Facciamo – come si dice nelle serie tv – un riassunto delle puntate precedenti. La vicenda, di cui vi abbiamo già dato notizia, ha per protagonista un’azienda attiva nell’autotrasporto di carburante che sottoscrive un contratto di appalto per fornire i suoi servizi all’Italiana Petroli S.p.A. La cosa anomala riguarda una clausola contrattuale con cui l’azienda di autotrasporto si impegna a installare, su tutti i propri automezzi, un sistema di videoregistrazione interamente gestito dalla IP, in modo da poter verificare che le operazioni di scarico avvenissero in maniera conforme alle regole di sicurezza e agli accordi contrattuali. A quel punto l’azienda cerca un’intesa con i sindacati per trovare un accordo sulle modalità con cui installare il sistema, ma non trovando un punto di incontro si rivolge all’Ispettorato del Lavoro, che nega l’autorizzazione all’installazione e all’impiego del dispositivo di controllo a distanza, per motivi di privacy. La società ricorre al TAR Lazio che, però, sostanzialmente conferma la tesi dell’Ispettorato.
E qui inizia la seconda stagione della serie che vede l’Ispettorato Nazionale del Lavoro diramare una nota a tutte le sue articolazioni territoriali, invitandole a uniformarsi ai princìpi enunciati dal TAR anche per tutte le altre analoghe richieste di autorizzazione di dispositivi di controllo a distanza. Come leggere questa iniziativa? Quali conseguenze pratiche potrebbe avere per le aziende di autotrasporto? Tutti quesiti a cui abbiamo provato a rispondere con l’ausilio dell’avvocato Roberto Maurelli.
Avvocato, potrebbe spiegarci quali sono le ragioni di tutela della privacy che ostacolano l’autorizzazione dei dispositivi di controllo a distanza?
Fin dall’inizio di questa querelle, l’Ispettorato ha sostenuto che l’autorizzazione non può essere concessa se la società committente è l’unico titolare e responsabile del trattamento dei dati dei lavoratori della società appaltatrice. Un po’ come dire che il controllo a distanza è vietato se il controllore non è il datore di lavoro.
Il TAR ha sposato in pieno questa tesi, direi appiattendosi sulla prospettazione dell’Ente. E ora l’Ispettorato, forte di tale conferma, vorrebbe dare efficacia generale alla pronuncia, elevandola a “diritto vivente”.
Mi sembra che Lei non condivida le ragioni dell’Ispettorato e del TAR. Per quale motivo?
Esatto, non condivido per niente l’affermazione del TAR secondo cui la dissociazione tra controllore e datore di lavoro disattende le finalità «per le quali l’installazione degli impianti audiovisivi può essere autorizzata». Senza entrare troppo nei tecnicismi giuridici, mi limiterei a far notare che le finalità indicate dall’art. 4, comma 1, Stat. lav. sono esclusivamente di tre tipi: «esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale» (cfr. art. 4, comma 1, Stat. lav.). Queste finalità sono tassative e nessuna di esse prescrive, o presuppone, la titolarità e responsabilità del trattamento dei dati anche in capo all’appaltatrice. Pertanto, a mio avviso il TAR ha inammissibilmente riscritto la norma statutaria, aggiungendo ulteriori condizioni non previste dal legislatore.
Quali potrebbero essere le conseguenze per le aziende del settore?
Di regola, una rondine non fa primavera. Tuttavia, se le articolazioni territoriali dell’Ispettorato raccoglieranno l’invito a «uniformarsi» alla pronuncia, tutte le aziende che erogano servizi di trasporto per conto terzi dovranno porsi il problema dell’autorizzazione dei loro sistemi di controllo e delle eventuali verifiche ispettive successive all’autorizzazione. Il rischio, purtroppo, è che si consolidi una prassi amministrativa sbagliata, che potrebbe rimettere in discussione anche dispositivi di controllo già autorizzati, esponendo i datori di lavoro a sanzioni di importo elevato.
Cosa suggerirebbe per evitare il problema?
