Privacy & controlli sul lavoro: importanti indicazioni dall’INL

Con la Nota 2572/2023, l’Ispettorato Nazionale del Lavoro (INL) ha fornito alcuni chiarimenti per il rilascio delle autorizzazioni previste dall’articolo 4 comma 1 dello Statuto dei Lavoratori (L. 300/1970). Le indicazioni contenute nella nota sono di grande interesse anche per tutti i DPO che si trovano a seguire la complessa tematica dei controlli a distanza sul lavoro, in quanto derivano dall’esperienza applicativa maturata dall’Ispettorato, nonché dalle problematiche operative emerse nel tempo e correlate, in particolare, all’evoluzione tecnologica dei sistemi adottati.

In via preliminare, l’Ispettorato richiama la stretta interconnessione che caratterizza la disciplina giuslavoristica dei controlli a distanza, derivante dall’articolo 4 dello Statuto dei Lavoratori (L. 300/1970), con la protezione dei dati personali.

In particolare, proprio i principi generali che regolano il trattamento dei dati (liceità, finalità, pertinenza e non eccedenza, proporzionalità, necessità, indispensabilità), contribuiscono ad adeguare le previsioni dell’articolo 4 allo sviluppo della tecnologia. Al tempo stesso, il rispetto dell’articolo 4 costituisce condizione per garantire la liceità di determinati trattamenti svolti nel contesto lavorativo, ai sensi degli artt. 5, 6 e 88 del GDPR e ai sensi dell’art. 114 del Codice Privacy armonizzato.

L’ambito di applicazione soggettivo della norma

Quali categorie di soggetti sono incluse nella nozione di “lavoratori” sottoposti a potenziale controllo a distanza?

Nella Nota dell’INL 2572/2023 troviamo la risposta a questo e a molti altri interrogativi. Ma andiamo con ordine. La procedura imposta dall’articolo 4, dispone l’Ispettorato, è volta tutelare sia i soggetti titolari di un rapporto di lavoro di tipo subordinato, sia i lavoratori che prestano la propria attività “soggetti al potere direttivo e conformativo del datore di lavoro ed alle sue prerogative organizzative e di controllo”.

Rientrano, quindi, nel novero delle persone fisiche sottoposte al potenziale controllo a distanza di cui all’articolo 4 comma 1, anche le tipologie di lavoro normativamente equiparate alla subordinazione, in funzione di alcune specifiche caratteristiche. L’INL rinvia all’art. 2, comma 1, del d.lgs. n. 81/2015 e s.m.i., il quale elenca le caratteristiche che comportano una estensione della disciplina del rapporto di lavoro subordinato ad altre forme di collaborazione: la presenza di prestazioni prevalentemente personali, continuative ed eseguite secondo modalità etero organizzate, anche qualora organizzate mediante piattaforme anche digitali. Pertanto, conclude l’Ispettorato, “deve ritenersi che l’operatività dell’art. 4 in commento, inserito nel titolo dello Statuto rubricato “della libertà e dignità del lavoratore”, vada estesa anche ai lavoratori autonomi”.

Fra i lavoratori che restano esclusi dall’applicazione della norma, invece, vi sono i soggetti che operano in qualità di volontari. Ai sensi dell’art. 17 del d.lgs. n. 117/2017, infatti, “La qualità di volontario è incompatibile con qualsiasi forma di rapporto di lavoro subordinato o autonomo”. In questo caso, alle prestazioni dei volontari non possono applicarsi le medesime tutele accordate dall’articolo 4 dello Statuto dei Lavoratori.

La tutela collettiva prevale sul consenso individuale

Chiarito l’ambito di applicazione della norma, l’INL si concentra sulla procedura di garanzia prevista dall’articolo 4 comma 1 dello Statuto dei Lavoratori. Come sappiamo, la norma subordina l’installazione di tutti gli strumenti da cui possa derivare un controllo a distanza dei lavoratori, alla stipula di un accordo collettivo con le rappresentanze sindacali o all’ottenimento del provvedimento autorizzativo dell’Ispettorato.

