Il controllo a distanza sui dipendenti non è più vietato in assoluto, ma qualora esercitato tramite strumenti di lavoro deve sempre essere oggetto di adeguata informativa pena l'inutilizzabilità delle risultanze.
In senso conforme
Trib. Pescara 25 ottobre 2017
Cass. civ., sez. I, 30 gennaio 2007, 1918
In senso difforme
Cass. civ., sez. lav., 28 maggio 2018, n. 13266
Cass. pen., sez. pen., 30 novembre 2017, n. 4367
IL CASO - Un dipendente di una società di servizi, veniva licenziato per aver indotto l'azienda a fatturare attivamente con la creazione di evidenze false. Adito il Tribunale lamentava l'illegittimità del recesso per insussistenza del fatto e dell'illecito disciplinare (anche in relazione all'inutilizzabilità dei dati trattati dalla mail personale estrapolati in violazione dell'art. 4 l. n. 300 del 1970), nonché per sproporzione tardività e genericità della contestazione. Il datore di lavoro si costituiva evidenziando che il dipendente aveva promosso una fatturazione sulla base di mail materialmente e ideologicamente false. L'azienda inoltre si difendeva osservando che l'illecito era stato accertato confrontando le risultanze della posta elettronica aziendale e del gestionale, che non poteva essere considerato uno strumento di controllo a distanza. Il Tribunale di Roma ritenute inutilizzabili le prove raccolte dall'azienda, per l'assenza di una adeguata policy sulle modalità di effettuazione dei controlli stessi, dichiarava illegittimo il licenziamento.
LE QUESTIONI GIURIDICHE E LA SOLUZIONE - I fatti oggetto di causa interessano i limiti al potere di controllo del datore di lavoro così come delineati nell'art. 4 l. n. 300 del 1970 all'esito della novella contenuta nel jobs act.
Nella versione originaria della norma, vietata tout court la sorveglianza a distanza dei lavoratori, si consentiva un impiego di sistemi di controllo purché autorizzato a livello amministrativo e/o sindacale. La rigidità di tale divieto era sempre stata temperata dall'orientamento maggioritario dei Giudici di Cassazione, soprattutto della Sezione Penale. In presenza di condotte delittuose del dipendente, le esigenze “difensive” di tutela del patrimonio aziendale legittimavano l'impiego di sistemi di controllo da remoto, anche in assenza di una preventiva autorizzazione/accordo sindacale sull'installazione degli stessi.
Nel nuovo testo dell'art. 4 l. n. 300 del 1970 così come novellato dall'art. 23 d.lgs. n. 81 del 2015 (jobs act) non si rinviene più un divieto generale alla sorveglianza del dipendente. Nel primo comma si consente di installare impianti finalizzati a esigenze organizzative, e produttive, sicurezza del lavoro e tutela del patrimonio aziendale “dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori” previa autorizzazione e/o accordo sindacale. Nel terzo comma si consente l'utilizzo “a tutti i fini connessi al rapporto di lavoro” di informazioni raccolte tramite “strumenti di lavoro” purché nel rispetto delle regole del Codice della Privacy e soprattutto previa informativa al lavoratore. Sicché, abrogato il divieto totalitario contenuto nella formulazione originaria dell'art. 4 l. n. 300 del 1970, non è più necessario appellarsi alle cd. finalità difensive per sorvegliare i dipendenti, ma diventa indispensabile rispettare il regime procedurale autorizzatorio. In particolare, nel caso di “strumenti utilizzati per rendere la prestazione”, diventa cruciale rispettare il principio di trasparenza sulle modalità del controllo stesso.
Nell'interpretazione del Ministero del Lavoro il principio di trasparenza impone al datore di lavoro di informare i lavoratori circa l'esistenza e le modalità d'uso degli strumenti di controllo con riferimento a: finalità e modalità del trattamento dei dati; natura obbligatoria e facoltativa del conferimento dei dati; conseguenze di un eventuale rifiuto; soggetti cui tali dati possono essere comunicati; responsabili aziendali del trattamento dei dati; diritti dei lavoratori. Analogamente, nella lettura della disciplina fornita dal Garante Italiano per la Protezione dei Dati Personali le società sono tenute a fornire ai dipendenti informative sulle modalità e sulle finalità di raccolta e conservazione dei dati.
