Il bilanciamento tra obblighi di fedeltà ed obblighi di riservatezza nel diritto del lavoro

È illegittima la visualizzazione dei dati personali privati del dipendente senza aver reso una previa ed esaustiva informativa circa il loro trattamento, ancorché custoditi all'interno della strumentazione aziendale restituita al datore di lavoro all'atto della cessazione del rapporto di lavoro ed ancorché quei medesimi dati siano stati formattati.

Una Società agiva in giudizio contro un ex dirigente per aver egli violato, in costanza di rapporto di lavoro, i propri obblighi di fedeltà e cagionato danni per oltre un milione di euro. In particolare, la violazione degli obblighi di fedeltà emergeva da alcune chat private intrattenute dal dirigente, tramite account Skype personale, con società concorrenti ed aventi ad oggetto, però, anche la rivelazione di informazioni tecniche attinenti ai metodi di produzione aziendale.

Il datore di lavoro ha avuto conoscenza di tali conversazioni solo a seguito di accesso al disco rigido presente negli strumenti aziendali restituiti all'atto delle dimissioni del dirigente (smartphone, tablet e computer portatile) e recupero dei dati da quest'ultimo formattati. Il dirigente si costituiva in giudizio eccependo la violazione della propria privacy. Il Tribunale emetteva provvedimento favorevole alla Società, poi impugnato dal dirigente dinnanzi alla Corte di Appello.

Le questioni in esame sono essenzialmente tre, e cioè:

• a) se i dati personali di un dipendente archiviati all'interno della strumentazione aziendale siano assisti da riservatezza;
• b) se il datore di lavoro possa accedere e visualizzare i dati personali archiviati con le modalità di cui al punto a) che precede;
• c) se i dati personali acquisiti dal datore di lavoro, con le modalità di cui al punto b), siano utilizzabili per dimostrare inadempimenti a carico del dipendente.

La visualizzazione e conservazione dei dati personali privati archiviati all'interno della strumentazione aziendale del dipendente è condizionata alla previa ed esaustiva informativa circa il loro trattamento, nonché al consenso del lavoratore (Cass. civ., sez. I, 19 settembre 2016, n. 18302).

Tuttavia, la visualizzazione dei dati personali, anche privati, del lavoratore può non richiedere il consenso qualora quei dati (i) siano conservati all'interno di strumenti aziendali e (ii) la visualizzazione risponda ad un “controllo difensivo” diretto a verificare l'integrità dei beni – immateriali e materiali – aziendali (Trib. Torino 8 gennaio 2008, in Riv. It. Dir. Lav., 2008, 845; Cass. civ., sez. I, 1° agosto 2013, n. 18443).

Quale contemperamento del mancato consenso del lavoratore, la giurisprudenza chiede che la visualizzazione sia effettuata dal datore di lavoro con modalità non invasive e secondo correttezza, preferibilmente alla presenza del diretto interessato (Cass. sez. lav., 3 novembre 2016, n. 22313).

Discorso a parte merita, invece, la possibilità di “far uso” dei dati archiviati dal dipendente all'interno della strumentazione aziendale, ben potendo tale archiviazione concernere anche dati personali.

Orbene, tale possibilità di utilizzo è esclusa laddove l'estrapolazione di dati si risolva in un controllo, autoritario ed ex post, del corretto svolgimento della prestazione lavorativa (Trib. Firenze 9 febbraio 2017). Fatto, questo, da cui consegue persino l'inutilizzabilità a fini disciplinari dei dati così acquisiti (Cass. sez. lav., 23 febbraio 2010, n. 4375).

Mentre quella stessa possibilità di utilizzo è stata accordata laddove l'archiviazione di dati da parte del dipendente, soprattutto se comprovanti l'improprio od abusivo utilizzo dello strumento aziendale, contravvenga ad un esplicito divieto del datore di lavoro e/o ad una policy aziendale (Cass. sez. lav., 11 agosto 2014, n. 17859).

Del pari, è accordata la possibilità di usare i dati archiviati dal dipendente all'interno della strumentazione aziendale allorquando il datore di lavoro disponga legittimamente della chiave informatica di accesso al computer ed alla corrispondenza del dipendente (Cass. pen. 19 dicembre 2007, n. 47096, in Dir. prat. lav., 2008, 312).

Ne deriva, pertanto, che, nel bilanciamento tra la visualizzazione dei dati personali presenti all'interno della strumentazione aziendale concessa al dipendente e la tutela della riservatezza di quest'ultimo, prevalgono le esigenze di privacy poste a difesa del lavoratore.

