QUANDO LA FLESSIBILITÀ DEL LAVORATORE INCONTRA LE ESIGENZE DEL DATORE DI LAVORO: LO SMART WORKING

Marzo 10, 2020Settembre 2, 2020
by alessandro

Da anni abbiamo maturato la consapevolezza che molti cambiamenti radicali della nostra vita sia professionale che sociale dipendano in larga misura dall’evoluzione della tecnologia. Proprio per questo motivo, il concetto di lavoro e di prestazione lavorativa si stanno pian piano allineando con il concetto di flessibilità del lavoratore, complice l’uso sempre più frequente di dispositivi personali anche nel contesto professionale (si pensi, ad es., a quelle politiche aziendali che implicano, non senza qualche perplessità in materia di privacy, il Bring Your Own Device, il Mobile Device Management, o l’uso di dispositivi wereable).

La questione ha preso maggiormente piede con l’evoluzione della situazione epidemiologica che sta investendo nelle ultime settimane il nostro Paese e il mondo intero, vedendo costrette molteplici realtà lavorative a fare i conti con un cambio di rotta per evitare rallentamenti di produttività nel breve e nel lungo periodo. Ed è così che si è approfondito – e messo in pratica – il concetto di smart working.

Lo smart working o remote working, praticato da tempo nei Paesi anglosassoni e visto ancora con – non poca – diffidenza dai nostri connazionali, implica la possibilità per il lavoratore di scegliere, in accordo con il proprio datore, di lavorare “da casa” o in qualsiasi altro luogo che non coincida con l’ufficio, munendosi di dispositivi che gli permettano e ne garantiscano una raggiungibilità nonostante la sua assenza fisica.

Vediamo, a livello normativo, come lo smart working viene visto e disciplinato, al fine di valutarne, per quel che interessa in questa sede, le implicazioni in materia di privacy.

L’art. 18 della L. n. 81/2017 (recante le “Misure per la tutela del lavoro autonomo non imprenditoriale e misure volte a favorire l’articolazione flessibile nei tempi e nei luoghi del lavoro subordinato”) introduce il concetto di lavoro agile, promuovendolo “allo scopo di incrementare la competitività e agevolare la conciliazione dei tempi di vita e di lavoro, (…) quale modalità di esecuzione del rapporto di lavoro subordinato stabilita mediante accordo tra le parti, anche con forme di organizzazione per fasi, cicli e obiettivi e senza precisi vincoli di orario o di luogo di lavoro, con il possibile utilizzo di strumenti tecnologici per lo svolgimento dell’attività lavorativa. La prestazione lavorativa viene eseguita, in parte all’interno di locali aziendali e in parte all’esterno senza una postazione fissa, entro i soli limiti di durata massima dell’orario di lavoro giornaliero e settimanale, derivanti dalla legge e dalla contrattazione collettiva”.

Sempre la L. n. 81/2017 riporta altresì l’art. 21 a mente del quale “L’accordo relativo alla modalità di lavoro agile disciplina l’esercizio del potere di controllo del datore di lavoro sulla prestazione resa dal lavoratore all’esterno dei locali aziendali nel rispetto di quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300, e successive modificazioni (…)”.

Sul versante privacy, l’art. 115 d.lgs. 196/2003, ancora in vigore e recentemente modificato dal d.lgs. 101/2018, chiarisce come “Nell’ambito del rapporto di lavoro domestico del telelavoro e del lavoro agile il datore di lavoro è tenuto a garantire al lavoratore il rispetto della sua personalità e della sua libertà morale. Il lavoratore domestico è tenuto a mantenere la necessaria riservatezza per tutto quanto si riferisce alla vita familiare”.

Sin qui si comprende come la normativa abbia pienamente tenuto conto della repentina evoluzione tecnologica. Tuttavia sorge spontanea una domanda: quali dispositivi potrà controllare il datore di lavoro? E per quali finalità? Sul punto, lo Statuto dei Lavoratori (l. 300/1970) ebbe modo di approfondire la questione all’art. 4, il quale, dopo aver stabilito, al co. 1, che “Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali” prosegue al co. 2 sostenendo che “La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze”. Precisa, infine, al co. 3 che “Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”.

Il suddetto articolo pone una serie di limiti al datore di lavoro nella messa in atto, sul luogo di lavoro latamente inteso, degli impianti audiovisivi e di altri strumenti di controllo, anzitutto definendo, al co. 1, le finalità. Si prosegue poi specificando che detta disposizione non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa, quali, ad esempio, i portatili aziendali. In ogni caso, il comma conclusivo della norma in esame chiarisce il dovere di informare il lavoratore prima della messa in atto di detti mezzi.

Ebbene, dal combinato disposto degli articoli sopra esaminati emerge chiaramente come lo smart working possa garantire una sostanziale flessibilità al lavoratore, in grado di poter bilanciare le proprie esigenze personali con quelle lavorative, senza rinunciare – e, anzi, incentivando – ad un incremento di competitività e di produttività. Le garanzie nei confronti del lavoratore implicano che il – pur sempre doveroso – controllo da parte del datore di lavoro sia corredato da una serie di limiti che non vadano a minare la personalità e la libertà morale del lavoratore medesimo.

