Con il diffondersi dello lo smart working, si fa urgente la necessità di predisporre nuove misure a tutela non più soltanto i dati sensibili ma anche della nuova categoria di dati “sensibilissimi”.
L’innovazione tecnologica ha infatti messo a dura prova la tenuta dello Statuto dei lavoratori e dunque a repentaglio la sua esistenza. In conseguenza della disintermediazione degli spazi, dei tempi e dell’organizzazione del lavoro, che è derivata da tale innovazione, la subordinazione infatti “lentamente muore” con conseguenze che, se possono dirsi positive per alcuni versi, per altri rischiano di far franare la protezione del lavoratore dal controllo datoriale sulla propria prestazione. Vediamo quali sono i rischi e le possibili soluzioni.
Lo Statuto dei lavoratori
Lo Statuto dei lavoratori, legge n. 300 del 1970, come gran parte della legislazione lavoristica che l’ha preceduto e succeduto, è riflesso di quel paradigma, figlio del diritto del lavoro novecentesco, per cui i lavoratori subordinati, complice l’esperienza fordista che li ha visti vittime di indiscriminati abusi del capitale, meritano tutele in grado di confinare i poteri datoriali entro spazi e tempi precisi ed entro un definito potere organizzativo e disciplinare.
Uno Statuto che è sopravvissuto ai mutamenti del diritto del lavoro stesso posto che, con il tempo, il contratto di lavoro subordinato è diventato un confortevole rifugio soltanto per pochi perché, da più di una decade, i molti brancolano nella fitta giungla dei contratti di lavoro autonomo e parasubordinato.
Guardiamo poi all’esperienza dello smart working che ha visto venir meno gli spazi e i tempi tipici del lavoro subordinato in conseguenza della capacità del lavoratore di prestare la propria attività da remoto e quindi di definirli a propria discrezione ma anche il potere disciplinare come sino ad oggi lo abbiamo conosciamo, posto che le modalità del suo esercizio sono rimesse per la prima volta alla contrattazione – anche individuale – tra datore di lavoro e smart worker.
Per contro, rischia di franare la protezione del lavoratore dal controllo datoriale sulla propria prestazione. Ed infatti, la tecnologia ha reso accessibili al datore di lavoro dati del lavoratore un tempo protetti da una cortina invalicabile e quindi possibile all’uno un’invasione a piede libero nella sfera di riservatezza dell’altro.[1]
Su queste premesse, si indagherà, con la dovuta sintesi, sui limiti del controllo del datore di lavoro a tutela della privacy del lavoratore ma anche sulla tenuta di tali limiti con particolare riferimento agli sviluppi dello smart working, per rassegnare infine alcune conclusioni.
I limiti del controllo del datore di lavoro
Gli articoli 4 e 8 dello Statuto dei lavoratori hanno la finalità di tutelare dai controlli cosiddetti “odiosi” il lavoratore nell’ottica di garantirne la sfera di riservatezza.
L’articolo 4, invero, limita il potere di cosiddetto “controllo a distanza”, ovvero da remoto, dell’attività dei lavoratori mentre l’articolo 8 vieta al datore di lavoro l’indagine sulle opinioni (politiche, sindacali, religiose etc.) del lavoratore.
L’articolo 4, in particolare, ha perseguito la sua finalità di tutela attraverso la previsione di una procedura autorizzatoria ai fini del controllo a distanza del lavoratore, che deve aver luogo o in sede sindacale o presso l’Ispettorato del lavoro.
Ad opera delle modifiche apportate dall’articolo 23 del d.lgs. n. 151 del 2015 (cosiddetto Jobs Act), tale procedura resta obbligatoria con esclusivo riferimento agli strumenti diretti null’altro che al controllo del lavoratore come ad esempio i sistemi di video sorveglianza, e non anche agli strumenti di lavoro, da cui possa derivare il controllo di quest’ultimo, come ad esempio il tablet, i dispositivi mobile, il pc.