Di conseguenza, ove non risulti essere stata adottata una policy interna per prevenire possibili abusi della strumentazione aziendale oppure si acceda forzatamente allo strumento aziendale concesso al dipendente, il comportamento del datore di lavoro – laddove abbia per oggetto dati inseriti in corrispondenza personale – potrebbe essere passibile delle sanzioni comminate dal Titolo III del D.Lgs. n. 196/2003 e – almeno potenzialmente e in linea di principio - dall'art. 616 c.p. (“Violazione, sottrazione e soppressione di corrispondenza”).

Nondimeno, la giurisprudenza ha cercato di arginare il rischio sanzionatorio cui è esposto il datore di lavoro affermando che la visualizzazione e l'impiego di dati personali presenti all'interno degli strumenti aziendali del dipendente può essere lecito laddove essi non siano interpretabili come “dati personali” in senso stretto.

E così, non sarebbe annoverabile tra i dati personali il c.d. “traffico dati Internet”, da sempre utilizzato per accertare l'abusivo uso della connessione di rete, poiché quest'ultimo risulta confinato in una sfera quantitativa di per sé riferibile ad un numero indistinto di utenti/dipendenti connessi in rete (Cass. sez. lav., 15 giugno 2017, n. 14862; Trib. Brescia 13 giugno 2016, n. 782).

Il provvedimento in esame ha risolto la questione circa la tutela della riservatezza del lavoratore, facendo corretta applicazione anche dei dettami e delle linee guida diffusi dal Garante della Privacy in tema di visualizzazione, in generale, dei dati personali del dipendente e, in particolare, dei dati archiviati, sotto forma di chat, nell'applicativo Skype installato sul computer aziendale (Garante Privacy 4 giugno 2015).

Ed invero, il provvedimento qui annotato non fa altro che ribadire quanto già sancito dalla migliore giurisprudenza di merito e di legittimità e, cioè, che il datore di lavoro, pur legittimato ad effettuare controlli sulla strumentazione aziendale, è in ogni caso tenuto ad operare secondo principi di correttezza e continenza, posto che da quei controlli potrebbero emergere dati personali e sensibili del dipendente.

Non altrettanto risolta pare essere stata l'ulteriore questione circa la presenza di dati personali del dipendente (ad es. conversazioni riservate), aventi contenuto potenzialmente lesivo per il datore di lavoro, in un luogo non proprio, ma altrui, in cui, a ben vedere, non avrebbero potuto né dovuto trovarsi, perché di natura “aziendale”.

Questo è quanto sembra emergere dall'istruttoria condotta nel caso concreto, debitamente ripercorsa in motivazione, laddove un teste ha riferito che “l'applicativo Skype era utilizzato presso la Società quale ordinario strumento di lavoro aziendale e che le conversazioni Skype avvenivano, per il tramite del pc aziendale in uso, con utilizzo della rete internet della Società”.

Mentre diversamente risolta avrebbe potuto essere l'ulteriore questione ancora circa l'inutilizzabilità dei dati personali del dipendente presenti nella strumentazione aziendale a lui fornita.

Evidenzia la Corte d'Appello che l'utilizzo del computer aziendale assegnato al lavoratore e la visualizzazione dei suoi contenuti sarebbero avvenuti “senza avere preventivamente informato il dipendente delle modalità di utilizzo del pc aziendale … né … delle modalità degli eventuali controlli e del trattamento dei dati personali”.

Sul punto giova ricordare come la Corte Europea dei Diritti dell'Uomo, con la nota sentenza del 2 gennaio 2016 (causa n. 61496/08), ha ritenuto che, in assenza di un avvertimento del datore di lavoro o una policy aziendale, il dipendente, nel fare uso personale della strumentazione aziendale, ha solo una “ragionevole aspettativa di privacy” (“reasonable expectation of privacy”). Ciò significa che qualsiasi “interferenza” (“interference”) del datore di lavoro con il rispetto della vita privata del dipendente deve essere “giustificata” (“justified”) dalla necessità di proteggere altri interessi degni di tutela ai sensi della Convenzione Europea dei Diritti dell'Uomo tra cui, si badi, rientra il divieto di diffondere informazioni riservate del datore di lavoro (“prevention of the disclosure of information received by the employee in confidence”) di cui il lavoratore può essere venuto a conoscenza nell'esercizio delle sue mansioni.

Sicché, il problema esaminato dal Collegio torinese avrebbe potuto essere risolto anche tenendo conto di quanto affermato dalla Corte EDU e non solo di quanto sancito dai provvedimenti del Garante della Privacy che, vale la pena osservare, “in ragione della natura amministrativa” non è posto “nella stessa posizione di terzietà assicurata dal giudice nel processo” (Cass. 25 maggio 2017, n. 13151).