Indagini tramite agenzia investigativa: l’utilizzabilità della prova e il diritto di accesso del dipendente

Il potere datoriale di vigilanza e controllo

L' eterodirezione tipica dei rapporti di lavoro di natura subordinata si estrinseca, oltre che nell'emanazione di ordini specifici nei confronti dei lavoratori, anche nell'esercizio da parte del datore di lavoro di un'assidua vigilanza sull'esecuzione della prestazione lavorativa.

Il c.d. potere di vigilanza e controllo, tuttavia, non è esercitabile discrezionalmente dal datore di lavoro. Al contrario, esso soggiace a rigorose restrizioni che sono state poste dal legislatore nell'ottica di preservare la sfera privata dei lavoratori da interferenze datoriali in astratto giustificabili dalla necessità di verifica della corretta esecuzione del contratto. Gran parte di tali restrizioni sono rinvenibili nel Titolo I della l. 30 maggio 1970, n. 300 (“Statuto dei Lavoratori”) – si pensi al divieto di controllo a distanza sull'attività lavorativa tramite impianti audiovisivi o altri strumenti di controllo (art. 4) -, i cui contorni sono stati delineati e arricchiti dalla magistratura chiamata nel tempo a dirimere svariate situazioni di antitesi tra interessi imprenditoriali e libertà personali del lavoratore.

I soggetti preposti alla vigilanza e al controllo

Il potere di controllo spetta al datore di lavoro, il quale, direttamente o mediante l'organizzazione gerarchica che fa a lui capo e che è conosciuta ai dipendenti, può verificare l'adempimento delle prestazioni a cui i lavoratori sono tenuti e, dunque, accertare eventuali mancanze specifiche, già commesse o in corso di esecuzione; esso, inoltre, può essere esercitato da personale di vigilanza appositamente nominato, a condizione, però, che il datore di lavoro comunichi ai lavoratori interessati i nominativi e le mansioni specifiche di tali addetti (1).

 Si ritiene che l'obbligo di pubblicità relativo al personale di vigilanza sia estraneo allo svolgimento dei controlli da parte del datore di lavoro o dei superiori gerarchici, normalmente rientranti nei poteri dell'imprenditore ex art. 2104 c.c.; in svariate pronunce (2), infatti, è stato riconosciuto che il controllo esercitato da tali soggetti (datore di lavoro o superiori gerarchici), attesa la loro particolare posizione, possa avvenire anche occultamente.

 Ulteriori figure di controllo sono, poi, le guardie particolari giurate , il cui impiego da parte del datore di lavoro è ammissibile, però, per sole finalità di tutela del patrimonio aziendale. Difatti, per legge, è vietato al datore di lavoro adibire le guardie alla vigilanza sull'attività lavorativa ed è precluso a quest'ultime l'accesso nei locali dove si svolge tale attività, se non eccezionalmente per specifiche e motivate esigenze attinenti ai compiti di tutela del patrimonio aziendale (3).

I controlli tramite agenzia investigativa e il rispetto della privacy

In termini generali, si considera legittimo il ricorso da parte del datore di lavoro all'agenzia investigativa allorquando intenda verificare l'avvenuta perpetrazione di illeciti da parte dei dipendenti e ciò anche in ragione del solo sospetto o della mera ipotesi che degli illeciti siano in corso di esecuzione (4). Altre sentenze hanno ritenuto ammissibili controlli a mezzo investigatori finalizzati a verificare comportamenti che possono configurare ipotesi penalmente rilevanti o integrare attività fraudolente (5). È in ogni caso escluso che i controlli tramite agenzia investigativa possano riguardare l'esecuzione dell'attività lavorativa (6).

 Atteso che tale tipologia di controlli può determinare un'ingerenza anche molto penetrante nella sfera individuale dei lavoratori, il rispetto della normativa sulla riservatezza dei dati personali assurge a requisito di legittimità dei controlli stessi. In questo senso, si è espressa la Corte di Cassazione, anche di recente, con la sentenza dell'11 ottobre 2023, n. 28378, riguardante il caso di un dipendente licenziato all'esito di un procedimento disciplinare nell'ambito del quale gli erano stati mossi svariati addebiti accertati tramite agenzia investigativa.

