Utilizzabilità dei dati raccolti tramite l’uso di strumenti tecnologici da parte del dipendente: gli orientamenti della giurisprudenza

L'evoluzione tecnologica e l'uso sempre più frequente da parte dei lavoratori di strumenti informatici sottopone i tradizionali concetti giuslavoristici ad una forte torsione.

In particolare, il perimetro del potere di controllo del datore di lavoro può subire un'innegabile dilatazione attraverso l'utilizzo degli strumenti informatici da parte del personale dipendente.

La riforma del 2015 dell'art. 4 dello Statuto dei Lavoratori ha dato una prima risposta alla necessità di adeguare il quadro normativo relativo ai controlli del datore di lavoro al mutato contesto economico e tecnologico. La norma, così come modificata nel 2015, costituisce un vero e proprio punto di contatto tra il diritto del lavoro e la tutela dei dati personali e della riservatezza del lavoratore.

Di recente, con l'ordinanza 13 giugno 2018, n. 57668, il Tribunale di Roma ha affermato un vero e proprio rapporto di propedeuticità tra il rispetto della normativa posta a tutela dei dati personali e l'utilizzabilità a tutti i fini connessi al rapporto di lavoro delle informazioni raccolte attraverso l'utilizzo di strumenti tecnologici da parte del dipendente.

Pubblichiamo sullo stesso tema la nota alla ordinanza del Tribunale di Roma, sez.lav., 13 giugno 2018, n. 57668, di Teresa Zappia, Limiti all'utilizzo dei dati acquisiti mediante controlli cd. difensibvi: quando si applica l'art. 4, st. lav.?

Unitamente al potere direttivo ed al potere disciplinare, il potere di controllo costituisce uno dei tre poteri tipici del datore di lavoro.

Il potere di controllo, infatti, costituisce un corollario indefettibile del potere direttivo. È del tutto evidente che il datore di lavoro deve avere la possibilità di controllare il corretto adempimento, da parte del lavoratore, delle prescrizioni impartite in attuazione del potere direttivo, tratto distintivo dell'idealtipo lavorativo che è appunto il lavoro subordinato (art. 2094, c.c.).

Il potere di controllo rappresenta, altresì, un presupposto del potere disciplinare. Solo una volta verificato, attraverso il controllo sulla prestazione del dipendente, l'inadempimento del lavoratore rispetto agli obblighi che gli derivano dal contratto individuale, dal contratto collettivo e dalla legge, il datore di lavoro può legittimamente esercitare il potere di sanzionare la condotta illegittima del lavoratore, nel rispetto della procedura prevista dall'art. 7 dello Statuto dei lavoratori (l. 20 maggio 1970, n. 300).

Nonostante costituisca uno dei poteri tipici del datore di lavoro, il potere di controllo è stato sottoposto nel tempo ad una disciplina normativa limitativa con particolare riferimento ad alcune modalità di esercizio di tale prerogativa datoriale.

In particolare, il progressivo avanzare delle tecnologie anche nei luoghi di lavoro ha fatto emergere la necessità di frenare un uso eccessivo degli strumenti tecnologici come mezzi di controllo continuativo ed indiscriminato della prestazione lavorativa del dipendente.

Se è vero che controllare la corretta esecuzione della prestazione di lavoro del dipendente costituisce una prerogativa ontologicamente connessa al rapporto di lavoro e alla libertà di organizzazione dell'impresa, è pur vero che modalità particolarmente invasive dei controlli potrebbero arrecare nocumento ad altri valori protetti dall'ordinamento giuridico, come la dignità del lavoratore, il suo diritto alla riservatezza e, in determinati casi, il diritto alla segretezza della corrispondenza.

Per queste ragioni, l'art. 4 dello Statuto dei lavoratori disponeva un divieto assoluto di utilizzo di impianti audiovisivi ed altre apparecchiature tecnologiche per finalità di controllo a distanza dell'attività dei lavoratori. Venivano sottratti a tale divieto esclusivamente i casi in cui il datore di lavoro, per esigenze organizzative, produttive o di sicurezza del lavoro, intendesse installare nuove apparecchiature dalle quali potesse derivare un controllo a distanza dell'attività lavorativa dei dipendenti.

In questo caso, stante la possibilità, seppure solo teorica ed eventuale, di un controllo a distanza del dipendente, la legge subordinava comunque la possibilità di installare i predetti strumenti al previo accordo con le organizzazioni sindacali o, in mancanza, alla previa autorizzazione delle articolazioni locali del Ministero del lavoro.

