Lavoratori: privacy vs controlli alla luce delle ultime pronunce
di Anna Capoluongo
Il tema del controllo a distanza del lavoratore è da tempo centro costante d’interesse, anche perché se è vero che nasceva come istituto giuslavoristico, ad oggi viene investito di una serie di problematiche più prettamente connesse, ad esempio, alla protezione del dato personale e al diritto alla riservatezza.
E il periodo storico e pandemico che si sta vivendo, in tal senso, svolge un ruolo di primaria rilevanza.
Da una parte, infatti, stiamo assistendo alla diffusione sempre maggiore del cd. – erroneamente – “smartworking”, cui, d’altro canto, fa da contraltare una modalità di controllo sempre più spostata su strumenti informatici, navigazione web e forme di intelligenza artificiale che, appunto, coinvolgono direttamente o indirettamente informazioni personali degli interessati.
Nonostante ciò, la “nuova realtà” post Covid non ha portato con sé una vera e propria modifica della legislazione in punto di controlli del lavoratore, tanto che da un’analisi comparata a livello europeo è emerso che l’esercizio del potere datoriale di controllo non si è modificato con la traslazione verso il telelavoro o il lavoro agile, rimanendo peraltro un punto fisso – lato privacy – il dovere di informazione del lavoratore unitamente al rispetto della normativa in tema di protezione dei dati personali delle persone fisiche[1].
Sul punto, un esempio concreto è rappresentato dalla Francia dove il Garante della privacy (CNIL)[2] ha pubblicato delle Q&A sul potere di controllo del datore, prevedendo che, essendo il telelavoro solo una modalità di organizzazione del lavoro, lo stesso non debba subire modifiche[3], purché nel rispetto del principio di proporzionalità e dei diritti e delle libertà dei lavoratori, in particolare del diritto al rispetto della loro vita privata.
Il Garante specifica, inoltre, che “ai sensi sia del Codice del lavoro che del GDPR, anche il datore di lavoro è soggetto all’obbligo di fedeltà nei confronti dei propri dipendenti. In quanto tale, deve informare preventivamente tutti i dipendenti di eventuali meccanismi di controllo della loro attività”.
Se, da un lato, è quindi riconosciuto il potere di controllo in capo al datore di lavoro, dall’altra la CNIL sottolinea come lo stesso non possa assoggettarli a una “surveillance permanente”[4], indicando come non compatibili con i principi sopra esposti i seguenti casi concreti:
– controllo costante tramite dispositivi video (come una webcam) o audio, come nel caso di utilizzo di strumenti di videoconferenza durante l’orario di lavoro per accertare che il dipendente sia presente e operativo;
– condivisione permanente dello schermo e/o utilizzo di “keylogger”[5].
– effettuazione di operazioni regolari a dimostrazione della propria presenza dietro lo schermo (ad esempio cliccare ogni tot minuti su un’applicazione o scattare foto a intervalli regolari).
Volendo indugiare ancora per un momento su un ambito di respiro europeo, è possibile notare come – in via esemplificativa – anche le Autorità garanti spagnola e polacca non siano rimaste indifferenti alla tematica.
Il Garante spagnolo (AEPD), infatti, ha ritenuto di dover sanzionare una catena di supermercati che aveva optato per l’implementazione e l’utilizzo di un sistema di intelligenza artificiale (riconoscimento facciale) per controllare l’ingresso nei negozi, così finendo per elaborare i dati personali (e particolari, quelli biometrici per la face recognition) tanto dei dipendenti, quanto dei clienti (sia maggiorenni che minorenni). Nel caso specifico, inoltre, l’utilizzo di tali strumenti di controllo era addirittura finalizzato alla verifica circa la presenza o meno dei suddetti dati all’interno di un data base contenente soggetti con pendenze giudiziarie.
