Testo integrale con note e bibliografia
1) PREMESSA
Il contesto lavorativo si distingue, tra le altre caratteristiche che lo rendono unico all’interno dei rapporti tra privati, per una marcata esigenza di bilanciare il diritto del datore a ricevere la prestazione lavorativa secondo uno standard adeguato e quello del dipendente alla salvaguardia della riservatezza e alla protezione dei dati personali, nuovi profili della fondamentale esigenza di tutela della libertà e dignità del lavoratore.
Peraltro, sul luogo di lavoro, la necessaria acquisizione di informazioni riguardanti il lavoratore da parte del datore di lavoro amplia notevolmente l’influenza di quest’ultimo, “finendo per accentuare lo squilibrio di potere che caratterizza fisiologicamente il rapporto fra le parti” .
Nel rapporto di lavoro subordinato, infatti, gli ordinamenti legittimano l’esercizio dell’autorità privata per il perseguimento di un interesse economico e, così, acconsentono a rivestire di legittimità giuridica la supremazia di un soggetto sull’altro in quanto il lavoratore è “legato da un vincolo che, fra tutti i vincoli di contenuto patrimoniale è il solo a porre, sia pure per necessità istituzionale, giuridicamente un soggetto alle dipendenze di un altro soggetto” .
E, a ben guardare, tornano attuali le considerazioni di un grande giuslavorista, secondo cui “tutta l’azione del diritto [del lavoro, ndr] trae origine ed ispirazione dalla considerazione della soggezione in cui il prestatore di lavoro versa … e si realizza … nell’insieme dei mezzi e degli istituti idonei a realizzare la adeguata protezione dei lavoratori di fronte alle molteplici manifestazioni e conseguenze della loro condizione di vita” .
È emblematico, del resto, il fatto che all’interno dell’ordinamento italiano le iniziali disposizioni in favore della tutela della riservatezza sono state introdotte proprio in ambito giuslavoristico, con lo Statuto dei lavoratori del 1970: da questo punto di vista, può dirsi che “la tutela dei dati personali del lavoratore ha in qualche modo preceduto quella del consumatore e quella del cittadino” .
Tuttavia, non è certo possibile eliminare – neppure nelle più piccole unità produttive – l’esigenza di tutela del patrimonio aziendale e di controllo dell’attività lavorativa.
Come rilevato da autorevole dottrina, infatti, “la sorveglianza sull’attività di lavoro è un dato ineliminabile nell’organizzazione del lavoro: è strumento indispensabile per coordinarlo, per valutarlo e per consentire l’eventuale esercizio del potere disciplinare” .
Per questo, e dato che il lavoro subordinato si fonda e si giustifica sul binomio autorità/libertà , tutti gli Ordinamenti di civil law hanno sviluppato sofisticate cornici normative al fine di regolare le prerogative datoriali, con l’obiettivo di garantire il detto equilibrato bilanciamento tra la tutela della personalità e della libertà di iniziativa economica, entrambi valori di rango costituzionale (in effetti, l’art. 41, c. 2 Cost. vieta che l’iniziativa economica privata si svolga in modo da recare danno alla sicurezza, alla libertà e alla dignità umana) .
Esempio significativo della continua ricerca di equilibrio del Diritto del lavoro tra interessi contrapposti e fondamentali è l’art. 4 dello Statuto dei Lavoratori.
Una norma fondamentale nell’impianto statutario finalizzata ad imporre limitazioni all’esercizio del potere dell’imprenditore quando lo stesso si concretizza – durante la prestazione del lavoratore – nella facoltà del controllo.
Agli inizi degli Anni Settanta, già i primi commentatori evidenziarono che lo Statuto “non elimina il potere di controllo; esso piuttosto ne razionalizza le modalità di esercizio in funzione di tutte le esigenze emergenti dal rapporto e quindi anche di quelle … della dignità, della libertà, e riservatezza del prestatore” .
A questa disciplina, deve aggiungersi il D.lgs. n. 196/2003 - vigente al momento della novella del 2015 che ha riscritto l’art. 4 - che, oggi, deve naturalmente tener conto anche del Regolamento UE 2016/679 al fine di desumere i criteri che regolano il rapporto tra i detti interessi contrapposti.