Con l'evolversi della tecnologia e con l'aumento costante del contenuto tecnologico della prestazione di lavoro, la norma statutaria ha mostrato, tuttavia, i suoi limiti e la necessità di una rivisitazione della disposizione si è imposta al legislatore.

Nella sua vecchia formulazione, infatti, la norma non escludeva dal predetto regime autorizzatorio nessuno degli strumenti informatici dai quali potrebbe derivare un controllo a distanza dell'attività di lavoro del personale. Con l'effetto paradossale di assoggettare alla predetta disciplina anche gli strumenti utilizzati quotidianamente dal dipendente per espletare la propria prestazione di lavoro.

Per queste preminenti esigenze di adeguamento, l'articolo 4 dello Statuto dei lavoratori è stato riformato dal c.d. “Jobs Act” (art. 23, d.lgs. n. 151 del 2015, in vigore dal 24 settembre 2015).

Il comma 1 del “nuovo” art. 4 dello Statuto dei lavoratori, in linea con la disciplina previgente, ribadisce che gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, escludendo, dunque, l'uso di tali strumenti per la finalità precipua di controllare a distanza la prestazione di lavoro del dipendente. L'utilizzo di tali strumenti viene subordinato, come già previsto anteriormente, al previo accordo con le organizzazioni sindacali o, in mancanza, alla previa autorizzazione delle sedi locali dell'Ispettorato Nazionale del Lavoro.

La novità della riforma del 2015 è nel comma 2 del “nuovo” art. 4 dello Statuto dei lavoratori in base al quale la disciplina autorizzatoria prevista nel comma precedente non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze. In tale disposizione si può, dunque, cogliere la volontà del legislatore di adeguare la disciplina normativa alle mutate esigenze dei contesti aziendali, sganciando dalla procedura di cui al comma 1 tutti quegli strumenti con i quali, in un mondo del lavoro caratterizzato dall'aumento costante della tecnologia, il lavoratore rende la propria prestazione di lavoro, quali il PC aziendale, la SIM ed il telefono cellulare, la mail aziendale, il badge, etc.

Il vero punto di contatto tra la disciplina lavoristica del potere di controllo e la normativa a tutela dei dati personali è nel comma 3 del “nuovo” art. 4 dello Statuto dei lavoratori, in base al quale “Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196” [n.d.r. oggi dal c.d. GDPR].

Non può nutrirsi alcun dubbio sul fatto che le informazioni raccolte dal datore di lavoro e relative all'uso degli strumenti informatici da parte del dipendente siano “dati personali” nell'accezione data al termine dalla normativa privacy e, quindi, oggi dal c.d. GDPR (Regolamento UE n. 679/2016, entrato definitivamente in vigore lo scorso 25 maggio 2018) che definisce dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (art. 4, lett. 1, GDPR).

Parimenti indiscutibile è che l'attività del datore di lavoro che carpisce dai sistemi informatici informazioni relative all'uso degli strumenti informatici da parte del dipendente costituisca un “trattamento di dati personali”, che viene definito dal GDPR “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”.

Si può dunque affermare che il “nuovo” art. 4 dello Statuto dei Lavoratori rappresenta una vera e propria norma di cerniera tra il diritto del lavoro e la normativa di protezione dei dati personali, al punto che il rispetto della seconda diventa precondizione di legittimità dell'esercizio di uno dei poteri tipici del rapporto di lavoro, ossia il potere di controllo.

Il comma 3 del “nuovo” art. 4 dello Statuto dei Lavoratori prescrive al datore di lavoro che voglia utilizzare le informazioni raccolte dal controllo sull'uso degli strumenti informatici da parte del dipendente due fondamentali adempimenti.

Il primo attiene alla necessità di dare “al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli”.Il secondo adempimento riguarda il “rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196” [n.d.r. oggi dal c.d. GDPR].

Nella prassi, questi due adempimenti possono essere utilmente assolti consegnando al dipendente una informativa che abbia tutte le caratteristiche prescritte dall'art. 13 del GDPR e che illustri, in sostanza, le modalità con le quali verrà posto in essere il trattamento dei dati ricavati dall'uso degli strumenti informatici da parte del dipendente.

La finalità “formativa” relativa alle modalità d'uso degli strumenti tecnologici viene solitamente perseguita attraverso la predisposizione di una policy o regolamento informatico aziendale che illustra al personale dipendente come utilizzare gli strumenti di lavoro, quale uso di tali dispositivi è consentito e quale uso è precluso, quali controlli potrebbero essere posti in essere dal datore di lavoro sull'uso degli strumenti informatici da parte del dipendente e quali caratteristiche avranno tali eventuali controlli.

