Esistono importanti rischi sanzionatori collegati alla violazione dell’art. 4 co. 1 dello Statuto dei Lavoratori relativo al controllo a distanza dei lavoratori.
In caso di mancato rispetto della previsione normativa, infatti, possono profilarsi due responsabilità di diversa natura. La prima riguarda la responsabilità penale del datore di lavoro, inteso quale rappresentante legale della Società.
La seconda riguarda la responsabilità amministrativa dell’ente derivante dalla violazione della normativa sulla protezione dei dati personali (Codice Privacy e GDPR).
Analizziamo le norme per fare un po’ di chiarezza.
Videosorveglianza: come predisporre cartelli e segnali “di avvertimento” regolari
Indice degli argomenti
Controllo a distanza dei lavoratori: cosa dicono le norme
L’articolo 4 comma 1 della Legge n. 300/1970 (cd. Statuto dei lavoratori), relativo all’utilizzo degli impianti audiovisivi (es. sistemi di videosorveglianza) e gli altri strumenti (es. sistemi di geolocalizzazione) dai quali può derivare anche solo la possibilità di un controllo a distanza dell’attività dei lavoratori, prevede che l’utilizzo degli strumenti di controllo possa avvenire esclusivamente per esigenze organizzative produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale previo accordo con le rappresentanze sindacali o, in mancanza di esse, previa autorizzazione dell’Ispettorato nazionale del lavoro.
Responsabilità penale del datore di lavoro
Ai sensi dell’art. 171 del d.lgs. 196/2003 (come modificato dal d.lgs. n. 101 del 2018, cd. Codice privacy) la violazione delle disposizioni in materia di controlli a distanza (art. 4 co.1 dello Statuto dei lavoratori) è punita con la sanzione prevista dall’art. 38 dello Statuto dei lavoratori: “… sono punite, salvo che il fatto non costituisca più grave reato, con l’ammenda da euro 154 (lire 300.000) (92) a euro 1.549 (lire 3.000.000) (92) o con l’arresto da 15 giorni ad un anno. Nei casi più gravi le pene dell’arresto e dell’ammenda sono applicate congiuntamente. Quando, per le condizioni economiche del reo, l’ammenda stabilita nel primo comma può presumersi inefficace anche se applicata nel massimo, il giudice ha facoltà di aumentarla fino al quintuplo. Nei casi previsti dal secondo comma, l’autorità giudiziaria ordina la pubblicazione della sentenza penale di condanna nei modi stabiliti dall’articolo 36 del Codice penale”.
Responsabilità amministrativa dell’ente per violazioni privacy
Per quanto riguarda la responsabilità dell’ente deriva dalla violazione dell’art. 114 del Codice Privacy che a sua volta richiama l’art. 4 dello Statuto dei lavoratori. La cornice edittale in tale caso è stabilita dall’83 del Reg. UE 679/2016 (cd. GDPR) che a seconda della gravità della violazione prevede come tetto massimo della sanzione il 2% del fatturato annuo dell’esercizio precedente o il 4 % del fatturato annuo dell’esercizio precedente.
I provvedimenti del Garante privacy
Il Garante per la protezione dei dati personali è intervenuto di recente con due provvedimenti in cui ha contestato, a una nota azienda di abbigliamento[1] e a una piccola impresa di vendita al dettaglio di ortofrutta[2], la violazione della normativa in materia di protezione dei dati personali e dell’art. 114 del Codice Privacy.
Le sanzioni irrogate dal Garante in tali circostanze sono state rispettivamente di 50mila euro e di 3mila euro. L’importo delle sanzioni è stato determinato in considerazione del fatto che non vi era solo la violazione dell’art. 114 del Codice Privacy e avendo come parametro di riferimento il fatturato annuo dell’esercizio precedente.
Il Garante in questi due provvedimenti ha rivendicato il proprio potere di far rispettare la normativa giuslavoristica sul controllo a distanza dei lavoratori sulla base dell’art. 114 del Codice Privacy.
Nel primo provvedimento del 2 marzo il Garante ha accertato:
- l’utilizzo di impianti di videosorveglianza presso un elevato numero di punti vendita;
- la possibilità che tramite questi impianti vengano ripresi i lavoratori durante lo svolgimento delle loro mansioni.
Tuttavia, non è stato sottoscritto apposito accordo con le rappresentanze sindacali ne è stata ottenuta autorizzazione dall’Ispettorato del lavoro ai sensi dell’art. 4 dello Statuto dei lavoratori.
In alcuni casi sebbene l’autorizzazione fosse presente la società non si è attenuta a quanto riportato all’interno dell’autorizzazione dell’Ispettorato del lavoro.
Gli accordi e le autorizzazioni sono intervenute solo in un periodo di tempo successivo all’installazione e all’utilizzo degli impianti, ciò, a detta del Garante, inevitabilmente ha comportato un trattamento illecito dei dati.
Come ribadito all’interno del provvedimento, qualsivoglia trattamento di dati personali deve svolgersi nel rispetto di tutti i principi indicati dall’art. 5 del GDPR (liceità correttezza e trasparenza; limitazione della finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza; responsabilizzazione).
