Il controllo “indiretto” sull’attività lavorativa

Coerentemente con l’orientamento espresso nelle “linee guida”, gli interventi di carattere “specifico” adottati dall’Autorità garante, pur confermando la legittimità dei “controlli preterintenzionali” effettuati dal datore di lavoro92, sembrano mostrare un notevole ampliamento della relativa categoria legale. Ampliamento volto a ricomprendere nella disciplina dettata dal secondo comma dell’articolo 4 della legge n. 300 del 1970 (e ad assoggettare alla stessa) anche fattispecie che, in realtà, sembrerebbero estranee alle originarie previsioni statutarie.

In ordine a tale tipologia di controlli, va detto, anzitutto, che il Garante ha costantemente valutato, ai fini della loro legittimità, il rispetto delle principali prescrizioni discendenti dai principi generali regolatori della materia, prescrivendo la necessaria sussistenza, oltre che dei principi di correttezza e trasparenza93, anche dei canoni di necessità, pertinenza e non eccedenza rispetto alle finalità perseguite94.

92 _{Ovvero, quei controlli effettuati per esigenze organizzative, produttive o di} sicurezza del lavoro e dai quali può derivare la possibilità di un controllo a distanza sull’attività lavorativa.

93 _{Sul tema, vedi M. PAISSAN, E-mail e navigazione in internet: le linee del}

Garante, in P.TULLINI (a cura di), Tecnologie della comunicazione e riservatezza

nel rapporto di lavoro, in Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F.GALGANO, cit. p. 17, che osserva come da tali principi discenda, oltre che il divieto di controlli occulti, anche la necessaria e preventiva informazione in ordine sia alle modalità di utilizzo ritenute corrette degli strumenti messi a disposizione, che sulle caratteristiche degli stessi sistemi di controllo e sulle conseguenze delle eventuali infrazioni.

94 _{Ancora M.PAISSAN nota come ciò significhi “calibrare” il monitoraggio delle} informazioni in base alle effettive necessità e, quindi, “graduare i controlli in base

al rischio di utilizzo non corretto degli strumenti messi a disposizione”, cfr. M.

PAISSAN, E-mail e navigazione in internet: le linee del Garante, in P.TULLINI (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, in

Criteri, questi, in linea con la ratio delle norme statutarie e, se correttamente applicati, facilmente coordinabili con la disposizione contenuta nell’articolo 4 della legge n. 300 del 197095.

Quello che nelle decisioni rese dall’Autorità garante può dar luogo a qualche perplessità, però, è il modo in cui, anche in tema di controlli “a distanza”, è stato concretamente effettuato il bilanciamento dei contrapposti interessi e l’“integrazione” delle due discipline.

La tecnica, o, meglio, le scelte operate dal Garante si possono comprendere, anzitutto, nel modo in cui si è proceduto ad “estendere” la nozione di “controllo a distanza”, contemplata dall’articolo 4 dello Statuto dei lavoratori, all’attività di “vigilanza” esercitabile con i moderni sistemi informatici.

E’ fuor di dubbio che, in taluni casi, i programmi volti a monitorare la navigazione web o le apparecchiature finalizzate a registrate le comunicazioni avvenute tramite posta elettronica possano essere equiparate a dei veri e propri sistemi di controllo a distanza. Sul tema, infatti, è oramai concorde il parere non solo della dottrina maggioritaria, ma anche della giurisprudenza96.

Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F.

GALGANO, cit. p. 18.

95 _{A tal proposito, si consideri che la giurisprudenza, in riferimento al dettato} dell’art. 4 della legge n. 300 del 1970, ha costantemente riconosciuto la legittimità dei soli controlli effettuati in maniera “trasparente”, senza ricorrere a pratiche “scorrette” o eccessivamente “invasive”, cfr. L. PERINA, L’evoluzione della giurisprudenza e dei provvedimenti del garante in materia di protezione dei dati personali dei lavoratori subordinati, cit., p. 325.

96 _{Cfr. P. TULLINI, Tecnologie informatiche in azienda: dalle linee-guida del}

Garante alle applicazioni concrete, in P. TULLINI (a cura di), Tecnologie della

Ciò che non convince completamente è ritenere, come sembra fare l’Autorità garante, tutti i sistemi informatici affidati al lavoratore per svolgere la prestazione lavorativa (o, meglio, l’uso di tali strumenti da parte del datore di lavoro) come dei potenziali mezzi di controllo vietati97. O, comunque, assoggettare l’attività di controllo esercitata tramite tali strumenti alle stringenti e complesse “procedure” previste dal decreto legislativo n. 196 del 2003.