La consegna al dipendente di una informativa esaustiva ex art. 13, GDPR relativamente al trattamento dei dati ricavati dal controllo sull'uso degli strumenti informatici da parte del dipendente e di una policy che illustri le caratteristiche di eventuali controlli e delle modalità di uso degli strumenti non può garantire, tuttavia, la assoluta legittimità dell'esercizio del potere di controllo da parte del datore di lavoro. La giurisprudenza nazionale, euro-unitaria e della CEDU ha, infatti, definito quando un controllo sull'uso degli strumenti informatici da parte del dipendente può dirsi lecito e legittimo e quando, al contrario, lo stesso rappresenta una eccessiva ed illegittima violazione della sfera privata del lavoratore.

Sul punto è intervenuta, in data 5 settembre 2017, la Gande Chambre della Corte europea dei diritti umani (caso Barbulescu c. Romania).

La Corte Edu, chiamata a pronunciarsi sulla legittimità di una policy aziendale che vietava l'uso personale dei computer aziendali e del monitoraggio fatto dal datore sulle comunicazioni elettroniche del lavoratore, ha redatto un vero e proprio decalogo che la policy aziendale deve rispettare a tutela del lavoratore, le cui garanzie devono necessariamente essere protette dalle autorità nazionali, pena l'illegittimità del controllo datoriale.

In particolare, per verificare la legittimità della policy occorre verificare:

(i) se il dipendente sia stato preventivamente informato della possibilità che il datore di lavoro controlli la corrispondenza e altre comunicazioni e dell'attuazione di tali misure;

(ii) quale sia l'estensione del controllo da parte del datore di lavoro e il grado di intrusione nella privacy del dipendente, distinguendo in proposito tra il monitoraggio del flusso delle comunicazioni e del loro contenuto, nonché il carattere totale o parziale dei dati monitorati, la durata nel tempo del monitoraggio, il numero di persone che hanno avuto accesso ai risultati, l'esistenza o l'assenza di limiti spaziali del monitoraggio;

(iii) se il datore di lavoro abbia fornito motivazioni legittime per giustificare il monitoraggio delle comunicazioni e l'accesso ai loro contenuti effettivi, posto che il monitoraggio del contenuto delle comunicazioni è per natura un metodo chiaramente più invasivo, richiede una giustificazione più ampia;

(iv) se fosse stato possibile istituire un sistema di monitoraggio basato su metodi e misure meno intrusivi che non accedere direttamente al contenuto delle comunicazioni del dipendente, e se dunque l'obiettivo perseguito dal datore di lavoro avesse potuto essere raggiunto senza accedere direttamente all'intero contenuto delle comunicazioni del dipendente;

(v) quali siano le conseguenze del monitoraggio per il lavoratore subordinato e quale l'uso da parte del datore di lavoro dei risultati dell'operazione di monitoraggio, in particolare se tale uso sia conforme con lo scopo perseguito e dichiarato, e se sia necessario in relazione allo stesso;

(vi) se siano state predisposte adeguate misure di salvaguardia in favore del lavoratore, in particolare quando le attività di controllo del datore di lavoro siano di natura intrusiva, prevedendosi ad esempio che il datore di lavoro non possa accedere al contenuto effettivo delle comunicazioni, a meno che il lavoratore non sia stato avvisato in anticipo di tale eventualità.

L'adempimento formale della predisposizione e della consegna al dipendente di una policy relativa all'uso degli strumenti informativi deve accompagnarsi, dunque, anche ad un requisito sostanziale, relativo alla natura ed al perimetro dei controlli che il datore di lavoro intende porre in essere.

Nel parere dell'8 giugno 2017, relativo al trattamento dei dati personali dei lavoratori, il Gruppo di lavoro ex art. 29 (“WP29”, un organismo consultivo indipendente composto da un rappresentante delle varie Autorità nazionali Garanti pre la protezione dei dati personali, dal Garante europeo della protezione dei dati, nonché da un rappresentante della Commissione Europea), ha individuato nove scenari tipici di trattamento di dati personali dei lavoratori che possono presentare dei rischi per i diritti e le libertà fondamentali di questi ultimi.

Tra questi scenari figura il monitoraggio della strumentazione informatica dei lavoratori.

