In base all’art. 6 1° comma del Regolamento 679/2016 (GDPR) il trattamento è lecito solo se e nella misura in cui ricorra almeno una delle condizioni di liceità indicate.
Il consenso è solo una delle basi giuridiche e rispetto alla impostazione precedente l’entrata in vigore del Regolamento, perde il suo ruolo centrale.
Nell’ attività lavorativa capiamo bene che il consenso non può costituire una base giuridica rilevante in quanto sussiste una evidente asimmetria negoziale tra le posizioni del datore di lavoro e del lavoratore. Quindi troveranno corso altre basi giuridiche quali ad esempio la base contrattuale (vedi il trattamento relativo per l’elaborazione dei cedolini paga), oppure l’obbligo di legge (vedi comunicazioni di dati a Enti previdenziali e /o assicurativi o per la tenuta del Libro Unico del Lavoro).
Può esservi anche il legittimo interesse come base giuridica, ma in tal caso occorre effettuare un bilanciamento degli interessi del datore con i diritti e libertà dei lavoratori e spesso effettuare una DPIA (valutazione di impatto) ovviamente lasciando al lavoratore il diritto di opposizione.
Effettuare un bilanciamento per esempio vuol dire, nel momento in cui il datore di lavoro intende adottare dispositivi per tracciamenti o geolocalizzazione, applicare il principio di minimizzazione in modo che il trattamento impatti il meno possibile sui diritti dei lavoratori.
Art. 4 dello Statuto dei Lavoratori e controlli difensivi.
Un argomento che interessa molto le aziende e i suoi titolari riguarda proprio l’impatto della normativa giuslavoristica su quella della protezione dei dati dei lavoratori e come poter implementare sistemi di controlli che siano normativamente consentiti.
Prima della riforma, l’art. 4 della L.300/70 vietava l’uso di impianti audiovisivi per finalità di controllo a distanza dei lavoratori. Post riforma, avvenuta con il D.lgs 151/2015 l’articolo prevede che “gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro, e per la tutela del patrimonio aziendale…” e possono essere installati previo accordo collettivo o in mancanza con autorizzazione delle sede territoriale dell’ispettorato nazionale del lavoro. Dopo la riforma al comma 2 si prevede che esulano dalla disciplina del 1 comma gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e gli strumenti di registrazione degli accessi e delle presenze.
Inoltre il comma 3 prevede che le informazioni raccolte ai sensi dei commi 1 e 2 siano utilizzabili a tutti i fini connessi al rapporto di lavoro (poteri disciplinari e direttivi del datore) purché sia data ai lavoratori adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli.
Ricapitolando le tipologie di controllo lavorativo in Italia sono: i controlli difensivi elaborati dalla giurisprudenza che sono leciti e volti a prevenire o accertare attività illecite quindi estranee all’attività lavorativa; i controlli a distanza considerati illeciti in quanto volti a sorvegliare con “strumenti” lo svolgimento (incluso il quantum) dell’attività lavorativa. Infine i controlli per finalità lecite ovvero cosiddetti controlli preterintenzionali volti a soddisfare esigenze di sicurezza del lavoro, organizzative e produttive e tutela del patrimonio aziendale: questi controlli sono leciti solo se approvati da rappresentanze sindacali o in mancanza autorizzati da soggetti istituzionali (oggi INL). Come detto a seguito della riforma oggi vi sono dei controlli ammessi anche senza accordo/autorizzazione, solo ove si tratti di strumenti utilizzati per rendere la prestazione lavorativa o che servano alla registrazione di accessi e presenze.
Quindi cosa cambia con il Jobs Act? Scompare la formula del divieto assoluto di strumenti di controllo a distanza ma di fatto il divieto sussiste sempre attraverso la previsione di uniche finalità che giustificano tale controllo ovvero: esigenze organizzative e produttive, sicurezza del lavoro e tutela del patrimonio aziendale e solo previo accordo/autorizzazione. Esulano solo dall’autorizzazione preventiva gli strumenti necessari per svolgere la prestazione lavorativa.
Cosa si intende per strumenti per rendere la prestazione lavorativa?
Secondo una nota del Ministero del Lavoro del 2015 si farebbe riferimento a pc/tablet e cellulari. Ma attenzione perché il Ministero precisa che “nel momento in cui tale strumento viene modificato” (es. con aggiunta di software di localizzazione o filtraggio) occorre l’accordo sindacale o autorizzazione amministrativa.
L’ispettorato Nazionale del lavoro con la circolare 2/2016 dà alcune indicazioni ad esempio sugli impianti GPS: si richiede previo accordo sindacale o in assenza previa autorizzazione da parte dell’INL in quanto ritenuti strumenti non essenziali per rendere la prestazione lavorativa ma per esigenze di altra natura quali di carattere assicurativo, organizzativo e per garantire la sicurezza sul lavoro.
