Policy aziendale ad hoc per far convivere privacy e controllo dei dipendenti
Il recente conflitto tra Apple e Fbi sull’accesso ai telefoni cellulari pone interrogativi e dà lo spunto per qualche riflessione non solo sulla legittimità della nuova formulazione dell’articolo 4 dello Statuto dei lavoratori, che consente il controllo sulla condotta del lavoratore attraverso i mezzi di lavoro forniti dall’azienda, ma soprattutto sulle modalità di creazione delle policy relative alle modalità di utilizzo dei beni e quindi di controllo del lavoratore, richieste dalla nuova normativa.
La questione apertasi in America, e giunta sulle prime pagine di tutti i giornali, non è nuova nel dibattito d’oltreoceano ed è già stata affrontata dalla Suprema corte nella sentenza Ryley contro California dell’ottobre 2013. Al di là del merito specifico del caso, riguardante la necessità di un mandato per poter accedere ai dati del telefono cellulare di un arrestato, ci sono importanti passaggi della decisione che indagano sulla natura dei telefoni cellulari.
“I telefoni cellulari differiscono sia in termini qualitativi che quantitativi dagli altri oggetti che possono essere rinvenuti addosso a un arrestato. Intanto e notoriamente i telefono cellulari hanno una immensa capacità di conservare dati, prima dei telefoni cellulari la perquisizione di una persona era limitata dalla fisicità della stessa e generalmente rappresentava una limitata intrusione nella privacy. Ma i telefoni cellulari possono contenere milioni id pagine di testo, migliaia di foto, e centinaia di foto. Tutto questo comporta una serie di conseguenze, in tema di privacy, tra loro correlate“. Data la premessa, i giudici americani si sono quindi correttamente posti un problema di proporzionalità tra l’interesse pubblico alla sicurezza e quella privato alla segretezza e della loro contrapposizione e conseguente contemperamento.
E’ pur vero che per quanto concerne l’articolo 4 dello Statuto non stiamo parlando di beni personali, ma bensì di strumenti forniti per specifici scopi professionali, e che i lavoratori dovranno essere edotti non solo sull’uso degli strumenti stessi, ma anche sulle modalità del controllo. Ma per la loro natura, come osservato dai giudici americani, questi strumenti possono fornire informazioni sulla vita privata del lavoratore anche molto sensibili e che la cui tutela può facilmente andare oltre un legittimo interesse alla sicurezza, e nel caso del datore di lavoro, all’aspettativa di una corretta prestazione lavorativa. Come osserva la sentenza “un telefono cellulare raccoglie in un solo oggetto informazioni del tipo più svariato – un indirizzo, un estratto conto, una ricetta medica, un appunto – che rivelano in combinazione fra loro molto più di quanto non dicano singolarmente”.
Un esempio molto calzante usato nella sentenza Rypley è quello dell’incrocio fra la cronologia del browser che mostra la ricerca sui sintomi di una certa malattia e la corrispondente chiamata al medico curante. Ma si pensi per esempio al caso del lavoratore in cura psichiatrica che telefona ripetutamente, anche magari solo fuori orario di lavoro, al centro presso cui è in cura; o al log delle telefonate al compagno/a dello stesso sesso. Non parliamo poi dei social network, non necessariamente pubblici, o alle applicazioni: scaricare una applicazione del Movimento 5 stelle o del Pd, L’Unità o Libero, una applicazione per il gioco o per monitorare la maternità può consentire un’ampia indagine sulle idee e gli orientamenti di una persona, che, lo si ricorda, restano vietate se riguardano “opinioni politiche, religiose o sindacali del lavoratore”, “fatti non rilevanti ai fini della valutazione dell’attitudine professionale” o accertamenti sanitari. Si pensi che le statistiche dicono che mediamente un cellulare contiene oltre 30 applicazioni. E’ chiaro che l’acquisizione di informazioni di questo tipo, e cioè di dati che possano consentire la profilazione del dipendente, debba essere il più possibile limitata.
In questa logica diventa decisiva per la legittimità del controllo, che non dimentichiamolo è presupposto per l’utilizzabilità dei dati in giudizio, l’introduzione di policy che siano volte a tutelare anche il diritto alla riservatezza del lavoratore. Non a caso il Garante della privacy ha parlato di “una soluzione di privacy-by-design“, ovvero la progettazione degli stessi strumenti mediante i quali effettuare i controlli in modo da minimizzare, fino ad escludere, il rischio di controlli invasivi o comunque di incisive limitazioni della riservatezza di chi a quei controlli possa essere sottoposto”.
Seguendo l’orientamento tracciato dal garante, le policy dovranno necessariamente essere graduate in funzione e in proporzione all’interesse del datore di lavoro al controllo. E’ ovviamente diversa la situazione del lavoratore che opera sul territorio al di fuori del controllo dell’imprenditore e a spese di quest’ultimo e del lavoratore che invece opera quotidianamente in uffizio sotto la vigilanza diretta del proprio superiore. Non bisognerà poi dimenticare che anche la frequenza del controllo assume una sua valenza, in assenza di eventi o circostanze che giustifichino un controllo ad hoc.
In conclusione va quindi ribadito che le policy non potranno, come spesso avviene, essere un semplice copia e incolla di articoli magari pescati su internet, ma dovranno necessariamente passare attraverso una attenta analisi sul campo che tenga in debita considerazione tutti gli interessi in gioco.