Controlli a distanza e “difensivi” tra Garante, INL e giurisprudenza

Quadro concettuale e normativo

Il processo logico-giuridico e lo sviluppo normativo si sono articolati come segue:

1. Il controllo sui lavoratori può essere effettuato tramite individui o tramite apparecchiature, in tal caso si usa definirlo “controllo a distanza” ed è disciplinato dall'art. 4 della l. n. 300/1970 (Statuto dei lavoratori).
2. Il controllo del datore di lavoro, anche tramite suoi delegati, sulla prestazione eseguita dal proprio lavoratore è legittimo, purchè sia effettuato senza ledere la dignità del lavoratore.
3. L'uso di apparecchiature finalizzate al controllo dell'attività dei lavoratori (cioè avente lo scopo specifico di controllarne l'attività) è vietato.
4. Nel caso, invece, in cui le apparecchiature di controllo siano utilizzate a fini organizzativi, di produzione, di sicurezza sul lavoro o per la tutela del patrimonio aziendale, la loro installazione è legittima purchè sia rispettata una specifica procedura (tentativo di accordo sindacale o, in mancanza di accordo, autorizzazione dell'Ispettorato Nazionale del Lavoro; art. 4.1 St. lav.).
5. I dispositivi di controllo per registrare presenze ed accessi nonché quelli per erogare la prestazione lavorativa non sono soggetti alla richiamata procedura (art. 4.2, St. lav.).
6. In ogni caso, le informazioni raccolte sia tramite i dispositivi di controllo oggetto della procedura sia mediante quelli esentati dalla norma possono essere utilizzate per tutti i fini del rapporto di lavoro, purchè sia fornita ai lavoratori informativa sulle modalità del controllo e sull'uso degli strumenti e siano rispettate le norme sulla protezione dei dati personali.
7. I controlli a distanza effettuati dal datore per accertare abusi o illeciti di cui si ha fondato sospetto, secondo consolidata giurisprudenza di Cassazione, sono legittimi anche al di fuori della richiamata procedura purchè rispettosi di determinate cautele e garanzie (“controlli difensivi”).
8. L'attività di controllo, secondo il Regolamento (UE) 2016/679, consiste in un trattamento di dati personali dei lavoratori e deve conformarsi ai principi e alle regole in esso previste. Il rispetto della disciplina dell'art. 4 dello Statuto, grazie ai richiami dell'art. 88 del Regolamento (UE) 2016/679 e dell'art. 114 del d.lgs. n. 196/2003 (Codice privacy), è condizione di liceità del connesso trattamento.
9. I dispositivi di controllo, specie se utilizzati in modo massivo e indiscriminato, possono anche portare alla violazione del divieto di indagini sulle opinioni del lavoratore o di raccolta di informazioni non rilevanti ai fini della valutazione dell'attitudine professionale; divieto sancito in via assoluta dall'art. 8 dello St. lav., richiamato dall'art. 113 del Codice privacy.
10. I trattamenti di dati personali connessi a controlli difensivi devono sottostare ai principi di trasparenza (il lavoratore deve essere informato preventivamente sulla possibilità di questi controlli e sulle relative modalità), proporzionalità (il controllo deve essere il meno invasivo possibile), essenzialità (il controllo deve essere l'unica modalità possibile rispetto ad altre soluzioni meno invasive) e minimizzazione (il perimetro del controllo, i soggetti coinvolti, la durata dello stesso devono essere al minimo indispensabile).
11. In base all'art. 2-decies del Codice privacy, «i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati»; tuttavia, l'utilizzo in giudizio di dati personali oggetto di un trattamento non conforme alle norme del Regolamento o del Codice privacy è rimesso al libero apprezzamento del giudice (art. 160-bis, Codice privacy).

Questa articolata disciplina scaturente da più fonti normative, con differenti obiettivi e caratterizzata dall'intervento di più soggetti decisori, continua a registrare:

• esiti giurisprudenziali discordanti,
• posizioni interpretative non del tutto omogenee.

Dispositivi di controllo

Le casistiche più diffusamente esaminate alla luce della disciplina dei controlli a distanza sono quelle relative all’utilizzo

• della posta elettronica aziendale,
• dei tracciati di navigazione in internet,
• delle registrazioni degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema.

