L’impresa Alfa installa nei propri pc, concessi in dotazione ai dipendenti, dei sistemi software funzionali al miglioramento delle prestazioni lavorative. Tali programmi, tra l’altro, registrano anche l’orario di accesso e di uscita dal sistema, così che l’impresa Alfa è in grado di verificare a distanza il tempo della prestazione lavorativa dei dipendenti. Nel corso dell’anno l’impresa Alfa contesta al dipendente Tizio inadempimenti inerenti all’orario della prestazione lavorativa perché quest’ultima, a detta del datore di lavoro, sarebbe stata svolta in difetto rispetto al tempo programmato. Alfa pone a base della propria contestazione le risultanze scaturite dal sistema software installato nel pc in dotazione a Tizio. È legittima la contestazione di ALFA?
Premessa
Nell’ambito delle attribuzioni datoriali rientra il compito di assicurare la funzionalità e il corretto impiego della strumentazione aziendale da parte dei lavoratori. A tal fine il datore di lavoro definisce le modalità d’uso e l’organizzazione dell’attività lavorativa nel rispetto dei diritti e delle relazioni sindacali. Parte essenziale e determinante della strumentazione aziendale è costituita dai sistemi informatici, che sono ampiamente diffusi nei contesti di lavoro. L’utilizzo di tali sistemi richiede l’osservanza di regole che garantiscano sicurezza e integrità di dati, onde prevenire utilizzi indebiti. Mediante internet, e in particolare attraverso i servizi di posta elettronica, è infatti possibile analizzare e ricostruire gli orientamenti personali, acquisendo così una penetrante conoscenza sulla posizione e sulla personalità dell’utilizzatore. L’esigenza di garantire un controllo corretto di tali strumenti è infatti accentuata nell’ambiente di lavoro, perché le informazioni di carattere personale trattate possono riguardare, oltre all’attività lavorativa, la sfera personale e la vita privata di lavoratori e di terzi. Da qui i limiti all’impiego di tali strumenti, che spesso coincidono con gli strumenti mediante i quali viene svolta la prestazione lavorativa o si accede al luogo di lavoro.
La L. n. 300 del 1970, art. 4 commi 1 e 2 stabilisce il divieto per il datore di lavoro di impiegare apparecchiature che consentano il controllo a distanza del lavoratore. La possibilità di installare tali strumenti, il cui utilizzo comporti la possibilità di controllo a distanza dell’attività dei lavoratori, è subordinato ad un accordo con le R.S.A. o a specifiche disposizioni dell’Ispettorato del lavoro. In quest’ultimo caso l’installazione deve essere necessaria per garantire esigenze organizzative e produttive ovvero per tutelare la sicurezza del lavoro. La garanzia procedurale prevista per impianti ed apparecchiature ricollegabili ad esigenze produttive contempera l’esigenza di tutela del diritto dei lavoratori a non essere controllati a distanza e quello del datore di lavoro relativamente all’organizzazione, produzione e sicurezza del lavoro, individuando una precisa procedura esecutiva e gli stessi soggetti ad essa partecipi.
In altre parole, le richiamate disposizioni fanno parte di quella complessa normativa diretta a regolamentare le manifestazioni del potere organizzativo e direttivo del datore di lavoro che, per le modalità di attuazione incidenti nella sfera della persona, si ritengono lesive della dignità e della riservatezza del lavoratore.
Le linee guida del Garante della Privacy
I programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi Internet sono necessariamente apparecchiature di controllo. Le caratteristiche di tali apparecchi potrebbero consentire al datore di lavoro di controllare a distanza e in via continuativa l’attività lavorativa del dipendente e verificare se la stessa sia svolta in termini di diligenza e di corretto adempimento. Considerato che tali controlli integrano ai sensi dell’art. 4, comma 1 lett. a) D.lgs. n. 196/03 (c.d. Codice della Privacy, di seguito per brevità codice) una forma di trattamento di dati personali, il Garante per la protezione dei dati personali è intervenuto con provvedimento dell’1 marzo 2007, per fornire ai datori di lavoro privati e pubblici le “Linee guida per il corretto utilizzo della posta elettronica e della rete Internet nell’ambito del rapporto lavorativo”. Ebbene con il primario obiettivo di garantire “il nucleo essenziale della dignità umana e il pieno sviluppo della personalità” dei dipendenti, le Linee guida:
sottopongono alle prescrizioni dell’art. 4 dello Statuto dei lavoratori l’utilizzo di sistemi per il controllo a distanza della “attività lavorativa in senso stretto e altre condotte personali poste in essere nel luogo di lavoro”, fra i quali “strumentazioni hardware e software mirate al controllo dell’utente di un sistema di comunicazione elettronica”
riconducono all’ambito di operatività della predetta norma l’impiego, per esigenze produttive, organizzative o di sicurezza del lavoro, di quei sistemi informatici che consentono un controllo a distanza dell’attività dei lavoratori attraverso il monitoraggio della posta elettronica e degli accessi ad Internet.
