Come precisato dal Garante per la protezione dei dati personali nelle “Linee Guida per posta elettronica ed internet” (G.U. n. 58 del 10 marzo 2007) il luogo di lavoro è una formazione sociale all’interno della quale deve essere garantita la tutela di ogni diritto, delle libertà e della dignità degli interessati, ivi compresa la tutela della riservatezza nelle relazioni personali e professionali. Tale definizione permette di comprendere come, dato l’uso ormai indispensabile della posta elettronica, all’interno dei dispositivi aziendali possano confluire anche informazioni attinenti alla vita privata dei prestatori di lavoro; da qui l’esigenza di preservare il loro diritto alla riservatezza. Tale tutela però non può avvenire in maniera assoluta ed incontrovertibile, poiché il datore di lavoro, nel salvaguardare il patrimonio aziendale può avere l’esigenza di accedere alle caselle di posta elettronica messe a disposizione dei lavoratori subordinati, specialmente quando questi siano improvvisamente e temporaneamente assenti per qualsiasi motivo o, a maggior ragione, quando sia cessato il rapporto di lavoro.
L’impianto normativo
La trattazione della problematica evidenziata in premessa non può prescindere da una preliminare analisi delle disposizioni in materia laburistica in combinato disposto con la normativa in materia di privacy.
L’art. 4 dello Statuto dei Lavoratori (L. 300/1970) regola le modalità ed i presupposti affinché i datori di lavoro possano ricorrere a determinati strumenti di controllo. Tale norma ha subito un cambiamento radicale con il c.d. “Jobs Act”, poiché prima della predetta riforma non era ammessa alcuna forma di controllo da parte del datore di lavoro eccetto specifici casi in cui il datore di lavoro, per esigenze organizzative, produttive o di sicurezza del lavoro, intendesse installare nuove apparecchiature. In tal caso sarebbe stato necessario il preventivo accordo delle rappresentanze sindacali aziendali oppure della Direzione Territoriale del Lavoro.
L’attuale disciplina di cui all’art. 4 dello Statuto dei Lavoratori, seppur limitatamente al dettato del comma 1, non si è del tutto discostata dalla precedente impostazione. Pertanto è ammissibile che ogni datore di lavoro possa installare impianti audiovisivi o altri strumenti di controllo “per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale … previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali … In mancanza di accordo [gli impianti e gli strumenti di controllo] possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro o in alternativa … della sede centrale dell’Ispettorato nazionale del lavoro”.
Tali impianti/strumenti, tuttavia, non possono essere utilizzati per effettuare controlli circa gli accessi e le presenze dei lavoratori. Pertanto, a prescindere da eventuali accordi con le rappresentanze sindacali o con l’Ispettorato nazionale del lavoro, il datore di lavoro non può accedere ai dispositivi aziendali concessi in dotazione ai lavoratori per meri scopi “investigativi” (cfr. art. 4 co 2 Statuto dei Lavoratori). In tal senso sembrerebbe dunque che il legislatore, in linea con la disciplina antecedente al “Jobs Act”, abbia attribuito agli strumenti di controllo a distanza una funzione organizzativa, per facilitare l’esecuzione ed il coordinamento di ogni attività, ed una funzione preventiva per meglio comprendere le esigenze attinenti alla sicurezza ed alla salvaguardia del patrimonio aziendale; salvaguardia del patrimonio aziendale che non può essere intesa come controllo c.d. “difensivo” su eventuali condotte illecite poste in essere dai dipendenti.
Se con i primi due commi dell’art. 4 si ravvisano poche differenze rispetto al passato, può dirsi che la più importante novità della riforma si abbia con il terzo comma del medesimo articolo in base al quale: “Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”. Come precisato da Riccardo Maraga sul “Giuslavorista”, tale disposizione costituisce un vero e proprio punto di contatto tra il diritto del lavoro ed il diritto della privacy venendo in rilievo la necessità del datore di lavoro di dotarsi di una chiara e dettagliata policy aziendale. Quest’ultima infatti deve prevedere anche una procedura relativa alle modalità di accesso ai dispositivi affinché, una volta sottoscritta ed accettata dal lavoratore, legittimi il datore di lavoro ad effettuare i necessari controlli.
Ciò non significa che il datore di lavoro abbia un potere assoluto ed incontrollato circa l’accesso ai dispositivi, in quanto l’informativa sottoposta al lavoratore dovrebbe permettere allo stesso di comprendere come vengano trattati i propri dati personali. Tuttavia ciò che più rileva è che il terzo comma dell’art. 4 dello Statuto dei lavoratori legittimerebbe (sempre in presenza di una dettagliata policy aziendale) l’uso di tutte le informazioni raccolte “a tutti i fini connessi al rapporto di lavoro”. Non è revocabile in dubbio che dalla citata disposizione normativa sia derivato un acceso dibattito in materia di “controlli difensivi”.
