I controlli “informatici” e l’ingerenza nella privacy dei lavorator

Ricostruita, in questi termini, la reale natura dei controlli difensivi, l’indagine deve necessariamente spostarsi sull’analisi dei “mezzi” idonei ad effettuare i suddetti controlli. Intendendo, con ciò, tutte le “nuove” strumentazioni informatiche (si pensi ai computer ed ai collegati sistemi di navigazione internet e di posta elettronica) oramai largamente diffuse nell’ambito dei processi produttivi.

Tali “strumenti”, infatti, non solo, come è evidente, non sono direttamente presi in considerazione dalle norme statutarie155, ma, inoltre, per la loro diffusine e per le loro “caratteristiche” non sempre si prestano ad una facile classificazione.

Orbene, sul punto, va rilevato, anzitutto, che la giurisprudenza si è mostrata tendenzialmente orientata verso una lettura “aperta” della norma contenuta nell’articolo 4 dello statuto dei lavoratori, ricomprendendo nella nozione di “apparecchiature per finalità di

controllo a distanza”156, qualsiasi strumentazione anche solo potenzialmente idonea ad essere utilizzata per effettuare controlli sull’attività lavorativa157.

155 _{Vedi M.DEL CONTE, Internet, posta elettronica e oltre: il Garante della privacy}

rimodula i poteri del datore di lavoro, cit., p. 501.

156 _{Cfr. art. 4, legge n. 300 del 1970.}

157 _{Tra le pronunce più risalenti, vedi Pretura di Roma, sentenza del 13 gennaio} 1988, in Dir. lav., 1988, II, p. 49, che afferma come “l’ipotesi del controllo a

distanza, prevista dall’art. 4 dello statuto presuppone che la registrazione costante e contestuale dei dati personali relativi al dipendente sia comunque a disposizione del datore di lavoro, né rileva che la possibilità di percezione dei medesimi dati sia

Del resto, è la stessa indeterminatezza del bene tutelato dalle norme statutarie a consentire, ed anzi, quasi ad imporre, di coniugare le previsioni normative “al progressivo evolversi delle tecnologie, in

particolare informatiche, introdotte nei processi produttivi”158. Lo stesso dato letterale contenuto nell’articolo 4 della legge n. 300 del 1970, infatti, induce a ritenere che per “apparecchiatura di controllo” debba intendersi qualsiasi strumento idoneo ad essere utilizzato in funzione di controllo e ciò anche quando tale caratteristica non rappresenti la funzione principale o esclusiva dello strumento stesso159.

Sono proprio queste le caratteristiche riscontrabili nelle moderne attrezzature tecnologiche, le quali non vengono introdotte all’interno del contesto lavorativo con l’esclusiva finalità di monitorare e di vigilare sull’attività lavorativa, ma nelle quali, comunque, tale funzione di controllo è molto spesso azionabile.

Il computer ed i sistemi di “navigazione” ad esso collegati, infatti, non rappresentano, sic et simpliciter, degli strumenti di controllo, ma, anzi, costituiscono dei meri strumenti di lavoro.

ignota o meno al dipendente” e Pretura di Milano, sentenza del 4 ottobre 1988, in Not. giur. lav., 1989, p. 436, secondo cui “integra la violazione dell’art. 4 dello statuto dei lavoratori l’installazione di un centralino telefonico automatico in grado di registrare e riprodurre su tabulati la data, il tempo, il destinatario ed il numero chiamante per ogni singola telefonata”.

158 _{C.TACCONE, Controlli a distanza e nuove tecnologie informatiche, in Arg. dir.}

lav., 2004, p. 308.

159 _{Sul tema, vedi A.ROSSI, La libertà e la professionalità dei lavoratori di fronte}

alle nuove tecnologie informatiche, in Quest. Giust., 1983, pp. 219 ss.; G.GHEZZI, F.LISO, Computer e controllo dei lavoratori, in Dir. lav. rel ind., 1986, pp. 362 ss. e R. ROMEI, Commentario breve alle leggi sul lavoro, a cura di M.GRANDI e G. PERA, Padova, Cedam, 2001, pp. 459 ss.

