Lavoro da remoto e privacy: il capo può controllarti?

Lavorare da remoto ha trasformato il concetto di ufficio, ma non ha cancellato i diritti dei lavoratori. Anche davanti a uno schermo, la privacy e la dignità professionale sono tutelate dalla legge.

Quali limiti ha il datore di lavoro nel controllo a distanza?

Il controllo dell’attività dei lavoratori da parte del datore di lavoro, anche se svolta da remoto, è disciplinato dallo Statuto dei Lavoratori (art. 4 l. n. 300/1970). La norma stabilisce che è vietato l’uso di impianti audiovisivi e di altri strumenti che abbiano come finalità esclusiva quella di controllare a distanza l’attività dei dipendenti.
La disciplina distingue tra gli strumenti introdotti per finalità di controllo, che richiedono un accordo sindacale o un’autorizzazione dell’Ispettorato, e quelli necessari per rendere la prestazione lavorativa, dai quali può derivare un controllo solo indiretto e strumentale, comunque soggetto a obbligo di informativa.
Il principio generale è il divieto di sorveglianza occulta o indiscriminata sui lavoratori. Ciò vale anche in caso di smart working: la prestazione lavorativa da remoto non giustifica controlli generalizzati o invasivi.

Controlli ammessi

L’attività di controllo deve essere esercitata nel rispetto della dignità e della riservatezza personale del lavoratore. Il datore di lavoro può adottare strumenti tecnologici necessari per esigenze organizzative, produttive, per la sicurezza del lavoro o per la tutela del patrimonio aziendale, ma tali strumenti non devono comprimere in modo eccessivo i diritti fondamentali del lavoratore.
Inoltre, il trattamento dei dati personali derivante dall’uso di tali strumenti deve rispettare il principio di minimizzazione di cui all’art. 5, par. 1, lett. c) del GDPR, secondo cui possono essere raccolti solo i dati strettamente necessari rispetto alle finalità perseguite. Il bilanciamento tra l’interesse datoriale e i diritti del dipendente è un requisito imprescindibile, confermato anche dalla normativa europea sulla protezione dei dati personali (Reg.UE 2016/679 – GDPR).

Se il datore di lavoro intende installare strumenti dai quali possa derivare un controllo a distanza dell’attività lavorativa, è necessario stipulare in via preventiva un accordo collettivo aziendale con le rappresentanze sindacali aziendali. L’accordo deve essere specifico e riferito agli strumenti concretamente utilizzati e alle modalità di controllo previste. In mancanza di rappresentanze sindacali aziendali o in caso di mancato accordo con le stesse, il datore di lavoro deve ottenere un’autorizzazione preventiva dall’Ispettorato territoriale del lavoro competente, indicando le caratteristiche degli strumenti, le modalità d’uso e le finalità perseguite. Eventuali strumenti installati senza il rispetto di tali adempimenti rendono illegittimi i controlli e inutilizzabili le informazioni raccolte, anche a fini disciplinari (Cass. sent. n. 5095/2018).

Smart working e strumenti di controllo: cosa dice lo Statuto dei lavoratori

Lo svolgimento della prestazione da remoto non riduce i diritti del lavoratore in tema di dignità e riservatezza, né consente controlli più stringenti rispetto a quelli consentiti in presenza. Il Garante privacy ha ribadito che l’art. 4 dello Statuto si applica anche nel caso del lavoro agile, a prescindere dal luogo di svolgimento della prestazione, richiedendo in ogni caso trasparenza e rispetto delle procedure autorizzative.

Differenze tra strumenti per la prestazione lavorativa e strumenti di controllo autonomo

È importante distinguere tra gli strumenti per lo svolgimento dell’attività (come computer aziendali, smartphone, tablet) e quelli concepiti per il controllo diretto del dipendente (quali software di monitoraggio continuo, registrazione delle attività o controllo remoto delle postazioni).
Mentre l’uso dei primi è di solito considerato legittimo, a condizione che il lavoratore sia adeguatamente informato, l’installazione dei secondi richiede l’applicazione delle procedure di autorizzazione sindacale o dell’Ispettorato del lavoro previste dalla legge. Quando gli strumenti adottati comportano un monitoraggio continuativo e automatizzato su larga scala, è obbligatoria una valutazione di impatto sulla protezione dei dati personali (DPIA), ai sensi dell’art. 35 del GDPR.

