, i dati personali utilizzati nel corso
dell’attività di monitoraggio in ambito
lavoristico devono essere adeguati, pertinenti e
non eccedenti rispetto alle legittime finalità che
giustificano il controllo.
I controlli legittimamente effettuati, dovranno
essere svolti non costantemente, bensì
nell’ambito di verifiche periodiche o a
campione, in coerenza con l’informativa
effettuata (ad esempio, in occasione di interventi
di manutenzione).
33
34. PRIVACY
Il rispetto della normativa privacy, quale
presupposto per l’esercizio dei poteri di
controllo e disciplinari da parte del datore di
lavoro, riguarda non solo le singole disposizioni
contenute nella normativa privacy, ma anche i
provvedimenti adottati dal Garante. Anche dopo
il GDPR restano validi i provvedimenti già
adottati.
34
35. PROVVEDIMENTI DEL GARANTE
In particolare, rilevano:
Provvedimento 1 marzo 2007: Linee guida per l’utilizzo
della posta elettronica e internet.
Provvedimento 8 aprile 2010: trattamento dei dati
personali effettuato tramite sistemi di videosorveglianza.
Provvedimento 4 ottobre 2011: sistemi di localizzazione
dei veicoli nell’ambito del rapporto di lavoro.
Provvedimento 12 novembre 2014: biometria.
Provvedimento 1 febbraio 2018: Trattamento di dati
personali effettuato sugli account di posta elettronica
aziendale richiama espressamente il primo. 35
36. NOVITÀ
L’utilizzo dei dati legittimamente raccolti a fini
disciplinari non è una novità: era così anche prima,
tant’è che negli accordi spesso il sindacato chiedeva
che si rinunciasse a tale facoltà.
La Dtl normalmente subordinava l’autorizzazione
alla rinuncia ad usare i dati a fini disciplinari; ora è
probabile che cambi questa prassi.
36
37. SANZIONI
“La violazione delle disposizioni di cui all’art. 113 (del
Codice privacy) e all’art. 4, primo e secondo comma,
della legge 300 del 1970, è punita con le sanzioni di cui
all’art. 38 della legge 300 del 1970.
Ammenda da euro 154 a euro 1549 o arresto da 15
giorni ad un anno.
Queste sanzioni sembrano essere conservate dal decreto
in corso di emanazione.
37
38. SANZIONI
Anche la violazione dei provvedimenti del Garante è sanzionata:
La delibera n. 13 del 1 marzo 2007 dal titolo “Lavoro: le linee guida
del Garante per posta elettronica e internet” richiama gli artt. 24 e
154, comma 1, lett. b) e c) del Codice in materia di protezione dei dati
personali. L’articolo 154 citato al comma 1, lett. c) secondo periodo
richiama l’art. 143 del Codice stesso in questi termini:“Oltre a quanto
previsto da specifiche disposizioni, il Garante, anche avvalendosi
dell'Ufficio e in conformità al presente codice, ha il compito di:…c)
prescrivere anche d'ufficio ai titolari del trattamento le misure
necessarie o opportune al fine di rendere il trattamento conforme alle
disposizioni vigenti, ai sensi dell'articolo 143”.
Proprio l’art. 143 del Codice è richiamato dall’art. 170 che così
dispone:“Provvedimenti del Garante in caso di inosservanza:
Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal
Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e
143, comma 1, lettera c), è punito con la reclusione da tre mesi a due
anni”.
In futuro sembra che queste ipotesi saranno punite in via amministrativa
38