Ed infatti, come autorevolmente rilevato98, ragionando in questi termini non si considerano tutte le fattispecie in cui tali strumenti (si pensi ad un computer abilitato alla navigazione in internet, o ad un sistema di posta elettronica) sono concessi in uso al lavoratore con l’unico scopo di adempiere alla prestazione di lavoro, con un chiaro ed espresso divieto di poterne effettuare qualsiasi utilizzo personale. In tali ipotesi, la strumentazione fornita dovrebbe considerarsi come un mero strumento di lavoro, di proprietà, e nella disponibilità, del datore di lavoro, con la conseguente legittimità di qualsiasi operazione da questi effettuata sulle apparecchiature stesse, anche prescindendo dal rispetto delle tutele introdotte dal codice della privacy.

Posto che si sta utilizzando un mezzo aziendale ed un sistema aziendale, infatti, non potrebbe neanche esserci una ragionevole aspettativa di riservatezza, potendo il datore di lavoro verificare, in commerciale e di diritto pubblico dell’economia, diretto da F. GALGANO, cit. p. 131.

97 _{Convinzione, peraltro, già enunciata dal Garante nelle linee del marzo 2007, ove,} tra le apparecchiature destinate a “finalità di controllo a distanza dell’attività dei

lavoratori” venivano “certamente comprese le strumentazioni hardware e software mirate al controllo dell’utente di un sistema di comunicazione elettronica”, cfr.

punto 4 della delibera.

98 _{M. DEL CONTE, Internet, posta elettronica e oltre: il Garante della privacy}

qualsiasi maniera ed in qualsiasi momento, i contenuti di tutto ciò che è prodotto con uno strumento di sua proprietà destinato, in via esclusiva, alla funzione lavorativa99.

La critica alla scelta operata dall’Autorità garante, poi, risulta ancor più evidente ove l’attenzione si sposti dal “mezzo” al “comportamento”. Ovvero, più che alla sola “proprietà” degli strumenti, ai possibili usi illeciti, o, comunque, estranei al rapporto lavorativo, che il lavoratore realizza con gli “strumenti” messi a disposizione dal datore di lavoro.

E’ evidente che, in tali ipotesi, risulta difficile qualificare un controllo, teso a verificare solamente l’eventuale svolgimento di operazioni non pertinenti con l’attività lavorativa (si pensi alla verifica in merito ai soli siti internet extra lavorativi visitati) come un controllo illegittimo. E ciò proprio perche, nell’esempio in questione, il controllo avrebbe solamente la finalità di rilevare eventuali comportamenti del lavoratore estranei sia agli obblighi contrattuali, che alla stessa prestazione lavorativa. E, non essendoci “attività lavorativa”, non dovrebbe esserci, almeno in base al dettato dell’articolo 4 dello Statuto dei lavoratori, neanche un controllo vietato.

99 _{Per una critica di tale tesi, vedi N.LUGARESI, Uso di internet sul luogo di lavoro,}

controlli del datore di lavoro e riservatezza del lavoratore, in P.TULLINI (a cura di),

Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, in Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F.GALGANO, cit. pp. 99 ss.

Secondo l’Autore, se pur è vero che il lavoratore non può avere un’aspettativa ragionevole di riservatezza sul luogo di lavoro, è anche vero che “non si può

cadere nell’errore interpretativo contrario, in cui la proprietà annulla ogni aspettativa”.

Pertanto, non accogliere tali obiezioni, ma scegliere un indirizzo interpretativo opposto, può portare non solo ad una eccessiva compressione delle legittime esigenze aziendali, ma anche al riconoscimento di una “assolutezza” del diritto alla privacy.

E ciò anche a scapito di una concreta responsabilizzazione del lavoratore che, in maniera illecita, utilizza le apparecchiature messe a sua disposizione100.

Risultato, questo, che, a bene vedere, sembra emergere dall’analisi di alcuni recenti provvedimenti adottati dall’Autorità garante che escludono la rilevanza sia della tesi basata sulla “proprietà” dei mezzi, che di quella fondata sulla generale legittimità dei controlli volti a monitorare le attività “extra lavorative” svolte dai dipendenti.

A dimostrazione di ciò, è utile analizzare alcune pronunce adottate dall’Autorità garante.

E così, per ciò che concerne il primo aspetto evidenziato, si consideri, ad esempio, che il Garante, in un caso posto al suo giudizio, in cui un lavoratore aveva utilizzato, per fini personali, i sistemi di posta elettronica aziendali101, con ciò violando uno specifico divieto impartito dal datore di lavoro, ha ritenuto “illeciti” i controlli posti in essere per verificare il rispetto delle direttive impartite poiché questi erano stati effettuati in assenza di una preventiva informazione.

100 _{A. STANCHI, Privacy: le linee guida del Garante per internet e posta}

elettronica, in Guida lav., 2007, n. 12, pp. 38 ss.