L’orientamento del Tribunale di Roma (ordinanza n. 57668, 13 giugno 2018) e l’importanza della policy aziendale
Con l’ordinanza n. 57668 del 13 giugno 2018 il Tribunale di Roma si è espresso in tema di impianti e strumenti di controllo con particolare attenzione al terzo comma dell’art. 4 dello Statuto.
Il caso si riferisce ad un dipendente che ha convenuto in giudizio la società datrice di lavoro per richiedere l’annullamento del licenziamento disciplinare che gli era stato intimato per aver tenuto condotte illecite. Nello specifico il licenziamento è stato intimato sulla base delle informazioni raccolte a seguito di accesso alla casella di posta elettronica data in uso al lavoratore. Quest’ultimo ha lamentato l’illegittimità del licenziamento anche in ragione della mancanza di un’informativa a definizione delle procedure di controllo.
Il Tribunale di Roma ha statuito come sulla base del novellato art. 4 dello Statuto dei lavoratori sia ammissibile utilizzare le informazioni raccolte tramite controlli a distanza anche per “finalità difensive”, proprio perché anch’esse rientrerebbero nella più ampia categoria delle “finalità connesse al rapporto di lavoro”. Ma vi è di più, con riferimento all’uso della posta elettronica, l’unico limite al potere di controllo del datore di lavoro è stato inaspettatamente posto nella mera elaborazione ex ante di rigorose disposizioni circa la modalità di accesso alle informazioni. Secondo il giudice capitolino soltanto la previa sottoscrizione di un’(adeguata)informativa da parte del lavoratore legittimerebbe il datore di lavoro a prendere visione delle e-mail pervenute al dipendente nella propria casella di posta elettronica aziendale.
Ed è proprio per la mancanza di un’adeguata policy aziendale che le difese della società convenuta non hanno trovato accoglimento.
Il Tribunale di Roma ha infatti stigmatizzato la funzione dell’informativa privacy ex art. 13 GDPR in assenza della quale (o anche in assenza di adeguate disposizioni) il datore di lavoro non può dirsi legittimato ad utilizzare le informazioni raccolte tramite strumenti installati ai sensi del primo comma dell’art. 4 dello Statuto nemmeno per fini difensivi/disciplinari. L’art. 4 comma 1 costituisce comunque il fulcro: gli impianti/strumenti devono essere installati per le primarie finalità di tutela del patrimonio aziendale, e non di controllo sull’attività dei lavoratori, ma “questo non significa che le informazioni ricavate da impianti autorizzati ed impiegati ad un fine diverso da quello di controllare il lavoratore non possano essere utilizzate contro costui, perché il terzo comma [dell’art. 4] chiarisce che le informazioni raccolte ai sensi del comma 1 sono utilizzabili nel rispetto delle regole sulla privacy e della regola specifica della previa informazione al lavoratore, “a tutti i fini connessi al rapporto di lavoro”; espressione di latitudine tale da comprendere anche il controllo sull’osservanza degli obblighi discendenti dal rapporto di lavoro” (Cfr. ordinanza Tribunale di Roma).
Emerge nuovamente il ruolo centrale della policy aziendale quale strumento di contemperamento tra la tutela della riservatezza del prestatore di lavoro e la tutela del patrimonio aziendale.
Nei medesimi termini si era già espressa anche la Grande Chambre della Corte europea dei diritti dell’uomo. Con sentenza del 5 settembre 2017 (caso Barbulescu c. Romania) la Corte ha stabilito che non sussiste violazione dell’art. 8 della Convenzione EDU (che tutela il diritto alla riservatezza) tutte le volte in cui al lavoratore subordinato sia stata sottoposta una dettagliata informativa circa le modalità di trattamento dei dati personali eventualmente reperiti nelle operazioni di accesso alla casella di posta elettronica aziendale.
Vedi anche:”Nozione di rapporto di lavoro a tempo determinato”
Redazione della policy aziendale nel rispetto del diritto alla riservatezza
Per comprendere come possa essere redatta una corretta ed adeguata informativa privacy da sottoporre ai dipendenti, può essere utile far riferimento alle già citate Linee Guida elaborate dal Garante per la protezione dei dati personali. Il Garante riconosce come sia fondamentale la sottoscrizione da parte dei dipendenti di una policy per evitare oltretutto di far sorgere negli stessi legittime aspettative circa la “confidenzialità” del mezzo di comunicazione.
In sintesi, ed anche in ragione dei principi elaborati nella sentenza della Corte EDU con riferimento al caso Barbulescu c. Romania, sarebbe opportuno:
- che il lavoratore venisse informato circa il grado di estensione del potere di controllo datoriale;
- che il datore di lavoro indicasse ogni specifica ragione che lo legittimi all’accesso alle caselle di posta elettronica e dunque ai contenuti delle e-mail;
- che l’informativa prevedesse una procedura dettagliata circa le modalità di accesso anche coinvolgendo l’ufficio legale ed un responsabile delegato (o Line Manager), fatta salva la redazione di un processo verbale al termine delle operazioni;
- che l’informativa indicasse le modalità di conservazione dei dati raccolti.