Venendo al caso in esame, il software gestionale utilizzato dal dipendente e l'account di mail aziendale sono considerati dal Tribunale di Roma strumenti di lavoro, anche se consentono un controllo ex post sull'attività del lavoratore. Al riguardo il Garante Italiano per la Protezione dei Dati Personali ha in passato precisato che nella nozione di strumenti di lavoro rientrano anche «i sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore». Secondo questa interpretazione è possibile escludere da tale nozione i software che consentono, con modalità non percepibili dall'utente (c.d. in background) e in modo del tutto indipendente rispetto alla normale attività dell'utilizzatore (cioè senza alcun impatto o interferenza sul lavoro del dipendente), operazioni di monitoraggio, filtraggio, controllo e tracciatura costante indiscriminati degli accessi a internet o al servizio di posta elettronica.
Pertanto nella ricostruzione del Giudice del Tribunale di Roma, per poter utilizzare le informazioni raccolte la società avrebbe dovuto fornire prova di aver adeguatamente informato il lavoratore sulle modalità di eventuali e successivi controlli. Al contrario, la policy depositata agli atti atteneva solo all'utilizzo della mail aziendale ed era priva di indicazioni in merito al fatto che l'azienda avrebbe potuto svolgere accertamenti sull'attività del dipendente e alle eventuali modalità degli stessi. Quindi le informazioni sull'illecito del dipendente ottenute dalla società tramite l'incrocio delle risultanze tra gestionale e mail non sono ritenute utilizzabili.
OSSERVAZIONI - Nella nuova formulazione dell'art. 4 l. n.300 del 1970 non è necessaria alcuna procedura autorizzatoria per il controllo sui dipendenti, se i dati sono raccolti tramite “strumenti utilizzati per rendere la prestazione lavorativa”. Diventa dunque cruciale dare corpo alla nozione di “strumento di lavoro” poiché ciò consente di definire i limiti al controllo senza procedure autorizzative. La pronuncia del Tribunale riconosce a un software gestionale e al sistema di mail aziendale la natura di “strumento di lavoro”. Tale soluzione amplia le possibilità di controllo sull'attività del dipendente garantite dallo sviluppo digitale. Pensiamo alla possibilità di monitorare la prestazione del lavoratore utilizzando i contenuti delle mail e/o le modalità di interazione con i gestionali per misurare produttività, salute, efficienza, stabilità emotiva dell'utente.
Eliminato il divieto generale di controllo sul dipendente, nel jobs act si continua a riconoscere centralità ai diritti della persona del lavoratore come limite al potere datoriale. Pena l'inutilizzabilità di qualunque informazione, il trattamento del dato personale dovrà in ogni caso rispettare i principi codificati nel Regolamento UE n. 2016 del 679 e nel Codice Italiano della Privacy (recentemente novellato dal d.lgs. n. 101 del 2018). In altre parole, il datore di lavoro nell'effettuare i controlli sui lavoratori sarà obbligato a rispettare i principi in materia di tutela dei dati personali. Il trattamento dei dati consistente nel controllo dovrà avere una base giuridica (esecuzione del contratto di lavoro; adempimento di obblighi di legge; interesse legittimo) e dovrà risultare necessario o indispensabile rispetto a uno scopo determinato nonché avere il carattere dell'eccezionalità risultando limitato nel tempo e nell'oggetto mirato e mai massivo (principio di necessità art. 5 Reg. UE n. 20176/679). Il controllo dovrà essere finalizzato (ad esempio a garantire la sicurezza o la continuità aziendale o a prevenire e reprimere gli illeciti - principio di finalità) e avere forme strettamente proporzionate e non eccedenti (principio di proporzionalità). I dati personali raccolti dovranno essere adeguatamente protetti (principio di sicurezza) e il dipendente dovrà essere informato preventivamente sulle modalità del controllo (principio di trasparenza art.13-14 Reg. UE n. 2016/679).