Provvedimenti del Garante

La posizione assunta dal Garante privacy in materia, come desumibile da numerosi provvedimenti, può riassumersi come segue:

• Il controllo a distanza, determinando la raccolta, conservazione ed elaborazione di informazioni riconducibili al dipendente, dà luogo a un trattamento di dati personali soggetto alla disciplina combinata del Regolamento e del Codice privacy.
• Il rispetto della disciplina statutaria e quella di altre norme di settore, rappresentando «norme più specifiche adottate dallo Stato membro per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro» (art. 88, Regolamento (UE) 2016/679), costituisce condizione di liceità del trattamento.
• Seguendo l'impostazione della Corte Europea dei Diritti dell'Uomo (CEDU) occorre fare molta attenzione al rispetto dei principi di necessità, proporzionalità (privilegiando misure preventive e graduali) e minimizzazione riguardo ai trattamenti di dati personali connessi all'attuazione dei controlli. La CEDU nell'interpretare il diritto alla vita privata dell'art. 8 della Convenzione, sottolinea che quando varca i cancelli dell'azienda il lavoratore non perde i propri diritti fondamentali (nella specie quello alla riservatezza) e, in ambito lavorativo, la linea di demarcazione tra scopi professionali e personali non è sempre netta: di conseguenza, il controllo deve sempre essere rispettoso delle garanzie di libertà e dignità dei lavoratori e la legittimità del controllo va verificata in modo restrittivo. Ne consegue il divieto di controlli prolungati, costanti e indiscriminati come anche indicato dalla Raccomandazione del Consiglio d'Europa del 1° aprile 2015, CM/Rec(2015)5.

Di seguito, i principali profili della disciplina:

• Trasparenza

In primo luogo, l'attività di controllo deve rispettare il principio di trasparenza in quanto – salvo ipotesi residuali - non è ammesso un controllo occulto. Mediante un'informazione di tipo individualizzato, il lavoratore deve essere messo a conoscenza anticipatamente di tutti gli elementi informativi previsti dal Regolamento anche indicando le operazioni di trattamento che possono essere effettuate dall'amministratore di sistema per finalità connesse alla fornitura del servizio (artt. 13 e 14 GDPR). In aggiunta, occorre informare in modo chiaro e dettagliato circa le consentite modalità di utilizzo degli strumenti aziendali e l'eventuale effettuazione di controlli (art. 4.3, St. lav.). I due obblighi informativi – quello del GDPR e quello dello Statuto - sono complementari e non alternativi.

Informare compiutamente il lavoratore sul trattamento dei suoi dati è anche espressione del principio generale di correttezza dei trattamenti (art. 5(1)(a) GDPR).

• Base giuridica

Il fondamento giuridico del trattamento di dati connesso all'attività di controllo è fornito dalla disciplina di settore di cui all'art. 4 della l. n. 300/1970 (Statuto dei lavoratori) – applicabile indistintamente al settore pubblico e a quello privato - ascrivibile all'ipotesi della necessità di adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento (art. 6(1)(c) GDPR). Il rispetto di quanto disposto dall'art. 4 dello Statuto (nonché dell'art. 10 d.lgs. 10 settembre 2003, n. 276), quindi, è condizione di liceità del trattamento (art. 5(1)(a) GDPR).

• Strumenti per la prestazione

Secondo il Garante, sono da considerarsi “strumenti necessari per effettuare la prestazione” - tali da godere dell'esenzione dall'obbligo della procedura contrattual-amministrativa dello Statuto - solo quelli strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza (provv. 13 luglio 2016, doc. web n. 5408460). In tal senso, possono essere considerati “strumenti di lavoro”:

• il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale);
• gli altri servizi della rete aziendale, fra cui anche il collegamento a siti internet;
• i sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore; in tale ambito, l'Autorità riporta come esempio:
  • sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta "envelope" del messaggio, per una breve durata non superiore comunque ai sette giorni;
  • sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l´erogazione dei servizi di rete;
  • sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso.

• Disattivazione degli account e-mail all'atto della cessazione del rapporto

Il Garante privacy si è anche soffermato in più circostanze in merito alla gestione dell'account e-mail assegnato individualmente al dipendente, dopo la cessazione del rapporto lavorativo.

