Telecamere sui dipendenti e dossier segreti: le aziende rischiano il carcere
Le imprese italiane usano software spia, videosorveglianza selvaggia e schedature digitali sui lavoratori. Ma la legge prevede sanzioni fino a 20 milioni di euro — e in certi casi anche l’arresto
Telecamere puntate sui bagni. Software che tracciano ogni click sul computer. Dossier digitali con annotazioni sulla salute dei dipendenti, sulle loro attività sindacali, sulla loro vita privata. Non è fantascienza e non è la trama di un thriller distopico: è quello che accade — in modo più o meno consapevole — in migliaia di aziende italiane ogni giorno.
E il bello — si fa per dire — è che molti datori di lavoro sono convinti di essere in regola. Hanno aggiornato l’informativa privacy, hanno fatto firmare ai dipendenti una policy sull’uso degli strumenti aziendali, magari hanno anche nominato il responsabile della protezione dei dati. Eppure stanno violando la legge. Perché esiste una seconda normativa — quella dello Statuto dei lavoratori — che la maggior parte delle aziende ignora completamente. E ignorarla non è solo una questione di sanzioni amministrative: nei casi più gravi, prevede l’
In questo articolo si analizza il lo scandalo silenzioso delle telecamere sui dipendenti e dossier segreti: le aziende rischiano il carcere. La risposta a chi pensa che sia sufficiente fare privacy per fare le cose per bene è: no, non basta. E il conto, quando arriva, può essere salatissimo.
Indice
Il primo equivoco: “ho fatto la privacy, sono a posto”
Il grande abbaglio delle aziende italiane è trattare il controllo dei dipendenti come un problema esclusivamente privacy. Aggiornano l’informativa, inseriscono i trattamenti nel registro, magari fanno una valutazione d’impatto — e si sentono in regola.
Sbagliato. Perché mentre si occupano di GDPR, dimenticano che esiste un’altra legge, più vecchia e più feroce nelle conseguenze: l’articolo 4 dello Statuto dei lavoratori (Legge 300/1970). E questa legge dice una cosa molto semplice che molti preferiscono non sentire: prima di installare qualsiasi sistema di videosorveglianza, software di monitoraggio delle attività, piattaforma di tracciamento o strumento di controllo della posta elettronica, l’azienda deve ottenere l’accordo sindacale o, in mancanza di rappresentanze sindacali, l’autorizzazione dell’Ispettorato Nazionale del Lavoro.
Non è una formalità. Non è un adempimento burocratico che si può saltare con una scusa. È un presupposto di legittimità. Senza accordo o autorizzazione, tutto quello che viene raccolto non può essere usato — nemmeno per licenziare un dipendente colto in flagrante mentre fa qualcosa di sbagliato.
Le sanzioni che nessuno vi dice: fino al 4% del fatturato mondiale — e l’arresto
Ecco il catalogo completo di quello che rischia un’azienda che sbaglia su questo doppio fronte normativo. Non è una lettura piacevole.
Sul fronte privacy (GDPR): sanzioni amministrative fino a 20 milioni di euro o fino al 4% del fatturato annuo mondiale — la cifra più alta tra le due. Il Garante può inoltre imporre la limitazione o il divieto definitivo del trattamento, rendendo inutilizzabili i dati già raccolti. I lavoratori danneggiati possono agire civilmente per ottenere il risarcimento. E nei casi più gravi, il Codice della privacy prevede ipotesi di rilevanza penale.
Sul fronte lavoristico
Tradotto in termini pratici: un’azienda che installa un software di monitoraggio senza accordo sindacale, lo usa per licenziare un dipendente, e viene scoperta, può ritrovarsi con il licenziamento annullato, una multa milionaria del Garante, una denuncia penale a carico del responsabile, e un’azione civile dei lavoratori danneggiati. Il tutto contemporaneamente.
Chi si crede esente — e sbaglia
L’articolo 4 dello Statuto prevede alcune eccezioni, ed è qui che molte aziende pensano di essere al sicuro quando non lo sono.
La legge esclude dall’iter autorizzativo gli strumenti usati dal lavoratore per rendere la prestazione — il computer aziendale, il telefono, le applicazioni necessarie al lavoro — e gli strumenti di registrazione degli accessi e delle presenze. Fin qui sembra una bella scappatoia.
