Il termine “Smart Working “ è diventato ormai di uso comune e sempre più aziende hanno fatto propria questa modalità di lavoro flessibile che da una parte permette un accrescimento della produttività del lavoratore e dall’altra consente una migliore gestione del tempo e della qualità di vita lavorativa.
lo Smart Working,, come precisato dalla Legge 81/2017, ha lo scopo di incrementare la competitività e agevolare la conciliazione dei tempi di vita e di lavoro. Ciò avviene anche con forme di organizzazione per fasi, cicli e obiettivi e senza precisi vincoli di orario o di luogo di lavoro e con il possibile utilizzo di strumenti tecnologici per lo svolgimento dell’attività lavorativa.
La prestazione lavorativa viene dunque eseguita in parte all’interno di locali aziendali e, in parte, all’esterno senza una postazione fissa, entro i soli limiti di durata massima dell’orario di lavoro giornaliero e settimanale, derivanti dalla legge e dalla contrattazione collettiva.
Questa modalità di lavoro implica che il lavoratore sia portato a condividere, in maniera più o meno consapevole, una massiccia quantità di dati personali che lo riguardano attraverso l’utilizzo dei dispositivi elettronici che possono essere messi a disposizione dall’azienda, o essere di proprietà personale del lavoratore, ma utilizzati per rendere la prestazione lavorativa, il c.d. BYOD (Bring your own device).
L’utilizzo delle nuove tecnologie appare dunque strettamente collegato ed impattante sullo “Smart Working” basti considerare in tal senso i Wearable device che consentono di monitorare in modo preciso il lavoratore nei suoi sposamenti, attraverso il gps, o di rilevare il livello di stress o di fatica. A ciò si devono aggiungere i dati prodotti durante la navigazione internet su rete aziendale o con dispositivi messi a disposizione del datore di lavoro.
Il datore di Lavoro viene dunque a conoscenza di una enorme quantità di dati, che potranno essere utilizzati e trattati nel rispetto della disciplina giuslavoristica e della normativa privacy. Un illecito o scorretto utilizzo degli stessi può comportare la commissioni di gravi illeciti penali imputabili al datore di lavoro e alla società, nonché a rilevanti sanzioni di natura amministrativa.
A titolo esemplificativo i dati che una Società può raccogliere relativamente ai propri dipendenti e collaboratori si possono raggruppare in tre macro aree.
- Dati personali: da intendersi come qualsiasi informazione riguardante direttamente, o facilmente riconducibile,. I dati personali possono essere trattati dal datore di lavoro anche senza il consenso dell’interessato se essi sono necessari per adempiere ad un obbligo di legge a carico dell’azienda o per l’esecuzione del contratto di lavoro o della prestazione lavorativa stessa.
- dati particolari: sono i dati in grado di rivelare “l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.
Ai sensi dell’art. 9 comma 2 lettera b) GDPR è legittimo il “trattamento necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione e degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.
- dati giudiziari: Il trattamento è ammesso solo se autorizzato da una norma di legge, da un regolamento o, in mancanza di entrambi, da apposito decreto del Ministro della Giustizia. In materia di diritto del lavoro, ad oggi la normativa consente alle aziende il trattamento dei dati relativi alle condanne penali solo per l’adempimento di obblighi di legge.
Per non incorrere in sanzioni penali e civili il Datore di Lavoro dovrà mettere in atto delle corrette procedure interne per la gestione di tali dati, in primo luogo dovrà rispettare il dettato normativo dell’art. 4 del D.Lgs 81/2008 che prevede al comma III la possibilità di raccogliere le informazioni mediante gli strumenti utilizzati per rendere la prestazione di lavoro e di poterne disporre per tutti i fini connessi al relativo rapporto, purché sia stata fornita adeguata informazione al lavoratore sulle modalità d’uso dei dispositivi stessi e sui possibili controlli, il tutto nel rispetto dei principi sanciti dalla normativa vigente in tema di privacy.
Il datore di lavoro dovrà pertanto essere in grado di dimostrare come l’utilizzo delle tecnologie informatiche non rientri in un programma volto esclusivamente al controllo dell’attività del lavoratore. In particolare la disciplina sui controlli a distanza dell’art. 4 dello statuto dei lavoratori si applica anche ad attività quali “la conservazione e la categorizzazione dei dati personali dei dipendenti relativi alla navigazione in internet, all’utilizzo della posta elettronica ed alle utenze telefoniche da essi chiamate”, come ribadito anche da una recente sentenza della Corte di Cassazione (sentenza 28.05.2018 n.13266).
L’uso degli strumenti di controllo dev’essere sempre contenuto nella portata e proporzionato, affinché il controllo a distanza possa ritenersi legittimo i dati così acquisiti siano utilizzabili, è fondamentale fornire ai dipendenti un’informativa esaustiva in ordine all’uso degli strumenti aziendali, ai dati trattati, al loro utilizzo e conservazione, nonché circa le modalità con cui vengono eseguiti i controlli, che i controlli non abbiano ad oggetto l’attività lavorativa del dipendente e che siano effettuati ex post, a seguito del verificarsi di un comportamento illecito del lavoratore o comunque per la verifica di un’anomalia del sistema informatico. Non è infatti consentito un accesso indiscriminato al datore di lavoro agli strumenti informatici in uso al lavoratore.
I lavoratori devono essere sempre previamente informati del possibile controllo datoriale sulle loro comunicazioni anche via internet, per questo motivo diventa fondamentale adottare una privacy policy adeguata e calata nello specifico contesto, sarà perciò compito del datore di lavoro fornire al lavoratore una adeguata informativa relativa il trattamento dei dati personale (ex art. 13 Regolamento Europeo 2016/679) contenente in maniera chiare e completa l’indicazione della finalità della raccolta dati, di eventuali destinatari o categorie di destinatari dei dati personali, del periodo di conservazione dei dati, dell’identità e dei dati di contatto del titolare del trattamento e, ove esistente, del suo rappresentante, nonché, dell’utilizzo di un processo decisionale automatizzato.
È importante ricordare che l’informativa deve essere messa a disposizione nel momento in cui si entra in possesso dei dati personali e prima di iniziare il loro trattamento. In base a questo, le aziende sono tenute a fornire le informazioni citate prima dell’instaurazione del rapporto di lavoro.
In conclusione, ad oggi diventa rilevante soddisfare non solo i requisiti previsti dallo statuto dei lavoratori, anche quanto previsto dalla normativa in tutela della privacy così come previsto dell’art. 4, co. 3 Statuto dei Lavoratori. Il rispetto di ciò diventa il presupposto per l’utilizzo di tutte le informazioni entrate nella disponibilità del datore di lavoro a seguito dell’esercizio del potere di controllo, nei limiti fissati dall’art. 4, commi 1 e 2, dello Statuto. A tal fine, ogni singola azienda deve dotarsi di un sistema di gestione dei dati efficace e funzionale. Detto sistema implica la predisposizione di informative privacy chiare; l’assunzione, come detto sopra, di un regolamento interno che disciplini l’uso degli strumenti tecnologici di lavoro; l’adozione di procedure interne e una corretta informazione e formazione del personale. La carenza dell’adesione a tale schema operativo conduce non solo ad un rischio in termini di sanzioni derivanti dall’esecuzione di trattamenti illegittimi dei dati personali, ma anche alla impossibilità di fare valere le proprie ragioni nei confronti di lavoratori inadempienti in sede giudiziaria.