La potenziale pervasività dei controlli informatici richiede, infatti, che la liceità del trattamento dei dati personali del lavoratore sia valutata non soltanto in rapporto alle previsioni dell’art. 4 dello Statuto, richiamato integralmente dall’art. 114 del Codice, ma anche ai seguenti principi:
principio di necessità espresso nell’art. 3 del Codice, a norma del quale i sistemi informativi e i programmi informatici devono essere configurati, già in origine, in modo da ridurre al minimo l’utilizzazione di dati personali e di dati identificativi;
principio di correttezza previsto dall’art. 11, comma 1, lett. a), del Codice e che impone a colui che utilizza i dati personali di tenere durante tutta la fase di gestione una condotta volta a garantire la liceità del trattamento dei dati la cui raccolta deve avvenire in modo trasparente;
principio di pertinenza e di non eccedenza o di proporzionalità espresso anch’esso nell’art. 11 del Codice secondo il quale il trattamento deve avere a oggetto esclusivamente i dati personali necessari alle finalità perseguite ovvero al raggiungimento degli scopi dichiarati. In pratica il principio configura in capo a chi effettua la raccolta dei dati l’obbligo di fare conoscere all’interessato la ragione per la quale i dati sono raccolti. Gli scopi devono essere determinati, espliciti e legittimi.
Gli orientamenti della giurisprudenza di legittimità
La giurisprudenza di legittimità è intervenuta più volte sul portato applicativo dell’art. 4 della L. n. 300 cit. e sul rispetto delle esigenze di riservatezza dei lavoratori definite dal Codice.
L’indirizzo che esclude i c.d. controlli preterintenzionali dal portato dell’art. 4 della L. n. 300 cit.
Inizialmente la S.C. ha stabilito che, ai fini dell’operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dell’attività dei lavoratori previsto dall’art. 4 della L. n. 300 cit., fosse necessario che il controllo riguardasse (direttamente o indirettamente) l’attività lavorativa. Al contrario dovevano ritenersi fuori dell’ambito di applicazione della norma sopra citata i controlli diretti ad accertare condotte illecite del lavoratore (cosiddetti controlli difensivi), quali, ad esempio, gli apparecchi di rilevazione di telefonate ingiustificate.
Tale giurisprudenza escludeva, quindi, i c.d. controlli difensivi, dall’ambito di applicazione dell’art. 4, comma 2 a prescindere dal loro grado di invasività, con la conseguenza che i dati raccolti dal datore di lavoro, anche in assenza delle procedure di garanzia, potevano comunque essere utilizzati per contrastare condotte, non solo lesive del patrimonio aziendale, ma anche quelle che si sostanziavano in un semplice inadempimento contrattuale.
L’indirizzo che ritiene assoggettabili all’art. 4 della L. n. 300 cit. le condotte lesive di beni estranei al rapporto di lavoro
L’impostazione è stata parzialmente corretta dalla S.C. che, con sentenza n. 15982 del 2007, ha precisato che l’insopprimibile esigenza di evitare condotte illecite da parte dei dipendenti non può assumere portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratori. Per cui “tale esigenza” non consente di espungere dall’art. 4 della L. n. 300 cit. i casi dei c.d. controlli difensivi, ossia di quei controlli diretti ad accertare comportamenti che riguardino l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro: c.d. controllo preterintenzionale. Diversamente fuoriescono dal campo applicativo dell’art. 4 della L. n. 300 cit. le condotte illecite che integrano una lesione a beni estranei al rapporto di lavoro.
Tale indirizzo si è stabilizzato nel senso che le più recenti pronunce legittimano i controlli difensivi svolti in assenza delle garanzie procedurali fissate dal secondo comma dell’art. 4 soltanto nel caso in cui tali controlli siano esclusivamente indirizzati a proteggere beni estranei al rapporto di lavoro e non comportino, in aggiunta, la vigilanza dell’attività lavorativa mediante strumenti che presentino quei requisiti strutturali e quelle potenzialità lesive che ne condizionano l’impiego all’accordo con il sindacato.