Fermo restando l'obbligo di trasparenza preliminare per gli eventuali accessi datoriali ai contenuti ed ai dati di traffico della corrispondenza elettronica del dipendente dotato di un indirizzo e-mail individualizzato (es. nome.cognome@azienda.it) e delle pertinenti modalità, il datore deve provvedere alla tempestiva rimozione e disattivazione dell'account di posta. Allo stesso tempo, occorre adottare un sistema automatico di risposta che, nel respingere la comunicazione in entrata, informi i terzi e fornisca ai mittenti indirizzi alternativi cui può essere inoltrata la corrispondenza di natura professionale.

• Conservazione delle e-mail

Di particolare interesse è la posizione dell'Autorità in merito ai tempi e alle modalità di conservazione delle e-mail per soddisfare esigenze di continuità operativa e per adempiere all'obbligo del codice civile di conservazione della corrispondenza commerciale.

In merito ai tempi, l'Autorità ritiene che un tempo di conservazione pari a tutta la durata del rapporto di lavoro e per dieci anni successivi alla sua cessazione, con possibilità per la società di accedere sia ai dati esterni sia al contenuto della casella e-mail, non soddisfi i principi di proporzionalità, essenzialità, minimizzazione e limitazione della conservazione dei dati. In un diverso provvedimento, il Garante ha ritenuto che la conservazione per 180 giorni dei metadati (cioè dei dati di traffico) delle email per finalità di sicurezza informatica, in mancanza delle garanzie procedurali dell'art. 4 dello Statuto, sia ugualmente non conforme ai citati principi.

Riguardo alla legittima necessità di assicurare la conservazione di documentazione necessaria per l'ordinario svolgimento e la continuità dell'attività aziendale, nonché in base a specifiche disposizioni dell'ordinamento, essa sarebbe assicurata dalla predisposizione di sistemi di gestione documentale. Secondo l'Autorità, con l'adozione di tali sistemi e «di appropriate misure organizzative e tecnologiche – (è possibile) individuare i documenti che nel corso dello svolgimento dell'attività lavorativa devono essere via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile. I sistemi di posta elettronica, per loro stessa natura, non consentono di assicurare tali caratteristiche (v. provv. 29 settembre 2021, doc. web n. 9719914);  provv. 29 ottobre 2020, doc. web 9518890, provv. 1° febbraio 2018, doc. web n. 8159221).

Infine, la conservazione delle e-mail dei dipendenti, quindi, il relativo «trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti» in quanto diversamente questa interpretazione estensiva «risulterebbe elusiva delle disposizioni sui criteri di legittimazione del trattamento (v. artt. 6, par. 1, lett. b), c) e f) e 9, par. 2, lett. b) del Regolamento»; v., da ultimo, provv. 29 settembre 2021, doc. web 9719914).

• Controllo a distanza

«La conservazione preventiva e sistematica dei dati esterni e del contenuto delle e-mail inviate e ricevute in occasione dello svolgimento dell'attività lavorativa è idonea a consentire di ricostruire l'attività del dipendente e di effettuare un controllo sulla stessa, anche indirettamente» e, pertanto, richiede che vengano preventivamente soddisfatte le garanzie procedurali previste dall'art. 4(1) dello Statuto dei lavoratori, richiamate dall'art. 114 del Codice privacy. In ogni caso, il datore/titolare deve comunque rispettare anche i principi di protezione dei dati per cui i trattamenti connessi alle attività di controllo sono leciti se «configurati in modo graduale, previo esperimento di misure meno limitative dei diritti degli interessati» (provv. 29 settembre 2021, doc. web n. 9719914).

• Divieto di indagini sulle opinioni

Inoltre, la sistematica conservazione delle e-mail, può consentire all'azienda di conoscere informazioni relative alla vita privata del lavoratore non rilevanti ai fini della valutazione dell'attitudine professionale dello stesso. In tal modo si verrebbe a configurare la violazione del divieto sancito dall'art. 8 dello Statuto, richiamato dall'art. 113 del Codice privacy, nonché dall'art. 10 d.lgs. 10 settembre 2003, n. 276.