In linea con questa impostazione, sul piano sistematico, occorre evidenziare che – come anche sottolineato ripetutamente dal Garante per la Privacy – il datore di lavoro può riservarsi di controllare (direttamente o attraverso la propria struttura) l’effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti (artt. 2086, 2087 e 2104 c.c. – cfr. Provv. GDP 10 giugno 2010; Provv. GDP 24 febbraio 2010; Provv. GDP 23 dicembre 2010), ma è altrettanto chiaro che, nell’esercizio di tale prerogativa, devono essere salvaguardati la libertà e la dignità dei lavoratori, nonché i principi fissati dall’art. 11 del Codice sul trattamento dei dati personali (ora art. 5 GDPR) che impongono, tra l’altro, di rendere note ai lavoratori le caratteristiche essenziali dei trattamenti, soprattutto se effettuati per finalità di controllo (cfr. p. 5.2 e 6.1 delle Linee guida del Garante pubbl. in Gazzetta Ufficiale n. 58 del 10 marzo 2007).
In caso contrario, la condotta datoriale, alla luce dei principi di correttezza e finalità posti dal Codice (art. 5, Reg. UE n. 679/2016) e richiamati nelle Linee guida in materia, non può essere reputata conforme a legge, oltre che a porsi in violazione delle previsioni di cui all’art. 4 Stat. Lav..
Nei successivi paragrafi si parlerà dell’evoluzione delle nozioni di strumento di lavoro e di strumento di controllo, muovendo continuamente tra la normativa e la giurisprudenza lavoristica e quella afferente all’ambito della tutela della privacy, di derivazione comunitaria.
2) CONTROLLI E TECNOLOGIA, TRA ESIGENZE E TUTELE: LA POSTA ELETTRONICA È UN MEZZO DI CONTROLLO O UNO STRUMENTO DI LAVORO?
Il rapporto tra l’evoluzione tecnologica e i controlli dei lavoratori ha rappresentato e rappresenta l’oggetto di un grande dibattito .
Ad esempio, le informazioni ricavabili attraverso l’utilizzo della posta elettronica possono riguardare, oltre all’attività lavorativa, la sfera personale e la vita privata di lavoratori e di terzi.
Il vero problema, come insegnato dalla migliore dottrina consiste nel saper distinguere il controllo sull’attività lavorativa da quello sull’attività dei lavoratori: distinzione decisiva – da sempre e ancor più oggi quando lo svolgimento della prestazione lavorativa richiede necessariamente l’integrazione tecnologica idonea teoricamente a consentire un controllo assoluto e continuo – ai fini della legittimità del controllo .
La linea di confine tra questi ambiti, come affermato dalla Corte europea dei diritti dell’Uomo , può essere tracciata, a volte, con difficoltà.
Ad ogni modo, il luogo di lavoro è una “formazione sociale nella quale va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità degli interessati garantendo che, in una cornice di reciproci diritti e doveri, sia assicurata l’esplicazione della personalità del lavoratore e una ragionevole protezione della sua sfera di riservatezza nelle relazioni personali e professionali” .
Relativamente all’utilizzo della posta elettronica, il contenuto dei messaggi – come pure i dati esteriori delle comunicazioni e i file allegati – riguarda forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel salvaguardare il cardine essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali, come l’ambiente professionale.
Ancora, con specifico riferimento all’impiego della posta elettronica nel contesto lavorativo e in ragione della veste esteriore attribuita all’indirizzo di posta elettronica nei singoli casi, può risultare problematico se il lavoratore, come destinatario o mittente, la utilizzi quale espressione dell’organizzazione datoriale o ne faccia un uso privato, pur operando in una struttura lavorativa .
La mancata esplicitazione di una policy al riguardo può determinare anche una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione.
Pertanto, il Garante, già dal 2007 ha vietato:
a) la lettura e la registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail;
b) la riproduzione e l’eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;
c) la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;
d) l’analisi occulta di computer portatili affidati in uso.
È il caso, ora, di verificare in che termini l’utilizzo della posta elettronica aziendale possa integrare o meno gli estremi per l’applicazione della disciplina sulla privacy e sul controllo a distanza dell’attività lavorativa e lo si può fare solo confrontando i rispettivi sistemi normativi, rapportando le due discipline al caso specifico .
Solo in tal modo sarà possibile rispondere all’interrogativo posto nel titolo del presente paragrafo, al contempo verificando la soluzione emersa nella giurisprudenza più recente, con particolare riferimento ai cosiddetti controlli difensivi.