Il WP29 ritiene che, stante l'evoluzione delle tecnologie informatiche a disposizione dei datori di lavoro (Data Loss Prevention, Next-Generation Firewalls, Unified Threat Management, eDiscovery technologies, BYOD), il trattamento dati personali dei lavoratori relativi all'utilizzo della loro strumentazione informatica (es.: e-mail ricevute e/o inviate; siti web visitati; telefonate effettuate) rappresenti la più grande minaccia per la loro riservatezza.

Per far fronte a tale minaccia, il WP29 incoraggia i datori di lavoro ad adottare specifiche soluzioni volte a prevenire il ricorso ad accessi “successivi” ai dati dei lavoratori (presenti, ad esempio, nella loro cronologia web e/o nella casella di posta elettronica) e suggerisce, a titolo esemplificativo, misure quali: la predisposizione di un elenco di siti in cui la navigazione è vietata; la previsione di calendari di posta personali; la predisposizione di un'apposita policy per l'uso della strumentazione informatica.

Sul punto, con particolare riferimento all'utilizzo della strumentazione informatica da remoto (es. BYOD), il WP29 ha previsto che, sebbene l'utilizzo di simili tecnologie comporti grandi vantaggi per i lavoratori, esso presenta anche il rischio di accessi non autorizzati ai dati personali da parte di soggetti terzi. Il tema è particolarmente attuale data la recente codificazione legislativa dello smart working (l. n. 81 del 2017). Secondo il WP29, pur avendo la necessità di far fronte a tali rischi, il datore di lavoro non può adottare misure di sicurezza quali il monitoraggio dei movimenti del mouse, l'utilizzo di webcam o di tecnologie di “screen capture” – in quanto non proporzionate ed eccessive rispetto alle finalità perseguite – ma deve piuttosto implementare misure di sicurezza che rispettino la riservatezza degli interessati (così, ad esempio, se il datore di lavoro intende accedere agli smartphone dei lavoratori per verificare la perdita di dati personali, dovrebbe evitare l'accesso ad aree “private”, quali l'archivio fotografico).

La relazione di propedeuticità e di condizionalità tra l'assolvimento degli obblighi posti dalla normativa in materia di protezione dei dati personali e la possibilità di usare a fini lavoristici le informazioni raccolte dall'uso degli strumenti informatici da parte del dipendente è stata affermata, per la prima volta a livello giurisprudenziale, nell'ordinanza del Tribunale di Roma, 13 giugno 2018, n. 57668. Il caso scrutinato dal Tribunale capitolino prende le mosse dal licenziamento disciplinare intimato da una società ad un proprio dipendente a fronte delle risultanze emerse dal controllo della mail aziendale data in uso dal lavoratore. Il Tribunale, dopo aver riscontrato che la policy prodotta dalla società e relativa all'uso degli strumenti informatici da parte del personale non era in linea con quanto prescritto dal “nuovo” art. 4, comma 3, dello Statuto dei lavoratori in quanto non conteneva alcun riferimento al possibile svolgimento di attività di controllo e tantomeno sulle modalità dello stesso, afferma che “La tesi per cui da detta violazione non discenderebbe l'inutilizzabilità in giudizio delle informazioni acquisiste in violazione della legge poteva avere qualche fondamento nel testo previgente [n.d.r. dell'art. 4, st. lav.], e non certo in quello novellato, che pone espressamente il rispetto dell'obbligo di adeguata informazione a condizione di utilizzabilità del dato”.

Viene dunque affermato, con riferimento al testo dell'art. 4 dello Statuto dei lavoratori novellato dalla riforma del 2015, che il rispetto della normativa in materia di protezione dei dati personali e, nella specie, l'informazione al dipendente sull'uso degli strumenti informatici e sui possibili controlli, costituisce conditio sine qua non della legittimità dell'utilizzo a fini lavoristici (nella specie a fini disciplinari) delle informazioni raccolte dal controllo sugli strumenti di lavoro. Una volta affermata l'illiceità del trattamento del dato personale ne segue la caducazione di tutti gli atti assunti dal datore di lavoro che trovano fondamento nel dato illecitamente raccolto e, di conseguenza, l'illegittimità del licenziamento basato sull'illegittimo controllo della mail aziendale del dipendente.

Le argomentazioni di cui all'ordinanza non appaiono, tuttavia, pacifiche.

