Il monitoraggio dei dipendenti in azienda può rappresentare un’utile strategia per massimizzare l’efficienza e ridurre i costi. Tuttavia, la questione si fa delicata quando si tratta di bilanciare la necessità del controllo con il rispetto della privacy del lavoratore. Le imprese si trovano quindi a dover mantenere l’equilibrio tra esigenze produttive e tutela dei diritti individuali.
Monitoraggio dei dipendenti: una questione di equilibrio
Che qualsiasi attività quotidiana comporti la condivisione di dati personali, dunque delle proprie caratteristiche, abitudini, opinioni, del proprio stato di salute e della propria situazione economica non è una novità.
Così come non è una novità che esistano realtà preordinate all’analisi di tali dati, in modo da consentire alle aziende promotrici di servizi di affinare le proprie offerte alla collettività.
L’intelligenza artificiale, peraltro, oggi è in grado non solo di valutare i dati raccolti singolarmente, ma anche e soprattutto di aggregarli tra loro ed interpretarli cumulativamente così da creare i cosiddetti metadati, ovverosia – in gergo tecnico – dei marcatori collegati a un oggetto informatico o a una serie di oggetti informatici, aventi lo scopo di descriverne il contenuto e/o gli attributi.
E se ora oramai gran parte dei cittadini è giunta a tollerare questo tipo di ingerenza nella propria sfera individuale, certa di poterne fruire in termini di più facile accessibilità ai servizi necessitati e non altrettanto conscia dei pericoli sottesi al conferimento dei propri dati personali, altrettanto non può dirsi laddove il monitoraggio si estenda anche ad ambiti differenti, primo fra tutto quello lavorativo.
In questo contesto, difatti, lo squilibrio tra conferitore e beneficiario delle informazioni è di immediata percettibilità.
Da un lato, troviamo il datore di lavoro che, attraverso questo nuovo tipo di analisi, può sostanzialmente monitorare l’attività dei propri dipendenti; dall’altro, c’è il lavoratore che, diversamente da quel che può fare nell’ambito della propria sfera privata, non può sottrarsi al conferimento di informazioni inerenti alla propria quotidianità, specie se il lavoro si svolge mediante dispositivi digitali messi a disposizione dall’azienda.
Senza dubbio, l’analisi dei dati raccolti sul posto di lavoro può agevolare la tempestività di un intervento diretto a sanare eventuali contrasti tra colleghi e impedire così fenomeni di mobbing o, molto più semplicemente, può consentire di valutare il grado di soddisfazione dei dipendenti, evitando il ricorso a questionari periodici.
È innegabile, tuttavia, che il monitoraggio costituisca un’importante lesione del diritto alla riservatezza del lavoratore.
L’esperienza statunitense: libertà per l’impresa
Per meglio comprendere le potenzialità, e dunque anche i pericoli, sottesi all’ingresso dell’intelligenza artificiale nei meccanismi aziendali si prenda ad esempio l’esperienza statunitense.
Di recente, è emerso che molte tra le imprese oltreoceano non controllino solo le e-mail dei propri dipendenti ma anche tutte le ulteriori applicazioni di messagistica istantanea messe a loro disposizione, quali ad esempio Slack, Teams o Zoom.
Naturalmente, tale monitoraggio viene effettuato attraverso sistemi in grado di anonimizzare i dati raccolti, così da impedire l’attribuzione di una conversazione ad un determinato lavoratore; alle informazioni ricavate, però, possono aggiungersi una serie di dati aggiuntivi – i metadati cui si faceva cenno poc’anzi – inerenti età, incarico o funzione del dipendente, così da rendere, di fatto, non impossibile identificarlo con un certo grado di probabilità.
Non solo.
L’azienda americana Aware mette a disposizione un servizio aggiuntivo al semplice controllo delle conversazioni, uno strumento di eDiscovery in grado di contrassegnare il nome dei dipendenti che violino il livello di guardia impostato dall’imprenditore. In buona sostanza, una società può indicare al sistema una serie di fattori di rischio reputati gravi o estremi (pornografia, nudità, molestie, per citarne alcuni) di modo che, se rilevati durante il monitoraggio, sia possibile estrarre il nominativo del dipendente coinvolto, e dunque identificare il responsabile delle violazioni.
Negli Stati Uniti, dunque, il bilanciamento tra diritto alla riservatezza del lavoratore ed esigenze aziendali è sostanzialmente rimesso all’imprenditore che, in assenza di specifiche normative al riguardo, traccia i confini dell’utilizzo dell’IA nell’ambito delle proprie dinamiche operative.
La normativa italiana: tutela della privacy dei lavoratori
Diametralmente opposta è la situazione nel nostro Paese.
La tutela della riservatezza rientra tra i diritti fondamentali dell’uomo e attorno ad essa ruotano una serie di disposizioni legislative e regolamentari finalizzate a delineare modalità e limiti del controllo del lavoratore, elidendo così i margini di discrezionalità dell’azienda.
Già l’art. 4 dello Statuto dei lavoratori (L. 300/1970), così come riformato dal Jobs Act, statuisce che l’eventuale controllo a distanza del dipendente debba essere preceduto da un accordo tra datore di lavoro e rappresentanze sindacali; in alternativa, il datore di lavoro deve munirsi di un’autorizzazione pubblica da parte dell’Ispettorato Nazionale del lavoro. L’unico controllo esente da questo meccanismo autorizzativo è quello inerente agli strumenti di registrazione degli accessi e delle presenze, nonché agli strumenti utilizzati dal lavoratore per rendere la prestazione, “in quanto strettamente funzionali a consentire l’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro, vale a dire, la presenza in servizio e l’esecuzione della prestazione lavorativa”.