3) LA CONVIVENZA TRA LO STATUTO DEI LAVORATORI E IL GDPR
Al fine di dare concreta attuazione ai principi sopra richiamati (cfr. par. 1), occorre confrontare i criteri fondamentali della disciplina in materia di protezione dei dati personali di derivazione comunitaria con l’art. 4 Stat. Lav., operazione a ben guardare inevitabile alla luce dell’espresso rinvio contenuto, nel 3 comma della norma interna, al D.lgs. n. 196/2003 vigente al momento della novella cui oggi si aggiunge il Regolamento UE 2016/679, come recepito dal D.Lgs. n. 101/2018, recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni europee.
Quindi, in ragione di quanto sopra, nei casi di controllo abusivo della casella di posta elettronica del dipendente si rileva una palese violazione dell’art. 4 dello Statuto dei Lavoratori, novellato dall’art 23 c. 1 del D.lgs. n. 151 del 2015 , il quale prevede la possibilità, per il datore di lavoro, di controllare il dipendente – anche accedendo alla posta elettronica aziendale – solo dopo aver preventivamente informato il lavoratore e, comunque, nel rispetto della disciplina statutaria, salvo che si tratti di controlli cd. difensivi .
Violazione che si intreccia con il parallelo contrasto del Codice privacy, tanto da generare reazioni sia da parte della Cassazione che del Garante.
Come è noto, la norma statutaria prevede due regimi differenti a seconda della qualificazione dello strumento: i mezzi di controllo possono essere usati solo a condizione che si riscontrino concrete esigenze dell’impresa e, comunque, a seguito della sottoscrizione di un accordo sindacale o del rilascio di un’autorizzazione amministrativa (comma 1); gli strumenti di lavoro possono essere soggetti al trattamento dei dati da essi generati (comma 2) ma, in entrambi i casi, il trattamento deve essere preceduto da un’informativa adeguata sulle modalità d’uso degli strumenti e di effettuazione dei controlli, nel rispetto del GDPR e del Codice della privacy (comma 3) .
Ne risulta, quindi, che in ogni caso il lavoratore deve essere informato .
La posta elettronica, in determinati casi, rientra tra gli “strumenti che consentono il controllo a distanza del lavoratore” (come, ad esempio, un sistema di videosorveglianza), potendo generare un controllo invasivo e penetrante dell’attività lavorativa.
Sul punto, il Garante ha precisato ripetutamente che, qualora vi siano dei sistemi che permettono un controllo minuzioso del traffico e-mail da parte del datore di lavoro (nella forma di backup, di software aggiuntivi che consentano questo tipo di analisi, di conservazione massiva degli envelope al di fuori delle esigenze tecniche di funzionamento/sicurezza del servizio), allora si tratta di strumenti che consentono il controllo a distanza del lavoratore – con tutte le conseguenze che ne derivano .
Sotto quest’ultimo profilo, peraltro, le attività di accesso ai servizi internet ed in particolare l’utilizzo della posta elettronica dovrebbero essere registrati in forma elettronica per il tramite del personale del settore competente, in maniera anonima ed esclusivamente in relazione alle attività di monitoraggio del servizio, alla sicurezza e all’integrità dei sistemi (cfr. ancora Linee guida del Garante del 2007).
Del resto, il trattamento operato dal datore risulta non idoneo, in applicazione dei principi di liceità e correttezza dei trattamenti (art. 5, comma 1 lett. a) del GDPR), ove lo stesso non provveda a informare in modo chiaro e dettagliato circa la raccolta e le caratteristiche dell’effettivo trattamento dei dati personali degli utenti, nonché in ordine all’eventuale utilizzo degli stessi per controlli anche su base individuale .
Quanto alle specifiche caratteristiche del trattamento dei dati derivante dalla configurazione del sistema, si ritiene che ove esso si articoli in operazioni di controllo, filtraggio, monitoraggio e tracciatura dei dati contenuti nella casella di posta elettronica, registrati in modo sistematico e conservati per un ampio arco temporale, sia idoneo a consentire un controllo dell’attività e dell’utilizzo dei servizi della rete individualmente effettuato da soggetti identificabili.