In particolare, nell'ordinanza in esame il Tribunale di Roma fa discendere l'inutilizzabilità dei dati raccolti attraverso controlli non rispettosi del comma 3 del “nuovo” art. 4 dello Statuto dei lavoratori dal presunto superamento (per effetto della novella del 2015) della categoria giurisprudenziale del “controllo difensivo”. In particolare, nell'ordinanza si afferma che la teoria del cd. controllo difensivo, invalsa riguardo al testo previgente dell'art. 4, st. lav., nasceva da una ritenuta necessità di temperamento, a fronte di gravi condotte delittuose, di un testo che, al comma 1, nel vietare l'uso di impianti per il controllo a distanza, sembrava vietare qualunque forma di impiego di tali mezzi con finalità di controllo. In presenza di dette finalità difensive veniva riconosciuta la non applicabilità a detti controlli dell'art. 4, st. lav.

Secondo il ragionamento del Tribunale, il tipo di logica giuridica sottesa alla creazione giurisprudenziale del “controllo difensivo” non sembra poter essere seguito nel testo dell'art. 4 generato dalla novella su di esso operata dal comma 1 dell'art. 23, d.lgs. n. 151 del 2015.

Partendo dal presupposto che nel nuovo testo dell'art. 4, st. lav., non sarebbe più vietato, in termini assoluti, effettuare controlli a distanza sui lavoratori, il Tribunale ritiene che non appaia più necessario appellarsi a finalità difensive per superare un divieto totalitario di controllo a distanza che non esiste più. Da qui la conclusione secondo cui anche nei controlli aventi finalità difensive è necessario rispettare le prescrizioni presenti nel comma 3 dell'art. 4, st. lav., e i controlli devono essere, dunque, preceduti dalla consegna al dipendente dell'informativa privacy sull'uso degli strumenti informatici e sui possibili controlli.

Tale assunto non è pacifico. Lo stesso Tribunale di Roma, infatti, è pervenuto a conclusioni opposte nella sentenza 22 marzo 2018, n. 2270, laddove si afferma, confermando la perdurante attualità della categoria giurisprudenziale dei “controlli difensivi”, l'inapplicabilità delle garanzie procedimentali e sostanziali di cui all'art. 4, st. lav., quando “l'attività [n.d.r. di controllo] sia volta a individuare la realizzazione di comportamenti illeciti da parte del dipendente, idonei a ledere il patrimonio aziendale sotto il profilo della sua integrità e del regolare funzionamento e della sicurezza degli impianti”. Il caso scrutinato dal Tribunale aveva ad oggetto il licenziamento disciplinare di una dipendente scaturito da un controllo sull'uso del PC aziendale dal quale era emerso che la lavoratrice, navigando in siti di interesse privato, aveva dato ingresso nella rete aziendale ad un virus che poneva in pericolo il funzionamento del sistema informatico della società.

La riforma dell'art. 4 dello Statuto dei lavoratori operata nel 2015 ha fatto venir meno il divieto assoluto di utilizzare gli strumenti informatici dati in uso ai dipendenti per finalità di controllo sulla prestazione di lavoro del lavoratore. L'esercizio di eventuali controlli, stante la meritevolezza di tutela del diritto alla riservatezza del lavoratore, deve in ogni caso avvenire seguendo stretti limiti fissati dalla giurisprudenza nazionale, dalla CEDU e dai pareri delle Autorità garanti per la protezione dei dati personali.

Inoltre, il comma 3 della norma, anche nell'interpretazione che ne ha dato di recente il Tribunale di Roma, prevede che i dati raccolti dall'effettuazione dei controlli possono essere legittimamente utilizzati a fini disciplinari solo se al dipendente è stata previamente consegnata una adeguata informativa sull'uso degli strumenti informatici, sul possibile svolgimento di controlli e sulla natura dei controlli stessi.

Tale conclusione deriva, tuttavia, da un assunto giuridico non pacifico e, cioè, dalla considerazione che, nella vigenza del nuovo art. 4 dello Statuto dei lavoratori, non avrebbe più senso di esistere la categoria giurisprudenziale dei “controlli difensivi”.

In dottrina:

- Maresca, Controlli tecnologici e tutele del lavoratore nel nuovo art. 4 dello Statuto dei lavoratori,in Rivista italiana di diritto del lavoro, 2016;

- Maresca, Jobs Act, come conciliare potere di controllo e tutela della dignità e riservatezza del lavoratore, in Ipsoa Quotidiano, 22 febbraio 2016;

- Maresca, Lucrezio Monticelli, Tutela della riservatezza nei rapporti di lavoro: divieto di controllo a distanza e telelavoro, in Trattato di diritto amministrativo, a cura di Santaniello, vol. XXXVI, Cedam, Padova, 2005.

In giurisprudenza: ex multis, Cass., 10 novembre 2017, n. 26682.