I processi di digitalizzazione in atto, in ogni settore produttivo, stanno permettendo (e permetteranno ancora di più nel futuro) un miglioramento delle perfomance aziendali, l’ottimizzazione delle attività lavorative e la sicurezza dei lavoratori.
Ciò nonostante, a forza di voler monitorare il lavoratore (comprese le sue emozioni), si può mettere a rischio il diritto fondamentale alla privacy e alla protezione dei dati personali.
Come nel caso, pur estremo, del sistema Humanyze.
Profili giuridici sulla protezione dei dati personali dei lavoratori controllati a distanza
Sulle nuove forme di organizzazione del lavoro è da sottolineare l’aumento di un processo di flessibilizzazione organizzativa, che ha comportato una destrutturazione dei rapporti di lavoro subordinato rispetto alla durata, ai tempi e ai luoghi dell’esecuzione lavorativa. In pratica, si sta assistendo a un fenomeno di porosità temporale (così I. Senatori, “Remoto” e “multilocale”: l’impatto della trasformazione digitale nel mondo del lavoro, in Th. Casadei e S. Pietropaoli [a cura di], Diritto e tecnologie informatiche. Questioni di informatica giuridica, prospettive istituzionali e sfide sociali, Milano ,Wolters Kluwer, 2021, pp. 91-103) in cui vi è un’interconnessione potenzialmente illimitata tra lavoratori e datori di lavoro, dissolvendo il confine tra l’ambito lavorativo e la vita privata del lavoratore.
Infatti, ormai quotidianamente, si assiste alla presenza di sensori di presenza fisica, a sistemi di videosorveglianza “intelligente”, device indossabili per la rilevazione dei movimenti fisici e software in grado di misurare i tempi di ogni attività lavorativa.
Decreto Trasparenza: i nuovi obblighi per i datori di lavoro e le ricadute sulla privacy
Se si è giunti a questo punto, i lavoratori e le lavoratrici corrono il rischio di essere perennemente sorvegliati da parte del datore di lavoro sia durante la prestazione lavorativa, sia in ambito privato con possibili lesioni del diritto alla privacy e alla protezione dei dati personali.
L’interrogativo che bisogna porsi è il seguente: come bilanciare le legittime aspettative aziendali (soprattutto sulla difesa dei beni aziendali) con il rispetto del valore della persona del lavoratore e della lavoratrice?
Lo Statuto dei lavoratori
La riflessione non può che partire dalla l. 300/1978 (c.d. “Statuto dei lavoratori” che fu, invero, la base per l’affermazione giurisprudenziale del diritto alla privacy); la ratio della normativa si rinviene nel voler fornire una maggiore protezione dei lavoratori, limitando l’esercizio del potere di controllo da parte del datore. Lo Statuto dei lavoratori, infatti, prescrive le ipotesi di divieto e detta un preciso regime vincolistico.
Ciò premesso, è opportuno sottolineare che l’art. 4 dello Statuto ha subito un’operazione di riscrittura da parte dell’art. 23, comma 1, del D. lgs 151/2015, che ha realizzato un bilanciamento tra l’interesse tecnico-produttivo del datore di lavoro a controllare l’esatto adempimento della prestazione lavorativa e l’interesse del lavoratore a veder salvaguardata la propria dignità e riservatezza (così come disciplinato dagli artt. 2 e 41 della Costituzione, dall’art. 8 della Convenzione Europea per la salvaguardia dei diritto dell’Uomo e dal Regolamento Generale per la protezione dei dati personali, ossia il GDPR).
Il “nuovo” art. 4 consta di due nuclei regolativi: il primo nucleo, investe la questione dell’utilizzo degli strumenti di controllo, specificati nei commi 1 e 2; il secondo nucleo, invece, consiste al trattamento dei dati raccolti, ed è disciplinato dal comma 3.
Ciò malgrado, nella nuova formulazione dell’articolo, non si rinviene a un divieto specifico – che abbia i requisiti della generalità e dell’astrattezza – sull’uso della strumentazione tecnologica per finalità di controllo dell’attività a distanza del lavoratore. È indubbio che questa mancanza potrebbe indurre i datori di lavoro ad attuare una sorveglianza indiscriminata. Eppure, è opportuno rammentare che il Regolamento Generale per la protezione dei dati personali – GDPR (per una disamina d’insieme si veda S. Scagliarini [a cura], Il “nuovo” codice in materia di protezione dei dati personali. La normativa italiana dopo il d. lgs. 101/2018, Torino, Giappichelli, 2019) richiede l’applicazione del principio di finalità per il trattamento dei dati, e tale finalità sposa assai bene il comma 3 dell’art. 4 che statuisce l’utilizzabilità per “fini compresi al rapporto di lavoro” delle informazioni raccolte da datore. Ciò che milita a favore di questa tesi è il divieto dei controlli diretti, ossia il divieto dei controlli personali occulti, ai sensi dell’art. 3 e il divieto di controllo impersonali, ai sensi dell’art. 3, comma 1.
