Il controllo dei dipendenti da parte del datore di lavoro deve tutelare i diritti dei lavoratori e rispettare rigorosamente le normative sulla protezione dei dati personali. Quali sono gli adempimenti obbligatori per assicurare la piena conformità alle leggi vigenti?
L’importanza della conformità normativa nel controllo dei dipendenti
Le evoluzioni tecnologiche hanno fornito strumenti nuovi ai datori di lavoro per monitorare e controllare, in maniera sempre più invasiva, l’attività lavorativa svolta dai propri dipendenti.
Da un lato, è indiscutibile che il datore di lavoro abbia il diritto di monitorare i propri dipendenti, sia per motivi organizzativi e produttivi, sia per garantire la sicurezza sul lavoro e la protezione del patrimonio aziendale. Dall’altro, è fondamentale che l’azienda adotti le necessarie misure e procedure per assicurare che tale monitoraggio e il trattamento dei dati personali avvengano in conformità con la legge e siano giustificati da una base legittima.
L’attività di controllo dei dipendenti può verificarsi sia attraverso:
- l’installazione di impianti audiovisivi: ad esempio, impianti di videosorveglianza;
- sistemi di geolocalizzazione: tramite dispositivi aziendali offerti in dotazione al dipendente per lo svolgimento della prestazione lavorativa. Ad esempio cellulari, computer, telefoni, tablet.
Benché sia un sacrosanto diritto del datore di lavoro il poter monitorare il lavoratore per le motivazioni sopra citate, l’azienda che utilizza strumenti per il controllo dei dipendenti deve porre in essere una serie di adempimenti che tutelino la privacy dei lavoratori “monitorati” e che conferiscano legittimità al trattamento dei dati personali.
Controllo dei dipendenti: cosa prevedono le normative?
Prima di cominciare a sfruttare tali sistemi, il datore di lavoro, in qualità di titolare del trattamento, deve effettuare alcuni adempimenti aziendali per adeguarsi sia allo Statuto dei Lavoratori che al GDPR.
Statuto dei Lavoratori
L’Articolo 4 dello Statuto dei Lavoratori prevede la possibilità di installare impianti audiovisivi e sistemi che permettano la possibilità di effettuare controllo a distanza dell’attività dei lavoratori.
Per farlo, però, le finalità dell’azienda devono riguardare una di queste tre casistiche specifiche:
- tutela del patrimonio aziendale;
- sicurezza sul lavoro;
- esigenze organizzative e produttive.
Inoltre, è necessario che l’azienda prima ottenga un accordo collettivo stipulato dalla rappresentanza sindacale unitaria (RSU) o dalle rappresentanze sindacali aziendali (RSA). In assenza di questo accordo, è necessaria l’autorizzazione della sede territoriale competente dell’Ispettorato nazionale del lavoro.
Va chiarito che, anche se il dipendente dovesse dare il proprio consenso, questo non può sostituire in alcun caso l’assenza di un accordo con le figure sopra citate. Violare questa disposizione costituisce reato.
L’ispettorato del lavoro e il Garante per la Protezione dei Dati Personali precisano che questa norma si applica anche ai sistemi di localizzazione geografica dei dispositivi e veicoli aziendali.
GDPR
Il GDPR stabilisce principi fondamentali come la correttezza e la trasparenza nel trattamento dei dati, per cui i sistemi di monitoraggio devono essere utilizzati esclusivamente per le finalità dichiarate, vietando qualsiasi uso improprio o non specificato.
Il principio di minimizzazione del trattamento dei dati impone che le immagini raccolte attraverso sistemi di videosorveglianza vengano conservati solo per il tempo necessario, solitamente 24-48 ore. Qualora fosse necessario estendere questo periodo, la conservazione dovrà essere giustificata e documentata con una motivazione valida.
Per approfondire > Il principio di minimizzazione nel GDPR
Quando non è necessario l’accordo sindacale?
Non è necessario l’accordo sindacale nei seguenti casi:
- i sistemi di localizzazione geografica sono classificabili come “strumenti di lavoro”, ovvero sono indispensabili per l’esecuzione dell’attività lavorativa (come computer, telefoni aziendali, tablet, posta elettronica e lettori badge per la rilevazione delle presenze);
- i sistemi di call center che permettono il mero collegamento tra la chiamata e l’anagrafica del cliente, senza ulteriori elaborazioni o trattamenti dei dati.
In questi casi, non è necessario applicare la normativa poiché tali strumenti sono considerati funzionali esclusivamente alla prestazione lavorativa e non finalizzati al controllo del dipendente.
In ogni caso, comunque, l’accordo sindacale richiede che i controlli non siano ”prolungati, costanti, indiscriminati e invasivi”.