La circolare 4/2017 invece ha chiarito che, in relazione all’installazione e utilizzazione di strumenti di supporto per l’attività ordinaria dei call center, ovvero sistemi di gestione quali il CRM (Customer Relationship Management), essi vengono definiti come meri strumenti che servono per rendere la prestazione, prescindendo sia dall’accordo sindacale che dall’autorizzazione amministrativa.
Mentre i software che in tempo reale consentono di raccogliere e elaborare i dati dell’attività telefonica dell’operatore (tempi di evasione, pause, ecc.) consentono un monitoraggio continuo e costante su tutti gli operatori non rientrano in strumenti utili per rendere la prestazione lavorativa e in questo caso non si ravvisano nemmeno le esigenze organizzative e produttive tali da rilasciare l’autorizzazione amministrativa o l’accordo sindacale.
Per i badge e i sistemi di accesso all’area lavorativa?
Questi strumenti possono essere utilizzati tranquillamente senza previo accordo sindacale o autorizzazione amministrativa ma ciò non fa venire meno il rispetto dei principi in tema di privacy e gli obblighi informativi in ordine ai rischi del controllo e alle conseguenze per il lavoratore.
E la Videosorveglianza?
Il provvedimento in materia di videosorveglianza del Garante è datato 8.04.2010 e prevede che non devono essere effettuati controlli a distanza al fine di verificare l’osservanza dei doveri di diligenza e la correttezza nell’esecuzione della prestazione lavorativa. Qualora venga in azienda installato un impianto, giustificato dalle finalità consentite, vi è obbligo di informativa scritta al personale dipendente prima della messa in funzione dell’impianto con indicazione sul posizionamento delle telecamere e sulle modalità di funzionamento.
La conservazione delle immagini inoltre deve essere limitata alle 24 ore.
Il sistema deve essere programmato per la cancellazione automatica delle informazioni allo scadere del termine previsto.
Quindi è fuori di dubbio che la raccolta, la registrazione, la conservazione e in generale l’utilizzo di immagini configurano un trattamento di dati personali come semplicemente la ripresa di una immagine con un videocitofono. Per prima cosa quindi è necessario informare, con appositi cartelli informativi, che l’area è sottoposta a videosorveglianza.
Ricordiamo che per l’ambito privato (parere del 7.03.2017 n°113990) è stabilito che è possibile installare sistemi di videosorveglianza purché non siano inquadrati luoghi di pubblico passaggio, strade ecc. mentre non ci sono limitazioni per telecamere interne.
Problemi invece sorgono per il titolare di un’azienda che voglia installare un impianto di videosorveglianza.
L’azienda sinteticamente deve:
Esporre informativa minima.
Avvisare i dipendenti e utenti con elementi di cui all’art. 13 GDPR;
Nominare i soggetti addetti alla visione delle immagini quali responsabili esterni del trattamento.
Si segnalano le recenti linee Guida 3/2019 emanate dall’EDPB nelle quali si parla di principio di minimizzazione e di necessità: quindi non è sufficiente affermare che le telecamere siano installate per ragioni di “sicurezza”. Per ricorrere alla videosorveglianza la base giuridica può essere il legittimo interesse del titolare ma deve essere ben documentato come un interesse reale e attuale (es. dimostrando che trattasi di zona pericolosa, con precedenti incidenti ecc.)oppure in caso di trattamenti esercitati per interesse pubblico o esercizio di pubblici poteri. Quanto al principio di minimizzazione occorre limitare il più possibile le videoriprese; in ottica by design e by default occorre per esempio installare telecamere funzionanti solo di notte e al di fuori degli orari di lavoro (se il fine è la difesa dai furti) e se occorre riprendere aree non pertinenti alla proprietà occorre “pixellare” le immagini delle aree non rilevanti.
Quanto al periodo di conservazione il Garante italiano ritiene coerente il termine di 24 ore mentre per la conservazione più lunga occorrono esigenze motivate (es. intraprendere azioni legali).
Quanto alla informativa si parla di due livelli: un primo segnale di avvertimento può prevedere solo un’icona comprensibile relativa al tipo di trattamento posizionato ad una distanza ragionevole dal sistema video e all’altezza degli occhi e occorre indicare i dati del titolare del trattamento, eventuale DPO e diritti degli interessati e le finalità oltre che al richiamo alla seconda informativa anche tramite Qr code o link web.
Quest’ultima informativa deve essere più completa di informazioni e reperibile all’ufficio informazioni, o luogo accessibile e può essere un foglio, un poster oppure ancora meglio reperibile tramite web o Qr code leggibile da smartphone.
Quindi attenzione all’utilizzo dei vecchi cartelli relativi alla videosorveglianza che riportano il riferimento al D.lgs 196/2003! Devono essere sostituiti e l’apposizione degli stessi non è comunque sufficiente per essere in regola con le ultime disposizioni normative.
Avv. Francesca Ariodante