Peccato che l’eccezione valga solo per l’iter autorizzativo, non per tutto il resto. Anche per questi strumenti, i dati raccolti sono utilizzabili — anche a fini disciplinari — solo se il lavoratore è stato adeguatamente informato e nel rispetto della normativa privacy. Il che significa che un’azienda che non ha fornito un’informativa specifica e dettagliata sulle modalità di controllo degli strumenti aziendali, e che poi usa i log del computer per licenziare qualcuno, è comunque esposta.
Non esiste una via d’uscita facile. Esiste solo fare le cose per bene.
Il consenso del dipendente? Non vale niente
Un’altra convinzione diffusa e sbagliata: “Ho fatto firmare ai dipendenti una policy sull’uso degli strumenti aziendali, quindi ho il loro consenso.” Il problema è che in ambito lavorativo il consenso del dipendente non è considerato una base giuridica valida per il trattamento dei dati personali.
Il motivo è semplice e scomodo: il rapporto di subordinazione mina la libertà del consenso. Un lavoratore che firma una policy proposta dal datore di lavoro lo fa in un contesto di asimmetria di potere — sa che rifiutarsi potrebbe avere conseguenze. Per questo il GDPR richiede che il datore di lavoro fondi il trattamento su altre basi: l’adempimento di obblighi legali, il legittimo interesse o la necessità contrattuale, tutte con i loro requisiti e limiti specifici.
Chi pensa di aver risolto il problema con una firma in calce a una policy di dieci pagine che nessuno legge, si sbaglia di grosso.
Come si fa per davvero: il percorso che quasi nessuno segue
Il percorso corretto per introdurre legalmente strumenti di controllo digitale sui dipendenti prevede passi precisi che richiedono tempo, risorse e — soprattutto — volontà di farlo davvero.
Prima di tutto, la mappatura dei trattamenti: identificare esattamente quali dati vengono raccolti, da quali strumenti, per quanto tempo, chi vi ha accesso. Poi l’analisi dei rischi per i diritti e le libertà dei lavoratori. Poi — e qui molte aziende si fermano — l’apertura del confronto con le rappresentanze sindacali
Solo dopo aver percorso tutti questi passi, i dati raccolti sono legittimi e utilizzabili. Solo allora un’azienda può citarli in un procedimento disciplinare senza rischiare che il giudice del lavoro li cestini nel cestino delle prove illegittime.
Il rischio reputazionale: quello che non si misura in euro
C’è un costo che non compare in nessuna sanzione ufficiale ma che è forse il più pesante: il
Il caso Amazon — il Garante che dispone misure urgenti su un’azienda con 1.800 dipendenti nello stabilimento di Passo Corese, con ordinanze che vietano l’uso della piattaforma di gestione dei colloqui e delle telecamere vicino ai bagni — è finito sulle prime pagine dei giornali di tutto il mondo. Ha alimentato un dibattito sulla condizione dei lavoratori nei magazzini della logistica che nessun ufficio comunicazione avrebbe voluto gestire.
Anche per le aziende più piccole, un’ispezione del Garante o una denuncia sindacale per violazione dello Statuto dei lavoratori può trasformarsi in una crisi reputazionale che costa molto di più di qualsiasi multa. In un mercato del lavoro in cui attrarre e trattenere talenti è sempre più difficile, la fama di azienda che spia i dipendenti è un handicap competitivo di lungo periodo.
Riepilogo: quello che non potete ignorare
Il controllo a distanza dei dipendenti richiede il rispetto di due normative distinte e cumulative. Mancarne una sola espone l’azienda all’intera cascata di conseguenze.
Sul piano privacy (GDPR): base giuridica valida — non il consenso; principi di liceità, minimizzazione, limitazione della conservazione; informativa completa; valutazione d’impatto nei casi invasivi. Sanzioni: fino al 4% del fatturato mondiale o 20 milioni di euro; poteri correttivi del Garante; responsabilità civile; eventuale rilevanza penale.
Sul piano lavoristico (art. 4, L. 300/1970): accordo sindacale o autorizzazione dell’Ispettorato prima di installare qualsiasi sistema di controllo. Le eccezioni per gli strumenti di lavoro e le presenze non esimono dall’obbligo di informativa e rispetto della privacy. Sanzioni: contravvenzione penale con arresto o ammenda; inutilizzabilità di tutti i dati raccolti illegittimamente; annullamento di licenziamenti e sanzioni disciplinari.
Fare la privacy senza fare lo Statuto dei lavoratori non basta. Fare lo Statuto dei lavoratori senza fare la privacy non basta. Fare entrambe le cose a metà non basta. L’unica strada è farle entrambe, per bene, dall’inizio.