Avv. Francesco Rotondi
LabLaw Studio Legale Rotondi & Partners
L’art. 4 della legge 300/1970 e il suo “spiazzamento tecnologico”
Fino alla fine del secolo scorso il potere del datore di lavoro di dirigere il lavoro dei dipendenti, e quello di controllarlo, erano facilmente distinguibili.
Quanto al potere di controllo, fin dall’inizio non fu chiaro se dovesse riguardare solo l’adempimento diligente della prestazione, ovvero potesse estendersi anche alle cdd. “licenze comportamentali”, o addirittura a condotte extralavorative e private, ma ipoteticamente o asseritamente rilevanti ai fini della valutazione della prestazione di lavoro.
Il dubbio fu sciolto dall’art. 4 della legge n. 300/1970, che fa riferimento ai controlli a distanza sull’”attività dei lavoratori”: a significare che, nel modello industriale fordista, i controlli datoriali erano focalizzati sia sulle condotte lavorative che sulle “licenze comportamentali”, ed erano limitati dalle norme statutarie che vietavano i controlli tecnologici a distanza (art. 4).
I controlli sull’adempimento della prestazione erano quelli tipici di un rapporto di lavoro in cui il tratto giuridico della subordinazione era focalizzato su luoghi (presenza obbligatoria in ufficio o in fabbrica) e sui tempi (presenza, applicazione; saturazione dei tempi) di lavoro.
Era di là da venire un apparato protettivo dei dati personali: l’art. 4 s.l., era il prodotto normativo tipico di un contesto dominato dalla logica giuslavoristica, mirante a limitare il potere di controllo del datore di lavoro, con un filtro sindacale – amministrativo idoneo a fare da filtro per i soli controlli cdd. “preterintenzionali”. In sostanza, fermo il divieto incondizionato dei controlli sul lavoro diretti e “intenzionali”, si ammetteva l’installazione di impianti e apparecchiature dalle quali derivasse anche la mera possibilità di controllo a distanza dell’attività dei lavoratori, previo accordo sindacale aziendale o, in mancanza di accordo, di autorizzazione dell’ispettorato del lavoro.
Negli anni ‘80 del secolo scorso irrompono le tecnologie informatiche e si verifica il primo “spiazzamento tecnologico” dell’art. 4: poiché strumenti e apparecchiature – anche di lavoro -, pur non concepite per controllare i dipendenti, possono rendere possibile tale controllo, ne consegue che larga parte degli strumenti di lavoro e anzi degli strumenti tecnologici tout court, rischiano di cadere nella categoria dei controlli a distanza “preterintenzionali”.
Di qui, la faticosa e tortuosa elaborazione di una strategia interpretativa protesa al restringimento del campo di applicazione dell’art. 4.
A ciò si procedette in due modi: cercando, da un lato, e senza grande successo, di espellere per via interpretativa dalla fattispecie del controllo preterintenzionale gli strumenti di lavoro; dall’altro, e soprattutto, valorizzando la fattispecie giurisprudenziale dei controlli difensivi: una fattispecie invero elaborata quale via di fuga non solo dal divieto dei controlli umani occulti (artt. 2 e 3 s.l.), ma anche dalla disciplina dei controlli tecnologici a distanza., in quanto finalizzata a impedire la commissione di illeciti lesivi del patrimonio aziendale
Ma la via di fuga non era totale, perché riguardava solo la disciplina di stampo lavoristico del comma 1°, e non quella di matrice privacy.
Invero, la teoria dei controlli difensivi, nel momento in cui viene a contatto con la disciplina della privacy, si deve far carico di effetti tipici di quest’ultima, quali la necessità di adottare misure “graduali” che legittimano “controlli non invasivi”, solo in caso di rilevazione di “specifiche anomalie”.
Fin dall’inizio fu chiaro che la nozione di controllo preterintenzionale/indiretto era incompatibile con i principi di proporzionalità, gradualità, pertinenza e non eccedenza, che sono pensati per il trattamento ordinario, metodico e sistematico di dati personali, e non per l’acquisizione straordinaria di informazioni utili a prevenire illeciti.
La risposta del Jobs Act al problema dell’espansione incontrollata degli strumenti senza finalità ma con potenzialità di controllo, è stata quella di temperare il rigore della parte giuslavoristica della norma, eliminando dal novero degli strumenti di controllo preterintenzionale, gli strumenti di lavoro.
