Tra le novità introdotte dal Jobs Act, si discute molto sul significato del riscritto art. 4 dello Statuto dei lavoratori, che disciplina i cosiddetti strumenti di controllo a distanza, tra i quali rientrano anche le apparecchiature informatiche che memorizzano dati personali dei lavoratori, mediante i quali è possibile controllare, a posteriori, la loro attività. Si tratta di un vero e proprio “elenco aperto”, che ogni giorno si incrementa, in conseguenza dello sviluppo tecnologico.
C’è, in particolare, molta incertezza su come vadano identificati gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, ai quali fa riferimento il comma 2 dell’art. 4. Secondo tale disposizione, infatti, se tali apparecchiature (o le loro applicazioni) effettivamente servono a svolgere la prestazione (si pensi al tablet con il quale l’addetto commerciale invia gli ordini), per poterli utilizzare il datore di lavoro non soggiace all’obbligo, previsto dal comma 1 dello stesso articolo, di concludere preventivamente un accordo con le organizzazioni sindacali, ovvero di farsi autorizzare dalla Direzione territoriale del lavoro, ma deve limitarsi a osservare le discipline della privacy: deve, cioè, acquisire e trattare i dati nel rispetto dei limiti imposti da quella normativa, fornendo anche adeguata informativa ai lavoratori.
Un recente provvedimento emesso dal Garante della privacy nei confronti di una Università, citato dalla Newsletter 15 settembre 2016 (provv. 13 luglio 2016 – doc. web 5408460), si occupa dei sistemi di monitoraggio della posta elettronica e degli accessi ad internet, e cioè di quelli che, immediatamente, saremmo portati a considerare, ormai per la quasi totalità dei casi, “strumenti utilizzati dal lavoratore per rendere la prestazione”. E quindi ad affermare che – libero dall’obbligo di acquisire l’accordo sindacale o l’autorizzazione – il datore di lavoro può tranquillamente procedere, salvo il rispetto del Codice privacy.
La questione, però, non è così semplice. Dal provvedimento del Garante, infatti, si trae innanzitutto l’indicazione per la quale gli “strumenti utilizzati (…) per rendere la prestazione”, costituiti dai computer dotati di acceso ad Internet e dai programmi di posta, non vanno confusi con l’ulteriore software con il quale, nel caso di specie, venivano effettuati i monitoraggi, con “raccolta e conservazione, per un periodo di 5 anni (…), dei file di log relativi al traffico internet contenenti, tra gli altri, il MAC Address (Media Access Control Address), l’indirizzo IP nonché informazioni relative all’accesso ai servizi internet, all’utilizzo della posta elettronica e alle connessioni di rete”.
Tale software consentiva in effetti quell’attività di “controllo, filtraggio, monitoraggio e tracciatura delle connessioni e dei collegamenti ai siti internet esterni”, che risponde spesso a un’oggettiva esigenza dei datori di lavoro di prevenire un utilizzo illecito sia dell’uso della posta, sia delle connessioni al Web. Il Garante ha tuttavia censurato tale sistema, innanzitutto rilevando che, mediante i dati acquisiti, era possibile risalire direttamente ai dipendenti autori delle e-mail e delle connessioni a Internet, e che quindi tali strumenti consentivano sia il controllo a distanza (e, aggiungiamo noi, a posteriori) della prestazione lavorativa, che il trattamento dei relativi dati personali.
In particolare, è stato accertato che detto trattamento “è effettuato, attualmente, per il tramite di apparati (differenti dalle ordinarie postazioni di lavoro) e di sistemi software che consentono, con modalità non percepibili dall’utente (c.d. in background) e in modo del tutto indipendente rispetto alla normale attività dell’utilizzatore (cioè senza alcun impatto o interferenza sul lavoro del dipendente), operazioni di ‘monitoraggio’, ‘filtraggio’, ‘controllo’ e ‘tracciatura’ costanti ed indiscriminati degli accessi a internet o al servizio di posta elettronica”.
Ciò ha indotto l’Autorità a escludere che tale sistema potesse essere annoverato tra gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa, ai sensi e per gli effetti dell’art. 4, comma 2, l. n. 300/1970, come modificato dall’art. 23 del d.lg. n. 151/2015. In tale nozione, infatti – e con riferimento agli strumenti oggetto del presente provvedimento vale a dire servizio di posta elettronica e navigazione web – è da ritenere che possano ricomprendersi solo servizi, software o applicativi strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza. Da questo punto di vista e a titolo esemplificativo, possono essere considerati ‘strumenti di lavoro’ alla stregua della normativa sopra citata il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale) e gli altri servizi della rete aziendale, fra cui anche il collegamento a siti internet. Costituiscono parte integrante di questi strumenti anche i sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta ‘envelope’ del messaggio, per una breve durata non superiore comunque ai sette giorni; sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso)”.