Quanto a quest’ultimo profilo, in particolare, spesso il trattamento è effettuato dalle aziende per il tramite di apparati (differenti dalle ordinarie postazioni di lavoro) e di sistemi software che consentono, con modalità non percepibili dall’utente-lavoratore (c.d. in background) e in modo del tutto indipendente rispetto alla normale attività dell’utilizzatore (cioè senza alcun impatto o interferenza sul lavoro del dipendente), operazioni di “monitoraggio”, “filtraggio”, “controllo” e “tracciatura” costanti ed indiscriminati degli accessi al servizio di posta elettronica.
Quanto detto vale sia con riguardo alla disciplina in materia di impiego di apparecchiature idonee al controllo a distanza dell’attività dei lavoratori precedente alla modifica del 2015 , sia con riguardo al quadro normativo risultante dalle modifiche intervenute per effetto dell’art. 23 del D.Lgs. n. 151/2015.
In definitiva, tali software non possono essere considerati “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” .
In tale nozione, infatti – e con riferimento agli strumenti oggetto del presente approfondimento, vale a dire il servizio di posta elettronica – è da ritenere che possano ricomprendersi solo servizi, software o applicativi strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza (questo è quanto evidenziato dal Garante in un provvedimento in cui ha dichiarato illecito il trattamento di dati personali derivante da verifiche indiscriminate sulla posta elettronica e sulla navigazione web del personale di un Ateneo universitario, il n. 303 del 13 luglio 2016).
La ricostruzione proposta trova conferma nei chiarimenti forniti dal Ministero del Lavoro che ha illustrato la corretta interpretazione da attribuire all’espressione “per rendere la prestazione lavorativa” contenuta nell’art. 4 Stat. Lav..
In particolare, nella nota del 18 giugno 2015, l’Ente equipara in maniera significativa tali strumenti a quelli che un tempo si sarebbero definiti “attrezzi da lavoro” e li identifica, ad esempio, nel personal computer, nel tablet e nel telefono cellulare.
Il Ministero afferma, quindi, che l’accordo sindacale o l’autorizzazione amministrativa non sono necessari se – e nella misura in cui – lo strumento venga considerato quale mezzo che “serve” al lavoratore per adempiere la prestazione.
Pertanto, nel momento in cui lo stesso subisca una modifica strutturale (ad es., mediante l’aggiunta di software di backup) per controllare il lavoratore, si fuoriesce dal perimetro della disposizione di cui al comma 2 del menzionato art. 4 Stat. Lav. .
In tal caso, infatti, da strumento che “serve” al lavoratore per rendere la prestazione, il PC, il tablet o lo smartphone divengono strumenti che “servono” al datore per controllare la prestazione del dipendente, con la conseguenza che queste variazioni sono ammissibili solo alle condizioni previste dalla norma statutaria .
Rilevante è anche il chiarimento fornito da Cass. n. 25732 del 22 settembre 2021 secondo cui l’art. 4 cit., anche dopo la novella del 2015 “ribadisce implicitamente la regola che il controllo a distanza delle attività dei lavoratori non è legittimo ove non sia sorretto dalle esigenze indicate dalla norma stessa. Sicché il controllo fine a sé stesso … continua ad essere vietato”.
È, infine, da ricordare che pure in tema di smart working, ai sensi dell’art. 21, c. 2, del D.lgs. 81/2017, le previsioni e i limiti dell’art. 4 dello Statuto dei Lavoratori dovranno trovare una espressa declinazione nell’accordo individuale, perché il potere di controllo (da remoto) possa essere legittimamente esercitato dal datore di lavoro .
In conclusione, la casella e-mail aziendale del dipendente è ampiamente suscettibile di diventare un vero e proprio strumento di controllo, senza però il rispetto della disciplina lavoristica regolante la materia che, in quanto non consente l’effettuazione di attività idonee a realizzare il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore, costituisce violazione di una delle norme del diritto nazionale “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” individuate dall’art. 88 del Regolamento UE.
Ciò considerato, i sistemi ed applicativi descritti comportano, oltre ad un trattamento in contrasto con quanto previsto dal già menzionato art. 4. Stat. Lav., anche la violazione della disciplina in materia di tutela della privacy di cui alle Linee guida del Garante delle privacy e al GDPR.