Il controllo e il monitoraggio degli strumenti affidati al personale per l’esecuzione della prestazione lavorativa, potrebbe implicare un contestuale accertamento sulla corretta/scorretta prestazione lavorativa; a condizione però che non vengano travalicati i diritti fondamentali del lavoratore/della lavoratrice. Infatti, l’art. 4 subordina la legittimità della sorveglianza (rectius, controllo) al rispetto di limiti ben precisi: il primo comma dell’art. 4, richiede espressamente specifiche esigenze aziendali che richiedono l’installazione e l’impiego della strumentazione in cui può avvenire un controllo (indiretto) del lavoratore/della lavoratrice; il secondo comma, invece, ammette un controllo “collaterale” attraverso la strumentazione – a condizione che siano soggetti al limite di scopo, comprovabile dalla funzionalizzazione oggettiva dell’esecuzione delle mansioni assegnate.
Si assiste, quindi, a una procedimentalizzazione del potere di controllo del datore di lavoro, attraverso un meccanismo giuridico in grado di trovare un equilibrio tra le esigenze aziendali e i bisogni di protezione del lavoratore.
Se è pur vero che – come riportato ut supra – manca un esplicito divieto sull’uso della strumentazione tecnologica, è altrettanto vero che la nuova formulazione non prevede una liberalizzazione del datore di lavoro nel suo potere di controllo attraverso l’uso delle nuove tecnologie; il trattamento e l’utilizzabilità delle informazioni raccolte attraverso la tecnologia sono assoggettate a prescrizioni ben precise per bilanciare le esigenze del datore di lavoro e i diritti fondamentali di chi lavora.
Le condizioni di legittimità per la predisposizione del controllo datoriale, peraltro, regolamenta anche il momento della rilevazione e acquisizione dell’informazione e del trattamento del dato registrato da parte del datore di lavoro. Infatti, quest’ultimo, nell’effettuare i controlli, è obbligato a rispettare i seguenti principi in materia di tutela dei dati personali:
- il principio di necessità, ossia il controllo deve risultare necessario e/o indispensabile rispetto ad uno scopo determinato ed avere il carattere dell’eccezionalità, limitato nel tempo e nell’oggetto, mirato e mai massivo;
- il principio di finalità, cioè il controllo deve essere finalizzato a garantire la sicurezza o la continuità aziendale, ovvero a prevenire e reprimere illeciti;
- il principio della trasparenza, il datore di lavoro deve informare preventivamente i lavoratori sui limiti di utilizzo degli strumenti e delle sanzioni previste in caso di violazioni dei limiti;
- il principio della proporzionalità, il datore di lavoro deve adottare le forme di controllo strettamente proporzionali e non eccedenti lo scopo della verifica;
- il principio della sicurezza, i dati raccolti devono essere protetti in modo adeguato.
In materia di protezione dei dati personali, il datore di lavoro può trattare i dati personali dei lavoratori, se il trattamento è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti della disciplina di settore (artt. 6, par. 1, lett. c; 9, par. 2, lett. b) e 4; 88 del GDPR).
Il trattamento dei dati, inoltre, è lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”.
Non è superfluo sottolineare che il trattamento dei dati, ovviamente, deve avvenire nel pieno rispetto dell’art. 5 del GDPR; ossia i controlli del datore di lavoro devono essere leciti, corretti e trasparenti, posti in essere per finalità determinate e limitati a quanto strettamente necessario per il conseguimento delle stesse (in ossequio al rispetto dei principi di limitazione delle finalità e della minimizzazione).
A questo proposito, è interessante sottolineare un recente provvedimento dell’Autorità Garante della Privacy (Ord. n. 384/2021), il cui fulcro è rappresentato dalla questione della determinazione della natura degli strumenti utilizzati dal datore, al fine di stabilire la liceità della raccolta e del trattamento dei dati personali.