Ne segue che i sistemi hardware o la posta elettronica potranno essere utilizzati dal datore di lavoro come apparecchiature di controllo, anche in difetto delle garanzie di cui all’art. 4 comma 2 della L. n. 300 cit. nell’ipotesi in cui emergano indizi giustificativi per l’avvio di un’indagine retrospettiva in grado di dimostrare che il dipendente abbia posto in essere un comportamento lesivo del patrimonio e dell’immagine aziendale. Quando invece non sussistano indizi di tal fatta e l’apparecchiatura informatica serva per svolgere un’attività di mera sorveglianza dell’esatto adempimento della prestazione lavorativa, allora tutti i dati raccolti non potranno essere utilizzati, stante il divieto posto dall’art. 4 Statuto dei lavoratori.
Il caso concreto
Venendo ora al caso di specie risulta che l’impresa Alfa ha installato nei propri pc, concessi in dotazione ai dipendenti, dei sistemi software funzionali al miglioramento delle prestazioni lavorative. Tali programmi, tra l’altro, sono in grado di registrare anche l’orario di accesso e di uscita dal sistema così che l’impresa Alfa è messa nelle condizioni di verificare il tempo della prestazione lavorativa dei dipendenti. Mediante tale sistema l’impresa Alfa ha contestato al dipendente Tizio inadempimenti inerenti all’orario della prestazione lavorativa perché quest’ultima, a detta del datore di lavoro, sarebbe stata svolta in difetto rispetto al tempo programmato. Alfa ha posto a base della propria contestazione le risultanze scaturite dal sistema software installato nel pc in dotazione a Tizio. Alla stregua di tali fatti, secondo gli scriventi, la contestazione di Alfa si pone in contrasto con il divieto sancito dall’art. 4 della L. n. 300 cit. così come richiamato dall’art. 114 del Codice.
Infatti, la metodologia utilizzata da Alfa si concretizza in un “controllo preterintenzionale” posto in essere in violazione delle garanzie di cui all’art. 4, comma 2, della L. n. 300 cit. e che riguarda l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro e specificatamente il quantum della prestazione di lavoro. Il controllo sull’orario di accesso e di uscita registrato dal software installato nel pc di Tizio si risolve in un’attività di pura e semplice sorveglianza sull’esecuzione della prestazione lavorativa e non è diretto ad accertare la perpetrazione di comportamenti illeciti di Tizio lesivi dell’immagine o/o del patrimonio di Alfa. Altre conclusioni si sarebbero potute formulare se ad esempio Alfa avesse riscontrato elementi o indizi che suggerivano un impiego del software, da parte di Tizio, atto a divulgare a terzi notizie segrete di Alfa. Tale condotta infatti poteva essere considerata lesiva del patrimonio di conoscenze del datore di lavoro e quindi illecita e foriera di arrecare danni non solo economici ad Alfa. Il che tuttavia non ricorre nel caso di specie, essendo quest’ultimo caratterizzato da una condotta datoriale realizzata in violazione della normativa sui controlli a distanza con la conseguenza che le informazioni raccolte da Alfa non potranno essere utilizzate per irrogare sanzioni disciplinari nei confronti di Tizio.
NOTE
i La nozione legale di “trattamento” infatti contempla anche la fase di raccolta delle informazioni.
ii Cass. civ. Sez. lavoro, 03/04/2002, n. 4746.
iii Cfr. Cass. civ. Sez. lavoro, 23/02/2012, n. 2722; conforme la recente giurisprudenza penale in cui si afferma “[…] la piena utilizzabilità ai fini della prova di reati anche delle videoregistrazioni effettuate direttamente dal datore di lavoro, destinatario del citato divieto, laddove agisca non per il controllo della prestazione lavorativa ma per specifici casi di tutela dell’azienda rispetto a specifici illeciti” (cfr. Cass. pen. Sez. VI, Sent., (ud. 04-06-2013) 12-07-2013, n. 30177).
iv Cfr. Cass. civ. Sez. lavoro Sent., 23/02/2010, n. 4375; recentemente anche Cass. civ. Sez. lavoro, 23/02/2012, n. 2722.
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".