Il sistema utilizzato dall’Ateneo è stato considerato anche contrario ai “principi di necessità, pertinenza e non eccedenza che non consentono controlli massivi, prolungati, costanti e indiscriminati, quali, come nel caso di specie, la registrazione sistematica dei dati relativi al MAC Address e i dati relativi alla connessione ai servizi di rete”, già in passato censurata dal Garante. Secondo l’Autorità, infatti, i principi di necessità e proporzionalità impongono di privilegiare misure preventive e, in ogni caso, una gradualità nell’ampiezza del monitoraggio “che renda assolutamente residuali i controlli più invasivi, legittimandoli solo a fronte della rilevazione di specifiche anomalie, quali, ad esempio, la riscontrata presenza di virus, e comunque all’esito dell’esperimento di misure preventive meno limitative dei diritti dei lavoratori”.
“In particolare – prosegue il Garante – la memorizzazione dei dati relativi al MAC Address e i dati relativi alla connessione ai servizi di rete in modo massivo ed anelastico, in presenza della menzionata associabilità in via univoca all’utente, non risulta strettamente necessaria per la generica finalità di protezione e sicurezza informativa ovvero per astratte finalità derivanti da possibili indagini giudiziarie (…), dando luogo a un trattamento di dati eccedente rispetto agli scopi dichiarati (artt. 3 e 11, comma 1, lett. d) del Codice)”.
Dal suddetto provvedimento, dunque, sembra di poter individuare una serie di indicazioni importanti per i datori di lavoro (praticamene tutti) che, dotati di un sistema informatico, hanno necessità di proteggere il sistema stesso sia da agenti esterni che da utilizzazioni abusive da parte dei lavoratori. Per ciò che attiene al rispetto della disciplina della privacy, il Garante infatti impone, innanzitutto, di limitare al minimo indispensabile quanto possa comportare un controllo diretto, e quindi un trattamento sui dati personali dei singoli dipendenti.
Come già emerso nelle direttive emanate in passato, si conferma dunque la necessità di una policy aziendale, finalizzata a organizzare un sistema di controlli graduale, il quale riduca il controllo e trattamento dei dati personali al minimo indispensabile, al quale è lecito procedere solo come extrema ratio, dopo che tutte le altre misure comunque predisposte in maniera efficiente (prevenzione mediante sistemi anti-intrusione, blocchi dei collegamenti a determinati siti, controlli su dati anonimi, ecc.) si siano rivelate in concreto insufficienti. Di tali misure, e quindi della possibilità che, in casi particolari, vi possa essere un diretto controllo sui dati personali, va comunque data adeguata informativa al lavoratore.
Il Garante, come già visto, tenta di tracciare anche il limite della nozione di “strumenti utilizzati (…) per rendere la prestazione”, che appare idonea a comprendere, accanto ai dispositivi (computer, tablet, ecc.) e al software (programma di posta elettronica, browser per la connessione a Internet) le sole applicazioni “strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza”. Tuttavia, se si va al di fuori dell’elencazione contenuta nel provvedimento (v. lo stralcio sopra trascritto), i limiti con i quali il legislatore esonera dall’obbligo dell’accordo sindacale ovvero dell’autorizzazione rimangono ancora incerti, come si è ben dimostrato, ad esempio, per l’installazione dei Gps, per i quali si sono registrate prese di posizioni contrastanti da parte delle stesse Autorità amministrative.
È consigliabile, dunque, essere prudenti, anche in considerazione delle indicazioni a suo tempo fornite dal ministero del Lavoro (Comunicato stampa ministero del lavoro 18 giugno 2015, richiamato anche dal provvedimento del Garante), per le quali “l’accordo o l’autorizzazione non servono se, e nella misura in cui, lo strumento viene considerato quale mezzo che ‘serve’ al lavoratore per adempiere la prestazione: ciò significa che, nel momento in cui tale strumento viene modificato (ad esempio, con l’aggiunta di appositi software di localizzazione o filtraggio) per controllare il lavoratore, si fuoriesce dall’ambito della disposizione: in tal caso, infatti, da strumento che ‘serve’ al lavoratore per rendere la prestazione il pc, il tablet o il cellulare divengono strumenti che servono al datore per controllarne la prestazione”.
Attenzione, dunque, non solo al “device”, ma anche a ogni singola “app”.