101 _{Cfr. Provvedimento del Garante per la protezione dei dati personali del 2 aprile} 2008.

Condizione ritenuta indispensabile ai fini della legittimità dei controlli stessi102_.

In una altra decisione103, relativa ad un caso in cui il datore di lavoro aveva fornito ai propri dipendenti un computer portatile per poter svolgere attività di formazione in modalità on-line, l’Autorità garante, ritenendo che lo strumento utilizzato era idoneo a “determinare un controllo a distanza dell’attività lavorativa dei

dipendenti attraverso un sistema di registrazione degli accessi al corso di formazione e della relativa durata”104 e posto che non era stato attivato il procedimento previsto dal secondo comma dell’articolo 4 della legge n. 300 del 1970, ha sanzionato il

102 _{Si legge nel provvedimento dell’Autorità garante che “l’avvenuto scambio di}

corrispondenza elettronica tra il reclamante e soggetti esterni (siano o meno essi estranei all’attività lavorativa) configura una operazione idonea a rendere conoscibili talune informazioni personali relative all’interessato” e ancora “questa Autorità si è espressa più volte sulla necessità di informare «chiaramente» gli interessati in ordine alla possibilità (nonché alle finalità e modalità) di controlli preordinati alla verifica del corretto utilizzo degli strumenti aziendali … sì che, anche nel caso di specie, l’omessa informativa da parte della Società non può che riverberare i propri effetti in termini di liceità del trattamento”. Sul tema, vedi E.

GRAGNOLI, L’uso della posta elettronica sui luoghi di lavoro e la strategia di

protezione elaborata dall’Autorità garante, in P.TULLINI (a cura di), Tecnologie

della comunicazione e riservatezza nel rapporto di lavoro, in Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F.GALGANO, cit. pp. 53 ss..

103 _{Cfr. Provvedimento del Garante per la protezione dei dati personali del 2 aprile} 2008. Per un commento, vedi P. TULLINI, Tecnologie informatiche in azienda:

dalle linee-guida del Garante alle applicazioni concrete, in P.TULLINI (a cura di),

Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, in Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F.GALGANO, cit. p. 132.

104 _{Il programma volto a fornire la formazione a distanza consentiva di visualizzare} un report sulla “situazione di fruizione (ultimo accesso, durata totale della

comportamento del datore di lavoro vietando, anche in questo caso, l’ulteriore trattamento dei dati personali dei lavoratori105_.

Per quanto concerne, poi, il secondo aspetto sopra evidenziato, ovvero, la possibilità di “controllare” quelle attività che siano, di fatto, estranee al rapporto lavorativo, è interessante rilevare che il Garante ha avuto modo di “sanzionare” il comportamento di una azienda106 che, a seguito di alcuni disservizi verificatisi sulla rete internet, causati da una eccessiva attività di traffico e scaricamento dati effettuata dalla postazione appartenente ad un lavoratore, aveva avviato, su questo dipendente, una attività di monitoraggio “informatico”. A giudizio dell’Autorità garante, l’installazione di un software con la funzione di memorizzare, in maniera sistematica e continuativa, gli accessi alla rete internet da parte di un lavoratore, configurava, in ogni caso, un controllo a distanza sul’attività lavorativa (come tale vietato dal primo comma dell’articolo 4, legge n. 300 del 1970) e posto che la società non aveva neanche provveduto a svolgere gli adempimenti previsti dal secondo comma dell’art 4 della norma statutaria in relazione alle funzionalità che tramite il suddetto software potevano essere perseguite per esigenze organizzative e produttive, sanzionava il

105 _{Come nota ancora P.TULLINI, Tecnologie informatiche in azienda: dalle linee-}

guida del Garante alle applicazioni concrete, in P.TULLINI (a cura di), Tecnologie

della comunicazione e riservatezza nel rapporto di lavoro, in Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F. GALGANO, cit. p. 132, il Garante, con tale provvedimento, non ha disconosciuto la legittimità delle esigenze formative aziendali, ma ha ritenuto che, nella specie, fosse necessaria una specifica autorizzazione sindacale ai sensi dell’art. 4, secondo comma, della legge n. 300 del 1970. Autorizzazione, questa, non surrogabile neanche dalle previsioni del contratto collettivo, che, nel caso di specie, aveva previsto l’introduzione del processo di formazione a distanza dei lavoratori.

106 _{Cfr. provvedimento del Garante per la protezione dei dati personali del 2 aprile} 2009. Per un commento, S.ROSSETTI, Nuove tecnologie informatiche e controllo

comportamento del datore di lavoro vietando l’ulteriore trattamento dei dati personali riferiti al lavoratore107_.

La tecnica di tutela adottata dall’Autorità garante, poi, risulta ancor più evidente ove si analizzi un altro, emblematico, caso da questa deciso.

