I CONTROLLI DIFENSIVI DEL DATORE DI LAVORO – Aspetti rilevanti in materia di protezione dei dati personali
È possibile per il datore di lavoro effettuare i c.d. “controlli difensivi” sulle informazioni contenute nei computer dei lavoratori, senza fornire la preventiva informativa sul trattamento dei dati personali?
Come è noto, la disciplina in materia di controlli a distanza nei confronti dei lavoratori è disciplinata dalla Legge n. 300/1970 (Statuto dei Lavoratori) come modificata a seguito della riforma del 2015, conosciuta con il nome “Jobs Act”. In particolare, l’art. 4 dello Statuto dei Lavoratori opera un bilanciamento tra il diritto alla riservatezza, alla libertà di espressione e comunicazione del lavoratore e il potere di controllo del datore di lavoro, stabilendo, al primo comma, che “gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” e possono essere installati previo accordo collettivo stipulato da RSU, RSA o, in alternativa, dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale, ovvero – in mancanza – previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro.
Tuttavia, come si evince dal secondo comma, tale disposizione (e quindi il filtro dell’accordo con le rappresentanze sindacali/autorizzazione INL) non si applica “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze”, con la precisazione, contenuta nel terzo comma, secondo la quale è consentito l’utilizzo delle informazioni raccolte ai sensi dei commi 1 e 2 “a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli” e nel rispetto della normativa sulla privacy.
Da una prima lettura della norma, sembrerebbe che, nel caso in cui non siano rispettati i principi e gli obblighi di cui al Reg. UE 2016/679 e al d.lgs. n. 196/2003 in materia di trattamento dei dati personali – tra i quali riveste particolare rilevanza l’obbligo di informare i soggetti interessati mediante la messa a disposizione di un’informativa redatta ai sensi degli artt. 13 e/o 14 del Reg. UE 2016/679 –, le informazioni eventualmente acquisite dal datore di lavoro non sarebbero utilizzabili né ai fini disciplinari né in giudizio per la difesa dei diritti e degli interessi del datore di lavoro.
Effettivamente, è a questa conclusione che è giunto anche il Garante per la protezione dei dati personali nel Provv. del 12 ottobre 2016 (doc. web 5867780) avente ad oggetto il medesimo caso recentemente affrontato dalla Suprema Corte di Cassazione, Sez. Lavoro, nella Sentenza n. 25732 del 22 settembre 2021, relativo al giudizio sulla legittimità del licenziamento per giusta causa intimato ad una lavoratrice a seguito del rinvenimento all’interno del computer aziendale da lei utilizzato, di un file che aveva propagato un virus nella rete aziendale tale da criptare i files all’interno dei vari dischi di rete, rendendo gli stessi illeggibili e quindi inutilizzabili.
Il Garante ha riconosciuto come l’accesso così effettuato dal datore sul computer in uso alla dipendente dovesse essere considerato un trattamento non conforme alle norme in materia di protezione dei dati personali, oltre a risultare non conforme alle indicazioni contenute nelle “Linee guida del Garante per posta elettronica e internet” (pubblicate in G.U. n. 58 del 10 marzo 2007), disponendo di conseguenza l’obbligo di astensione, con effetto immediato, dall’effettuare alcun ulteriore trattamento dei dati acquisiti, eccettuata la mera conservazione degli stessi ai fini della loro eventuale acquisizione da parte giudiziaria.
Ciò nonostante, si può notare come il Garante, lungi dal fornire valutazioni in merito all’utilizzabilità in giudizio di mezzi di prova, tema sul quale l’Autorità non dovrebbe avere poteri poiché aspetto normato dalle pertinenti disposizioni processuali (vedi l’art. 160 bis del d.lgs. n. 196/2003), se da un punto di vista squisitamente normativo ha ritenuto necessario dover ordinare la cessazione di ulteriori attività di trattamento non conformi, dall’altro lato ha però riconosciuto la presenza di una esigenza di tutela degli interessi del datore di lavoro, consentendo la conservazione delle informazioni fino a quel momento acquisite, al fine di metterle a disposizione della parte giudiziaria.
