HUBSTAFF: INVASIONE DELLA PRIVACY O DIRITTO DEL DATORE DI LAVORO? E SE PER UNA VOLTA ADOTTASSIMO UN’ALTRA PROSPETTIVA? IL PRODUCTIVITY TRACKING

Il rallentamento determinato dal lockdown ci ha permesso di riscoprire il valore di quello che viene identificato come quality time. Ove è stato possibile, si è praticato – e continua a praticarsi – il lavoro da casa, rivelatosi una risorsa in termini di risparmio di tempo e di energia. Il tutto nel rispetto di un rapporto di fiducia tra datore di lavoro e lavoratore. Questa nuova realtà ha aperto le porte ad una diversa prospettiva, generata dall’esigenza di rinnovare il bilanciamento tra i bisogni del lavoratore e l’interesse del datore di lavoro alla produttività della propria azienda.

Recentemente negli Stati Uniti ha fatto discutere una modalità che ha le caratteristiche di un controllo del lavoratore giustificato da un’esigenza di monitoraggio e di mantenimento della produttività. Ma quando detto controllo può trasformarsi in una vera a propria sorveglianza?

Hubstaff è un software finalizzato al monitoraggio del dipendente, registrandone la produttività giornaliera sulla base del monte ore impiegato per un dato compito. Fin qui, nulla di impressionante considerato che larga parte delle realtà aziendali si avvalgono dei famosi timesheet. Tuttavia, la tecnologia di Hubstaff contempla la possibilità di “osservare” il dipendente durante l’orario di lavoro, registrando gli screenshot del suo schermo ed analizzando i siti che visita. Questo modifica inesorabilmente il modo in cui il lavoratore presta la sua attività, dovendo fornire (e giustificare) una productivity score giornaliera. Ne sono seguite numerose polemiche sulla scarsa protezione della privacy dei lavoratori americani: sono stati infatti sollevati non solo problemi di violazione della privacy ma anche relativi alla inconsapevolezza del destino dei dati raccolti (soprattutto se, tra essi, vi sono dati sensibili). Negli Stati Uniti, peraltro, non esiste una legge federale che impone al datore di lavoro di informare il proprio prestatore di essere sorvegliato.

In Europa, in genere, il monitoraggio massivo della produttività dei lavoratori (inconsapevoli) è illegale: il datore, in ossequio al principio dell’accountability, deve fornire un’idonea informazione relativa alle attività che implicano una sorveglianza dei propri dipendenti/collaboratori, e ciò tramite l’esplicazione delle basi giuridiche, specie ove si tratti di legittimo interesse. Ad esempio un’azienda ha un legittimo interesse a raccogliere i dati per valutare la produttività del lavoratore senza consenso di quest’ultimo, ma dovrà informarlo e disporre delle misure di sicurezza per raccogliere i dati. 

Ai fini di un’analisi più approfondita, è doverosa una premessa. Spesso si tende a confondere la terminologia in questo campo essendo, specie negli ultimi anni, proliferati concetti talvolta confusi tra loro, pur avendo un significato distinto: si pensi, ad esempio, al problema che aveva coinvolto l’art. 13 del d.lgs. 196/2003 introduttiva dell’informativa privacy antecedente quella rinnovata ex art. 13 GDPR, e che veniva erroneamente definita con l’espressione di declinazione anglosassone “privacy policy”, in realtà parzialmente distinta dal concetto specifico di informativa.

Quanto alle tematiche attinenti a quello che generalmente viene definito “lavoro da casa”, la legge e la prassi italiana prevedono istituti giuridici ben definiti, che di seguito si tenterà di riassumere:

• smart working: pur essendo un concetto di richiamo anglosassone, si tratta in realtà di uno pseudoanglicismo, dato che in inglese della modalità è riconosciuta come “working from home”. Indica una modalità di svolgimento del lavoro subordinato, preposto al raggiungimento di un obiettivo e che non si basa sul rispetto di uno specifico orario di lavoro: il proprio operato viene così offerto in maniera più autonoma, più smart appunto;
• lavoro agile: normativamente disciplinato dall’art. 18, L. 81/2017, “allo scopo di incrementare la competitività e agevolare la conciliazione dei tempi di vita e di lavoro”, esso viene inteso come “modalità di esecuzione del rapporto di lavoro subordinato stabilita mediante accordo tra le parti, anche con forme di organizzazione per fasi, cicli e obiettivi e senza precisi vincoli di orario o di luogo di lavoro, con il possibile utilizzo di strumenti tecnologici per lo svolgimento dell’attività lavorativa” e con la finale specificazione che “la prestazione lavorativa viene eseguita, in parte all’interno di locali aziendali e in parte all’esterno senza una postazione fissa, entro i soli limiti di durata massima dell’orario di lavoro giornaliero e settimanale, derivanti dalla legge e dalla contrattazione collettiva”;
• remote working: concetto anch’esso di derivazione anglosassone, e talvolta confuso con il più conosciuto smart working, il remote working è l’evoluzione del telelavoro ed indica la possibilità di svolgere la propria mansione in uno spazio diverso dalla classica sede contrattuale di lavoro: a differenza dello smart working, infatti, gli orari sono stabiliti (vicini a quelli fissati per il personale che lavora nella sede fisica dell’azienda) e si richiede l’uso di dispositivi sicuri e protetti;
• flexible working: questo modello comprende tutte quelle modalità di lavoro che non coincidono con una programmazione classica, vedendo il lavoratore impegnato nel tipico orario lavorativo in un dato luogo stabilito. Un modello, appunto, flessibile, che si adatta ai bisogni e alle esigenze non solo dei lavoratori ma anche del business in generale.