Ciò posto, gli articoli 4 e 8 dello Statuto dei lavoratori devono leggersi in combinato disposto con la disciplina sulla privacy, e dunque con il d.lgs. n. 196 del 2003, c.d. Codice della Privacy, modificato dal Regolamento (Ue) 679 del 2016 (GDPR) per effetto del d.lgs. 10 agosto 2018, n. 101, in vigore dal 19 settembre 2018.
Secondo tale combinato disposto, la tutela della privacy del lavoratore, nel segno del principio di cosiddetta accountability, espresso dal Regolamento europeo, passa per l’osservanza dei due principi fondamentali di privacy by design e di privacy by default.
Smart working e tenuta dei vecchi limiti
Se tutto questo è vero, è anche vero che lo smart working, introdotto nel nostro ordinamento prima dalla contrattazione collettiva e poi dalla legge n. 81 del 2017, rischia – in un futuro molto prossimo – di indebolire la tenuta delle descritte misure, nazionali ed europee, a tutela della privacy del lavoratore.
Anzitutto, deve precisarsi che il controllo della gran parte dei dati dello smart worker da parte del datore di lavoro è – sin da ora – più che immanente allo svolgimento della prestazione lavorativa dello stesso posto che essa si svolge da remoto e quindi per mezzo di un’ininterrotta connessione relativa a tali dati tra datore di lavoro e lavoratore.
In altri termini, il datore di lavoro entra “comodamente” nei luoghi riconducibili alla sfera privata dello smart worker e che quest’ultimo ha eletto a luogo di svolgimento della prestazione di lavoro.
Immaginiamo come, ad esempio, attraverso soltanto una webcam, che inquadri simboli religiosi e politici della postazione dello smart worker, mentre svolge “da casa” la propria attività, il datore di lavoro possa acquisire agevolmente dati inerenti l’orientamento politico e religioso del primo.
Proteggere i dati “sensibilissimi”
Ma questo è il meno. Alcune tecnologie già sono in grado di registrare la fatica o l’emotività del lavoratore ai fini del controllo della sua produttività, e dunque dati appartenenti alla sua sfera per così dire “inconscia”, con ogni conseguente riflesso, peraltro, in termini di utilizzo di tali informazioni sotto il profilo disciplinare.
Immaginiamo, infatti, i dispositivi (wearable device) applicabili all’iride per rilevare il grado di attenzione del lavoratore o ancora i rilevatori di stanchezza applicabili alla tastiera del pc connesso alla sede datoriale o, infine, i caschi (se mai dovessero essere importati nel nostro Paese) in grado di leggere le interazioni celebrali del lavoratore già sperimentati in Cina.
Si tratta di evenienze che gli articoli 4 e 8 dello Statuto dei lavoratori, malgrado le modifiche del d.lgs. n. 151 del 2015, come lo stesso Regolamento (Ue) 679 del 2016, ad oggi, non contemplano.
Invero, i dati derivanti dall’utilizzo di tali tecnologie non appartengono né alla sfera dei dati personali né a quella dei dati sensibili del lavoratore ma alla sfera dei dati che potrebbero essere definiti “sensibilissimi”, sconosciuta al nostro ordinamento e al legislatore europeo.
Su tali presupposti, è evidente che i principi di necessità, correttezza, pertinenza e non eccedenza, che – sul piano lavoristico – sono il precipitato di quelli di privacy by design e di privacy by default, non saranno sufficienti a garantire la privacy del lavoratore ma si imporranno misure più incisive.
Né è sufficiente che l’articolo 21 della già citata legge n. 81 del 2017, in materia di smart working, abbia rimesso all’accordo tra datore di lavoro e lavoratore la disciplina dell’esercizio “del potere di controllo del datore di lavoro sulla prestazione resa dal lavoratore all’esterno dei locali aziendali”.
Ed infatti, datore di lavoro e lavoratore, soprattutto in contesti come quelli delle piccole e medie imprese, non possono di certo considerarsi in grado di disciplinare una materia così complessa, che presuppone competenze non solo specialistiche ma anche interdisciplinari.