Ulteriori garanzie per il lavoratore sono contenute nel Codice della Privacy e nel Regolamento europeo 679/2016 che su di esso è intervenuto. In relazione ai dati del dipendente, difatti, l’imprenditore è qualificabile come titolare del trattamento ovverosia colui che “singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”, tenuto dunque al rispetto dei principi fondamentali di cui all’art. 5 GDPR.
Interventi dell’Autorità Garante della Privacy in Italia
A riprova della grande attenzione riservata alla tematica, si riscontrano molteplici interventi anche da parte dell’Autorità Garante della Privacy, dapprima limitati alla comminatoria di sanzioni per le singole violazioni accertate e, più di recente, estesi al tracciamento di regole generali di condotta, proprio finalizzate a limitare il verificarsi di episodi analoghi a quelli censurati.
Il caso della Regione Lazio: sanzioni per violazione del GDPR
Per meglio inquadrare lo scenario che ha dato vita a tale documento programmatico, ci si riporta al caso della Regione Lazio, nota alle cronache per essere stata sanzionata nel dicembre 2022 per violazione delle disposizioni del Regolamento europeo e delle norme giuslavoristiche, in quanto il trattamento effettuato, oltre a prevedere una conservazione dei dati per un periodo di 6 mesi (180 giorni), considerato non congruo rispetto alla finalità perseguita, aveva ad oggetto dati particolari. A seguito di accertamenti eseguiti dall’Autorità, in particolare, era emerso che la Regione era venuta a conoscenza, attraverso i metadati raccolti dalle e-mail, dell’appartenenza sindacale dei propri lavoratori.
Le linee guida del Garante: conservazione dei dati e responsabilità delle imprese
Il 21 dicembre 2023, quindi, l’Autorità ha emanato il documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.
Il rischio messo in luce dal Garante attiene al fatto che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere, per impostazione predefinita e in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta in uso ai dipendenti e che tali metadati vengano conservati per un arco temporale molto esteso, senza alcuna possibilità per il datore di lavoro di determinare un diverso periodo o disabilitare la raccolta sistematica dei dati.
In caso di utilizzo di simili programmi, il datore di lavoro è tenuto ad assicurare l’esistenza di una base giuridica adeguata al trattamento e a fornire in modo chiaro e trasparente ai dipendenti una rappresentazione completa del trattamento effettuato.
Inoltre, il datore di lavoro deve garantire la conformità a tutte le disposizioni giuslavoristiche, con particolare riguardo all’articolo 4 dello Statuto dei Lavoratori, e deve astenersi dal trattare informazioni non pertinenti ai fini della valutazione dell’attitudine professionale del lavoratore.
Non esula da tali limitazioni nemmeno il trattamento di dati personali effettuato sul presupposto della necessità di garantire il corretto funzionamento della casella di posta, nonché la sicurezza informatica e la tutela dell’integrità del patrimonio aziendale, compreso quello informativo, in quanto anche in tal caso vi è potenzialmente un controllo indiretto sull’attività lavorativa dei dipendenti.
Il Garante, infine, chiarisce quello che ritiene essere un adeguato periodo di conservazione dei dati personali, ribadendo che – comunque – dev’essere sempre proporzionato alle finalità perseguite, nel rispetto del principio della limitazione del trattamento previsto dal GDPR, nonché per evitare il trattamento di dati personali non strettamente necessari all’attività lavorativa, in ossequio al principio di minimizzazione.
In particolare, ritiene che il periodo di conservazione non possa essere superiore a poche ore o ad alcuni giorni, in ogni caso non oltre sette, i quali potrebbero essere estesi di ulteriori quarantotto ore solo in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento.
Affinché le imprese siano poste nelle condizioni di adeguarsi, sempre secondo lo stesso Garante, i fornitori dei servizi di posta elettronica devono offrire ai propri clienti la possibilità di intervenire sulle impostazioni di sistema, rendendole conformi alle linee guida prescritte in materia.
Sulla congruità del termine indicato, ad ogni modo, il Garante ha avviato una consultazione pubblica finalizzata a raccogliere osservazioni, commenti e proposte di datori di lavoro, esperti in materia di protezione dei dati e, in generale, di qualsiasi interessato; evidentemente, anche all’Autorità è chiara l’incisività di una siffatta previsione sulle funzionalità dei servizi informatici in uso alle aziende.
Differenze tra l’approccio USA e Ue: tra sviluppo tecnologico e tutela della privacy
A prescindere da quello che sarà l’esito della consultazione, il documento programmatico che si è descritto rende manifesta la distanza tra l’approccio statunitense e quello nazionale, probabilmente frutto anche di divergenze culturali e normative oltre che di un certo ritardo, per il nostro Paese, nello sviluppo tecnologico.
Senza dubbio, obiettivo primario del legislatore europeo è quello di tutelare la riservatezza del lavoratore, giustificandone limitazioni solo laddove, in quell’ottica di bilanciamento che permea l’intero GDPR, emerge un preminente interesse da salvaguardare; diversamente, l’approccio USA è volto a valorizzare i vantaggi che l’intelligenza artificiale può attribuire ad una società, sia in tema di salvaguardia del patrimonio e della reputazione aziendale che per aumentare il grado di soddisfazione dei dipendenti.