Il lavoratore deve essere informato dei controlli?

Affinché il controllo sia conforme alla legge, è indispensabile che l’azienda adotti policy interne chiare, trasparenti e facilmente accessibili ai lavoratori. Il datore di lavoro deve fornire ai dipendenti un’informativa privacy (art. 13 del GDPR), specificando se i dati raccolti saranno oggetto di profilazione, se vi è un processo decisionale automatizzato, e se i dati potranno essere trasferiti al di fuori dell’Unione europea. Infatti, l’art. 4 dello Statuto dei Lavoratori stabilisce che:

“l’uso degli strumenti, dai quali derivi anche solo indirettamente un controllo sull’attività del dipendente, è legittimo solo se il lavoratore è stato previamente informato delle modalità d’ uso degli strumenti e dell’effettuazione dei controlli.”

Non è sufficiente un generico richiamo a esigenze organizzative o produttive: il datore di lavoro deve specificare quali dati saranno raccolti (ad esempio, tempi di connessione, accessi ai programmi aziendali, localizzazione), con quali strumenti, per quali scopi e secondo quali procedure di conservazione e cancellazione.

Le sanzioni per controlli illeciti al datore di lavoro

Se il datore di lavoro adotta strumenti di controllo a distanza senza aver ottenuto il necessario accordo sindacale o l’autorizzazione dell’Ispettorato territoriale del lavoro, oppure se usa le informazioni raccolte senza aver rispettato l’obbligo di informativa nei confronti del lavoratore, rischia di incorrere in sanzioni amministrative e penali.
Dal punto di vista amministrativo, sono previste multe che possono variare in base alla gravità della violazione.
Sotto il profilo penale, l’art. 38 dello Statuto dei Lavoratori sanziona l’installazione di impianti di controllo non autorizzati con l’arresto fino a un anno o con l’ammenda. Il reato è perseguibile a querela del lavoratore, salvo che ricorrano circostanze aggravanti. La giurisprudenza richiede, inoltre, la prova dell’effettiva finalità di controllo intenzionale del datore di lavoro (Cass. sent. n. 44730/2021). Inoltre, il lavoratore che subisce un controllo illegittimo può agire in sede civile per ottenere il risarcimento del danno, sia patrimoniale che non patrimoniale, derivante dalla lesione della propria dignità e privacy.

Le violazioni del GDPR

Le condotte illecite possono integrare anche violazioni del GDPR, con conseguente applicazione delle pesanti sanzioni previste dal Regolamento europeo.
In particolare, in caso di trattamento illecito dei dati personali (ad esempio, raccolta di dati senza informativa o monitoraggi non proporzionati), il datore di lavoro può essere sanzionato dal Garante per la protezione dei dati personali con multe che arrivano fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato annuo mondiale.
Oltre alle sanzioni pecuniarie, il Garante può imporre misure correttive come il blocco temporaneo del trattamento, la cancellazione dei dati raccolti illecitamente o l’ordine di notifica della violazione ai soggetti interessati (art. 58 GDPR).

Negli ultimi anni, il Garante per la protezione dei dati personali ha più volte sanzionato aziende che avevano effettuato controlli a distanza sui propri dipendenti in violazione delle norme vigenti.
In un caso, è stata comminata una sanzione di 40.000 euro a una società che aveva installato sistemi di geolocalizzazione sui veicoli aziendali senza aver fornito un’adeguata informativa ai lavoratori né aver stipulato l’accordo sindacale. (Provv. Garante Privacy n. 9718291 del 2022)
In un altro procedimento, un’azienda è stata multata per aver adottato software di monitoraggio delle attività digitali dei dipendenti senza aver rispettato i principi di trasparenza e proporzionalità, con una sanzione pari a 60.000 euro (Provv. Garante Privacy n. 9765065 del 2022).