In cambio, però, penetra nel corpo normativo la protezione della privacy, sub specie sia di specifica previsione di un obbligo di trasparenza (nuovo comma 3° dell’art. 4), sia di rinvio all’intero corpus normativo sulla protezione dei dati personali: corpus che intanto era cresciuto a dismisura, in qualità e in quantità, grazie all’art. 8 della Carta di Nizza, alla direttiva 95/46/CE, e al codice privacy (d. lgs. n. 196/2003).
Qui è la parte incentrata sull’obbligo di informazione e trasparenza, nonché ispirata ai principi del diritto della privacy, ad assumere rilievo centrale ed assorbente.
Due dati normativi e interpretativi stanno a dimostrarlo.
In primo luogo, va osservato che il terzo comma dell’articolo 4 si applica anche ai controlli difensivi: figura, come s’è detto, di creazione giurisprudenziale, finalizzata a consentire in un primo tempo i controlli occulti, e successivamente quelli a distanza senza procedura autorizzatoria.
In secondo luogo, va rimarcata la necessità incondizionata che il lavoratore sia informato “circa la possibilità che il datore adotti misure di monitoraggio”, e che l’informazione sia “chiara circa la natura della sorveglianza e precedente alla sua attuazione”.
Può dirsi, in sintesi, che i controlli difensivi sbarrino la strada alla tutela giuslavoristica ma non a quella della privacy, affermandosi la “compatibilità dei cd. controlli difensivi con la modifica dell’art. 4 St. lav. “, ma nel contempo esigendo la “massima valorizzazione dei principi generali desumibili dal diritto europeo della protezione dei dati personali e dalla (giurisprudenza della) C.edu.
Sicché la S.C. esclude dal campo di applicazione dei primi due commi dell’art. 4 i controlli «diretti ad accertare specificamente condotte illecite ascrivibili — in base a concreti indizi — a singoli dipendenti», ma resta fermo che nemmeno i controlli difensivi in senso stretto si sottraggono alla protezione «dell’art. 8 della Convenzione Europea dei Diritti dell’Uomo come interpretato dalla giurisprudenza della C.edu».
Proprio dalla matrice dell’informazione e della trasparenza, peraltro, sono scaturite quelle esegesi che, nell’aprirsi in tempi diversi ai controlli tramite agenzie investigative e poi a quelli difensivi, hanno finito, su impulso della C.edu , per sposare la logica del bilanciamento degli interessi contrapposti: un bilanciamento che si consuma non solo al livello statuale ma anche nei rapporti intersoggettivi, e nel cui ambito l’esistenza di una previa informativa circa le modalità, la durata e la finalità del controllo a distanza, anche se effettuato tramite apparecchiature autorizzate ex art. 4 St. lav., assurge a condizione di legittimità del trattamento dei dati, con la conseguente inutilizzabilità in giudizio per provare inadempimenti.
Passa in second’ordine l’accordo sindacale autorizzatorio, mentre assurgono a vero nucleo dell’assetto regolativo, nonché a elementi costitutivi del potere di controllo, le condizioni di matrice privacy della previa informativa ex co. 3 e del globale rispetto della disciplina della protezione dei dati.
Ciò che dal complesso quadro regolativo multilivello emerge in positivo è il profilarsi di una prospettiva unificante e semplificatrice, guidata dalla giurisprudenza C.edu: una prospettiva caratterizzata dalla applicazione diretta del principio alla condotta, quasi scavalcandosi la norma (uni-europea e/o nazionale) di dettaglio; così come dall’irrilevanza della distinzione tra inadempimento e illecita lesione del patrimonio aziendale, che può assumere rilievo tutt’al più ai fini del giudizio di proporzionalità filtrato dal principio di minimizzazione del rischio.
In questo contesto non sempre facilmente intellegibile, nel quale si confrontano in un difficile punto di equilibrio le ben note esigenze della tutela dei dati e quelle del controllo – anche finalizzato a prevenire o contrastare illeciti – la formazione assume un ruolo particolarmente rilevante. Il tema della formazione oggi deve potersi declinare su due differenti fronti, per un verso quello della conoscenza del dato normativo e dell’interpretazione non sempre univoca fra magistratura del lavoro e Garante privacy; per altro verso la formazione deve essere rivolta alla conoscenza degli strumenti tecnici utilizzati con una particolare attenzione verso la lettura e la comprensione del dato che – anche incidentalmente – viene rilevato.
Sempre in riferimento all’aspetto della formazione occorre evidenziare che questa dovrebbe prevedere un livello di base rivolto alla generalità dei dipendenti ed uno approfondito e caratterizzato dalla continuità rivolto ai soggetti che trattano dati ovvero che interloquiscono con strumenti automatizzati o di Intelligenza Artificiale.