 Nella pronuncia in questione, la Corte di Cassazione ha ritenuto che i dati raccolti attraverso l'indagine investigativa – ancorché condotta in presenza delle condizioni di ammissibilità enucleate dalla giurisprudenza – non potessero essere utilizzati nel caso di specie e in ciò ragione di una riscontrata violazione della normativa sulla privacy. Nello specifico, era emerso che il mandato conferito dal datore di lavoro all'agenzia investigativa fosse privo dei nominativi degli investigatori delegati all'esecuzione delle indagini, tale circostanza integrando violazione dell'art. 8, comma 4, del provvedimento del Garante n. 60 del 6 novembre 2008, Allegato A.6, contenente le “Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria pubblicate”, del d.lgs. 30 giugno 2003, n. 196 (“Codice Privacy”).

 Al riguardo, la Corte ha chiarito che: le prescrizioni contenute nei codici deontologici hanno valenza normativa e inderogabile; in osservanza del principio iura novit curia, il giudice deve individuare i codici deontologici e farne applicazione a prescindere dalla loro invocazione dalla parte interessata; l'inutilizzabilità dei dati discende dall'art. 11 Codice Privacy, vigente ratione temporis e per il quale “I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati" (7) e dalla funzione che tale disposizione assolve, ovverosia quella di scoraggiare la ricerca, l'acquisizione e più in generale i trattamenti abusivi di dati personali.

 Ne emerge, dunque, un risonante avvertimento per i datori di lavoro a concordare con le agenzie investigative “regole di ingaggio” trasparenti e, più in generale, ad adottare politiche del lavoro, anche in fase di esercizio del potere di vigilanza, rispettose della normativa sulla privacy, atteso che la relativa inosservanza si traduce, all'atto pratico, nell'impossibilità per l'imprenditore di far valere le proprie ragioni nel processo, anche laddove fondate.

L'inutilizzabilità dei dati nel nuovo Codice Privacy

Il quadro normativo preso in considerazione dalla Corte di Cassazione nella sentenza sopra richiamata è mutato a seguito dell'entrata in vigore del d.lgs. 10 agosto 2018, n. 101 che ha abrogato l'art. 11 Codice Privacy e introdotto due nuove disposizioni sul punto: si tratta, nello specifico, dell'art. 2-decies, che sancisce che “I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati, salvo quanto previsto dall'articolo 160-bis”, e dell'art. 160-bis che prevede che “La validità, l'efficacia e l'utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali”.

Tenuto conto della clausola di salvezza - i.e., il rinvio alle “pertinenti disposizioni processuali” – di cui all'art. 160-bis, pare che la conseguenza dell'inutilizzabilità dei dati trattati in violazione della disciplina sulla privacy abbia perso il carattere di assolutezza che le era stato conferito in sede di interpretazione dell'art. 11 Codice Privacy.   Senonché, per quel che riguarda il processo civile, non solo manca nel codice di rito una norma pertinente al trattamento dei dati personali ma non v'è neppure una disposizione che regola l'istituto dell'utilizzabilità della prova in termini più generali. E ciò induce chi scrive a ritenere che, in caso di controversia, sarà rimesso sostanzialmente al potere discrezionale del giudice decidere, a seconda della fattispecie concreta, se i dati eventualmente acquisiti in maniera illecita siano utilizzabili o meno e se il relativo mezzo di prova sia ammissibile. In altre parole, fintantoché la portata delle nuove disposizioni del Codice Privacy non verrà chiarita dal legislatore (es. attraverso una norma di interpretazione autentica), il dibattito sull'argomento potrà considerarsi tutt'altro che chiuso.

Il diritto di accesso

Connesso al tema dei controlli datoriali è il diritto di accesso da parte del dipendente ai dati personali acquisiti attraverso tali controlli, garantito dal GDPR e oggetto del recente provvedimento del Garante del 6 luglio 2023 (il “Provvedimento”) (8).

Il diritto di accesso (9) ai propri dati personali è la situazione giuridica soggettiva con cui il diritto alla riservatezza (intesa come mera libertà negativa: diritto a non essere lesi nella propria sfera privata) si estende per la prima volta a una dimensione “positiva” di pretesa di informazioni (ovvero compimento di azioni) verso un soggetto passivo (in primis, titolare del trattamento).