Esigenza, a ben vedere, già avvertita in ambito giuslavoristico e in risposta alla quale sono nati i c.d. “controlli difensivi”: categoria di creazione giurisprudenziale, che esula dal perimetro applicativo dell’art. 4 St. lav., ed elaborata in ottica di tutela del patrimonio aziendale, al fine di consentire al datore di lavoro di contrastare i comportamenti illeciti del personale, senza dover scontare gli esiti eventualmente incerti di una negoziazione sindacale o i vincoli e le condizioni di una autorizzazione, ovviamente bilanciando tali esigenze con la precisazione che detti controlli siano disposti solo ex post, ossia dopo l’attuazione dell’eventuale comportamento illecito addebitato al dipendente, così da prescindere dalla mera sorveglianza sull’esecuzione della prestazione lavorativa.
Con la sentenza del 22 settembre 2021, infatti, la Suprema Corte di Cassazione, “chiudendo” il ragionamento aperto dal Garante, ha concluso operando una importante distinzione tra:
- i c.d. “controlli difensivi in senso lato”, che riguardano tutti i dipendenti durante lo svolgimento della loro prestazione lavorativa, che sono disciplinati dalle norme in materia di protezione dei dati personali e rientrano a pieno titolo nell’ambito di applicazione dell’art. 4 dello Statuto dei Lavoratori; e
- i c.d. “controlli difensivi in senso stretto”, diretti invece ad accertare specificatamente ex post condotte illecite ascrivibili – in base ad indizi concreti – ad un singolo dipendente, i quali, invece, afferma la Suprema Corte, ricadono all’esterno del perimetro applicativo dell’art. 4 dello Statuto dei Lavoratori.
In particolare, alla luce di tale classificazione, la Corte di Cassazione ha stabilito il seguente principio di diritto, che potrebbe rappresentare un faro per la valutazione in merito all’utilizzabilità ai fini disciplinari e/o in giudizio delle informazioni derivanti da attività di controllo “mirate” effettuate dal datore sui device utilizzati dal personale dipendente:
“Sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto.”
Pertanto, dalla lettura di questa pronuncia è possibile ritenere che, in materia di trattamento dei dati personali,
- con specifico riguardo ai c.d. “controlli difensivi in senso lato” resterebbero fermi gli obblighi dettati dal Reg. UE 2016/679 e dai Provvedimenti dell’Autorità Garante e, in particolare, quello di mettere a disposizione della popolazione aziendale sia l’informativa sul trattamento dei dati personali effettuato dal datore di lavoro, che un disciplinare interno relativo all’uso degli strumenti informatici e alle modalità di effettuazione dei controlli (che devono, tra l’altro, rispettare i principi di pertinenza e non eccedenza, prevendendo una gradualità nelle attività di controllo, generalizzate e realizzate a prescindere da eventuali sospetti o indizi di illecito);
- al contrario, con riguardo ai c.d. “controlli difensivi in senso stretto” parrebbe non trovare applicazione la disciplina di cui all’art. 4 dello Statuto del Lavoratori, e quindi le informazioni raccolte dal datore di lavoro per il tramite di verifiche realizzate ex post nei confronti di un dipendente – a seguito di un fondato sospetto in merito a condotte illecite o tali da pregiudicare il patrimonio aziendale – dovrebbero essere comunque utilizzabili a tutti i fini connessi al rapporto di lavoro, comprese le finalità disciplinari, senza che vi sia l’esigenza di dover informare previamente il lavoratore, fermo restando il necessario bilanciamento, da effettuare caso per caso, tra l’entità del danno arrecato al patrimonio aziendale e il rispetto della dignità e della riservatezza del lavoratore.