Le due possibili soluzioni
In primo luogo, per ogni azienda che tratterà dati “sensibilissimi” del lavoratore, potrebbe essere resa obbligatoria la nomina di un Data Protection Officer. Come noto, ai sensi dell’art. 37 del Reg. (Ue) 679 del 2016, ad oggi, tale figura è obbligatoria solo per soggetti pubblici o per le aziende ovvero per gli altri soggetti privati le cui attività principali consistono:
- in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala,
- ovvero che trattano, su larga scala, categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Il Data Protection Officer dovrebbe vigilare perché l’utilizzo dei dati “sensibilissimi” dei lavoratori non violi le garanzie minime, in tema di diritto di lavoro e di privacy, a tutela degli stessi.
Ad esempio, nell’ottica dell’utilizzo di tali dati ai fini disciplinari, dovrebbe essere resa allo smart worker idonea informativa, nel senso del rischio del controllo dei suoi dati anche “sensibilissimi”, con espressa accettazione dello stesso. E ciò sulla scorta di un modello già tracciato, sotto altri profili, dal d.lgs. n. 81 del 2008.
Ed ancora, dovrebbe consentirsi allo smart worker il diritto di opporsi, con adeguato contradditorio, al trattamento dei dati “sensibilissimi” sulla scorta del diritto di opposizione già contemplato, rispetto ai processi decisionali automatizzati, dall’art. 21 del Gdpr.
E così, sul piano pratico, il lavoratore dovrà essere messo nelle condizioni di provare che un errore commesso sul posto di lavoro che la tecnologia registra connesso ad un calo di produttività è conseguenza, non già di un volontario calo di produttività, ma – ad esempio – di un particolare momentaneo stato di salute o della fisiologica stanchezza legata ad attività lavorativa intensiva.
In secondo luogo, nel segno del principio di privacy by design, potrebbe imporsi ai costruttori delle tecnologie in grado di leggere i dati “sensibilissimi” del lavoratore di adottare algoritmi intelligenti, anche attraverso il machine learning, in grado di interpretare tali dati e di trasmetterli solo ove necessario.
Uno spiraglio per nuove soluzioni a problemi nuovi sembra essere aperto, non a caso, dallo stesso Reg. (Ue) 679 del 2016 ove sia nel considerando n. 155 sia all’art. 88 rimette agli Stati membri il compito di elaborare, “con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro”.
Nuove soluzioni per nuovi problemi
In definitiva, problemi nuovi richiedono soluzioni nuove, dettate da una buona ingegneria legislativa e dal buon senso.
Si tratta, in altri termini, di aprire un varco perché, nel segno di un nuovo “umanesimo dei lavoro”, la riservatezza rientri a pieno titolo tra le “qualità della vita di lavoro” (c.d. workplace within”) che l’ordinamento tutela, ovvero qualità della vita fisica, della vita cognitiva, della vita emotiva, della vita professionale, della vita sociale, della vita riflessiva.
Del resto, “decent work”, data la prospettiva dell’International Labour Organitation (ILO), può e deve voler dire oggi anche lavoro rispettoso della privacy del lavoratore.
_____________________________________________________________
- Nel caso del crowd work, il controllo del lavoratore è rimesso a tutti i numerosi fruitori del servizio oggetto della prestazione lavorativa, estranei al rapporto di lavoro, che ad esito di tale controllo formuleranno un feedback, e non già al solo committente/datore di lavoro, che, però, in virtu’ di tali feedback, potrà esercitare nei confronti del lavoratore il proprio potere disciplinare. E cosi, ad esempio, se alcuni fruitori del servizio Uber rileveranno un livello di pulizia dell’autovettura che li ha trasportati non giudicato in linea con le proprie aspettative, Uber (quale committente/datore di lavoro) potrà sanzionare con i provvedimenti che riterrà opportuni il proprio autista. ↑