Le insopprimibili esigenze di bilanciamento dei diritti dell'azienda e della persona nel trattamento dei dati personali sono ben descritte dal Gruppo di Lavoro Articolo 29 nell'Opinion n. 2 del 2017 on Data processing at work ed emergono anche dall'elaborazione giurisprudenziale della Corte Europea dei Diritti dell'Uomo. Le immense potenzialità garantite dalle nuove tecnologie e dalla digitalizzazione dei processi non possono essere sfruttate senza affrontare la questione della protezione del dato e della persona in maniera sostanziale e non formalistico. Per assicurarsi l'utilizzabilità dei dati personali del dipendente derivanti da un'attività di controllo diventa indispensabile predisporre un'adeguata informativa elaborata solo dopo aver analizzato in maniera non superficiale i processi aziendali e le possibili implicazioni della sorveglianza sui diritti della persona.
RIFERIMENTI GIURISPRUDENZIALI E BIBLIOGRAFICI - Nello stesso senso della pronuncia in commento cfr. Trib. Pescara 25 ottobre 2017, in Riv. it. dir. lav., 2018, II, 304, con nota di V. NUZZO, I software che registrano la durata delle telefonate nei call center sono strumenti di lavoro?; nega l'applicabilità dell'art. 4 l. n. 300 del 1970 e ammette l'accertamento informatico sul computer aziendale in uso dal dipendente con finalità di acquisire il relativo contenuto, poiché il lavoratore aveva violato i doveri di diligenza nell'espletamento della propria attività Cass. civ., sez. lav., 28 maggio 2018, n. 13266, in http://www.italgiure.giustizia.it/xway/application/nif/clean/hc.dll?verbo=attach&db=snciv&id=./20180528/snciv@sL0@a2018@n13266@tO.clean.pdf.
In merito all'esigenza di bilanciamento di interessi tra datore di lavoro e lavoratore deve segnalarsi CEDU, CASE OF BĂRBULESCU v. ROMANIA (Application n. 61496/08), 5 settembre 2017, in https://www.echr.coe.int/Documents/Press_Q_A_Barbulescu_ENG.PDF.
In dottrina sui controlli a distanza si veda da ultimo il contributo di V. NUZZO, La protezione del lavoratore dai controlli impersonali, Napoli, 2018; nonché il volume collettaneo curato da P. TULLINI (a cura di), Controlli a distanza e tutela dei dati personali del lavoratore, Torino, 2017. Tra i commenti sulla novella dell'art. 4 l. n. 300 del 1970 contenuta nel jobs act si segnalano i contributi M. MARAZZA, Dei poteri (del datore di lavoro), dei controlli (a distanza) e del trattamento dei dati (del lavoratore), in WP C.S.D.L.E. “Massimo D'Antona”.IT, 300, 2016; R. DEL PUNTA, La nuova disciplina dei controlli a distanza sul lavoro (art. 23 d.lgs. n. 151/2015), in Riv. it. dir. lav., 2016, I, 81; P. TULLINI, La digitalizzazione del lavoro, la produzione intelligente e il controllo tecnologico nell'impresa, in P. TULLINI (a cura di), Web e lavoro. Profili evolutivi e di tutela, Torino, 2017, 6.
Sui software installati sui server, sui telefoni cellulari, su tablet e computer che consentono un controllo sui dati personali cfr. G. ZICCARDI, Il controllo delle attività informatiche e telematiche del lavoratore: alcune considerazioni informatico giuridiche, n Labour & Law Issues, 1, 2016.
Si v., altresì, sulle novità introdotte dal jobs act Ministero del Lavoro, Nota del 18 giugno 2015 e Ispettorato Nazionale Lavoro, Circolare 18 febbraio 2018, n. 5; Garante per la Protezione del Dato Personale 13 luglio 2016 n. 303, in Riv. it. dir. lav., 2017, II, 310, con nota di A. TROJSI, Al cuore del nuovo art.4, comma 2, St. lav.: la delimitazione della fattispecie degli “strumenti utilizzati per rendere la prestazione lavorativa”, e Provvedimento del Garante per la Protezione dei dati personali, 1° febbraio 2018, n. 53
Sul Reg. UE n.2016 del 679 e profili lavoristi C. OGRISEG, GDPR and Personal Data Protection in the Employment Context, in Labour & Law Issues, 2, 2017,in https://labourlaw.unibo.it/article/view/7573.
