Il PC come strumento di lavoro può essere monitorato senza accordo sindacale, se il lavoratore è stato informato e si rispetta il GDPR. I software di sorveglianza sistematica richiedono invece accordo con i sindacati o autorizzazione dell’Ispettorato. I dati raccolti illegittimamente non possono essere usati in sede disciplinare.
Un dipendente lavora da casa con il PC aziendale. Il datore installa un software che registra ogni schermata ogni dieci minuti. È lecito? E se invece l’IT accede da remoto per un aggiornamento e “per caso” vede le email del dipendente, quei dati possono essere usati per licenziarlo?
La risposta alla domanda su se il datore di lavoro possa controllare il PC aziendale del dipendente a distanza è sì — ma entro confini precisi che dipendono dal tipo di controllo, dagli strumenti usati, dalle informazioni fornite al lavoratore e dal rispetto del GDPR. Superare quei confini non è solo un illecito amministrativo: rende i dati raccolti inutilizzabili in sede disciplinare.
Il quadro normativo: art. 4 Statuto dei lavoratori e GDPR
Il riferimento principale è l’art. 4 della L. n. 300/1970 — lo Statuto dei lavoratori — nella versione riformata dal D.Lgs. n. 151/2015, che distingue tre categorie di strumenti con regole diverse.
Gli impianti audiovisivi e gli strumenti di controllo a distanza — telecamere, software di tracciamento aggiuntivi, sistemi di geolocalizzazione non essenziali — possono essere installati solo per esigenze organizzative, produttive, di sicurezza o tutela del patrimonio, e richiedono accordo con RSA/RSU o, in mancanza, autorizzazione dell’Ispettorato Territoriale del Lavoro.
Gli strumenti di lavoro — PC, tablet, smartphone, CRM — possono essere utilizzati dal datore per ottenere dati sull’attività lavorativa senza accordo sindacale o autorizzazione, ma solo se il lavoratore è stato informato e si rispetta la normativa privacy.
Gli strumenti di registrazione degli accessi e delle presenze seguono regole proprie.
Il PC come strumento di lavoro: cosa il datore può fare
Quando il PC è usato principalmente come strumento di lavoro — senza componenti aggiuntivi invasivi destinati al controllo — il datore può effettuare verifiche tecniche e di sicurezza informatica: antivirus, aggiornamenti, backup. Può controllare ex post i log di sistema o di rete per verificare anomalie. Può verificare l’uso degli applicativi aziendali essenziali alla prestazione.
Tutto questo è consentito senza accordo sindacale o autorizzazione, a due condizioni: il lavoratore deve essere stato adeguatamente informato sulle modalità d’uso degli strumenti e sui controlli, e il trattamento dei dati deve rispettare i principi del GDPR — minimizzazione, proporzionalità, limitazione della conservazione.
Quando invece serve l’accordo sindacale o l’autorizzazione
La situazione cambia radicalmente quando il datore installa sul PC software che consentono un monitoraggio aggiuntivo e non essenziale alla prestazione: registrazione sistematica delle schermate, keylogger, tracciamento continuo delle attività, screenshot automatici. Questi software trasformano lo strumento di lavoro in uno strumento di controllo a distanza e ricadono nella disciplina del comma 1 dell’art. 4.
In questi casi serve l’accordo con RSU/RSA o, in mancanza, l’autorizzazione dell’Ispettorato Territoriale del Lavoro. Non basta il consenso del singolo lavoratore — anche se informato — che non può sostituire l’accordo sindacale. Non basta il semplice preavviso. Non basta che le apparecchiature siano solo installate e non ancora attive.
L’assenza di accordo o autorizzazione, quando richiesti, costituisce violazione dell’art. 4, può configurare reato — anche antisindacale — e rende i dati raccolti inutilizzabili a fini disciplinari.
L’accesso remoto: quando è lecito e quando no
L’accesso remoto al PC per assistenza IT, manutenzione e gestione software è di per sé possibile — ma deve essere descritto nelle policy aziendali e nell’informativa privacy, limitato a quanto necessario e proporzionato.