Ebbene, nella presente disamina la modalità che potrebbe generare più problemi dal punto di vista privacy è quella del remote working, in relazione al quale, da quando è stato largamente praticato durante l’emergenza pandemica, infinite sono state le osservazioni negative sulla possibilità che il datore di lavoro si potesse ingerire nella vita del dipendente/collaboratore. Detta polemica è stata sollevata invocando l’art. 4, l. 300/1970 (Statuto dei Lavoratori). Ma se il controllo da parte del datore aumentasse la produttività generalizzata dell’azienda? Se lo spiare il dipendente può ingenerare motivazione nel medesimo ad ottenere (e far ottenere) buoni risultati?

IL CONCETTO DI STRUMENTO DI LAVORO: L’ORIENTAMENTO DEL TRIBUNALE DI ROMA.

Ebbene, questo articolo non è finalizzato a giustificare un indebito il controllo da parte dei datori di lavoro, bensì a porre una serie di riflessioni che i medesimi potrebbero muovere per giustificare la propria ingerenza.

Già il precedente Titolo VIII (Lavoro e previdenza sociale) del d.lgs. n. 196/2003 disciplinava la raccolta di dati dei dipendenti (art. 113, che si richiamava all’art. 8 dello Statuto dei Lavoratori), il controllo a distanza (art. 114, che si richiamava all’art. 4 dello Statuto dei Lavoratori), il telelavoro e lavoro a domicilio (art. 115). Non si dimentichi, peraltro, l’abrogato art. 17, il quale imponeva una verifica preliminare all’inizio del trattamento dei dati diversi da quelli sensibili e giudiziari che presentasse rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato delle misure e degli accorgimenti prescritti dal Garante.

L’art. 23 Jobs Act del 2015 ha introdotto un’importante modifica all’art. 4 dello Statuto, il cui co. 1 non contempla più il divieto assoluto del controllo a distanza dei lavoratori come principio generale, consentendo oggi di installare impianti “dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori”, se l’impianto è destinato ad altro scopo (quale quello di tutelare il patrimonio aziendale): a tal fine si richiede che l’installazione sia autorizzata da un accordo sindacale o da un provvedimento amministrativo. E dell’installazione dell’impianto e delle sue modalità d’uso il lavoratore va previamente informato (co. 3). Ciò ha creato il dibattito giurisprudenziale sui controlli difensivi, risolto dalla Cassazione nel senso che si applicano i controlli difensivi, volti ad accertare comportamenti illeciti dei lavoratori “quando, però, tali comportamenti riguardino l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, e non, invece, quando riguardino la tutela di beni estranei al rapporto stesso”: in sostanza, sono legittimi quei controlli diretti ad accertare comportamenti illeciti del lavoratore e lesivi del patrimonio aziendale (sul punto Cass. n. 2722/2012 e Cass. n. 3122/2015).

È rimasto invariato, ed è giusto richiamarlo per completezza espositiva, il provvedimento del Garante del 27 novembre 2008, recante le “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, figura preposta “alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali”. 

Orbene, tenendo a mente le modifiche dell’art. 4, l. 300/1970 (Statuto dei Lavoratori), come sopra descritte, si può constatare che una piattaforma come Hubstaff non sia stata creata al precipuo fine di controllare i dipendenti ma nell’ottica di incentivare appieno il lavoro in team e la produttività, distribuendo i compiti e attività specifici, così consentendo ai datori di lavoro di gestire più facilmente i propri dipendenti/collaboratori online. Deve pertanto essere visto in un’ottica di specificazione del lavoro: compiti specifici a ciascun membro del team in modo che ciascuno sappia cosa fare e il datore sia in grado di tracciare il tempo esatto di svolgimento del compito.

In tutto questo il productivity tracking serve a stimolare il lavoratore a performance migliori e in tempo ridotto, aumentando, sia nel breve che nel lungo termine la produttività.

