Il divieto dei controlli a distanza veniva però temperato, già nella precedente versione dell’articolo 4, dalla possibilità, riconosciuta al datore di lavoro, di raggiungere un accordo con le OO.SS. (o in difetto di accordo, mediante un’autorizzazione dell’Ispettorato del lavoro) che consentiva l’installazione di apparecchiature di controllo dalle quali fosse derivata anche la possibilità di controllo a distanza dell’attività dei lavoratori, ma solo a condizione che tali apparecchiature fossero richieste da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro.
Stando al tenore letterale della precedente versione dell’art. 4, la suddetta procedura autorizzatoria (mediante accordi sindacali o provvedimenti dell’Ispettorato del lavoro) doveva essere necessariamente implementata anche per quegli strumenti, quali il telefono cellulare e il GPS montato nelle auto aziendali, che consentivano, oltre al normale utilizzo ai fini lavorativi, il controllo a distanza dell’attività lavorativa.
Il nuovo art. 4, se da un lato lascia pressoché invariata la disciplina generale dei controlli a distanza dell’attività lavorativa effettuati mediante impianti audiovisivi o altri strumenti, dall’altro introduce alcune rilevanti novità per quanto riguarda i controlli effettuati mediante gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (smartphone, smartwatch, tablet, laptop e navigatore satellitare installato nelle auto, per citarne alcuni) e agli strumenti di registrazione degli accessi e delle presenze (badge e non solo)
Tali novità consistono in primo luogo nella legittimità “in re ipsa” degli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa, non richiedendosi più in capo al datore di lavoro alcun onere autorizzatorio preventivo (di natura sindacale o amministrativa), e in secondo luogo – ed è questo il punto più rilevante della modifica – nell’utilizzabilità delle informazioni raccolte mediante tali strumenti a tutti i fini connessi al rapporto di lavoro (quindi anche disciplinari).
L’utilizzo delle suddette informazioni non è tuttavia incondizionato, poiché il nuovo articolo 4 pone al datore di lavoro due limitazioni non di poco conto:
•l’obbligo di dare al lavoratore interessato adeguata informazione delle modalità d’uso di tali strumenti di lavoro;
•il rispetto della normativa contenuta nel Codice in materia di protezione dei dati personali (D.lgs. 196/2003).
S’impone pertanto alle aziende e ai datori di lavoro che vogliano utilizzare tali dati, di dotarsi al più presto di policy interne (o di adeguare quelle già esistenti) che disciplinino in maniera puntuale l’utilizzo degli strumenti informatici in dotazione ai propri dipendenti e chiariscano a questi ultimi, in maniera trasparente, la possibilità e le modalità di effettuazione dei controlli.
Tali policy dovranno essere necessariamente redatte non solo nel rispetto delle prescrizioni contenute nel Codice in materia di protezione dei dati personali, ma anche in conformità ai provvedimenti e le linee guida dettate dal Garante per la protezione dei dati personali, che già impongono ai datori di lavoro – ad esempio con riferimento all’utilizzo della posta elettronica e della rete internet nel rapporto di lavoro – l’adozione di policy interne e la predisposizione di misure organizzative e tecnologiche idonee a limitare al minimo l’acquisizione e l’utilizzazione dei dati personali dei lavoratori, in ossequio ai principi di necessità, pertinenza e non eccedenza.
I datori di lavoro dovrebbero infine valutare attentamente l’opportunità di ottenere il consenso espresso da parte dei lavoratori al trattamento dei loro dati personali (anche di quelli potenzialmente sensibili, quali – ad esempio – le opinioni politiche o l’orientamento sessuale) acquisiti mediante l’utilizzo di strumenti leciti di controllo a distanza.
Un’ultima novità, non di poco conto, introdotta dal D.lgs 151/2015 riguarda la modifica dell’art. 171 del Codice per la tutela dei dati personali (D.lgs 196/2003).
Tale norma, che estendeva le sanzioni penali previste dall’art. 38 dello Statuto dei Lavoratori (l’ammenda fino a Euro 1.549 e l’arresto fino ad un anno) alla violazione delle disposizioni di cui all’art 4 del medesimo Statuto, è stata riscritta richiamando unicamente i primi due commi dell’art. 4 e lasciando quindi priva di sanzione penale l’ipotesi (di cui al terzo comma) di utilizzo illegittimo da parte del datore di lavoro delle informazioni raccolte mediante gli strumenti di controllo a distanza dei lavoratori.