L’art. 4 L. n. 300/1970, nel suo testo originale, prevedeva un generale divieto circa “l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori” (comma 1); e richiedeva – per l’installazione de “gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori” – un previo accordo sindacale o l’autorizzazione dell’Ispettorato del lavoro (comma 2).
La disposizione è stata “attualizzata” dall’art. 23 D.Lgs. n. 151/2015. La modifica legislativa non ha però liberalizzato i controlli: nel nostro ordinamento persiste tuttora un generale divieto di controllare a distanza l’attività dei lavoratori e di installare apparecchiature specificamente preordinate alla verifica dell’osservanza dei doveri di diligenza, nonché della correttezza dell’esecuzione della prestazione. L’art. 4 L. n. 300/1970, nel nuovo testo, prevede una distinzione tra strumenti di controllo a distanza e strumenti di lavoro; inoltre, stabilisce i limiti di utilizzabilità dei dati raccolti attraverso questi strumenti, in relazione alle norme in materia di privacy.
Il nuovo art. 4
Adesso, il primo comma dell’art. 4 L. n. 300/1970 dispone che “gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali”, ovvero, in mancanza di accordo, “previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro”.
Il secondo comma prevede che gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (ad esempio, telefoni cellulari, smartphone, tablet, Pc) e gli strumenti di registrazione degli accessi e delle presenze (badge, rilevatori di accesso) non richiedono la sussistenza di specifiche esigenze, né il preventivo accordo sindacale o l’autorizzazione amministrativa dell’ITL.
Gli strumenti di lavoro: una nozione restrittiva
Circa gli “strumenti di lavoro” si è affermata una interpretazione restrittiva: la nozione ricomprende solo gli strumenti, i software o gli applicativi necessari e strettamente funzionali alla prestazione lavorativa (ossia, che servono al lavoratore per adempiere la prestazione). Qualora essi siano modificati (ad esempio, con l’aggiunta di appositi software di localizzazione o filtraggio), non rientrano più nell’ambito dell’art. 4, comma 2, L. n. 300/1970: il pc, il tablet o il cellulare – da strumenti che servono al lavoratore per rendere la prestazione – diventano strumenti che servono al datore per controllare la prestazione, con la conseguenza che le modifiche possono avvenire solo in presenza di particolari esigenze e di accordo sindacale o autorizzazione amministrativa (in questo senso, si è espresso anche il Garante della Privacy con il Provvedimento del 13 luglio 2016 in materia di trattamento di dati personali dei dipendenti mediante posta elettronica e altri strumenti di lavoro).
Violazione dell’art. 4: conseguenze
La violazione dell’art. 4 L. n. 300/1970 è sanzionata penalmente in forza del combinato disposto degli artt. 38 L. n. 300/1970, 114 e 171 D.Lgs. n. 196/2003. Precisamente, salvo che il fatto non costituisca più grave reato, il datore di lavoro che utilizza illecitamente sistemi di controllo a distanza dell’attività dei lavoratori è punito con l’ammenda da 154,00 a 1.549,00 euro o con l’arresto da 15 giorni ad un anno. Nei casi più gravi, le pene dell’arresto e dell’ammenda sono applicate congiuntamente.
L’utilizzo di strumenti di controllo a distanza in violazione dell’art. 4 L. n. 300/1970 non è legittimato dal fatto che i dipendenti siano a conoscenza dell’installazione grazie ad un comunicato aziendale o ad un cartello informativo. Non può essere attribuito alcun rilievo nemmeno all’eventuale consenso prestato da uno o più dipendenti. La giurisprudenza ha escluso la validità e l’efficacia scriminante del consenso anche quando sia la totalità dei lavoratori coinvolti a rilasciarlo, non potendo esso acquisire valenza autorizzatoria.
L’installazione di uno strumento da cui possa derivare – di fatto – un controllo a distanza, è ammissibile solo nel rispetto delle procedure di garanzia previste dall’art. 4 L. n. 300/1970, che devono essere osservate prima dell’installazione (è irrilevante che lo strumento non sia ancora funzionante) ed anche qualora lo strumento sia destinato a funzionare nelle fasce orarie in cui nessuno è presente in azienda (ad esempio, di notte).
Privacy come condizione di utilizzabilità dei dati
Con la modifica del 2015, la disciplina dei controlli a distanza è stata strettamente legata a quella in materia di privacy e di trattamento dei dati personali, individuabile attualmente nel GDPR e nel D.Lgs. n. 196/2003 (cd. Codice Privacy, modificato dal D.Lgs. n. 101/2018).
L’art. 4, comma terzo, L. n. 300/1970 prevede che “Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”. Insomma, l’osservanza dell’art. 4 e delle regole sulla privacy è condizione di liceità del trattamento dei dati raccolti e, quindi, di loro utilizzabilità (cfr. anche art. 2-decies D.Lgs. n. 196/2003: “I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati”).
In materia di dispositivi potenzialmente idonei al controllo a distanza, è innanzitutto fondamentale fornire l’informativa ai sensi dell’art. 13 Reg. UE 2016/679, che deve essere chiara, corretta e completa. Secondo i principi di trasparenza e specificità, essa deve indicare i dati raccolti, i trattamenti effettuati e i possibili controlli, il periodo di conservazione dei dati, la finalità della raccolta (con particolare attenzione alla corrispondenza alle finalità dichiarate nell’accordo sindacale o nell’ambito del procedimento di autorizzazione amministrativa) e l’utilizzo dei dati (eventualmente anche a fini disciplinari). Se l’obbligo di informativa è assolto, i dati potranno essere utilizzati; diversamente, se il lavoratore non è stato adeguatamente informato sull’esistenza delle apparecchiature, sulle modalità di loro utilizzo e sulle modalità di effettuazione dei controlli, i dati raccolti non saranno utilizzabili a nessun fine, nemmeno disciplinare.
In secondo luogo, è fondamentale rispettare la normativa in materia di privacy e i requisiti richiesti dal GDPR per l’utilizzo di tecnologie che coinvolgano la libertà e la privacy dei lavoratori, tra cui la conformità del trattamento dei dati ai principi di necessità e proporzionalità in relazione alle finalità perseguite (art. 5, par. 1, lett. c), GDPR).
In conclusione
Il legame tra la disciplina sui controlli a distanza e la normativa sulla privacy costituisce un aspetto tutt’altro che secondario, potendo configurarsi addirittura come una relazione “pericolosa”.
Le imprese sono tenute a rispettare le disposizioni dell’art. 4 L. n. 300/1970, nonché a fornire informazioni dettagliate circa ciascun dispositivo e le modalità di suo utilizzo. Può però succedere che la disciplina sui controlli a distanza sia stata rispettata, mentre quella in materia di privacy no perché non è stata resa l’informativa: la conseguenza è che i dati raccolti – magari fondamentali ai fini probatori e/o disciplinari – sono inutilizzabili. La medesima conseguenza si ha anche quando l’informativa è stata resa, ma non risulta adeguata o idonea a rappresentare le finalità e modalità del trattamento dei dati (cfr. Ordinanza ingiunzione del Garante privacy emanata il 15 aprile 2021).
Da qui, dunque, la necessità – per poter utilizzare i dati raccolti a tutti i fini connessi al rapporto di lavoro – di un attento e rigoroso rispetto della normativa in tema di privacy; di conformarsi alle finalità e modalità dichiarate; nonché di aggiornare costantemente i processi e la relativa documentazione (ivi comprese le informative ai dipendenti) in relazione allo sviluppo tecnologico di un dispositivo o a seguito dell’introduzione di un nuovo strumento.