(e il Giova evita all’azienda un autogol tra privacy e controlli a distanza)
Alla DigitAlba Servizi S.r.l. la trasformazione digitale era diventata una bandiera. Il problema è che, a volte, le bandiere si piantano nel posto sbagliato.
Un lunedì mattina, l’HR inviò una comunicazione asciutta: da lì in avanti, per accedere a posta, chat e ticketing, tutti avrebbero dovuto usare anche lo smartphone personale. “Nulla di che”, si diceva: bastava installare un’app di gestione aziendale, un profilo di sicurezza e un paio di strumenti “di supporto”.
Solo che, dentro quel “paio di strumenti”, c’era la parte che non si vede nelle slide: un modulo che consentiva di gestire permessi, criteri di sicurezza, e – in alcune configurazioni – anche tracciamenti e controlli (dalla raccolta di log alle possibili funzioni di geolocalizzazione). In sostanza, il BYOD (*) stava per diventare “il telefono è tuo, ma lo governiamo noi”. E questa è la miccia perfetta.
(*) BYOD = Bring Your Own Device 👉 tradotto: “porta il tuo dispositivo”
La prima a rendere esplicito il disagio fu Marta Prudenti, commerciale esperta, che non era contraria alla tecnologia: era contraria all’idea che il suo dispositivo personale diventasse un’estensione del controllo organizzativo. Non alzò la voce, ma alzò la domanda più importante: “Se è il mio telefono, con che titolo mi imponete di installare software che potrebbe vedere o raccogliere dati?”
Il CEO, Giorgio Scaletti, non era un “cattivo”, ma era il classico datore che scopre la compliance quando la compliance bussa alla porta. Per questo chiamò il suo consulente di fiducia: il dr. Giovannangelo Decubernatis, detto “il Giova”.
Il Giova arrivò e fece quello che fa sempre quando l’azienda “vuole velocizzare”: rallenta di un grado per evitare lo schianto. Non iniziò con “si può / non si può”. Iniziò con una frase che, in questo tema, vale più di un manuale:
“Il BYOD non è vietato. Ma l’obbligo… è un’altra storia.”
Poi mise in fila i punti inderogabili.
1) Il consenso del lavoratore è una base fragile (e spesso non regge)
L’azienda stava pensando: “Facciamo firmare un consenso e siamo a posto.” Il Giova spiegò che nel rapporto di lavoro il consenso è spesso problematico, perché esiste uno squilibrio di potere: il lavoratore può sentirsi di fatto costretto ad accettare. Non è una fissazione teorica: è un principio consolidato nelle linee guida europee sul consenso.
Tradotto: se il datore imposta il BYOD come “o così o niente”, quel consenso rischia di diventare carta velina.
2) Se l’app consente controllo a distanza, entra in campo l’art. 4 Statuto dei Lavoratori
Qui il Giova fu chirurgico. L’art. 4 distingue tra:
- strumenti che possono comportare controllo a distanza (che richiedono accordo sindacale o autorizzazione ITL), e
- strumenti usati per rendere la prestazione (che non richiedono quell’autorizzazione, ma restano soggetti a informativa e regole privacy).
Il punto è che l’“elemento aggiunto” (software di monitoraggio, GPS, logging evoluto) può trasformare lo smartphone da strumento operativo a strumento di controllo. E a quel punto, la scorciatoia “installate l’app” non è più neutra.
3) GDPR: minimizzazione, trasparenza e proporzionalità non sono optional
Il Giova tradusse il GDPR in lingua aziendale: raccogliere più dati del necessario è come mettere una telecamera in sala riunioni “per sicurezza”. Prima o poi diventa indifendibile.
In particolare: se l’azienda tratta dati di utilizzo, comunicazioni o localizzazione, deve rispettare principi di liceità, minimizzazione, trasparenza e avere una base giuridica adeguata (spesso il legittimo interesse, ma solo dopo test di necessità e bilanciamento). Sono le regole tipiche dei controlli tecnologici in ambito lavorativo.
4) La soluzione che evita la guerra: o dispositivo aziendale, o BYOD “davvero volontario”
Qui si vide la differenza tra “consulenza” e “parere”. Il Giova non si limitò a dire cosa non fare: costruì l’uscita.
Propose tre mosse, semplici e solide:
- Opzione aziendale: fornire un device di lavoro (anche base), così lo strumento è aziendale e la governance è coerente con l’organizzazione (restando comunque nei limiti dell’art. 4 e del GDPR).
- BYOD volontario vero: chi aderisce lo fa senza pressioni, con alternativa reale; niente penalizzazioni per chi rifiuta (altrimenti il consenso torna fragile).
- Separazione netta dei dati: contenitore aziendale separato (MDM/MAM “light”), niente accesso ai contenuti personali, log ridotti al minimo, divieti chiari su geolocalizzazione salvo necessità estrema e procedure corrette. È la linea indicata anche dalla prassi e dalle raccomandazioni UE sul trattamento dati “at work”.
Infine, impose la regola più importante: policy BYOD scritta, informativa chiara e tracciabile, e – se ci sono funzioni di controllo – procedura ex art. 4 (accordo sindacale/autorizzazione ITL), altrimenti l’azienda rischia non solo sanzioni privacy, ma anche inutilizzabilità dei dati e contenzioso.
Giorgio Scaletti capì in quel momento che stava per fare l’errore tipico: trasformare un’esigenza organizzativa legittima in un’imposizione giuridicamente tossica. L’azienda cambiò rotta: introdusse una policy BYOD non obbligatoria, fornì un’alternativa con device aziendale ai ruoli chiave, e ridusse l’app a funzioni strettamente necessarie, senza “moduli curiosi”.
Il risultato fu quasi sorprendente: nessuna guerra interna, nessun clima di sospetto, e soprattutto un sistema difendibile se qualcuno – lavoratore, sindacato o ispettore – avesse chiesto conto delle scelte.
Morale
Nel lavoro moderno, lo smartphone personale è una tentazione organizzativa: costa meno e sembra più veloce. Ma se diventa un obbligo con controllo incorporato, il rischio è doppio: privacy e Statuto dei Lavoratori.
Quando il consulente del lavoro fa la differenza.