Il caso affrontato dal Garante polacco (Urząd Ochrony Danych Osobowych o UODO), invece, verteva sulla violazione (data breach) avvenuta a seguito del furto del portatile di un dipendente di un’università di Varsavia – che lavorava in smartworking –, responsabile di aver salvato e trattato dati di studenti ben oltre il termine di data retention fissato dall’istituto (5 anni anziché 3 mesi), in spregio del regolamento e delle procedure interne e all’insaputa dell’università. La questione è particolarmente interessante in quanto della stessa se ne è occupato anche il Tribunale di Varsavia[6], statuendo – a conferma del provvedimento del Garante – che del furto di dati dal Pc del dipendente, utilizzato per il lavoro agile, risponde l’impresa in quanto Titolare del trattamento, per non aver attuato misure adeguate al rischio e per la non corretta applicazione del principio di accountability. Il profilo relativo all’utilizzo promiscuo dello strumento personale del dipendente (tanto per lavoro quanto per vita privata), poi, meriterebbe un approfondimento a parte, certamente sollevando problematiche tanto giuslavoristiche quanto di protezione dei dati personali, nonché di rilievo procedurale, necessitando senza dubbio e quanto meno della redazione di una BYOD (Bring Your Own Device) policy e di una MYODS (Make Your Own Device Secure) policy.
Tornando, invece, entro i confini territoriali italiani, degne di nota sono – perlomeno – le tre pronunce che seguono:
– provvedimento del Garante del 13 maggio 2021[7];
– sentenza n. 494 del 6 agosto 2021 del Tribunale di Venezia;
– sentenza n. 25732 del 22 settembre 2021 della Corte di Cassazione.
Con riferimento al provvedimento della nostra Autorità garante, è interessante vedere come siano stati ribaditi i principi di protezione dei dati personali e di rispetto della riservatezza per i dipendenti di un Pubblica Amministrazione sottoposti a controlli da parte del datore, nello specifico con riferimento ad operazioni di tracciamento delle connessioni ad Internet effettuate durante l’arco della giornata lavorativa. Infatti, si legge, “Il datore di lavoro deve, inoltre, rispettare le norme nazionali, che “includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati in particolare per quanto riguarda […l’impiego di] sistemi di monitoraggio sul posto di lavoro” (artt. 6, par. 2, e 88, par. 2, del Regolamento)”. E ancora “Considerato che la linea di confine tra ambito l’lavorativo e professionale e quello strettamente privato non può sempre essere tracciata in modo netto, non può essere prefigurato l’annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, anche nei casi in cui il dipendente sia connesso ai servizi di rete messi a disposizione del datore di lavoro o utilizzi una risorsa aziendale anche attraverso dispositivi personali, ragione per la quale la Corte europea dei diritti dell’uomo, ha nel tempo confermato che la protezione della vita privata (art. 8 Convenzione europea dei diritti dell’Uomo) si estende anche all’ambito lavorativo, ove si esplicano la personalità e le relazioni della persona che lavora”.
Nel caso di specie, il monitoraggio effettuato dall’Ente veniva ritenuto tale da “controllare, tracciare, filtrare in maniera massiva, costante e indiscriminata […] la cronologia dei siti internet visitati e il tempo di navigazione di per ciascun sito”, in aperto contrasto con la norma[8] che, anche a seguito delle modifiche disposte dal decreto legislativo 14 settembre 2015, n. 151, consente l’impiego di “impianti audiovisivi e [di] altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori […] esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”, nel rispetto di specifiche condizioni, quali il previo accordo con la rappresentanza sindacale unitaria o le rappresentanze sindacali aziendali, ovvero, in alternativa, la previa autorizzazione delle sedi territoriali dell’Ispettorato nazionale del lavoro.
Invero e per completezza, sul punto (utilizzo di sistemi che comportano la tracciatura degli accessi a Internet) il Garante si era già espresso in passato[9], arrivando però a specificare in questo provvedimento di maggio 2021 “che tali sistemi richiedono le garanzie di cui all’art. 4, comma 1 della l. 300 del 1970, non potendo essere ricompresi nel novero degli “strumenti di lavoro”, ai sensi dell’art. 4, comma 2, diversamente dai sistemi di inibizione automatica di consultazione di contenuti in rete”.
Veniamo, infine, alle due sentenze del Tribunale di Venezia e della Cassazione.
Il primo ha ritenuto legittimo il licenziamento del dipendente che, navigando ripetutamente su siti non sicuri per fini personali, abbia messo a rischio la sicurezza dell’azienda. Nel caso di specie, il comportamento[10] del lavoratore aveva esposto l’azienda al rischio – poi effettivamente tradottosi in realtà – di attacco informatico, sotto forma di ransomware, portando la stessa al pagamento di un riscatto per poter recuperare i dati esfiltrati e criptati.