Sul punto, la Cassazione ha stabilito che “in tema di tutela della riservatezza nello svolgimento del rapporto di lavoro, sono illegittime la conservazione e la categorizzazione dei dati personali dei dipendenti, relativi alla navigazione in internet, all’utilizzo della posta elettronica ed alle utenze telefoniche da essi chiamate, acquisiti dal datore di lavoro - benché affidatario, come nella specie, di compiti di rilievo pubblicistico - attraverso impianti e sistemi di controllo la cui installazione sia avvenuta senza il positivo esperimento delle procedure di cui all’art. 4, comma 2, della l. n. 300 del 1970” (cfr., tra le tante, Cass. n. 18302/2016).
Coerentemente, il Regolamento Europeo 2016/679 (GDPR), all’art. 88, prevede la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro.
Al comma 2 del medesimo articolo si includono “misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro”.
Infatti, come statuito dal Garante per la protezione dei dati personali con più volte citate Linee guida per il corretto utilizzo della posta elettronica e internet, “il datore di lavoro non può controllare la posta elettronica e la navigazione Internet dei dipendenti e/o effettuare controlli indiretti mediante tecnologia «software» o «hardware» se non in casi eccezionali e previa definizione delle modalità d’uso di tali strumenti nel rispetto dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali”.
Tali Linee guida sono ancora applicabili se compatibili con il GDPR e il decreto nazionale di adeguamento del Codice in materia di protezione dei dati personali (art. 22 c. 4 del D.lgs. n. 101/2018).
Dello stesso avviso è anche la Giurisprudenza di merito, come - ad esempio - la Corte di Appello di Milano, secondo cui “il Codice sulla Privacy e la successiva Delib. n. 13 del 2007 resa dal Garante della Privacy si riferiscono alla disciplina di controllo degli account di posta elettronica aziendale (e non personale) del dipendente e sono già rigidissime nella tutela della riservatezza. Esse, infatti, hanno stabilito che l’accesso alla casella di posta elettronica del lavoratore rientra tra le forme di controllo a distanza lesive dei diritti propri di quest’ultimo ai sensi dell'art. 4 L. n. 300 del 1970” (Corte di Appello di Milano del 17.9.2021).
Del resto, il trattamento descritto si porrebbe, altresì, in violazione dei principi di necessità, pertinenza e non eccedenza che non consentono controlli massivi, prolungati, costanti e indiscriminati, quali, come nel caso di specie, la registrazione sistematica dei dati relativi alla connessione ai servizi di rete .
Anche su tale aspetto si è soffermato il Garante, chiarendo che i principi di necessità e proporzionalità impongono di favorire tecniche di prevenzione e, in ogni caso, graduazione nel perimetro del monitoraggio che renda residuali i controlli più invasivi, ratificandoli solo a fronte della rilevazione di specifiche anomalie quali, ad esempio, la rilevata presenza di virus e, comunque, all’esito dell’esperimento di interventi preventivi meno limitativi dei diritti dei lavoratori.
In particolare, la registrazione dei dati relativi alla connessione ai servizi di rete in modo massivo ed anelastico, unitamente alla menzionata associabilità in via univoca all’utente, non risulta assolutamente necessaria per la generale finalità di protezione e sicurezza informativa, ovvero per intangibili finalità derivanti da possibili indagini giudiziarie (cfr. art. 14 Reg.), dando luogo ad un trattamento di dati sproporzionato rispetto agli scopi dichiarati (artt. 3 e 11, comma 1, lett. d) del Codice, ora confluiti nel GDPR e nel Decreto di recepimento del 2018).
In sostanza, se l’azienda non adduce la ricorrenza di specifici episodi “anomali”, ovvero la presenza di idonei presupposti che possano legittimare sotto il profilo della proporzionalità il trattamento (quali, ad esempio, incidenti di sicurezza occorsi o la presenza di indagini in corso da parte dell’autorità giudiziaria), violerà anche i detti principi in materia di tutela della riservatezza.
In conclusione, nei casi in cui il trattamento sia attuato nei confronti dei dipendenti e in presenza del menzionato collegamento tra i dati relativi alla connessione e la persona utilizzatrice, diviene possibile ricostruirne anche indirettamente l’attività e ciò risulta in contrasto con il principio di liceità nonché – come visto – con la rilevante disciplina di settore in materia di lavoro (artt. 3 e 11, comma 1, lett. d) del Codice Privacy, ora confluiti nel GDPR; artt. 5, c. 1, lett. a) e art. 4, L. n. 300/1970).