Tuttavia, determinati sistemi applicativi e determinati programmi installati all’interno di questo “strumento di lavoro”, possono consentire che il computer si “trasformi” anche in uno strumento di controllo.

E’ fuor di dubbio che eventuali programmi volti esclusivamente alla raccolta dei dati relativi alla quantità del lavoro e finalizzati a registrare semplicemente i tempi, le eventuali “pause” e gli orari di “connessione”, implicando un evidente controllo sull’attività lavorativa, rientrano a pieno titolo nel divieto di cui al primo comma dell’articolo 4 della legge n. 300 del 1970.

Discorso diverso, invece, è quello relativo a tutti quei programmi che, pur essendo diretti a soddisfare scopi differenti dal mero controllo sull’attività lavorativa, consentono, tuttavia, anche la registrazione di dati attinenti alla prestazione di lavoro (si pensi, ad esempio, alla stessa “memoria” dell’elaboratore).

In tale fattispecie, si dovrebbe rientrare nell’ambito di applicazione del secondo comma dell’articolo 4 della norma statutaria160 e, conseguentemente, l’accordo sindacale avrebbe lo

160 _{Tra le tante pronunce sul tema, vedi Tribunale di Roma, sentenza del 19 gennaio} 2010, in Not. giur. lav., 2010, p. 176, che afferma come “tra le apparecchiature

per finalità di controllo a distanza dell’attività dei lavoratori possono essere annoverate non tutte le strumentazioni hardware e software che costituiscono strumenti di lavoro e che indirettamente consentono un controllo sul lavoratore, ma solo quelle strumentazioni mirate al controllo che indubbiamente sono vietate dal 1º comma dell’art. 4 l. 20 maggio n. 300 del 1970; le apparecchiature informatiche possono anche potenzialmente trasformarsi in effettivi strumenti di controllo a distanza, spesso occulto, non solo del lavoratore, ma anche della stessa attività e organizzazione produttiva e, quando si verifica tale ipotesi, non può non trovare applicazione il 2º comma dell’art. 4 l. 20 maggio n. 300 del 1970 con necessità di un preventivo controllo sindacale al fine di definire le regole per un uso corretto di Internet e della posta elettronica”.

scopo di predisporre le necessarie cautele affinché venga adeguatamente tutelata la riservatezza dei lavoratori161_.

In applicazione di tali principi, la giurisprudenza ha ritenuto vietati, ove non assistiti dalla apposita e preventiva procedura prevista dal secondo comma dell’articolo 4 dalla legge n. 300 del 1970, i programmi informatici idonei a consentire il monitoraggio sia degli accessi alla rete internet, che della gestione dei sistemi di posta elettronica, nei casi in cui, per le loro caratteristiche, consentano al datore di lavoro di controllare, a distanza ed in via continuativa durante lo svolgimento della prestazione lavorativa, l’attività lavorativa stessa ed il suo contenuto, con il fine di verificare che questa sia svolta diligentemente sotto il profilo del rispetto delle direttive aziendali162.

Tuttavia, è necessario rilevare che, accanto a questo orientamento, si è sviluppata anche un’altra, recente, e più “estensiva” interpretazione giurisprudenziale che, nel tracciare i confini dei

161 _{Cfr. C.TACCONE, Controlli a distanza e nuove tecnologie informatiche, cit., p.} 310.

162 _{Vedi Cass., 23 febbraio 2010 n. 4375, in Riv. giur. lav., 2010, II, p. 462, con} nota di A. BELLAVISTA, nella quale, testualmente, si afferma che “i programmi

informatici che consentono il monitoraggio della posta elettronica e degli accessi ad Internet sono necessariamente apparecchiature di controllo ai sensi dell’art. 4 della legge nel momento in cui, in ragione delle loro caratteristiche, consentono al datore di lavoro di controllare a distanza ed in via continuativa l’attività lavorativa e se la stessa sia svolta in termini di diligenza e di corretto adempimento sotto il profilo del rispetto delle direttive aziendali” e, nella

giurisprudenza di merito, Tribunale di Milano, sentenza del 9 dicembre 2010, in

Not. giur. lav., 2011, p. 323, secondo cui “nel caso in cui i dati di collegamento ad Internet siano frutto di accertamento tramite programma interno aziendale in grado di rilevare i termini dei collegamenti ad internet dei dipendenti stessi, è configurabile la violazione dell’art. 4, 2º comma, l. 20 maggio 1970 n. 300, qualora tali rilevazioni non siano state effettuate previo accordo sulle modalità con organismo sindacale o con la direzione provinciale del lavoro e l’organo interno allo stesso ispettivo”.

possibili controlli difensivi attuabili tramite l’ausilio dei moderni sistemi informatici, sposta l’attenzione, oltre che sull’attività di fatto controllata e sulle finalità del controllo stesso, sul “momento” in cui avviene l’accertamento. Intendendo, con ciò, il lasso temporale in cui il datore di lavoro effettua, concretamente, il controllo a distanza.

E’ stato ritenuto, così, che non rientrerebbero nel campo di applicazione di cui all’articolo 4 della legge n. 300 del 1970 i controlli difensivi che, se pure posti in essere in maniera generalizzata sulle strutture informatiche aziendali, sono compiuti “ex post, ovvero dopo

l’attuazione del comportamento addossato al dipendente”, quando

siano emersi elementi di fatto tali da suggerire l’avvio di una indagine retrospettiva volta ad accertare l’eventuale compimento dell’attività illecita163.

In sostanza, così operando, si assiste ad un notevole ampliamento della nozione di “controllo difensivo”.

Rientrerebbero nel novero dei controlli legittimi, infatti, tutti quei controlli che, se pur posti in essere “a distanza” ed idonei a monitorare anche lo svolgimento dell’attività lavorativa svolta dai lavoratori, siano attivati a seguito di un comportamento illecito posto

163 _{Questo orientamento è stato ribadito, recentemente, da una pronuncia della} Suprema Corte di Cassazione che ha affermato come, in tali circostanze, non troverebbero applicazione i divieti e le procedure imposte dall’articolo 4 dello Statuto dei lavoratori poiché il datore di lavoro porrebbe in essere “una attività di

controllo sulle strutture informatiche aziendali che prescinde dalla pura e semplice sorveglianza sull'esecuzione della prestazione lavorativa degli addetti ed è, invece, diretta ad accertare la perpetrazione di eventuali comportamenti illeciti … dagli stessi posti in essere. Il c.d. controllo difensivo, in altre parole, non riguarda l'esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, ma era destinato ad accertare un comportamento che poneva in pericolo la stessa immagine dell'Istituto … presso i terzi”, cfr. Cass., 23 febbraio 2012 n.

in essere dai dipendenti, quando siano già emersi elementi tali da “raccomandare” l’inizio di una “indagine retrospettiva”.

In questa ottica, il controllo a distanza, di per sé illecito, sarebbe giustificato proprio dalla necessità di indagare, in maniera più approfondita, su un determinato comportamento, o su una determinata attività illecita posta in essere dal lavoratore e già parzialmente emersa164.

Proprio questo elemento distinguerebbe un legittimo controllo difensivo dalle ipotesi contemplate dall’articolo 4165.

Ed infatti, il diritto alla riservatezza del lavoratore sarebbe parzialmente sacrificato proprio dalla necessità di verificare la condotta illecita.

Non vi sarebbe, quindi, una mera e generalizzata attività di controllo a distanza e neanche una ragione produttiva o organizzativa da concordare con l’organizzazione sindacale, ma, al contrario, solo la necessita di verificare la reale portata di un comportamento illecito già posto in essere dal lavoratore.

La portata, come detto “estensiva”, di tale interpretazione non pare essere in contrasto con la ratio dell’articolo 4. La norma

164 _{Sul tema, vedi G.GOLISANO, Controllo della posta elettronica e accertamento}

ex post degli abusi del dipendente, in Riv. giur. lav., 2012, pp. 740 ss.

165 _{La fattispecie sottesa all’esame della giurisprudenza di legittimità nella citata} decisione n. 2722 del 23 febbraio 2012 riguardava un dipendente di un istituto di credito che aveva utilizzato delle informazioni riservate relative ad un cliente della banca divulgandole ad estranei tramite il servizio di posta elettronica aziendale e realizzando operazioni finanziarie da cui aveva tratto dei vantaggi personali. La banca, successivamente, quando erano già emersi degli elementi che avevano suggerito una più approfondita indagine sulla vicenda, aveva disposto degli accertamenti ispettivi, acquisendo il testo dei messaggi di posta elettronica scambiati dal dipendente con soggetti estranei al rapporto di lavoro. Anche sulla base del contenuto di tale corrispondenza, poi, la banca aveva provveduto a licenziare il dipendente.

statutaria, infatti, vieta i controlli a distanza proprio nell’ottica di preservare la riservatezza e la dignità dei lavoratori che, viceversa, sarebbero illegittimamente compresse a causa di una attività di vigilanza del tutto anelastica ed invasiva volta proprio a ricercare la possibile commissione di un illecito.

Ed invece, laddove l’attività illecita sia già emersa ed in parte individuata, ovviamente non tramite l’ausilio di un’attività di vigilanza “a distanza”, sembrerebbe lecito poter verificare, a ritroso, l’esatta portata, o anche la “prova”, del gesto da sanzionare166.

Tuttavia, è bene rilevare che, procedendo in questa maniera, il rischio è quello di demandare la “definitiva” verifica circa la legittimità del controllo ad una valutazione che verrà, necessariamente, svolta in un momento successivo.

Ed invero, solamente all’esito dell’accertamento si potrà accertare l’eventuale illecito commesso dal lavoratore e, conseguentemente, la legittimità o meno del controllo datoriale167.

166 _{In questo senso si è espressa anche parte della giurisprudenza di merito. Tra le} altre, vedi Corte d’Appello di L’Aquila, sentenza del 14 dicembre 2006, in Not.

giur. lav., 2007, p. 37, che, analizzando un controllo effettuato a posteriori

sull’utilizzo del sistema operativo aziendale, afferma come il secondo comma dell’art. 4 della legge n. 300 del 1970 “concerne la sola prestazione lavorativa,

esulando dal predetto divieto l’accertamento delle condotte illecite perpetrate dallo stesso lavoratore, e rendendo legittimi i c.d. controlli difensivi; in altri termini, laddove il lavoratore si ponga, per così dire, al di fuori del contratto di lavoro attuando condotte vietate, legittimamente lo stesso può essere soggetto al potere di controllo del datore”. E anche Tribunale di Teramo, sentenza del 12

maggio 2006, in Not. giur. lav., 2006, p. 345, secondo cui, in caso di condotte illecite del lavoratore, “non configura un controllo a distanza ex art. 4 l. n. 300 del

1970 la verifica effettuata a posteriori sull’utilizzo del sistema informatico dell’azienda, sistema che, per sua stessa natura, come tutti i sistemi informatici, presenta una intrinseca idoneità alla registrazione, e quindi alla verifica a ritroso delle attività svolte”.

Pertanto, seguendo tale schema, il disposto dell’articolo 4 dello Statuto dei lavoratori, da regola “preventiva” sulla possibilità di effettuare controlli, si trasformerebbe in regola idonea a disciplinare “elementi di cui il datore di lavoro viene a conoscenza solo dopo aver

effettuato il controllo medesimo”168.

167 _{T. ERBOLI, Legittimità dei controlli difensivi e regime di utilizzabilità delle}

prove, in Arg. dir. lav.,2012, p. 143.

168 _{L.NOGLER, Sulle contraddizioni logiche della Cassazione in tema di diritto alla}