Nella sentenza 494/2021 il Tribunale ha ribadito[11] che – a fronte di una corretta informativa ai lavoratori, come nel caso di specie – l’articolo 4 dello Statuto dei lavoratori, così come modificato dall’articolo 23 del D.lgs. 151/2015 e integrato successivamente dal D.lgs. 185/2016 consente al datore di lavoro di effettuare controlli su tutti i dispositivi informatici in uso ai dipendenti, a condizione che sussistano i requisiti di cui ai commi 1 e 2 del predetto articolo 4.
“Condizione essenziale, a tal fine, è che venga fornita idonea notizia ai dipendenti circa le modalità di uso degli strumenti di lavoro e di effettuazione dei controlli cd. difensivi, nel rispetto di quanto previsto dal Codice della Privacy”.
Ultima, ma solo in ordine temporale, la pronuncia della Cassazione di settembre 2021 che si è concentrata sul tema del licenziamento di un dipendente a seguito della diffusione sulla rete aziendale di un virus proveniente da un file scaricato sul pc aziendale durante la navigazione per motivi personali.
Nel caso di specie, il rilievo forse più interessante è quello relativo alla compatibilità dei “controlli difensivi” nell’attuale regime normativo e alla distinzione tra quelli “in senso lato” e quelli “in senso stretto”.
Sotto quest’ultimo profilo, si legge che “Occorre perciò distinguere tra i controlli a difesa del patrimonio aziendale che riguardano tutti i dipendenti (o gruppi di dipendenti) nello svolgimento della loro prestazione di lavoro che li pone a contatto con tale patrimonio, controlli che dovranno necessariamente essere realizzati nel rispetto delle previsioni dell’art. 4 novellato in tutti i suoi aspetti e “controlli difensivi” in senso stretto, diretti ad accertare specificamente condotte illecite ascrivibili – in base a concreti indizi – a singoli dipendenti, anche se questo si verifica durante la prestazione di lavoro. Si può ritenere che questi ultimi controlli, anche se effettuati con strumenti tecnologici, non avendo ad oggetto la normale attività del lavoratore, si situino, anche oggi, all’esterno del perimetro applicativo dell’art. 4”.
Infine, quanto alla “compatibilità”, la Corte ha enunciato il seguente principio di diritto per cui “Sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto.
Non ricorrendo le condizioni suddette la verifica della utilizzabilità a fini disciplinari dei dati raccolti dal datore di lavoro andrà condotta alla stregua dell’art. 4 I. n. 300/1970, in particolare dei suoi commi 2 e 3”.
[1] Punto sul quale a suo tempo già aveva avuto modo di esprimersi la nostra Autorità garante nazionale, in particolare con il provvedimento del marzo 2007, https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1387522.
[2] https://www.cnil.fr/fr/les-questions-reponses-de-la-cnil-sur-le-teletravail.
[3] “il datore di lavoro conserva, proprio come quando il lavoro è svolto in cantiere, il potere di vigilare e controllare l’esecuzione dei compiti affidati al suo dipendente”.
[4] Salvo casi eccezionali debitamente giustificati in considerazione della natura dell’incarico.
[5] Software che consentono di registrare su un computer tutte le sequenze di tasti digitate da una persona. Sul tema, ad esempio, in Germania il potere di controllo dei datori durante il periodo Covid-19 è stato spesso esercitato mediante tali strumenti, non sempre ritenuti leciti e legittimi.
[6] sentenza del 13 maggio 2021, caso II SA/Wa 2129/20.
[7] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9669974.
[8] Art. 4 dello Statuto dei Lavoratori.
[9] cfr., provvedimento del 13 luglio 2016, n. 303, doc. web n. 5408460, confermato dal Tribunale di Chieti con sentenza n. 672 del 24 ottobre 2019.
[10] Il dipendente aveva navigato su siti di prenotazione di viaggi e spettacoli, siti per adulti e pornografici, usato chiavette USB per file di sua pertinenza, gestito foto di familiari, scaricato esami clinici, letto posta personale, gestito rapporti con la banca, gestito il profilo instagram e linkedin, effettuato pagamenti personali con paypal etc.
[11] Richiamando la Cassazione n. 4871 del 24 febbraio 2020.
Autrice: