Abbiamo parlato qui del rapporto tra lavoro agile (smart working) e obblighi in materia di trattamento dei dati personali.
In questo approfondimento ci dedichiamo al ruolo della tutela dei dati personali rispetto alla prestazione lavorativa in modalità agile e al possibile controllo dei lavoratori.

Secondo la definizione normativa (Legge n. 81/2017), il lavoro agile rappresenta una modalità di esecuzione del rapporto di lavoro subordinato stabilita mediante accordo tra le parti, anche con forme di organizzazione per fasi, cicli e obiettivi e senza precisi vincoli di orario o di luogo di lavoro, con il possibile utilizzo di strumenti tecnologici per lo svolgimento dell'attività lavorativa. La prestazione lavorativa viene eseguita, in parte all'interno di locali aziendali e in parte all'esterno senza una postazione fissa, entro i soli limiti di durata massima dell'orario di lavoro giornaliero e settimanale, derivanti dalla legge e dalla contrattazione collettiva.

L'attuale situazione di emergenza sanitaria presenta tuttavia una deroga esplicita alla normativa appena citata.
In particolare, l'art. 2, co. 1, lett. r), del DPCM dell’8 marzo 2020, allo scopo di contrastare e contenere il diffondersi del virus COVID-19, dispone l’applicazione, sull'intero territorio nazionale e per la durata dello stato emergenziale, della modalità di lavoro agile, anche in assenza degli accordi individuali previsti dalla normativa in materia.
Ancora, l’art. 1, co. 1, n. 6, del DPCM dell’11 marzo 2020 stabilisce che le pubbliche amministrazioni assicurano lo svolgimento in via ordinaria delle prestazioni lavorative in forma agile del proprio personale dipendente, anche in deroga agli accordi individuali e agli obblighi informativi di cui agli artt. 18-23 della Legge n. 81/2017.
Si può comprendere, dunque, la generale difficoltà di conciliare i princìpi di tutela contenuti nell'assetto normativo originario con le esigenze dettate dall'eccezionalità del momento storico.

Per un verso, la prevista deroga crea non poche difficoltà nell'applicazione dell'art. 21 della Legge n. 81/2017, che – in un'ottica di equilibrio tra le parti – assegna proprio all'accordo individuale la disciplina dell'esercizio del potere di controllo del datore di lavoro sulla prestazione resa dal lavoratore all'esterno dei locali aziendali.
La normativa sul lavoro agile stabilisce che il datore di lavoro è responsabile della sicurezza e del buon funzionamento degli strumenti tecnologici assegnati, dovendo garantire sia la salute che la sicurezza del lavoratore, ma anche che il dipendente è tenuto a cooperare all’attuazione delle misure di prevenzione predisposte dal datore di lavoro per fronteggiare i rischi connessi all’esecuzione della prestazione all’esterno dei locali aziendali. Così, il lavoratore è responsabile della custodia degli strumenti e dei mezzi assegnatigli per l'esecuzione della prestazione in modalità di lavoro agile, nonché della sicurezza e riservatezza delle informazioni e dei dati.
E allora, stante la dichiarata possibilità di mancanza di un accordo individuale, come conciliare il divieto di controllo a distanza dei lavoratori con l'obbligo di assicurare la sicurezza e la riservatezza dei dati personali trattati in virtù della prestazione lavorativa?

Ebbene, l'art. 4 dello Statuto dei Lavoratori (Legge n. 300/1970) attualmente dispone che gli strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo sindacale o, in mancanza, previo rilascio di autorizzazione amministrativa da parte dell'Ispettorato del lavoro territorialmente competente.
Tuttavia, il comma 2 dell'art. cit. precisa che le disposizioni appena indicate non si applicano agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.

E' pur vero che per stabilire se un dispositivo possa considerarsi uno “strumento di lavoro” è necessario analizzare il contesto aziendale, i software e i sistemi utilizzati.
Ciò non toglie, però, che la sicurezza e la riservatezza dei dati personali dovranno essere garantite nel rispetto di tutti i diritti in gioco.
Ma come?

In primo luogo, attraverso l’adozione di una policy specifica contenente dettagliate istruzioni per i lavoratori, in grado di disciplinare la prestazione in lavoro agile in modo coerente con le esigenze di tutela e protezione dei dati personali. In particolare, tale regolamentazione dovrà istruire i lavoratori e fissare regole di comportamento idonee a garantire, contemporaneamente, la compliance alla normativa europea e nazionale sul trattamento dei dati personali, l'osservanza del principio di responsabilizzazione del datore di lavoro e l'istruzione corretta delle operazioni cui è tenuto il lavoratore nell'adempiere alla propria prestazione.
Inoltre, l'equilibrio tra le diverse esigenze di tutela dei dati personali deve essere dimostrato dal datore mediante la predisposizione di una informativa specifica che illustri ai lavoratori quanto e come l’attività lavorativa possa essere verificata a distanza, con quali modalità, tempistiche e quali sono eventuali conseguenze disciplinari in caso di inosservanza delle istruzioni.
Solo così, infatti, non saranno posti in essere trattamenti illegittimi di dati personali.

D'altronde, se l'emergenza sanitaria può consentire la deroga straordinaria ad alcune norme nazionali, è altrettanto vero che i princìpi cardine contenuti nel Regolamento UE 2016/679 (cd. GDPR) sulla protezione dei dati personali non possono essere disapplicati, neanche in via eccezionale, trattandosi di “diritti fondamentali”.

Helpdesk
email: gdpr33@gdpr33.it
tel: 0692915690