LE SOLUZIONI DEL WP PER UN CORRETTO APPROCCIO ALLO SMART WORKING. A coronamento della disamina normativa sopra riproposta non si può non citare il WP n. 249, 8 giugno 2017 “Opinion 2/2017 on data processing at work”, il quale, tenendo conto della posizione di debolezza del dipendente nei confronti del datore di lavoro, sottolinea l’imprescindibile necessità del lavoratore di veder protetti i propri diritti fondamentali, quali la segretezza delle comunicazioni relative alla sua posizione geografica e alla corrispondenza.

Ma quando il datore di lavoro potrà avvalersi delle basi giuridiche più “critiche” (consenso e legittimo interesse) per giustificare il trattamento dei dati del suo dipendente che opera da remoto?

La base giuridica del consenso ex art. 6, co. 1, lett. a, GDPR appare svantaggiosa, considerata la posizione di debolezza occupata dal lavoratore nei confronti del datore di lavoro. A detta del WP, infatti, il dipendente può prestare il proprio libero consenso in circostanze eccezionali, quando non vi siano conseguenze connesse all’accettazione o al rifiuto di un’offerta.

Il legittimo interesse ex art. 6, co. 1, lett. f, GDPR, invece, può essere invocato come base giuridica del trattamento nel solo caso in cui il trattamento è strettamente necessario per uno scopo legittimo e si attiene ai principi della proporzionalità e necessità.

Sul versante prettamente compliance, altro principio fondamentale è la trasparenza, nel rispetto della quale le informative e le regole concernenti il monitoraggio legittimo devono essere chiare e prontamente accessibili da parte di tutti i lavoratori.

Inoltre, nel pieno rispetto del principio di proporzionalità è bene evitare il monitoraggio continuo dei dispositivi di cui si serve il lavoratore, ad esempio apponendo dei filtri di accesso a determinati siti, soprattutto in un’ottica di prevenzione che permea l’intera struttura del GDPR.

In virtù del principio della minimizzazione dei dati ex art. 5, co. 1, lett. c, GDPR, le informazioni devono essere raccolte e conservate per il tempo necessario. Qualora quel dato non dovesse più servire, andrebbe cancellato.

Date queste premesse, è bene sottolineare come il WP non manchi di sottolineare il sempre più elevato rischio di accessi non autorizzati al portale usato dal lavoratore, che possono condurre alla perdita o alla distruzione di informazioni, inclusi dati personali di dipendenti o clienti. Al fine di mitigare detti rischi, spesso il datore di lavoro trova una giustificazione dell’attivare pacchetti software quali il keylogger (finalizzato ad intercettare quanto digitato dall’utente sulla tastiera senza che questi se ne accorga), la captazione dei movimenti del mouse, lo screen recorder, l’effettuazione di login in determinate applicazioni e, per i dispositivi compatibili, abilitare le webcam ed estrarne eventuali filmati. Tutte tecnologie, al giorno d’oggi, pienamente disponibili.

Tuttavia, evidenzia il WP, l’uso di dette tecnologie appare sproporzionato – specie se all’interno di un contesto lavorativo – ed è alquanto improbabile che il datore di lavoro presenti o, quantomeno, riesca a comprovare una base giuridica di legittimo interesse, ad esempio, registrando le ricerche svolte dal dipendente o intercettandone i movimenti del mouse. Il WP suggerisce, in conclusione, la necessità di indirizzare il rischio corso dal lavoro da casa in una maniera proporzionata e non eccessiva, qualunque sia il modo in cui l’opzione è offerta e qualunque tecnologia sia proposta, in particolare quando i confini tra business e privato sono labili.

CONCLUSIONI. Dalla disamina sopra riproposta si comprende come la materia dello smart working non sia esente da numerose implicazioni privacy. Ne deriva che il datore di lavoro dovrà adottare, in ottica di accountability, una serie di accorgimenti che vadano a garantire il rispetto della personalità e della libertà morale del lavoratore.

Imprescindibile, anzitutto, è l’avvalersi di dispositivi sicuri, che permettano una raccolta ed un trattamento dei dati per finalità legittime ed esplicate da parte del datore di lavoro: questi, del resto, può raccogliere dati solo per scopi legittimi, sorretti da una base giuridica, ed il fatto che sia il datore medesimo a possedere i mezzi tecnologici attraverso cui i dipendenti forniscono le loro prestazioni non implica che la loro privacy (ad es. la segretezza delle loro comunicazioni) non debba essere garantita.

Proprio per i suddetti motivi, ogni lavoratore dovrebbe avere facilmente accesso ad una policy di sicurezza che spieghi le responsabilità dei dipendenti, stabilendo chiaramente cosa sia loro permesso o meno in relazione alla gestione dei dati e che tutti i lavoratori dovrebbero confermare di aver letto e compreso.

Si tenga a mente, infatti, che il titolare del trattamento dei dati personali deve adottare tutte le possibili misure tecniche ed organizzative per dimostrare – e, soprattutto, garantire – che il trattamento è effettuato conformemente al GDPR, in ossequio al principio dell’accountability.

https://edition.cnn.com/2019/02/15/success/remote-work-maintain-culture/index.html

https://www.cloudpay.net/resources/managing-the-impact-of-gdpr-on-remote-workers

avv. Valeria Quadranti