Nella nota in esame, l’INL ribadisce che l’accordo con le rappresentanze aziendali costituisce il percorso prioritario previsto dal Legislatore e che la procedura autorizzatoria pubblica risulta solo eventuale e successiva. Proprio per tale ragione, a fini istruttori, tutte le istanze, per essere validamente accolte, devono necessariamente contenere la dichiarazione di assenza delle RSA/RSU o la documentazione comprovante il mancato accordo.

Il consenso individuale del lavoratore non può, in alcun modo, supplire alla carenza di una codeterminazione (accordo) tra il datore di lavoro e le rappresentanze sindacali aziendali o del successivo provvedimento autorizzativo. Questo in quanto, argomenta l’Ispettorato, il bene giuridico tutelato dal Legislatore non riguarda interessi individuali, bensì interessi collettivi di cui le rappresentanze sindacali sono portatrici, in luogo dei singoli lavoratori.

Qualora l’organizzazione cercasse di aggirare tali procedure di garanzia richiedendo ai singoli lavoratori di prestare il proprio consenso, infatti, incorrerebbe in:

sanzioni penali, pensate proprio per salvaguardare i sopracitati interessi collettivi;
sanzioni amministrative fino a 20 milioni di euro, derivanti dalla violazione del principio fondamentale di liceità del trattamento dei dati personali.

La tutela collettiva prevale su normative di settore

Fornito questo importante chiarimento, l’Ispettorato prosegue precisando che la procedura di garanzia prevista dall’articolo 4 comma 1, si applica anche qualora siano presenti specifiche disposizioni normative volte a favorire o imporre l’installazione di impianti comportanti il potenziale controllo a distanza dei lavoratori.

Nella nota in esame, l’INL cita, in particolare:

l’art. 5-septies della legge n. 55 del 14 giugno 2019, la quale ha istituito dei fondi per l’installazione di sistemi di videosorveglianza presso strutture scolastiche, socio sanitarie e socio assistenziali per anziani e persone con disabilità.
l’art. 9 del DM 22 gennaio 2010 che stabilisce, fra i requisiti per il rilascio delle licenze per l’esercizio delle scommesse, che “Le sale devono essere dotate di sistemi di videosorveglianza a circuito chiuso”.

In nessuno dei casi citati, chiarisce l’Ispettorato, la norma può costituire il solo motivo legittimante l’installazione, né può rappresentare l’idonea base giuridica per i trattamenti di dati personali che ne derivano. Le garanzie previste dallo Statuto dei Lavoratori e la disciplina in materia di protezione dei dati personali non possono, infatti, subire limitazioni nei casi di sistemi di videosorveglianza imposti da normative di settore.

Chiarimenti sui sistemi di geo localizzazione

Oltre ai sistemi di videosorveglianza, nel corso degli ultimi anni abbiamo assistito ad una diffusione dei sistemi di geo localizzazione (GPS) installati su autoveicoli o su diversi dispositivi (ad es., dispositivi smartphone, wearable, etc.). La mole di istanze rivolte all’ispettorato per l’utilizzo di questi strumenti è in costante crescita.

Attraverso la Nota in esame, quindi, l’INL richiama alcuni principi essenziali ed orientamenti a garanzia dei diritti e delle libertà dei lavoratori. In particolare, i suddetti sistemi devono essere installati in modo da:

escludere il monitoraggio continuo;
consentire la visualizzazione della posizione geografica da parte di soggetti autorizzati solo quando strettamente necessario rispetto alle finalità perseguite;
consentire, di regola, la disattivazione del dispositivo durante le pause e al di fuori dell’orario di lavoro;
effettuare, di regola, i trattamenti mediante pseudonimizzazione dei dati personali (utilizzo di dati non direttamente identificativi);
prevedere la memorizzazione dei dati raccolti solo se necessario e con tempi di conservazione proporzionati rispetto alle finalità perseguite.

