Lavoro e privacy, cosa cambia con Jobs Act e normative GDPR

L’utilizzo di strumenti tecnologici sul lavoro comporta opportunità e rischi: ecco come il Jobs Act e la normativa GDPR cercano di equilibrare i due aspetti

Se nel corso degli anni la tecnologia è stata vista esclusivamente come strumento di controllo nelle mani dell’imprenditore, oggi spesso la tecnologia riguarda gli strumenti messi a disposizione del dipendente.

La maggior presenza di nuove tecnologie nel mondo del lavoro comporta però nuovi rischi, sia per i lavoratori a causa di controlli potenzialmente invasivi, sia per i datori di lavoro, che si ritrovano a dover fronteggiare possibili problemi di “distrazione” del lavoratore e di sicurezza dell’azienda.

Negli anni della digitalizzazione delle imprese, diventa fondamentale quindi poter offrire ai lavoratori e agli imprenditori le potenzialità della tecnologia e al contempo tutelare il diritto fondamentale, riconosciuto anche dalla Carta dei diritti dell’Unione Europea, alla protezione dei dati personali.

Un tentativo di mediare tra questi aspetti lo fa il Jobs Act, che ha riscritto l’art.4 dello Statuto dei Lavoratori: il datore di lavoro può fornire ai propri dipendenti strumenti di lavoro informatici e telematici e può utilizzare i dati raccolti da tali strumenti senza dover chiedere l’autorizzazione alle Organizzazione Sindacali o all’Ispettorato del Lavoro. La condizione è che venga fornita un’adeguata protezione dei dati personali, con un’informativa e il rispetto della normativa.

Il Garante italiano per la protezione dei dati personali e il Gruppo di lavoro articolo 29 europeo  (un gruppo di lavoro comune delle autorità nazionali di vigilanza e protezione dei dati, costituito da un rappresentante delle varie autorità nazionali, dal Garante europeo e da un rappresentante della Commissione) sono chiari: non rientrano nella categoria degli “strumenti permessi” gli strumenti volti esclusivamente al controllo del lavoratore e che risultino invasivi e lesivi della dignità del dipendente.

Lo smart working è un esempio di uso della tecnologia, al fine di apportare risultati positivi all’impresa e al lavoratore, ma è fonte di potenziali rischi per il datore di lavoro. Lavorando da remoto, c’è la possibilità di avere accessi non autorizzati a reti aziendali con conseguente distruzione o perdita di informazioni e dati personali di dipendenti e clienti.

In questo caso, il datore di lavoro è chiamato ad affrontare il rischio nel rispetto dei principi del Regolamento Europeo, in maniera proporzionata e non eccessiva. In altre parole, deve rispondere al rischio attuando controlli adeguati al rischio e ragionevoli.

Se infatti è ipoteticamente possibile per il datore di lavoro scegliere pacchetti software che hanno la possibilità di registrare le sequenze di tasti e movimenti del mouse, catturare lo schermo in modo casuale, registrare le applicazioni utilizzate e monitorare i tempi di utilizzo o ancora, abilitare la webcam e conservare le riprese, l’uso di tali tecnologie risulta sproporzionata alle finalità del trattamento, e quindi illegittima.

In aiuto arriva il Garante italiano, che ha definito quali sono i software permessi e quali quelli che superano il concetto di “strumento di lavoro”. Innanzitutto sono da considerarsi strumenti di lavoro i singoli software utilizzati e i componenti hardware, non i più generici computer o smartphone aziendali.

Secondo il Garante della Privacy, sono da considerarsi non permessi tutti quei sistemi software non percepibili dall’utente, adatti a monitorare, controllare, tracciare, filtrare in modo costante e indiscriminato tutte le attività del lavoratore. Questi strumenti violano infatti i principi di necessità, pertinenza e non eccedenza previsti dal Codice Privacy italiano e ribaditi dal GDPR europeo.

In particolare, il Garante ritiene vietati strumenti che permettano la riproduzione e memorizzazione di tutte le pagine web visitate dal lavoratore, la lettura e registrazione dei caratteri inseriti tramite la tastiera del PC ed in generale tutti gli strumenti nati per controllare in modo sistematico l’attività del lavoratore.

Strumenti di lavoro adeguati sono da considerarsi invece il servizio di posta elettronica offerto ai dipendenti, il collegamento a siti internet, sistemi di logging per il corretto funzionamento del servizio di posta, sistemi di filtraggio anti-virus, sistemi di inibizione automatica della consultazione di siti web poco inerenti al lavoro in essere, senza registrazione dei tentativi di accesso.

Una volta selezionati gli strumenti, è fondamentale che il datore di lavoro garantisca una informativa concisa, trasparente, comprensibile sulle modalità d’uso ed i potenziali controlli per ciascuno strumento di lavoro. Ciò è necessario perché previsto dalla normativa italiana e ribadito dall’art. 13 del GDPR.

L’informativa dovrà riguardare anche il trattamento del dati e la sua finalità, perché sarà su questo aspetto che verrà valutata l’idoneità dei controlli posti in essere dal datore di lavoro, in caso di eventuale giudizio.

Lavoro e privacy, cosa cambia con Jobs Act e normative GDPR