4) A PROPOSITO DI ALCUNE RECENTI PRONUNCE DELLA CASSAZIONE E DEL GARANTE DELLA PRIVACY
Recentemente, il Garante – con ordinanza ingiunzione del 13.5.2021 – nei confronti del Comune di Bolzano – ha condannato l’Ente, su reclamo di una dipendente che lamentava la violazione della normativa a tutela della privacy, dato il monitoraggio del traffico di rete e dei singoli accessi ad internet effettuato dal datore di lavoro, che dava luogo, con memorizzazione e con collegamento univoco con il nominativo della dipendente, ad una “raccolta sistematica di numerosi dati personali, anche non attinenti allo svolgimento della prestazione lavorativa, e informazioni relative alla vita privata dell’interessato” .
Nel provvedimento si osserva che “la linea di confine tra ambito lavorativo e professionale e quello strettamente privato non può sempre essere tracciata in modo netto, non può essere prefigurato l’annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, anche nei casi in cui il dipendente sia connesso ai servizi di rete messi a disposizione del datore di lavoro o utilizzi una risorsa aziendale anche attraverso dispositivi personali”.
Il Garante ha stabilito che, “ai fini dell’applicazione della sanzione è stato considerato che il trattamento consistente nella raccolta sistematica e preventiva dei dati personali riferiti alla navigazione in internet ha interessato tutti i dipendenti del Comune (circa mille) e che, in taluni casi (n. 27 e tra questi il reclamante), i dati siano stati utilizzati per consultazioni specifiche mediante estrazione di report di dettaglio della navigazione web dei dipendenti, in violazione dei principi generali del trattamento e delle disposizioni nazionali di settore che tutelano specificamente la dignità degli interessati nei luoghi di lavoro. Rileva l’illiceità del trattamento effettuato … per violazione degli artt. 5, 6, 9, 88 e 35 del Regolamento, nonché 113 e 114 del Codice”.
Si veda anche, nello stesso senso e in una fattispecie analoga, l’Ordinanza ingiunzione del 15 aprile 2021 [doc. web n. 9670738] e il Provvedimento del 4 dicembre 2019 [doc. web n. 9215890].
È davvero interessante notare come gli orientamenti del Garante si pongano in continuità con quelli della Corte di Cassazione, la quale – anche recentissimamente – non ha mancato di evidenziare come i controlli difensivi, seppur sottratti all'area di operatività della versione (originaria) dell'art. 4 comma 2) dello Statuto dei Lavoratori, non potevano (e non possono) essere esercitati liberamente da parte del datore di lavoro, al di fuori di ogni regola di civiltà e dei criteri di ragionevolezza, di correttezza e di buona fede tesi a garantire, con l'impiego di determinati accorgimenti e cautele, un adeguato bilanciamento tra le esigenze di salvaguardia della dignità e riservatezza del lavoratore, e quelle di protezione, da parte del datore di lavoro, dei beni aziendali in senso lato (Cass. n. 25732 del 22.9.2021).
La vicenda riguardava l’impugnazione, con rito Fornero, di un licenziamento per giusta causa irrogato ad una lavoratrice che aveva effettuato, dal proprio computer aziendale, numerosi accessi a siti visitati per ragioni private e per un tempo lungo.
L’accertamento del datore di lavoro aveva avuto luogo a seguito della diffusione di un virus nella rete aziendale partito dal computer utilizzato dalla lavoratrice, virus che aveva criptato i file all’interno di vari dischi di rete, rendendo gli stessi illeggibili.
Alla luce di questa fattispecie concreta, la Cassazione “in considerazione della novità e del rilievo nomofilattico delle questioni relative all’interpretazione del novellato art. 4 della legge n. 300 del 1970” (come si legge a pag. 6 della sentenza) ha trattato in una unica pubblica udienza una serie di ricorsi pendenti che investivano analoghe questioni e, all’esito, ha enunciato il seguente principio di diritto: “Sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all'insorgere del sospetto. Non ricorrendo le condizioni suddette la verifica della utilizzabilità a fini disciplinari dei dati raccolti dal datore di lavoro andrà condotta alla stregua della L. n. 300 del 1970, art. 4, in particolare dei suoi commi 2 e 3”.