L'interessato ha diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano (an del trattamento) e, in caso positivo, di ottenere l'accesso ai dati personali (quantum del diritto) “e alle seguenti informazioni” di cui all'art. 15 GDPR.

In relazione al diritto di accesso come delineato nel GDPR e declinato dal Provvedimento, si fa presente che:

1. la rilevanza costituzionale del diritto si basa principalmente sulla Carta dei diritti fondamentali dell'Unione europea (10);
2. il diritto di accesso deve essere circoscritto in un perimetro definito (per quanto ampio).  Ciò in quanto tutti i diritti soggettivi sono per definizione soggetti a limiti; un limite “esogeno” al diritto di accesso è stabilito dall'art. 12 (5) GDPR, in caso di richieste “manifestamente infondate o eccessive” (con particolare riferimento a quelle ripetitive), in presenza delle quali il titolare del trattamento (con onere della prova a suo carico) può, alternativamente, imporre costi amministrativi (generalmente vietati), oppure rifiutarsi di soddisfare la richiesta.

Formulando un esempio specificamente relativo all'irrogazione di sanzioni disciplinari (11), il Garante europeo stabilisce che, in linea di principio, il datore di lavoro, in caso di richiesta di accesso del dipendente licenziato poco tempo prima, non ha il potere di verificare la finalità  (es., probatoria) della richiesta di accesso, né il dipendente è tenuto a fornire le ragioni della richiesta; tuttavia, questo non comporta automaticamente che l'accesso ai “dati personali” e alle “informazioni” elencate dall'art. 15 GDPR debba avvenire in una forma predefinita o soggetta ad una scelta discrezionale del dipendente.  Per ciò che interessa ai nostri fini, ad esempio, si potrebbe considerare eseguita la richiesta di accesso documentale agli atti condivisi da un'agenzia investigativa senza con ciò stabilire un obbligo di ostensione della relazione stessa a carico del datore di lavoro titolare del trattamento.

La fattispecie oggetto del Provvedimento

Il Provvedimento trae origine da un reclamo presentato al Garante con cui un dipendente ha lamentato il mancato riscontro, ad opera del datore di lavoro, ad una richiesta di accesso ex art. 15 GDPR ai propri dati personali, trattati dal datore di lavoro per l'irrogazione di una sanzione disciplinare.

Più in dettaglio, il dipendente ha richiesto al datore di lavoro “l'accesso ai propri dati aventi ad oggetto i fatti e i comportamenti asseritamente irregolari indicati nella lettera di contestazione di addebito”; precisando altresì che sarebbe stato sufficiente “estrapol[are] dalla documentazione dati e nomi, se pregiudizievoli del diritto alla riservatezza di terzi”.  Con successiva memoria, il reclamante ha rappresentato di aver appreso, nel corso del giudizio avviato con ricorso per l'impugnazione del licenziamento, che la società datrice di lavoro “si è rivolta a una agenza investigativa alla quale ha affidato lo svolgimento di complesse indagini che hanno rilevato il comportamento illegittimo oggetto di contestazione”.

Dagli atti acquisiti in istruttoria emerge pertanto che, a fronte di una richiesta di accesso ai dati riferiti alle contestazioni disciplinari comminate dal datore di lavoro, quest'ultimo avrebbe dapprima “interpretato” la richiesta come di “accesso al personal computer aziendale” (ritenendola non accoglibile), chiedendo all'interessato di indicare specificamente la documentazione oggetto della richiesta.

Il datore di lavoro ha quindi contestato, inter alia:

a) l'eccessiva genericità della richiesta di accesso agli atti; b) il mancato rispetto delle modalità specifiche (indirizzi e-mail ad hoc) messe a disposizione dei dipendenti per l'esercizio dei propri diritti inerenti al trattamento dei dati personali, peraltro nel corso dello svolgimento di un delicato procedimento disciplinare; c) la legittimazione alla richiesta della “relazione investigativa” presentata dall'agenzia delegata per lo svolgimento dei controlli difensivi.