La sottoscrizione dell’informativa dovrebbe avvenire contestualmente alla conclusione del contratto di lavoro subordinato. Tuttavia in costanza di rapporto di lavoro si potrebbero effettuare integrazioni alla policy aziendale, talvolta sprovvista di disposizioni volte a legittimare il potere di controllo del datore di lavoro. In tal caso le rinnovate disposizioni dovrebbero essere formulate in maniera chiara e trasparente a tutela del lavoratore quale parte debole del rapporto contrattuale. Nonostante la chiarezza e la trasparenza si potrebbe tuttavia discutere circa la legittimità di tali integrazioni in quanto potrebbero essere intese dai lavoratori come “rinunce” ai sensi dell’art. 2113 c.c.. Per evitare qualsiasi tipo di contestazione sarebbe dunque opportuno consultare previamente le sigle sindacali maggiormente rappresentative dei lavoratori all’interno dell’azienda.
Da ultimo, con le predette Linee Guida, il Garante suggerisce ad ogni datore di lavoro di predisporre indirizzi di posta elettronica condivisi acconsentendo così l’accesso di tutti o di un gruppo determinato di dipendenti. Tale sistema tuttavia è difficilmente applicabile a quei settori in cui l’attività lavorativa richiede uno stretto rapporto di fiducia tra lavoratore dipendente e cliente, il quale può sentire l’esigenza di intrattenere rapporti sempre con lo stesso referente. È evidente che comunicare attraverso indirizzi di posta elettronica condivisi non permetterebbe una precisa identificazione del personale con cui si interloquisce. Per tale ragione il Garante suggerisce anche di attribuire al lavoratore un diverso indirizzo destinato ad uso privato, così affiancandolo all’indirizzo di posta elettronica aziendale.
Ad ogni modo il datore di lavoro potrebbe mettere a disposizione di ciascun lavoratore diverse modalità di sistema che consentano di inviare automaticamente in caso di assenze messaggi di risposta contenenti riferimenti di colleghi o modalità di contatto della struttura.
È evidente l’intento del Garante di prevenire gli accessi del datore di lavoro alle caselle di posta elettronica aziendali. Accessi che dovrebbero comunque costituire l’extrema ratio del potere di controllo del datore di lavoro e dovrebbero essere generalmente finalizzati a mantenere i contatti con la clientela in caso di assenza (temporanea o definitiva) del lavoratore.
Volume consigliato
Risarcimento dei danni e responsabilità per infortuni sul lavoroCorredata di formulario e giurisprudenza, l’opera è un’analisi della responsabilità civile del datore di lavoro (e del terzo), nella sua interazione con la tutela previdenziale dell’Inail. Rappresentando un sicuro sussidio professionalmente, si affrontano le criticità inerenti sia agli aspetti sostanziali sia processuali. Si analizzano, anche attraverso l’evoluzione giurisprudenziale, le varie tipologie di danno e la relativa risarcibilità: danno biologico (interazioni tra diritto civile e previdenziale; sistema tabellare; danno temporaneo, permanente di lieve entità e mortale); danno differenziale (quantificazione; oneri assertori del lavoratore; esonero da responsabilità; danno complementare (morale e psichico, da perdita di chance). Vengono inoltre considerati, vagliando la casistica di riferimento: l’obbligo di sicurezza del datore di lavoro (nesso di casualità e ripartizione degli oneri probatori; condotta del lavoratore e sua rilevanza nell’accertamento del nesso causale); la responsabilità civile dei terzi estranei al rapporto assicurativo; le azioni processuali ordinarie e speciali. Al volume sono collegate delle significative risorse on line; alla pagina www.approfondimenti.maggioli.it sono infatti disponibili la normativa di riferimento aggiornata, la giurisprudenza, la prassi e un ricco formulario compilabile e stampabile.Daniele Iarussi Avvocato giuslavorista in Mantova, oltre che consulente legale in Italia e all’estero. Titolare e fondatore dello Studio Legale Iarussi. Formatore presso primari Enti (pubblici e privati). Dottore di ricerca in Diritto dell’Economia e delle Relazioni Industriali, indirizzo Diritto del lavoro, nell’Università di Bologna. Già docente a contratto in Istituzioni di diritto privato nell’Università di Bologna. Ha svolto attività di ricerca in materia di diritto del lavoro, anche all’estero. Autore di oltre settanta pubblicazioni scientifiche, tra cui tre monografie. Redattore e componente del comitato scientifico per importanti riviste di diritto del lavoro. Daniele Iarussi | 2017 Maggioli Editore 58.00 € 46.40 € |
BIBLIOGRAFIA
- Riccardo Maraga, “Utilizzabilità dei dati raccolti tramite l’uso di strumenti tecnologicida parte del dipendente: gli orientamenti della Giurisprudenza”, Il Giuslavorista, Focus del 14 novembre 2018;
Scrivi un commento
Accedi per poter inserire un commento