Posizione, questa, ribadita anche nelle scorse settimane, dalla Cassazione con la sentenza n. 32760 del 9.11.2021, secondo cui – in sintesi – in tema di divieto di controllo a distanza dell'attività dei lavoratori, è richiesta, anche per i c.d. controlli difensivi, l'applicazione delle garanzie dell'art. 4, comma 2 della L. 20 maggio 1970, n. 300, con la conseguenza che, se per l'esigenza di evitare attività illecite o per motivi organizzativi o produttivi, il datore di lavoro può installare impianti ed apparecchi di controllo che rilevino anche dati relativi alla attività lavorativa dei dipendenti, tali dati non possono essere utilizzati per provare l'inadempimento contrattuale dei lavoratori medesimi in assenza dei presupposti di cui all’art. 4, cc. 2 e 3, Stat. lav..
Il caso da ultimo deciso dalla Cassazione riguardava l’impugnazione di una sanzione disciplinare conservativa irrogata a un lavoratore che, durante l’orario di lavoro, aveva effettuato una serie rilevante di collegamenti a siti internet a carattere prevalentemente ludico e commerciale.
Il lavoratore è risultato vittorioso in tutti i gradi di giudizio, essendo stata rigettata la tesi della Società che sosteneva trattarsi di controlli difensivi tesi a salvaguardare il patrimonio aziendale e, quindi, consentiti .
E questo, anche dopo la modifica operata dal Jobs Act.
Pur essendo stato eliminato, infatti, il divieto generale di impiegare impianti audiovisivi e altri strumenti per finalità di controllo a distanza dell’attività dei dipendenti, tale divieto sembra essere confermato (in accordo con la giurisprudenza del Garante e della Cassazione) da un’interpretazione di buon senso del comma 1 del nuovo art. 4, che impone limiti alla installazione di impianti audiovisivi e altri strumenti “dai quali derivi anche la possibilità di controllo a distanza” .
5) CONCLUSIONI
Il rapporto tra nuove tecnologie e tutele è oggetto da decenni di riflessione da parte dei giuslavoristi ; alle questioni, tradizionali e non, si aggiunge oggi, in modo dirompente, quella dell'analisi dei dati e dei big data.
In tale ottica, di particolare rilevanza sono le tecnologie di monitoraggio attraverso i dati – si guardi ai software proxemics, ovvero i software in grado di misurare la distanza tra i lavoratori nell’ottica di prevenire il contagio – i cui effetti e le cui potenzialità in termini di tutela della salute, della sicurezza e della riservatezza dei lavoratori sono stati individuati come di interesse anche da parte dell’Agenzia europea per la sicurezza e la salute sul lavoro, sin dal discussion paper del 2017, emblematicamente titolato Tecnologia di monitoraggio: la ricerca del benessere nel XXI secolo?
Nei contesti di lavoro, tali tecnologie possono essere utilizzate per monitorare uno stato fisiologico o un comportamento, così da individuare anomalie o cambiamenti rispetto ai quali può essere necessario un intervento.
Per questo, sembrano fondamentali i parametri di riferimento sulla protezione dei dati personali del diritto interno e di quello europeo, desumibili dai provvedimenti del Garante e dalla giurisprudenza interna, della Corte Edu e della Corte di giustizia europea.
Gli strumenti di controllo dovranno tutti quanti fare i conti con i parametri (principi e regole) contenuti nel GDPR, nella Convenzione europea dei diritti dell'uomo, norme costituzionali e ordinarie.
Sono centrali le norme che impongono il rispetto di criteri come quelli di proporzionalità, liceità, pertinenza e non eccedenza nel trattamento dei dati personali; così come anche deve essere rispettato il divieto di controlli massivi, prolungati, costanti e indiscriminati che sopprimono riservatezza e autonomia nello svolgimento del lavoro e libertà al prestatore di lavoro, in relazione ai quali deroghe e limitazioni alla tutela della riservatezza devono operare nei limiti dello stretto necessario, “essendo indispensabile identificare le misure che incidano nella minor misura possibile sul diritto fondamentale, pur contribuendo al raggiungimento dei legittimi obiettivi sottesi alla raccolta e al trattamento dei dati” . E, infine, è sempre richiesta un’adeguata informazione al lavoratore.
In un futuro prossimo, che è già presente, ogni persona (non solo durante il lavoro) per le modalità ordinarie dei collegamenti in rete subisce connessioni permanenti basate su sistemi di intelligenza artificiale, ma questa deve essere governata, possibilmente, da un algoritmo adeguato, corretto e affidabile: insomma, se il dipendente non è un robot, ma una persona, il controllo assoluto, continuo e occulto non può essere consentito .