Se invece l’accesso remoto è strutturato in modo da consentire un monitoraggio sistematico e continuo — schermate in tempo reale, registrazione costante delle operazioni, controllo dell’attività dell’utente — si entra nella categoria degli strumenti di controllo a distanza con tutte le conseguenze: accordo sindacale o autorizzazione, valutazione d’impatto privacy, informativa dettagliata.
Email e navigazione internet: i limiti del Garante
Il Garante per la protezione dei dati personali ha chiarito che i log di navigazione e di traffico email possono essere raccolti e analizzati se finalizzati alla tutela di beni aziendali — sicurezza dei sistemi, protezione del patrimonio — ma non possono tradursi in controllo prolungato, costante o indiscriminato.
È espressamente vietata la raccolta generalizzata di tutte le email in vista di futuri contenziosi.
Con il documento di indirizzo del 6 giugno 2024 sui programmi di posta elettronica in ambito lavorativo, il Garante ha precisato che i metadati delle email dei dipendenti possono essere conservati per un massimo di 21 giorni, estensibile solo in presenza di comprovate esigenze specifiche.
L’obbligo di informazione: condizione per usare i dati
L’art. 4, comma 3, dello Statuto dei lavoratori è esplicito: i dati raccolti tramite impianti e strumenti possono essere usati per tutti i fini connessi al rapporto di lavoro — compresi quelli disciplinari — solo se è stata fornita al lavoratore una adeguata informazione sulle modalità d’uso degli strumenti e sui controlli, e solo se si rispetta la normativa privacy.
Questa informazione deve essere completa, precisa, specifica: non basta una clausola generica nel contratto. Deve descrivere cosa viene monitorato, con quale frequenza, chi ha accesso ai dati e per quanto tempo vengono conservati. Deve essere resa effettivamente conoscibile — policy pubblicata in intranet, affissa in bacheca, consegnata individualmente.
Oltre all’informazione ex art. 4, il datore deve fornire l’informativa privacy ai sensi degli artt. 13 e 14 del GDPR, con le finalità e le basi giuridiche dei trattamenti, le categorie di dati trattati, i tempi di conservazione e i diritti degli interessati.
Il Decreto Trasparenza e i sistemi automatizzati
Il D.Lgs. n. 104/2022 — Decreto Trasparenza — ha introdotto obblighi aggiuntivi per i sistemi di monitoraggio automatizzato che incidono sulla gestione del rapporto di lavoro. Il datore deve informare il lavoratore sulla logica e il funzionamento del sistema, sui parametri usati, sui possibili impatti discriminatori e sulle misure di controllo e correzione.
Deve anche aggiornare il registro dei trattamenti, effettuare l’analisi dei rischi e — se necessario — la valutazione d’impatto sulla protezione dei dati, consultando preventivamente il Garante nei casi previsti dal GDPR.
I controlli difensivi: l’eccezione per gli illeciti specifici
La giurisprudenza — Cassazione n. 25732/2021 e n. 18168/2023 — ammette i cosiddetti controlli difensivi in senso stretto: controlli tecnologici occulti diretti ad accertare specifici illeciti del lavoratore, non riconducibili al mero controllo dell’adempimento della prestazione.
Questi controlli sono leciti quando esiste un fondato e ragionevole sospetto di illecito, quando riguardano dati acquisiti solo dopo l’insorgere del sospetto, e quando il mezzo è proporzionato allo scopo. Non possono essere sistematici e preventivi: devono rispondere a un’esigenza difensiva specifica e concreta.
La Cassazione ha ritenuto legittimo, ad esempio, l’uso disciplinare di dati rilevati ex post sull’uso del PC — un dipendente sorpreso a giocare durante l’orario di lavoro — quando il controllo era mirato ad accertare quella specifica mancanza, senza costituire sorveglianza sistematica.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Angelo Greco
Source link