In conclusione

Il panorama generale non è né semplice né concordante. Possono registrarsi tre distinte linee di indirizzo:

• Quella dei giudici penali sostanzialmente propensi a riconoscere la legittimità dei controlli difensivi finalizzati alla verifica di abusi o illeciti della cui commissione il datore ha fondati motivi; per la giustizia penale il controllo giustificato da questa finalità è tendenzialmente lecito, senza operare particolari distinguo;
• Quella dei giudici civili e delle sezioni giuslavoristiche – specie di Cassazione – che confermano la liceità della categoria teorico-interpretativa dei “controlli difensivi” anche a seguito della riforma dell'art. 4 dello Statuto del 2015 che ha introdotto la tutela del patrimonio aziendale tra le finalità del controllo preterintenzionale dell'attività lavorativa, soggetto a procedura sindacale-amministrativa. Secondo Cassazione, i controlli difensivi vanno distinti in due categorie: quelli che vengono effettuati prima della commissione dell'illecito (ex ante, che sono soggetti al preliminare e positivo esito della citata procedura) e quelli che sono realizzati dopo la commissione dei sospettati illeciti nonché sulla base delle informazioni acquisite successivamente al controllo (ex post, che non sono soggette alla procedura dell'art. 4.1 dello Statuto, in quanto non rientrano nell'ambito applicativo dell'art. 4) (Cass. 25 settembre 2021, n. 25731 e  Cass. 25 settembre 2021, n. 25732).
• Quella del Garante privacy che ritiene «la c.d. teoria sui controlli difensivi, di pura creazione giurisprudenziale» e per di più «oggetto di applicazioni non univoche» (provv. 1 dicembre 2022, doc. web n. 9833530). In aggiunta, nel provvedimento del 15 aprile 2021 (doc. web n. 9670738) l'Autorità sembrerebbe sostenere che i controlli difensivi non possano basarsi sulla raccolta di informazioni relative proprio all'attività lavorativa del dipendente, in quanto in tali casi sarebbe impossibile distinguere ex ante eventuali illeciti contrattuali (non controllabili a distanza) da quelli extracontrattuali «(come presuppone la c.d. teoria sui controlli a distanza)»; anche perché «nella gran parte dei casi le due ipotesi coincidono». Per cui, secondo questa decisione del Garante, la teoria sul controllo difensivo - con conseguente esclusione della procedura dell'art. 4 dello Statuto - sembrerebbe ammissibile solo quando oggetto del controllo sono «situazioni in cui il dipendente oggettivamente non è impegnato nello svolgimento dell'attività lavorativa, in particolare durante il periodo di malattia oppure di infortunio, oppure qualora si trovi in un luogo diverso da quello ove si deve svolgere la prestazione». Circostanza ritenuta diversa – quindi, non rientrante nell'ambito del controllo difensivo – nel caso concreto di indagine effettuata su tutti i contenuti presenti su pc e smartphone di servizio, in quanto questa attività di controllo «configura un'operazione di trattamento consistente nella raccolta di informazioni relative proprio all'attività lavorativa svolta dal dipendente». La tesi qui richiamata, ancorchè si riferisca ad un caso in cui l'azienda era ricorsa a investigatori privati, sembrerebbe essere stata declamata dall'Autorità come regola generale.

In aggiunta, nella pratica, ben può capitare che le risultanze derivanti dalle medesime attività di controllo possano sortire effetti opposti in occasioni di vertenze giuslavoristiche portate dinanzi ai giudici piuttosto che nell'ambito di contenziosi “privacy” discussi dinanzi al Garante. Lo testimoniano i molteplici casi in cui il licenziamento del dipendente infedele, giustificato dall'accertamento dell'abuso/illecito oggetto di controllo difensivo, sia stato ritenuto legittimo dal giudice adito, mentre all'opposto, il trattamento di quelle stesse informazioni (dati personali) che hanno comprovato l'illecito sia stato ritenuto illecito dal Garante privacy. L'apparente conflitto si manifesta in tutta la sua ampiezza allorquando la riferita decisione del Garante, una volta impugnata, viene successivamente confermata dal tribunale adito, che giudica del ricorso in base alla disciplina del GDPR e del Codice privacy. Laddove l'altro giudice decide in base a Statuto e codice civile.