In prima battuta, suggerirei di evitare rapporti di appalto così sbilanciati a favore del committente. È un dato di fatto, ormai, che gli enti terzi, cui è demandato il potere di autorizzare o no i dispositivi di controllo previsti da tali contratti, sono abituati a schemi più “tradizionali”, in cui committente e appaltatore sono entrambi contitolari e corresponsabili del trattamento. Una prima soluzione, dunque, è quella di lasciare anche alla società appaltatrice la possibilità di trattare le informazioni raccolte dal dispositivo di controllo. Questa soluzione non priva la società committente della possibilità di utilizzare anch’essa i dati personali, purché i dipendenti dell’appaltatrice esprimano il loro consenso, che è la base giuridica per qualsiasi trattamento.
D’altronde, il controllo è solo una precondizione per potersi poi rivalere sull’appaltatrice, in caso di violazione delle norme di sicurezza, degli accordi contrattuali e simili. Sicché una tutela effettiva va cercata non tanto sul piano della conoscenza o conoscibilità dell’illecito, quanto, piuttosto, con altri accorgimenti volti a rimediare alle eventuali conseguenze pregiudizievoli dell’illecito stesso. Per esempio, si potrebbe redigere o integrare il contratto di appalto prevedendo che anche la società appaltatrice sia obbligata al rispetto dei protocolli di sicurezza della committente, nonché sollevando quest’ultima da ogni responsabilità per eventuali sanzioni amministrative o pretese risarcitorie di terzi, derivanti da condotte dell’appaltatrice medesima.
E se la società committente non fosse d’accordo?
In alcune occasioni potrebbe accadere che alcune aziende committenti manifestino uno spiccato interesse ad avocare a sé il trattamento delle informazioni raccolte. Una volta, per esempio, tale esigenza mi è stata sollevata da una società che temeva la manipolazione dei dati da parte dell’appaltatrice. In casi del genere, occorrerà trovare un punto di equilibrio ragionevole tra le condivisibili necessità delle parti e le prescrizioni dell’Ispettorato, che vietano di accentrare tutte le funzioni di trattamento dei dati personali in capo a un soggetto che non riveste la qualità di datore di lavoro.
In primo luogo, è fondamentale che le finalità e i mezzi con cui viene effettuato il trattamento dei dati siano indicate in un documento a firma congiunta delle parti, da cui non risulti che esse sono state unilateralmente determinate dalla sola committente.
Inoltre, come scrupolo ulteriore, sarebbe opportuno attribuire all’appaltatrice almeno una parte delle funzioni di responsabile del trattamento, magari quelle meno “invasive”. Per esempio, le si potrebbe attribuire solo il compito di garantire la conservazione dei dati, solo dopo la loro raccolta da parte della società committente. In questo modo, anche l’appaltatrice svolgerebbe un’attività riconducibile alla nozione di “responsabile del trattamento dei dati”, senza però che ciò comporti il rischio di una manipolazione del dato medesimo.
Come si può formalizzare questa ripartizione dei compiti?
La ripartizione dei compiti fra committente e appaltatrice dovrà risultare non solo dal contratto di appalto, ma anche dagli ulteriori documenti richiesti dall’art. 4 Stat. lav. e dal GDPR. Mi riferisco, in particolare:
a) all’informativa ex art. 4, comma 3 Stat. lav., ove la società appaltatrice dovrà dare «adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli» ai propri dipendenti;
b) al modulo per l’acquisizione del consenso al trattamento dei dati personali da parte della committente, sottoscritto dai lavoratori dell’appaltatrice;
c) al documento di valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679, richiesto nei casi, come quello in esame, in cui il trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Si tratta di documenti ormai indispensabili per una corretta gestione tanto dei rapporti di lavoro, quanto dell’appalto, ma, purtroppo, l’informazione su questi aspetti è ancora molto carente e tante aziende devono ancora adeguarsi.
Per eventuali approfondimenti e richieste,
l’avv. Roberto Maurelli è disponibile ai seguenti contatti:
e-mail: r.maurelli@studiolegalecarlopisani.it
mob: 371.4186870
