Controllo a distanza dei lavoratori, privacy e INL

Controllo a distanza dei lavoratori, privacy e INL

Le novità e gli adempimenti da affrontare alla luce del nuovo contesto normativo

L’attività di telecontrollo dei lavoratori è uno degli aspetti maggiormente critici della vita di un’impresa. Sin dal 1970, con lo Statuto dei lavoratori, il Legislatore nazionale si è preoccupato di disciplinare l’argomento andando a definire, in particolare, gli obblighi dei datori di lavoro e i diritti dei lavoratori. Nel tempo, lo Statuto ha subìto numerose modificazioni ed è stato affiancato da altri testi normativi, in particolare quelli che trattano di protezione dei dati personali, di cui il Codice privacy e il GDPR sono la massima espressione in questo momento. Una doverosa premessa è che la legge considera eguali sia le attività volontariamente messe in atto per controllare, sia quelle che generano la mera possibilità di farlo. Questo è sicuramente un approccio prudenziale. L’art. 4 dello Statuto dei lavoratori, prevede che “gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali”. L’oggetto della norma, quindi, è limitato agli strumenti e alla possibilità che avvenga il controllo a distanza, a prescindere che sia effettivamente messa in atto o meno; in questa frase, inoltre, vengono esplicitati gli unici presupposti di liceità del trattamento, qualora sia effettuato su base volontaria (per esempio, nei locali adibiti a sale per le videolottery, le telecamere DEVONO essere installate, perché previsto per legge) e viene posto il vincolo dell’accordo sindacale. “In mancanza di accordo”, prosegue l’art. 4, “gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro”. A onor del vero, l’articolo contiene anche altre indicazioni, ma non sono pertinenti in questa sede. Recentemente, il Ministero del Lavoro e delle Politiche Sociali ha definito i nuovi standard per procedere con l’inoltro dell’istanza di autorizzazione all’impiego di strumenti che permettono il controllo a distanza dei lavoratori (per esempio gli impianti di videosorveglianza o di rilevazione satellitare tramite rete GPS), pubblicando sul sito dell’Ispettorato Nazionale del Lavoro la modulistica da presentare per ottenerla. Compilare i campi richiesti è un’operazione semplice. L’insidia risiede in un dettaglio che, se ignorato, rischia di generare enormi ripercussioni sul piano amministrativo e penale. In tutti i moduli (videosorveglianza, GPS e “altri mezzi”), infatti, è presente una dichiarazione che il legale rappresentante presta come dichiarazione sostitutiva ai sensi dell’art. 46 del DPR 445/2000 e punita penalmente, in caso di mendacità, ai sensi del successivo art. 76, oltre che con la decadenza dai benefici eventualmente conseguenti al provvedimento emanato sulla base di una dichiarazione non veritiera. La dichiarazione, tra le altre cose, include due aspetti chiave:
  • Che si provvederà ad informare tutti i lavoratori, come previsto dallo Statuto dei lavoratori;
  • Che sarà rispettata la disciplina dettata dal GDPR.
I verbi sono al futuro perché l’autorizzazione dovrebbe essere richiesta prima di procedere e iniziare il trattamento dei dati, non successivamente. La parte complicata è fare in modo che il sistema di telecontrollo sia conforme ai dettami sulla privacy: compilare il modulo per l’istanza e scrivere le relazioni tecniche richieste non è assolutamente sufficiente, ed è doveroso procedere almeno con:
  • La conduzione di una valutazione d’impatto, focalizzata sul trattamento considerato (attenzione al coinvolgimento del Garante, nel caso risultassero rischi elevati per i diritti e le libertà delle persone);
  • La predisposizione di adeguate evidenze in materia di privacy by design e privacy by default, tra cui una certificazione da parte dell’eventuale installatore o manutentore;
  • Il censimento dell’attività nel registro dei trattamenti;
  • La predisposizione di specifiche informative;
  • La predisposizione di una procedura e di una politica interna che disciplinino specificamente l’argomento e che siano coerenti con gli altri documenti già presenti (per esempio il contratto collettivo, il regolamento interno o il codice disciplinare);
  • L’individuazione di persone autorizzate al trattamento, avendo cura di procedere contestualmente con la specificazione dei poteri operativi in caso si usino strumenti informatizzati (di amministratore di sistema o di utente).
Non essere conformi a quanto disposto dal GDPR, implica una non conformità anche sugli obblighi disposti dal Codice privacy e dallo Statuto dei lavoratori e, conseguentemente, pone il legale rappresentante nella posizione di rendere una dichiarazione non veritiera. Tutto ciò, comporta sanzioni di carattere amministrativo (per esempio ai sensi dell’art. 83 del GDPR) e penale (per esempio ai sensi dell’art. 76 del DPR 445/2000 e dall’art. 38 dello Statuto dei lavoratori).
Fonte: Fiscal Focus