Piattaforme digitali aziendali: quando anche l’uso ‘innocuo’ può trasformarsi in controllo a distanza
Sempre più aziende introducono piattaforme digitali interne per promuovere la consapevolezza dei dipendenti in materia di regolamenti, procedure e comunicazioni aziendali. Spesso, questi strumenti integrano anche funzioni utili per usufruire di servizi aziendali, accedere a benefit o gestire richieste operative.
(Nella foto: Tania Orrù, Data Protection Officer e Privacy Officer e Consulente Privacy TUV Italia)
Apparentemente “neutri” o addirittura facilitanti, questi strumenti vengono in genere implementati con un approccio molto “soft” dal punto di vista giuslavoristico. Tuttavia, questi strumenti possono generare un potenziale controllo dell’attività lavorativa incompatibile con quanto previsto dallo Statuto dei lavoratori.
Il quadro normativo: l’art. 4 e la sua evoluzione - L’articolo 4 dello Statuto dei lavoratori (Legge 300/1970), modificato dal D.lgs. 151/2015, distingue chiaramente due situazioni:
Comma 1 → vieta strumenti dai quali derivi un controllo a distanza, salvo accordo sindacale o autorizzazione dell’Ispettorato del lavoro, in presenza di esigenze organizzative, produttive o di sicurezza.
Comma 2 → consente strumenti usati direttamente per rendere la prestazione lavorativa, senza autorizzazione, purché il trattamento dei dati sia conforme al GDPR.
Il nodo è stabilire quando uno strumento possa dirsi effettivamente “di lavoro” e quando invece richieda le cautele del comma 1.
Il punto critico: strumenti di lavoro o mezzi di controllo? - Molte aziende considerano in effetti queste piattaforme quali strumenti “neutri” o “di supporto” all’attività lavorativa. Tuttavia, nella pratica, esse:
- sono accessibili tramite credenziali individuali;
- registrano frequenza, orari e durata degli accessi;
- tracciano interazioni tramite chat, notifiche o contenuti visualizzati.
Ad esempio: se un dipendente accede alla piattaforma per consultare un documento interno, il sistema può registrare quando, per quanto tempo e cosa ha visualizzato, associando il tutto a un account nominativo. Questo genera una forma di monitoraggio individuale, anche se non pensata a fini disciplinari o di controllo specifico.
Se i dati non sono effettivamente anonimizzati o aggregati, e se le piattaforme sono in grado di restituire report analitici o dashboard nominative, allora il rischio di controllo a distanza è concreto e non trascurabile.
La posizione dell’INL: la Circolare n. 2/2016 - L’Ispettorato Nazionale del Lavoro (INL) ha chiarito a più riprese, e, in particolare, nella Circolare n. 2 del 7 novembre 2016 che rientrano nel comma 2 esclusivamente gli “strumenti strettamente funzionali all’attività lavorativa e non destinati al controllo del lavoratore, pur potendo determinarlo in via incidentale”.
Ciò porta a considerare quali strumenti di lavoro quegli apparecchi, dispositivi, apparati e congegni che costituiscono il mezzo indispensabile al lavoratore per adempiere la prestazione lavorativa dedotta in contratto, ovvero soltanto quegli strumenti strettamente funzionali all’attività lavorativa, forniti per l’esecuzione della prestazione, e non finalizzati al controllo del lavoratore. È quindi necessaria una valutazione concreta e funzionale dello strumento per determinarne la natura.
A supporto di questa lettura, anche il Provvedimento del Garante per la protezione dei dati personali del 17 luglio 2024, dove si richiama l’attenzione sull’uso di attrezzature e software – come PC, strumenti di registrazione degli accessi – che, pur essendo usati per l’attività lavorativa, possono determinare un controllo a distanza in modo diretto o indiretto. In tali casi, oltre al rispetto del GDPR, è necessario garantire la conformità ai requisiti dell’art. 4 dello Statuto dei Lavoratori.
Si deduce pertanto che, se l’uso dello strumento non è essenziale per la prestazione, oppure consente un tracciamento sistematico del comportamento, si applica il comma 1, pertanto serve inevitabilmente l’autorizzazione o l’accordo sindacale.
Nel caso delle piattaforme aziendali per awareness o servizi accessori, dovremmo, a rigore, essere in presenza di mezzi strumentali non strettamente operativi ed indispensabili. Inoltre, la loro capacità di raccogliere dati nominativi in forma dettagliata li esclude dall’esonero autorizzativo.
La richiesta di autorizzazione: non un ostacolo, ma una garanzia - Molte organizzazioni ad oggi si mostrano riluttanti a valutare compiutamente l’impatto giuridico di queste piattaforme, convinte che l’assenza di finalità sanzionatoria o di “danni” diretti per il lavoratore, ne escluda il rischio.
In realtà, il principio di accountability previsto dal GDPR impone al datore di lavoro di dimostrare la legittimità del trattamento, soprattutto quando coinvolge strumenti digitali potenzialmente intrusivi.
La ragione che più fortemente può pertanto aver presa sulle organizzazioni è che la richiesta di autorizzazione all’Ispettorato o la stipula di un accordo sindacale:
- tutela il datore da future contestazioni;
- valorizza il rispetto del lavoratore;
- contribuisce a un modello aziendale compliant e trasparente.
Conclusione: proporre un cambio di paradigma culturale - L’evoluzione tecnologica impone alle aziende un fondamentale ripensamento dell’approccio agli strumenti digitali e, per questo, qualsiasi piattaforma che consenta un monitoraggio – anche involontario e meramente potenziale – dell’attività del lavoratore non può essere considerata automaticamente “neutra”.
È quindi auspicabile un’azione integrata tra giuslavoristi, Data Protection Officer e responsabili HR, per valutare sin dall’origine le implicazioni normative e prevedere, se necessario e senza “timori”, il ricorso alla procedura ex art. 4, comma 1.
Solo così, a parere di chi scrive, sarà possibile coniugare innovazione e tutela, evitando zone grigie che possono esporre l’organizzazione a rischi sanzionatori, naturalmente anche in assenza di “cattiva fede”.