Con particolare riferimento alla lett. a) dell’art. 5 del GDPR il trattamento dei dati personali deve avvenire nel rispetto del requisito della liceità.
Tale requisito è richiamato a sua volta dall’art. 6 che individua i presupposti affinché un trattamento sia lecito, tuttavia l’art. 88 del GDPR fa salva la possibilità di avere dei limiti maggiormente stringenti da parte della normativa nazionale in taluni ambiti, quali quello lavorativo.
In conformità con i margini di discrezionalità introdotti dall’art. 88 del GDPR, il legislatore nazionale è intervenuto prevedendo l’art. 114 del Codice Privacy che, nel disciplinare le condizioni che rendono lecito un trattamento nel contesto lavorativo, richiama espressamente l’osservanza dell’art. 4 dello Statuto dei lavoratori quale condizione di liceità del trattamento dei dati personali.
La possibilità di contestare il mancato rispetto dell’art. 4 co. 1 dello Statuto dei lavoratori deriva quindi dal combinato disposto degli artt. 5 lett. a) del GDPR, 88 del GDPR e 114 del Codice Privacy.
Il Garante per la protezione dei dati personali ha ritenuto poi di dover applicare la cornice edittale più severa per via della natura, della gravità e della durata della violazione stessa.
Nel secondo provvedimento sopra citato, il Garante per la protezione dei dati personali contesta ad un’impresa individuale operante nel settore del commercio al dettaglio di frutta e verdura le seguenti violazioni: la mancata adozione degli appositi cartelli per segnalare la presenza delle videocamere in violazione dell’art. 13 del GDPR e la mancata autorizzazione da parte dell’Ispettorato del Lavoro territorialmente competente ai sensi dell’art. 114 del Codice Privacy.
Per quanto riguarda la contestazione relativa alla violazione dell’art. 114 del Codice Privacy il Garante nel provvedimento del 9 marzo ha riproposto gli stessi argomenti addotti nel provvedimento del 2 marzo contro la nota catena di abbigliamento.
Responsabilità penale: indicazioni dell’Ispettorato Nazionale del Lavoro
Con la nota n. 2572 del 14 aprile 2023 avente ad oggetto le indicazioni operative in ordine al rilascio di provvedimenti autorizzativi ai sensi dell’art. 4 co. 1 dello Statuto dei lavoratori, l’Ispettorato Nazionale del Lavoro ha avuto modo di ribadire alcuni aspetti relativi all’applicazione dell’art. 4 co. 1, anche con riferimento alla responsabilità penale derivante dalla violazione dell’art. 4 co. 1 dello Statuto dei Lavoratori.
In primo luogo, l’Ispettorato ha avuto modo di ribadire, come si ricava dalla norma, che, qualora vi sia la possibilità di un controllo a distanza dei lavoratori è necessario procedere in via principale con l’accordo collettivo con le rappresentanze sindacali presenti in azienda.
Qualora non vi siano le rappresentanze sindacali o l’accordo con tali rappresentanze sindacali non venga raggiunto è possibile procedere a richiedere il provvedimento autorizzativo all’Ispettorato territorialmente competente.
In nessun caso la responsabilità penale del datore del lavoro può essere evitata richiedendo il consenso ai lavoratori. La previsione di una sanzione penale è volta alla tutela di interessi collettivi che possono essere fatti valere e possono essere tutelati dalle rappresentanze sindacali e non dal singolo lavoratore[3].
In secondo luogo, l’Ispettorato ha ribadito che l’art. 4 co. 1 dello Statuto dei Lavoratori trova applicazione ogni qualvolta sia utilizzato un impianto in presenza di lavoratori anche etero organizzati e anche nel caso vi siano disposizioni normative che favoriscano o impongano l’utilizzo di sistemi di videosorveglianza (come ad esempio l’art. 88 del T.U.L.P.S. che nel disciplinare il rilascio delle licenze per l’esercizio delle scommesse è l’utilizzo di sistemi di videosorveglianza a circuito chiuso).
L’art. 4 co. 1 dello Statuto dei Lavoratori e le relative conseguenze sanzionatorie in caso di violazione, non trovano applicazione nell’ipotesi in cui si tratti di volontari.
Sul punto, l’Ispettorato sottolinea che in ogni caso il trattamento dei dati personali dei volontari deve avvenire conformemente al GDPR e al Codice Privacy.
Inoltre, nel caso in cui in un ente siano presenti sia volontari che lavoratori subordinati, il datore di lavoro è tenuto al rispetto dell’art. 4 co. 1 dello Statuto dei Lavoratori.
NOTE
Garante per la protezione dei dati personali, Provvedimento del 2 marzo 2023, doc. web n. 9880398. ↑
Garante per la protezione dei dati personali, Provvedimento del 9 marzo 2023, doc. web n. 9872646 ↑
Sul punto si vedano anche Cass. Pen, Sez. III, 08/05/2017 n. 22148; Cass. Pen., Sez. III, 17/12/2019 n. 50919; Cass. Pen., Sez. III, 17/01/2020, n. 1733 ↑