Un caso estremo di sorveglianza: il sistema Humanyze
Alla luce di quanto osservato, può risultare interessante la disamina di un sistema, in voga negli Stati Uniti e in Gran Bretagna, di people analytics (un metodo d’analisi di dati personali dei lavoratori basato sulle emozioni e la coesione emotiva degli stessi): Humanyze.
Questo sistema, utilizzando un badge identificativo per tenere traccia dei dati dei lavoratori, aiuta le aziende a trovare le informazioni più utili su ciò che i dipendenti più efficienti fanno.
Il sistema è stato sviluppato partendo dall’idea – attraverso i lettori RFID (Radio Frequency Identification) disposti in punti strategici delle aziende – di identificare l’esatta ubicazione dei lavoratori, ma non consente di identificare come e quando stanno collaborando; a questo proposito, infatti, sono stati aggiunti: microfoni, sensori bluetooth e infrarossi che permettono una sorveglianza capillare di ciò che accade in azienda e ai lavoratori e alle lavoratrici.
I dati acquisiti dai vari sensori non vengono registrati, ma viene effettuata un’analisi real time in modo da estrarre i dati considerati importanti: la durata di una conversazione, l’analisi dei movimenti, la quantità e qualità della conversazione. Tutti questi dati, poi, vengono combinati per ottenere KPI (Key Perfomance Indicators) utili, al fine di ottenere le performance più utili per l’incremento degli utili delle aziende che utilizzano tale sistema.
Per fare un esempio, può essere citato il caso della Bank of America, che ha adottato il suddetto sistema: la banca – attraverso i dipendenti dei propri call centers – ha aumentato la propria performance aziendale del 23%, analizzando i dati personali dei propri lavoratori.
Più nel dettaglio, la banca – attraverso l’archiviazione e il trattamento dei dati di coesione sociale – ha capito che per aumentare la produttività doveva concedere una “diversa” pausa ai lavoratori, affinché potessero socializzare tra loro, giacché la socializzazione è il fattore cardine per l’aumento della produttività.
Se il sistema si basasse realmente su tali intenti, ossia l’incremento della coesione sociale dei lavoratori e delle lavoratrici e all’interno di un’azienda, ci si potrebbe domandare cosa vi sia di errato all’interno di tale strumento di people analytcs.
Tuttavia, il problema consiste in ciò: la sorveglianza perenne dei lavoratori avviene attraverso qualunque dispositivo tecnologico disponibile: le e-mail, la messagistica istantanea, i dati del calendario, le piattaforme per call.
I datori di lavori che adottano tale sistema – con il positivo intento di aumentare la coesione sociale e le performance dei propri dipendenti – acquisiscono, d’altra parte, in maniera continuativa e automatizzata i dati personali dei propri dipendenti, con il rischio di generare sistemi vicini a quelli del panopticon (cfr. J. Bentham, Panopticon ovvero la casa d’ispezione [1791] a cura di M. Foucault e M. Perrot, Venezia, Marsilio, 2002; M. Foucault, Sorvegliare e punire. Nascita della prigione [1975] Torino, Einaudi, 1976).
Conclusioni
Nel momento in cui vengono consegnati dei device indossabili ai lavoratori, è auspicabile che i datori di lavoro si adeguino al GDPR, ai princìpi dello Statuto dei lavoratori e rilascino dei codici di condotta e buone prassi per l’utilizzo dei device a tutela del rapporto e della dignità dei lavoratori (specialmente in accordo con le rappresentanze sindacali).
È indubbio che sistemi come Humanyze presentino dei profili borderline, giacché non è sicuro che i dati raccolti da questi device vengano trasmessi ai terzi.
Nonostante la normativa europea (si pensi, appunto, al GDPR), si ha come l’impressione che il diritto si trovi a cedere il passo all’avanzamento tecnologico. Invece, il diritto non deve essere un freno allo sviluppo tecnologico e, allo stesso tempo, non deve lasciarsi sopraffare dalla tecnologia (in merito si veda lo studio di Gianluigi Fioriglio: Trasformazioni del diritto. Alla ricerca dei nuovi equilibri nell’esperienza giuridica contemporanea, Torino, Giappichelli, 2017).
In modo particolare, il diritto non può lasciarsi “superare” dalla tecnologia quando in gioco vi è la dignità, la privacy e la protezione dei dati personali dei lavoratori; specialmente in questo periodo di porosità temporale in cui il lavoratore è impegnato anytime and anywhere, con il rischio di essere “sorvegliato” non solo nel luogo di lavoro, ma anche nella propria vita privata