Era stata posta al giudizio del Garante108 una fattispecie in cui un lavoratore, addetto all’“accettazione” ed al “banco referti” di una casa di cura, aveva ripetutamente utilizzato la connessione internet aziendale nonostante non avesse alcuna autorizzazione in proposito e, soprattutto, tale utilizzo del computer messo a disposizione dal datore di lavoro non fosse necessario per svolgere la prestazione lavorativa.

In ragione dell’utilizzo della rete internet da parte di questo lavoratore, alcuni virus informatici avevano attaccato i sistemi informatici aziendali, causando notevoli danni.

Il datore di lavoro, pertanto, una volta verificato l’evento ed accertata la responsabilità del dipendente, provvedeva a licenziare il lavoratore stesso, avendo cura di allegare alla contestazione disciplinare l’elenco completo di tutte le operazioni informatiche poste in essere ed indicando gli indirizzi di tutti i siti internet visitati.

Il dipendente colpito dalla sanzione disciplinare contestava la legittimità dell’operazione e, soprattutto, l’utilizzabilità dei dati raccolti in ragione del fatto che questi contenevano informazioni di natura sensibile e non vi era stata né una preventiva informativa, né

107 _{Il Garante ha ritenuto, inoltre, che il trattamento dei dati personali non era stato} svolto lecitamente neanche sotto il profilo della “pertinenza” e “non eccedenza” delle informazioni raccolte, posto che l’attività di monitoraggio era stata “prolungata e costante”, cfr. provvedimento del 2 aprile 2009.

108 _{Cfr. Provvedimento del Garante per la protezione dei dati personali del 14} febbraio 2006.

una procedimentalizzazione dei controlli ai sensi del secondo comma dell’art. 4 della legge n. 300 del 1970.

A tali rilievi, l’azienda replicava contestando, anzitutto, la sussistenza di alcun obbligo di informativa, posto che l’utilizzo della rete internet non era richiesto per svolgere le mansioni affidate al dipendente. Inoltre, il datore di lavoro rilevava che non sarebbe stato necessario neanche ottenere il “consenso” dell’interessato al trattamento dei dati, in quanto, nella specie, il trattamento sarebbe stato richiesto per far valere un diritto in sede giudiziaria. Ipotesi, questa, espressamente contemplata dal codice della privacy come “eccezione” alla regola che impone il preventivo consenso dell’interessato ai fini di qualsiasi attività di trattamento dei dati109.

109 _{L’art. 24 del d.lgs. n. 196 del 2003 prevede espressamente che il consenso non è} richiesto, “oltre che nei casi previsti nella Parte II, quando il trattamento:

a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;

b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato;

c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;

d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale; e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile

della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2;

f) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro

Orbene, a giudizio dell’Autorità garante, il ricorso avanzato dal lavoratore sarebbe stato fondato. E ciò non solo perché, nel caso di specie, sarebbe stata comunque necessaria la preventiva informativa, ma anche perché il controllo non sarebbe stato “indispensabile”.

Secondo il Garante, posto che il dipendente non era autorizzato all’utilizzo delle connessioni internet (connessioni che non gli servivano per fini “lavorativi”), l’azienda avrebbe potuto dimostrare l’illiceità della condotta limitandosi a provare, in maniera “meno invasiva”, solamente il numero degli accessi alla rete ed i relativi perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;

g) con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato;

h) con esclusione della comunicazione all'esterno e della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13;

i) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati;

i-bis) riguarda dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis;

i-ter) con esclusione della diffusione e fatto salvo quanto previsto dall’articolo 130 del presente codice, riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all'articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13”.

tempi di connessione. Senza bisogno, quindi, di ricorrere al trattamento delle altre informazioni rivelatrici dei contenuti degli accessi ai siti web. Comportamento, questo, che avrebbe determinato un trattamento di dati eccedenti rispetto alle finalità concretamente perseguite.

Peraltro, il Garante rilevava che la raccolta di informazioni operata dall’azienda avrebbe inciso anche su dati sensibili attinenti alla vita sessuale del lavoratore110, ragion per cui avrebbero dovuto essere rispettate anche le garanzie previste dall’articolo 26 del decreto legislativo n. 196 del 2003 (ai sensi del quale i dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante)111.

110 _{Ciò in ragione dei siti pornografici visitati dal lavoratore.}

111 _{“Va infatti tenuto conto che, sebbene i dati personali siano stati raccolti}

nell'ambito di controlli informatici volti a verificare l'esistenza di un comportamento illecito (che hanno condotto a sporgere una querela, ad una contestazione disciplinare e al licenziamento), le informazioni di natura sensibile possono essere trattate dal datore di lavoro senza il consenso quando il trattamento necessario per far valere o difendere un diritto in sede giudiziaria sia