La disciplina dei controlli a distanza introdotta dal Jobs Act ha cambiato – semplificandole – le regole che governano l’installazione e la consegna degli apparecchi che consentono un controllo a distanza dei lavoratori, mentre non ha toccato in alcun modo i principi e le linee guida che devono essere rispettate per l’utilizzo di tali strumenti.

Diventa più semplice consegnare uno smartphone o un tablet al dipendente, quindi, ma nulla cambia sulle regole da rispettare per poter attingere da questi apparecchi delle informazioni. Altrettanto invariata è la disciplina dei controlli che riguardano la posta elettronica dei dipendenti o l’utilizzo che questi fanno di Internet, che resta ancorata alle norme del Codice Privacy e alle prescrizioni definite nel tempo dal Garante Privacy.

Sulla base di queste regole, i controlli sulle email e sul PC sono leciti solo se sono stati preventivamente adottati e diffusi appositi codici disciplinari interni, mediante i quali è stata portata a conoscenza dei lavoratori la policy aziendale in materia di utilizzo della posta e della rete.

La diffusione di questa policy interna non basta: il datore di lavoro deve rispettare l’ulteriore obbligo, previsto dall’art. 13 del Codice Privacy, di informare i lavoratori circa le finalità e le modalità con cui i loro dati saranno trattati.

L’informativa costituisce  la condizione di legittimità per poter raccogliere e trattare i dati personali che si raccolgono mediante gli strumenti telematici; la centralità di questo documento è stata rafforzata dalla nuova stesura dell’art. 4 dei lavoratori, che subordina l’utilizzabilità delle informazioni raccolte alla preventiva consegna dell’informativa.

Anche dopo aver compiuto questi adempimenti, il datore di lavoro non può effettuare controlli indiscriminati sulle e.mail aziendali e sull’uso di Internet: i controlli possono, infatti, essere svolti solo rispettando alcuni criteri finalizzati ad evitare l’utilizzo indiscriminato degli strumenti telematici.

I controlli, in particolare, devono essere giustificati da una finalità lecita, quale ad esempio la tutela di un diritto esercitabile in via giudiziaria (es. la repressione di una condotta illecita del dipendente). Inoltre, non possono essere effettuati controlli prolungati, costanti o indiscriminati; devono essere preferiti, quando possibile, controlli anonimi e su dati aggregati, e le indagini devono essere circoscritte a specifiche aree di lavoro. Infine,  devono essere cancellati periodicamente ed automaticamente i dati relativi agli accessi ad Internet e al traffico telematico.

Il Garante Privacy ha reso attuali questi concetti generali tramite diverse prescrizioni concrete, con le quali sono state individuale le forme concrete di controllo che sono ammissibili e quelle che invece non possono essere svolte.

Sono state definite illecite la registrazione massiva di tutte le email in uscita, il monitoraggio costante dei siti Internet visitati o la copia di tutti i file salvati dal dipendente tramite la porta USB: tali attività possono essere svolte solo in presenza di motivi specifici e gli accertamenti non devono essere sistematici, indiscriminati e preventivi.

La violazione di questi criteri ha conseguenze importanti: oltre ai risvolti penali, il datore di lavoro non può legittimamente utilizzare le informazioni raccolte in violazione delle regole.
Giampiero Falasca Il Sole 24 Ore 16.11.15

Annunci