***
I controlli aziendali
Un tema di particolare rilevanza e, al contempo, delicato in materia di protezione dei dati personali riguarda i controlli che un’azienda può svolgere – agendo in qualità di datore di lavoro e, ai sensi della normativa vigente in materia di protezione dei dati personali, anche in qualità di titolare del trattamento – per finalità di sicurezza e di tutela dei propri beni e della propria immagine, sugli strumenti ed i dispositivi messi a disposizione dei propri dipendenti.
L’art. 4 della Legge n. 300 del 20.5.1970 (cd. Statuto dei Lavoratori), così come modificato dal D.Lgs. n. 151/2015, definisce il perimetro entro il quale il datore di lavoro può agire, giacché stabilisce, al comma 1, che “Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di un controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”, previo necessario accordo collettivo stipulato con la RSU o RSA ovvero, in mancanza di esse, previa autorizzazione della sede territoriale dell’Ispettorato Nazionale del Lavoro (o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, previa autorizzazione della sede centrale dell’Ispettorato Nazionale del Lavoro).
Il comma 2 del citato art. 4 dispone, all’opposto, che le procedure di autorizzazione sopra richiamate non si applicano agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa nonché agli strumenti di registrazione degli accessi e delle presenze (es. badge).
Il terzo ed ultimo comma della norma in esame stabilisce, infine, che le informazioni raccolte attraverso gli strumenti installati in conformità alle disposizioni prescritte dallo Statuto dei Lavoratori possono essere utilizzate, da parte del datore di lavoro, per tutte le finalità connesse al rapporto di lavoro, a condizione che: a) sia data al lavoratore adeguata informazione circa le loro modalità di utilizzo e di svolgimento degli eventuali controlli da parte del datore di lavoro; b) sia data piena attuazione ai vari obblighi prescritti dalla normativa (europea e nazionale) sulla protezione dei dati personali.
La finalità della norma in questione è quella di porre il lavoratore – in ossequio all’obbligo di trasparenza in capo al datore di lavoro – di essere in grado di assumere consapevolezza circa la propria sottoposizione ad un legittimo controllo cd. tecnologico.
Nello specifico, il datore di lavoro (e/o il titolare del trattamento) dovrà mettere a disposizione dei lavoratori (e/o dei soggetti interessati) un regolamento aziendale (cd. policy) volto a definire, con chiarezza e precisione, l’utilizzo lecito degli strumenti forniti da parte dell’azienda, oltre che ogni informazione dettagliata circa i controlli (e le conseguenze disciplinari, in caso di infrazioni) che può porre in essere.
Oltre a ciò, il datore di lavoro dovrà fornire, altresì, al proprio personale dipendente un’informativa ex art. 13 del GDPR (la quale può essere, peraltro, contenuta all’interno della medesima informativa che il datore di lavoro fornisce al dipendente al momento dell’assunzione) riguardante il trattamento dei loro dati connesso all’utilizzo degli strumenti aziendali nonché in riferimento ai potenziali controlli eseguibili.
Infine, si ricorda che, nell’ambito delle proprie attività di controllo, il datore di lavoro non può raccogliere dati che eccedano il principio di minimizzazione e proporzionalità dei trattamenti ex art. 5 del GDPR, previa, peraltro, necessaria applicazione di misure e tecniche inidonee a determinare una forma di controllo prolungata, costante ed indiscriminata dell’attività lavorativa.
Le indagini difensive
Al fine di difendere o far valere, in sede giurisdizionale o stragiudiziale, un diritto ovvero tutelare e proteggere i propri beni ed il proprio business aziendale, il datore di lavoro ha la facoltà, altresì, di accedere ai dati contenuti ed archiviati all’interno degli strumenti aziendali messi a disposizione del proprio personale.
Al riguardo, particolare focus deve essere posto nel caso in cui le indagini difensive hanno ad oggetto i contenuti delle comunicazioni elettroniche inviate e/o ricevute dal dipendente attraverso i dispositivi messi a disposizione dell’azienda: infatti, atteso il fatto che la segretezza delle comunicazioni elettroniche è oggetto di tutela di rango costituzionale, tali controlli devono possedere inderogabilmente le seguenti caratteristiche:
- Devono essere strettamente necessari ad accertare, far valere o difendere un diritto, nonché devono essere supportati da elementi di fatto e di diritto: nello specifico, deve sussistere un ragionevole fumus di illecito o di violazione, imputabile al lavoratore ovvero a soggetti terzi;
- Devono essere minimi: in ossequio al principio di minimizzazione, è vietato al datore di lavoro di accedere, in modo indiscriminato, a tutti i contenuti delle comunicazioni effettuate e/o ricevute dal dipendente, ma unicamente a quelle necessarie a consentire di valutare la sussistenza dei presupposti per procedere a tutelare i propri diritti e/o interessi;
- Devono essere svolti nel rispetto delle normative in materia: nello specifico, le operazioni di accesso in parola possono avvenire, da un lato, previa acquisizione dello specifico consenso del lavoratore e, per altro verso, nominando un avvocato difensore.
Da ultimo, si osserva che le poc’anzi descritte caratteristiche sono tese a rispettare i consolidati dettami espressi sia dalla giurisprudenza di legittimità (v. in tal senso, Corte di Cassazione n. 2722/2012, n. 10955/2015 e n. 13266/2018) che dall’art. 8 della Convenzione Europea dei Diritti dell’Uomo (cfr. sentenza CEDU del 12.1.2016, cd. Barbulescu c. Romania), secondo cui l’esigenza, da parte del datore di lavoro, di evitare il compimento di condotte illecite da parte dei dipendenti non può assumere, nel rispetto dei principi di ragionevolezza e proporzionalità, una portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e della riservatezza del lavoratore.