Per saperne di più > Videosorveglianza e controllo a distanza: il Garante Privacy sanziona un’azienda per violazione normativa privacy e Statuto dei lavoratori
Per approfondire > Dati di geolocalizzazione: il dipendente ha diritto di accesso
Come deve procedere il datore di lavoro
In linea con le decisioni dell’Autorità Garante e, in generale, seguendo il principio di responsabilizzazione (accountability), che implica l’adozione di comportamenti proattivi per dimostrare l’effettiva applicazione delle misure previste dal regolamento, è fondamentale che il datore di lavoro agisca nel seguente modo:
- svolga una valutazione d’impatto (DPIA), che ha lo scopo di definire come verranno trattati i dati e verificare se il trattamento è necessario e proporzionato e a gestire i rischi che potrebbero minacciare i diritti e le libertà delle persone coinvolte;
- fornisca un’informativa privacy al dipendente che contenga i diritti degli interessati (tra cui il diritto di porre il reclamo all’Autorità di controllo riguardo i sistemi di controllo utilizzati) e che espliciti la possibilità di svolgere monitoraggio in maniera chiara;
- predisponga nell’immediatezza delle telecamere, se installato un impianto di videosorveglianza, la cartellonistica apposita secondo le indicazioni dell’EDPB. Il datore di lavoro deve valutare attentamente dove disporre i cartelli, in modo tale che tutti gli interessati possano visionarli prima di accedere alle aree videosorvegliate;
Per approfondire > Videosorveglianza: solo l’8% degli impianti è segnalato con regolare cartello - predisponga un regolamento aziendale e corsi di formazione interna per tutto il personale che tratta dati personali.
Controllo dei dipendenti: conseguenze in assenza degli adempimenti
L’assenza degli adempimenti previsti dalla legge in materia di monitoraggio dei dipendenti comporta diverse conseguenze per il datore di lavoro. In primo luogo, rischia di incorrere in responsabilità civili, amministrative e, in alcuni casi, penali. In aggiunta, la mancata attuazione degli obblighi legali compromette il potere disciplinare dell’azienda, poiché i dati raccolti tramite sistemi di monitoraggio non conformi non possono essere utilizzati per contestare comportamenti illeciti del dipendente, come nel caso di sanzioni disciplinari o licenziamenti.
Un esempio importante arriva dall’ordinanza della Corte di Cassazione n. 15391 del 3 giugno 2024. La Corte ha confermato che il licenziamento di un dipendente, basato su prove ottenute tramite l’accesso ai dispositivi informatici e al telepass dell’auto aziendale, era illegittimo. Questo perché l’azienda non aveva fornito al dipendente un’adeguata informativa sulle modalità di utilizzo degli strumenti e sui controlli, come richiesto dalla legge.
La sentenza sottolinea che, senza una chiara informativa, le prove raccolte tramite monitoraggio non possono essere utilizzate come base per sanzioni disciplinari.
Il ruolo fondamentale del DPO nel rispetto delle normative
In un contesto aziendale sempre più tecnologico e in continua evoluzione, il Data Protection Officer (DPO) assume un ruolo cruciale nel garantire che ogni attività di monitoraggio rispetti le normative in materia di protezione dei dati personali. Diventa, prima di tutto, una garanzia che i controlli siano conformi alle normative e, di conseguenza, tutela i diritti e le libertà fondamentali dei lavoratori.
Nello specifico, è responsabile di informare, consigliare e monitorare continuamente le attività aziendali. Una delle sue funzioni principali è garantire che venga svolta la valutazione d’impatto sulla privacy (DPIA), oltre a rispondere a dubbi del management e dei dipendenti. La raccolta di eventuali criticità nei sistemi di monitoraggio permette al DPO di suggerire miglioramenti per aumentare l’efficacia e l’efficienza delle misure adottate.
Inoltre, il DPO verifica il funzionamento delle misure di sicurezza e contribuisce a migliorare la trasparenza informativa e le istruzioni per il personale. È anche responsabile della formazione e sensibilizzazione in materia di privacy. Infine, il DPO deve essere coinvolto fin dalla fase di progettazione delle attività di trattamento dei dati e garantire che l’organizzazione mantenga le competenze necessarie per affrontare i cambiamenti normativi e tecnologici.
Per saperne di più > Il Data Protection Officer (DPO) in breve e il servizio DPO di GDPRlab
Cerchi una soluzione per la conformità normativa del tuo impianto di videosorveglianza? Sappiamo cosa suggerirti! Oppure hai bisogno di consulenza per assicurarti che tutto sia in regola con il GDPR? O forse è il momento di nominare un DPO per proteggere i tuoi dati? Siamo esperti di privacy e GDPR e siamo a tua disposizione!