Anche in questo caso, la disciplina giuslavoristica si interseca con la protezione dei dati personali, tanto che l’INL raccomanda agli Uffici di valutare attentamente le ragioni legittimanti l’installazione dei sistemi di geo localizzazione, verificando al contempo che la tipologia dei dati raccolti ed il loro effettivo trattamento siano correlati alle esigenze dichiarate e rispettosi dei principi in materia di protezione dei dati personali. “Si rappresenta, in particolare, l’opportunità di prevedere nel corpo dei provvedimenti autorizzatori il rispetto delle disposizioni normative in materia di protezione dei dati personali (in particolare gli artt. 5, 6, 9, 13, 14 e 35 del Regolamento (UE) 2016/679)”, si legge nella Nota.

Infine, l’INL fornisce un’altra raccomandazione operativa agli Uffici, prevedendo che, ai fini del rilascio del provvedimento autorizzativo in relazione allo “strumento” di geolocalizzazione, non sia necessario richiedere l’elenco delle targhe dei veicoli su cui verrà installato l’impianto.

Chiarimenti in caso di costituzione di nuove aziende o di integrazione di lavoratori

L’INL riporta anche alcuni casi particolari, utili a fugare dubbi applicativi nel caso di costituzione di nuove aziende o di integrazione di lavoratori.

imprese che, al momento della presentazione dell’istanza, non hanno in forza lavoratori ma che prevedono di avvalersi di personale non appena avviata l’attività à possono presentare l’istanza per l’autorizzazione, che deve sempre precedere l’installazione dell’impianto, indicando nel modello di istanza il numero dei lavoratori che risulteranno in forza all’avvio dell’attività;
imprese già operanti, in assenza di lavoratori, con impianto di videosorveglianza installato e funzionante, devono procedere ad assunzioni di personale à possono presentare istanza in un momento successivo all’installazione dell’impianto (già attuata), ma devono produrre contestualmente attestazione che lo stesso impianto sarà disattivato non appena il personale sarà adibito al lavoro e che sarà messo nuovamente in funzione soltanto dopo l’eventuale provvedimento autorizzativo dell’Ispettorato del Lavoro.

Due facce della stessa medaglia

La tutela dei dati personali da un lato e la procedura di garanzia prevista dall’articolo 4 dall’altro, rappresentano due facce della stessa medaglia, due barriere poste entrambe a tutela dei diritti fondamentali dei lavoratori. Con la Nota sopra esaminata, l’INL non si è limitata a fornire chiarimenti sull’applicazione della norma, ma ha anche espresso, in più passaggi, l’esigenza di interconnessione dell’attività degli Uffici con gli orientamenti del Garante per la protezione dei dati personali.

Le competenze di tutti i professionisti che si occupano di proteggere i dati personali degli interessati, compresi i DPO, devono quindi essere trasversali: la conoscenza del GDPR è fondamentale per garantire il rispetto dell’articolo 4 dello Statuto dei lavoratori e viceversa. Se non l’hai ancora fatto, ti invitiamo a consultare i nostri percorsi formativi: il Corso di Alta Specializzazione DATA PROTECTION OFFICER, in partenza il 29 maggio, include lezioni teorico / pratiche volte anche a guidarti nella comprensione dell’articolo 4 e alla predisposizione di un accordo sindacale. Dai un’occhiata al programma cliccando qui.

Fonti:

https://www.ispettorato.gov.it/documenti-e-normativa/orientamenti-giuridici-inl/note-e-pareri/

Privacy & controlli sul lavoro: importanti indicazioni dall’INL

L’ambito di applicazione soggettivo della norma

La tutela collettiva prevale sul consenso individuale

La tutela collettiva prevale su normative di settore

Chiarimenti sui sistemi di geo localizzazione

Chiarimenti in caso di costituzione di nuove aziende o di integrazione di lavoratori

Due facce della stessa medaglia

Altre news

CEDPO | Survey 2024: abbiamo bisogno del tuo contributo!

10° Congresso Internazionale Annuale ASSO DPO

DPO nel settore bancario: cosa emerge dall’indagine del Garante Privacy e ABI?

Website Compliance Audit: cosa si intende? Come si svolge?