Il Fatto Quotidiano, 27 maggio 2020.

Il lavoro agile, detto smartworking, costituisce una modalità di esecuzione del rapporto di lavoro caratterizzata dall’assenza di vincoli di orario o di luogo di lavoro, oggi particolarmente caldeggiata dal Governo per assicurare il distanziamento sociale tra i lavoratori ed evitare una nuova diffusione di massa del Covid-19.

Anche nell’ambito dello smartworking, tuttavia, non viene meno l’interesse del datore di lavoro a verificare, nei limiti di quanto previsto dalla disciplina giuslavoristica di riferimento e soprattutto dall’art. 4 dello Statuto dei Lavoratori, che la prestazione oggetto del rapporto di lavoro sia effettivamente adempiuta.

Ed in effetti, il datore di lavoro potrà facilmente disporre di strumenti tecnologici a tal fine (sul mercato sono già presenti tecnologie che, ad esempio, consentono di registrare la durata di utilizzo delle applicazioni oppure i movimenti del mouse), ma la circostanza che la prestazione, in questo caso, si svolga prevalentemente presso la dimora privata del lavoratore, pone alcune importanti problematiche non solo sotto il profilo giuslavoristico, ma anche, per quanto di interesse a questo articolo, in materia di privacy.

A tale ultimo proposito, il Comitato Europeo per la Protezione dei Dati ha già affermato che il consenso del lavoratore al trattamento dei propri dati personali non può essere considerato espressione di una volontà libera, poiché il diniego del lavoratore “potrebbe causare allo stesso un pregiudizio reale o potenziale”, suggerendo invece di valutare quale base legale del trattamento: il ricorso a disposizioni normative o contrattuali, l’adempimento di un obbligo di legge oppure il legittimo interesse del datore di lavoro (Opinion 2/2017 on data processing at work).

Il controllo dell’effettivo svolgimento dell’attività lavorativa rientra proprio nell’ultima ipotesi, quella del legittimo interesse del datore di lavoro.

Senonchè, nella scelta degli strumenti individuati a tal fine, il datore di lavoro dovrà assicurarsi che sussista un perfetto equilibrio fra il pregiudizio che patirebbe l’azienda nel non procedere al trattamento e quello che subirebbe il dipendente qualora il trattamento avesse luogo (principio di “proporzionalità”).

In particolare, prima di iniziare il trattamento, il datore di lavoro dovrà sviluppare una valutazione preventiva sulle conseguenze del trattamento dei dati, accertandosi se sussistano rischi elevati per le libertà e i diritti dei lavoratori.

Nell’ambito dello smartworking, infatti, il trattamento dei dati personali può avere ad oggetto dati sensibili, avvenire su larga scala e mediante l’utilizzo di nuove soluzioni tecnologiche, tutti elementi che suggeriscono di procedere con una valutazione d’impatto in base all’art. 35 GDPR, al fine di valutare i rischi connessi al trattamento ed adottare, nel rispetto dei principi di necessità e proporzionalità, le misure di sicurezza idonee a ridurli o eliminarli.

Nel caso in cui tali misure non risultassero sufficienti a eliminare o ridurre il rischio per i diritti dei dipendenti, il titolare dovrà consultare l’Autorità Garante per la privacy, che indicherà le ulteriori misure di sicurezza eventualmente da implementare per procedere con il trattamento.

Ogni trattamento, poi, dovrà svolgersi nel rispetto del principio di trasparenza.

Dovranno quindi essere predisposte policies chiare e facilmente comprensibili per tutti i lavoratori in ordine al tipo di trattamenti che saranno svolti nell’ambito dello smartworking, alle finalità, ai tempi di conservazione dei dati e alle misure di sicurezza adottate per garantire che la vita privata dei dipendenti non sia violata.

Ciò vale ancor di più nel caso di trattamenti svolti per finalità di legittimo interesse, come nel caso del datore di lavoro interessato a verificare che l’attività lavorativa sia effettivamente svolta anche dal dipendente “in smartworking”.

Infatti, il Considerando n. 47 del regolamento precisa che “gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali”.

L’inottemperanza del dovere di informare i lavoratori dell’attività di controllo svolta dal datore di lavoro potrebbe pertanto determinare, nel nostro caso, non solo una violazione del dovere di trasparenza stabilito dagli artt. 12 e seguenti del GDPR, ma altresì la mancanza stessa della base giuridica del legittimo interesse su cui si fonda il trattamento.

Alla luce di quanto sopra, e in conclusione, potrebbe sembrare che nella predisposizione delle privacy policies aziendali in tema di smartworking la normativa ponga ostacoli e problemi a ogni passo.

In realtà, è vero l’esatto contrario.

Il GDPR, infatti, come abbiamo visto, garantisce al datore di lavoro un’ampia autonomia rispetto alla scelta delle finalità e delle misure tecniche e organizzative da adottare nell’ambito della tutela della privacy dei lavoratori in smartworking, con l’unica avvertenza di bilanciare responsabilmente i contrapposti interessi.

Una flessibilità che ha dunque un’importante contropartita: la responsabilità del datore di lavoro di saper dimostrare la legittimità delle decisioni assunte.

avv. Fabio Savoldelli