Ma quando è possibile parlare di productivity tracking senza sfociare nel controllo a distanza del lavoratore? Un’interpretazione interessante è stata offerta dal Tribunale di Roma che, con sentenza n. 57668 del 13 giugno 2018, riconosce al software gestionale la natura di strumento di lavoro. 

Il giudice capitolino si è pronunciato sui limiti al potere di controllo del datore di lavoro delineati dal novellato art. 4 Statuto dei Lavoratori, osservando che il relativo co. 1 consente oggi di installare impianti “dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori”, se l’impianto è destinato ad altro fine (quale quello di tutelare il patrimonio aziendale): a tal fine si richiede l’autorizzazione dell’installazione da parte di un accordo sindacale o di un provvedimento amministrativo, nonché la preventiva informazione al lavoratore dell’installazione dell’impianto e delle sue modalità d’uso. 

Il giudice capitolino evidenzia come il legislatore realizzi “normativamente il contemperamento tra interesse al controllo e protezione della dignità e riservatezza dei lavoratori (…), per cui il lavoratore può ben essere controllato con mezzi a distanza, ma alle seguenti cumulative condizioni: 

1. a) l’impianto deve essere stato previamente autorizzato con accordo sindacale o dall’ INL; 
2. b) l’impianto deve avere una o più delle finalità (diverse da quelle di controllare i lavoratori) previste dal primo comma dell’art. 4; 
3. c) il datore deve aver previamente informato il lavoratore che l’impianto è stato installato, e che vi si potranno esperire controlli (co. 3); 
4. d) il controllo deve essere esperito in conformità al Codice della privacy, il che comporta essenzialmente che esso va fatto secondo i principi di trasparenza, scopo legittimo e determinato, non invasività, ricavabili dall’art. 11 del D.Lgs. 196/2003 e s.m.”.

La pronuncia in esame specifica altresì che le regole sub a) e b) – che dettano il regime procedurale autorizzatorio – non valgono per gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, quali, evidentemente, il software PRS e la email aziendale. Le regole sub c) e d), invece, si applicano sempre, alla sola condizione che si tratti di “strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori”. Il software gestionale, secondo il Tribunale di Roma, rientra in tale categoria, trattandosi di strumenti che, avendo finalità lavorative, consentono il controllo a distanza dell’operato del lavoratore. In tal caso, il datore di lavoro, al fine di poter esperire il controllo del lavoratore su tali strumenti, deve previamente “dare al lavoratore adeguata informazione delle modalità (…) di effettuazione dei controlli”, avvisando previamente il dipendente/collaboratore: 

1. a) che la sua attività avrebbe potuto essere controllata mediante tali strumenti; 
2. b) su come sarebbe stato esperito il controllo. 

Secondo il Tribunale di Roma il software gestionale è da considerarsi uno strumento di lavoro, circostanza che estende le possibilità di controllo sull’attività del dipendente garantite dallo sviluppo tecnologico: dai contenuti delle mail alle modalità di interazione con i gestionali per misurare produttività, salute, efficienza, stabilità emotiva dell’utente. In tale caso, però, il datore sarà obbligato a rispettare i principi in materia di tutela dei dati personali.

Nella sua pronuncia, il Tribunale di Roma altro non opera che la distinzione tra attività dei lavoratori, il cui controllo richiede normalmente un’autorizzazione, e attività lavorativa, per cui non è richiesta l’autorizzazione ma solo l’informativa sull’attività di controllo posta in essere dal datore di lavoro, nel pieno rispetto dei principi di necessità, finalità, trasparenza, proporzionalità e sicurezza.

CONCLUSIONI. La disamina svolta muove dalla consapevolezza che di una costante evoluzione tecnologica e la conseguente incapacità dei mondi circostanti, in primis quello legale, di adattarsi alla medesima. L’interpretazione offerta nella, non più recentissima, sentenza emessa dal Tribunale di Roma in relazione all’art. 4 dello Statuto dei Lavoratori può essere interpretata come il giusto compromesso tra l’esigenza del datore di lavoro di valutare la produttività della propria realtà aziendale e quella del lavoratore della riservatezza della sua vita privata, anche nel contesto del remote working. Il tutto, salvaguardando la produttività aziendale.

Avv. Valeria Quadranti

 

FONTI 

https://www.bbc.com/news/av/technology-52833547/is-your-boss-spying-on-you-as-you-work-from-home

https://nicolabernardi.nova100.ilsole24ore.com/2020/05/19/se-non-esiste-privacy-per-lavoratori-smart-working/

“Inutilizzabilità delle informazioni raccolte tramite gestionali e posta elettronica per mancata informativa al dipendente”, di Ogriseg Claudia, GiustiziaCivile.com , 23 novembre 2018