Vi è una norma dello Statuto dei lavoratori (art. 4) che disciplina il controllo meccanico dell’attività dei lavoratori. Tale attività si svolge tramite operazioni che essendo totalmente o parzialmente automatizzate sono inquadrabili come “trattamenti” in base al GDPR e hanno come contenuto informazioni suscettibili di identificare i lavoratori, così da qualificarsi come “dati personali”. Pertanto, le attività di controllo a distanza dell’attività dei lavoratori presuppongono trattamenti di dati personali. Le due discipline hanno punti di intersezione divenuti palesi anche con la riforma del Jobs Act del 2015.

In questa occasione, prendendo spunto dal provvedimento del Garante privacy doc. web n. 9586936, esaminiamo quale siano le basi giuridiche del trattamento di dati personali inerente l’attività di controllo a distanza conforme alla procedura dettata dal primo comma dell’articolo 4 dello Statuto.

Sintesi

Base giuridica dei relativi trattamenti

Una delle questioni sollevate da questo intreccio normativo concerne l’individuazione della base giuridica dei trattamenti di dati personali connessi alle attività di controllo che rientrano nell’articolo 4 dello Statuto. Ci si chiede, cioè, se le due condizioni alternative della procedura multilivello (accordo sindacale e autorizzazione amministrativa) possano essere ritenute basi giuridiche del trattamento.

Tassatività delle basi giuridiche dell’art.6

Il GDPR indica come basi giuridiche sei opzioni tassative all’articolo 6: cinque di esse sono legate a un criterio di necessità, tra cui il trattamento dati «necessario per adempiere a un obbligo legale al quale è soggetto il titolare del trattamento» (art. 6.1, lett. c), GDPR).

La previsione dell’articolo 4 dello Statuto, a prima vista, potrebbe far ritenere che si rientri nella citata ipotesi della base giuridica dell’obbligo legale ma, ad un più attento esame, si nota che la disposizione concerne quei casi in cui un obbligo di legge – di diritto UE o dello Stato membro – presuppone necessariamente il trattamento di dati personali per poter adempiere allo stesso. Nel caso in esame, invece, non si è in presenza della imposizione di un obbligo bensì di una condizione di liceità, nel senso che se l’imprenditore intende installare un’apparecchiatura di controllo a distanza per il perseguimento delle finalità lecite ammesse, dovrà farlo rispettando la procedura indicata nella norma.

Accordo sindacale o autorizzazione come base giuridica

Traendo spunto dalla conclusione precedente viene in evidenza che l’accordo sindacale o l’autorizzazione amministrativa (cioè le due condizioni previste dalla procedura dell’articolo 4 dello Statuto) non possono considerarsi come base giuridica (cioè fondamento di liceità) del connesso trattamento di dati personali, dovendosene necessariamente individuare un’altra o altre tra le residue cinque dell’articolo 6 del regolamento 2016/679.

Poichè il consenso del lavoratore (previsto all’art. 6.1 lett. a, GDPR) non potrebbe considerarsi una valida base giuridica in quanto privo del requisito della libertà, a causa della sperequazione intrinseca nel rapporto subordinato tra datore e lavoratore dipendente, occorre inevitabilmente verificare quale ulteriore base giuridica possa rinvenirsi per ciascuna delle tassative finalità per le quali l’articolo 4 dello Statuto rende ammissibile il controllo a distanza preterintenzionale; e cioè:

• esigenze organizzative
• esigenze produttive
• tutela del patrimonio aziendale
• sicurezza del lavoro.

Interesse legittimo e obbligo legale

Attraverso il percorso logico accennato, risulta chiaro che le quattro finalità ammesse dall’articolo 4 dello Statuto rispondono a distinte basi giuridiche; difatti, le prime tre, cioè le esigenze organizzative e produttive nonchè la tutela del patrimonio aziendale, rientrano nel perseguimento dell’interesse legittimo dell’imprenditore di potersi organizzare e di determinare le modalità di produzione secondo strumenti e modalità che esso ritiene più adeguati; così come rientra nell’interesse datoriale proteggere opportunamente beni e strumenti di lavoro. L’ammissibilità della base giuridica del legittimo interesse è soggetta – come di consueto – alla preventiva valutazione comparativa di bilanciamento degli interessi contrapposti tra titolare e interessati (comunemente nota con l’acronimo inglese di “LIA”).

La quarta finalità della sicurezza del lavoro, diversamente dalle precedenti tre, risponde invece alla necessità di consentire al datore di lavoro di adempiere agli obblighi legali che gli sono imposti dal decreto legislativo n. 81/2008 per la salute e sicurezza sul luogo di lavoro (art. 6.1, lett. c), GDPR).

Presupposto di liceità 

In base alla ricostruzione fatta emerge, quindi, che le condizioni della procedura dell’articolo 4 dello Statuto (accordo sindacale o autorizzazione amministrativa) anzichè assurgere a base giuridica del connesso trattamento di dati personali siano, in realtà, presupposti di liceità nel rispetto del principio di cui all’articolo 5.1, lett. a) del GDPR.

Va evidenziato che questa ricostruzione giuridica – che ha dirette ripercussioni sulla redazione dell’informativa e sull’esercizio dei diritti degli interessati (lavoratori) – non sembra trovare conferma nel provvedimento adottato dal Garante privacy nell’aprile del 2021 (doc. web n. 9596936, par. 3.3).