Il lavoratore può essere controllato da remoto, ma va informato

La nuova disciplina dei controlli sul lavoro ha segnato una svolta nell’approccio a questa controversa problematica. Da un lato, ha ridimensionato il ruolo delle autorizzazioni sindacali o amministrative, esentando le imprese dal richiederle per installare gli strumenti strettamente finalizzati al lavoro. Dall’altro, ha osato prevedere che le informazioni acquisite tramite strumenti autorizzati o esentati sono utilizzabili anche a fini disciplinari, purché siano state acquisite (visto che comportano un trattamento di dati personali) nel rispetto della normativa privacy.

L’intenzione era quella di sollevare le imprese da alcuni oneri autorizzatori e dare loro maggiori certezze sulla fattibilità dei controlli, in cambio dell’osservanza delle regole privacy. Che la scommessa riuscisse dipendeva, però, da diverse variabili: che il concetto di “strumento di lavoro” non fosse inteso troppo restrittivamente (come, invece, nella prassi che sembra imporsi); che le imprese rinfrescassero ed eventualmente adeguassero i loro codici privacy, in specie migliorando le informative ai lavoratori; che il Garante si facesse carico delle nuove responsabilità, ma a partire dal concetto che quando insiste in un ambiente caratterizzato da un potere di controllo la privacy deve rassegnarsi a qualche passo indietro, a pena di provocare fenomeni di rigetto (come il ritorno in voga della pur precaria scappatoia dei “controlli difensivi”).

Quest’ultimo punto merita qualche attenzione in più. A detta di alcuni, il ruolo della disciplina della privacy, di recente rinnovata dal GDPR e dal decreto attuativo, non sarebbe cambiato alla luce della riforma dei controlli: come valeva prima, la privacy vale adesso. Si tratta, a mio giudizio, di una conclusione frettolosa. Il fatto che il nuovo art. 4 abbia posto il rispetto di quella disciplina (l’unica, tra l’altro, a riguardare le modalità dei controlli, visto che le autorizzazioni concernono l’installazione degli strumenti) come condizione dell’utilizzazione probatoria delle informazioni acquisite per tale via rappresenta una novità di rilievo, sia perché rafforza l’effettività di quelle norme, sia perché conduce, o dovrebbe condurre, a interpretarle in un certo modo. Sarebbe paradossale, infatti, se da condizione per poter utilizzare i dati raccolti la privacy si trasformasse in un impedimento di fatto alla possibilità di raccoglierli.

Da cui la ragionevolezza del principio (per nulla paragonabile, beninteso, al “no expectation of privacy into the workplace” di marca Usa) secondo cui i controlli informatici (che sono ormai il cuore del problema) debbono poter essere effettuati in alcune circostanze e a certe condizioni.

Due esempi possono dare un’idea. In alcune decisioni il Garante ha affermato che la rilevazione di anomalie del servizio può giustificare un controllo, ma mostrandosi sempre restio ad acconsentire che, nel gestirlo, possa essere varcata la soglia del carattere anonimo del dato. È una posizione che potrebbe essere rimeditata. Dovrebbe poi essere ammesso un controllo mirato su un dipendente qualora sia emersa una plausibile ragione di sospetto nei suoi confronti.

Ciò detto, sarebbe ardito ritenere verificate, ad oggi, queste varie condizioni, per quanto vi siano segnali di metabolizzazione del nuovo approccio. Fatto sta che anche dalle sentenze delle Corti europee si ricava una sostanziale conferma dell’indirizzo riformatore, che, saltando qualche passaggio, sintetizzerei così: il lavoratore può essere controllato anche da remoto purché ne sia preventivamente informato e i controlli non siano eccessivamente invasivi e in generale sproporzionati (e il punto è stabilire, anche per principi, quando lo sono).

Ma proprio da questa sintesi, che prova a sospingere la ragione oltre l’ostacolo, si evince che c’è un ultimo miglio che la stessa riforma ha percorso soltanto a metà: nell’era della tracciabilità totale difendere il fronte del divieto di controllo a distanza sui lavoratori è tanto impossibile quanto inopportuno (essendo sacrosanto che chi passa ore del proprio tempo lavorativo su Facebook possa essere licenziato: ma per farlo bisogna saperlo), per cui sarebbe il caso di abbandonare le guerre di religione sull’argomento e confrontarci di più sul “come” dei controlli, in vista di un bilanciamento pragmatico tra i valori in gioco.