C’è una linea sottile, spesso invisibile, che separa l’organizzazione del lavoro dal controllo pervasivo della vita privata delle persone. E sempre più spesso il confine passa per un oggetto che tutti abbiamo in tasca: lo smartphone. Non è solo uno strumento di comunicazione, ma un archivio intimo di abitudini, spostamenti, relazioni.
Quando entra nel perimetro aziendale, il rischio è che questo dispositivo elettronico diventi qualcosa di diverso: una finestra costantemente aperta sulla sfera personale dei dipendenti, se non una vera e propria spia che traccia ogni loro attività quotidiana.
Ne è una dimostrazione il recente caso in cui l’Agencia Española de Protección de Datos (AEPD) ha inflitto una sanzione di 200.000 euro alla Ares Capital, una società di noleggio veicoli con conducente (NCC), per aver imposto ai propri lavoratori l’uso del proprio telefono personale come strumento di lavoro, obbligandoli anche ad installare diverse applicazioni di monitoraggio sul loro cellulare.
Dietro quella che l’azienda presentava come una semplice esigenza organizzativa – gestione dei turni, controllo delle attività, sicurezza – si celava però un sistema di raccolta dati molto più ampio. Le app installate sui dispositivi personali degli autisti erano infatti in grado di tracciare in modo continuo la geolocalizzazione, registrare comunicazioni, accedere a immagini e persino raccogliere informazioni sullo stato fisico degli utenti.
Un tale livello di intrusione che, secondo l’autorità, travalicava chiaramente i limiti del lecito. Il punto centrale della decisione riguarda il principio di minimizzazione dei dati previsto dall’art.5 del GDPR, secondo cui un datore di lavoro può trattare solo le informazioni strettamente necessarie per la finalità dichiarata. In questo caso, invece, la raccolta risultava sproporzionata e non adeguatamente giustificata.
Ma non è solo una questione di quantità di dati. È anche – e soprattutto – una questione di equilibrio tra potere datoriale e diritti fondamentali come quello alla privacy. L’utilizzo del dispositivo personale per finalità lavorative, infatti, introduce un cortocircuito difficile da gestire: ciò che è privato diventa, di fatto, accessibile all’organizzazione. E anche quando sussiste una base giuridica, come l’esecuzione del contratto o il consenso, resta il problema delle libertà del lavoratore. Può davvero dirsi libero di rifiutare, quando da quella scelta dipende la possibilità stessa di lavorare?
Nel caso esaminato, la società aveva sostenuto di offrire in alternativa dispositivi aziendali. Tuttavia, la disponibilità limitata di questi ultimi rendeva di fatto “obbligata” la scelta del telefono personale. Un dettaglio che per il Garante spagnolo ha fatto la differenza, evidenziando come il consenso o la volontarietà, in contesti di asimmetria contrattuale, rischino di essere solo apparenti, dato che l’art. 4 del Regolamento europeo sulla protezione dei dati rimarca che il consenso deve essere “una manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso”.
La vicenda si inserisce in un contesto più ampio, in cui il confine tra vita lavorativa e vita privata è sempre più sfumato. Le tecnologie digitali consentono forme di controllo capillari, spesso giustificate con esigenze di efficienza o sicurezza. Tuttavia, senza adeguati limiti, queste pratiche possono trasformarsi in una sorveglianza continua, incompatibile con i principi europei di protezione dei dati e con la dignità della persona.
E non è un caso isolato. Negli ultimi anni, diverse decisioni delle autorità per la protezione dei dati personali europee hanno ribadito un principio chiave: il datore di lavoro non può scaricare sui dipendenti i costi – economici e soprattutto in termini di privacy – degli strumenti necessari per l’attività lavorativa, né può utilizzare tecnologie invasive senza una rigorosa valutazione di proporzionalità e trasparenza.
Qualora un’azienda pretenda che il dipendente utilizzi il proprio dispositivo personale per svolgere attività lavorative, entra nel cosiddetto modello BYOD (“Bring Your Own Device”), che però comporta diverse criticità che richiedono adeguate misure organizzative e di rispettare sia i limiti posti dall’art. 4 dello Statuto dei lavoratori che le regole del GDPR, per cui il potere datoriale non può tradursi in uno scarico di costi e responsabilità sul dipendente.
Sul piano privacy e protezione dei dati personali, l’uso del cellulare personale per scopi lavorativi espone infatti a commistioni tra dati personali e dati aziendali, installazione di app aziendali invasive, possibilità di controlli indiretti sul lavoratore e potenziale accesso ai contatti privati memorizzati nella rubrica del dispositivo, rischi di data breach, nonché difficoltà di esercitare il diritto alla disconnessione.
Nella società digitale, in cui il lavoro passa sempre più attraverso app, dispositivi mobili e piattaforme online, la protezione dei dati personali diventa quindi un terreno cruciale di equilibrio tra innovazione e diritti.
Per le imprese, la sfida non è solo quella di evitare le sanzioni del Garante, ma piuttosto quella di ripensare i modelli organizzativi in chiave sostenibile, anche dal punto di vista della privacy dei lavoratori.
Nicola Bernardi, Presidente di Federprivacy