Il Garante ha chiarito che subordinare la richiesta di esercizio del diritto di accesso all'indicazione dettagliata della documentazione cui si chiede di accedere non è conforme al GDPR.  Più specificamente, stabilisce che: a) salvo diversa richiesta contraria ed esplicita dell'interessato, il diritto di accesso deve intendersi esercitato in termini generali, comprendendo quindi tutti i dati personali che riguardano l'interessato;

b) nel caso di specie, peraltro, la richiesta non presentava caratteri di generalità, in quanto “limitata” a tutti i dati rilevanti ai fini dell'irrogazione della sanzione disciplinare (“tutta la documentazione utilizzata per elevare la contestazione disciplinare”);

c) correttamente, l'estensione del diritto di accesso alla “relazione investigativa” redatta in sede di controlli difensivi non riguarda necessariamente il documento in sé, ma i dati personali del dipendente che abbiano rilievo a tali fini.

Ciò posto, ulteriori interessanti elementi di riflessione si individuano in alcuni passaggi del provvedimento che – sia pure incidentali – presentano particolare rilievo:

a) pur essendo il procedimento in commento nei confronti del datore di lavoro a seguito di reclamo inoltrato al Garante dall'interessato, il Garante chiarisce di aver vagliato la liceità del trattamento posto in essere dalla stessa agenzia investigativa, svolgendo specifica attività istruttoria sul punto;

b) il Garante conferma l'astratta applicabilità a casi analoghi delle circostanze di limitazione (rectius: posticipazione) delle richieste di accesso degli interessati che derivino da investigazioni difensive; tuttavia, tale “sospensione” nel fornire riscontro all'interessato deve necessariamente risultare da un diniego motivato e “senza ritardo”, in conformità all'art. 15 (3) GDPR;

c) quanto alle concrete modalità approntate dal titolare del trattamento per l'inoltro delle richieste, il Garante ha ritenuto non applicabili tali limitazioni (es., e-mail @privacy dedicate), laddove la richiesta sia stata inoltrata comunque in modo congruo nell'ambito dell'organizzazione del datore di lavoro (es., via PEC).

Conclusioni

Il provvedimento del Garante è senz'altro in linea con le più recenti linee guida tracciate dalle autorità europee competenti in materia di trattamento dei dati personali. Sarà interessante verificarne, nel prossimo futuro, la portata estensiva rispetto all'esercizio di diritti alla protezione dei dati personali diversi da quello di accesso (es., in relazione ai trattamenti automatizzati che si fanno sempre più spazio nella gestione dei rapporti di lavoro di determinati settori industriali). Altro punto evolutivo di interesse è quello relativo alla portata del diritto di limitazione dei diritti degli interessati nei casi previsti dall'art. 2-undecies del Codice Privacy e, in particolare, in caso di investigazioni difensive e/o tutela giudiziale di diritti.

Note

(1) Art. 3 Statuto dei Lavoratori.

(2) Cass., 9 ottobre 2020, n. 21888; Cass. 2 marzo 2002, n. 3039.

(3) Art. 2, Statuto dei Lavoratori.

(4) Cass., 14 febbraio 2011, n. 3590.

(5) Cass., 1° marzo 2019, n. 6174.

(6) Cass., 11 giugno 2019, n. 15094 ha chiarito che chiarito che “Il ricorso legittimo alle agenzie investigative non può riguardare né l'adempimento né l'inadempimento dell'obbligazione contrattuale del lavoratore, essendo l'inadempimento stesso, al pari dell'adempimento, riconducibile all'attività lavorativa, sottratta alla suddetta vigilanza. Deve invece limitarsi agli atti illeciti del lavoratore non riconducibili al mero inadempimento dell'obbligazione”.

(7) Enfasi aggiunta.

(8) Garante, provvedimento 6 luglio 2023, n. 290 (doc. web n. 9927300).

(9) Articolo 15, GDPR.

(10) L' art. 7 della Carta (Rispetto della vita privata e della vita familiare) declina la componente “negativa” del diritto alla privacy e l'art. 8 (Diritto alla protezione dei dati di carattere personale che la riguardano) riconosce per ogni persona “il diritto di accedere ai dati raccolti che la riguardano (…)”.

(11) Cfr. Example 1, Garante europeo, cit., p. 10/11.