La responsabilità penale nella tortuosa ricostruzione di un’unitaria fattispecie spezzettata in norme eterogenee

GIORGETTI, Le tutele della privacy e i dati giudiziari, in RDP, 2007, p. 325 ss., P. COMOGLIO, ivi, p. 84 ss.

Il diritto penale è chiamato a svolgere, per la fattispecie de qua una funzione ancillare e esclusivamente sanzionatoria, rispetto a numerosi precetti e valori disciplinanti aspetti eminentemente giuslavoristici.

Non è facile trovare la retta via tra rinvii, cancellazioni e riesumazione di norme (apparentemente) superate.

L’art. 38 dello Statuto stabiliva (e, come si vedrà, stabilisce) che determinate violazioni, tra cui quella dell’art. 4, erano punite – salvo che il fatto non costituisca più grave reato – con l’arresto o, alternativamente, con l’ammenda. Tale norma ha sempre destato forti perplessità221_{: le critiche hanno riguardato}

soprattutto la formulazione delle norme in chiave sanzionatoria, portatrici di incertezze nella ricostruzione della fattispecie, e l’assenza di una definizione chiara del destinatario delle pene minacciate. La separazione del precetto (art. 4) dalla parte sanzionatoria (art. 38) non può che menomare il principio di tassatività.

Nemmeno il d.lgs 196/2003 ha chiarito la situazione, anzi. La norma ha, in primo luogo, cancellato i riferimenti agli articoli 4 e 8 dall’articolo 38, senza depenalizzare la fattispecie, ma “trasferendo” la sanzione in un’altra disposizione: l’art. 171.

Tale norma recitava: “La violazione delle disposizioni di cui agli articoli 113,comma 1,

e 114 è punita con le sanzioni di cui all’articolo 38 della legge 20 maggio 1970, n. 300”,

gli articoli 113 e 114 fanno salvi, rispettivamente, gli articoli 4 e 8 St. lav.

La medesima norma, con le modifiche apportate dal decreto attuativo 101/2018 adesso recita: “La violazione delle disposizioni di cui agli articoli 4, comma

1, e 8 della legge 20 maggio 1970, n. 300, è punita con le sanzioni di cui all’articolo 38 della medesima legge”. Il richiamo espresso all’art. 4, co. 1: da un lato elimina un

ulteriore passaggio nella ricostruzione della fattispecie, dall’altro richiama solo il primo comma dell’art. 4 e non il resto della disposizione.

221 _{Si veda L. STORTONI, Appunti per uno studio sulla tutela e sulla rilevanza penale dello statuto dei}

lavoratori, in Riv. Trim. dir. proc. Civ., 1974, 4, p. 1434; L. MONTUSCHI, Sub art. 38, in G.

GHEZZI.F.MANCINI,U. ROMAGNOLI, Statuto dei diritti dei lavoratori, in Scialoja-Branca (a

Questo apparentemente semplice cambio di contesto (dallo statuto dei lavoratori al codice della privacy) non è stato privo di conseguenze: viene minato il vincolo costituzionale alla tassatività della norma incriminatrice e vengono sfumati i contorni della vicenda lavoristica, a vantaggio di un’etichetta più squisitamente privatistica: viene insidiata nell’interprete l’idea che il bene protetto sia la riservatezza, a prescindere dal tipo di dati raccolti e dal contesto in cui gli stessi vengono estrapolati.

Da un punto di vista pratico, invece, la mutata cornice normativa impone al datore di lavoro (ancora una volta) di rispettare non solo l’art. 4 St. lav., ma anche tutta la disciplina sulla privatezza. D’altronde è inevitabile, come tante volte già osservato, che un controllo tecnologico si traduca in un trattamento di dati personali. Assumono rilievo, a questo punto, i provvedimenti del Garante, i quali integrano i precetti penali, minando, ancora, l’intellegibilità univoca della norma.

Ad oggi, con l’entrata in vigore del GDPR (e il relativo decreto attuativo) restano prive di tutela penale le fattispecie disciplinate dai commi 2 e 3 dell’art. 4. È sanzionata penalmente solo la violazione del primo comma dell’art. 4, dall’art. 171 del Codice privacy, il quale rimanda all’art. 38 St. lav. per la determinazione della sanzione.

Tale differenziazione potrebbe esser dettata dalla circostanza che per l’illegittima acquisizione di informazioni personali il Codice Privacy prevede un autonomo sistema di tutele: art. 2decies (inutilizzabilità), gli articoli che rimandano al GDPR per la disciplina sull’informativa, art. 167 (sanzione per chi tratta i dati personali senza il consenso o contro il consenso dell’interessato).

Ancor una volta le scelte del legislatore hanno dimostrato come, snaturata l’essenza del bene giuridico in origine protetto, si sia proceduti alla ricerca di un quadro di tutela efficiente (più che organico) che tenesse conto dell’inarrestabile progresso tecnologico.

A prescindere dalla inorganicità della disciplina può osservarsi che il fatto che il legislatore abbia mantenuto la criminalizzazione di un trattamento illecito di dati personali, dimostrandone il disvalore, potrebbe avviare un processo di responsabilizzazione degli attori del mercato, riportando al centro gli interessi dell’individuo ed offrendo a questi ultimi, ed ai dati personali che agli stessi si riferiscono, la tutela di cui necessitano.

Nell’incerto quadro normativo il ruolo dirimente l’ha svolto la giurisprudenza222_.

Non essendo questo il luogo per ripercorrere le tappe del filone giurisprudenziale penale, si farà giusto qualche accenno.

I giudici hanno più volte dilatato i contorni del controllo diretto – e legittimo – sulla prestazione lavorativa attraverso l’uso di strumenti tecnologici contro eventuali aggressioni dei dipendenti, giustificato da esigenze organizzative e produttive. La nozione di controllo difensivo ha consentito l’introduzione di strumenti di sorveglianza finalizzati unicamente alla repressione di condotte illegittime.

Va osservato però che l’orientamento dei giudici penali ha stretto la nozione di controlli difensivi entro un campo più ristretto di quello dei colleghi civilistici. Ciò in quanto a legittimare il controllo del datore non è l’interesse creditorio all’adempimento del contratto di lavoro o la difesa del patrimonio aziendale, bensì il – ben più importante – interesse pubblico. In altri termini, la tutela dell’impresa assurge a causa di giustificazione solo se, contestualmente e correlatamente, si ravvisano esigenze superiori di ordine pubblico223_.

222 _{Cass pen 28 maggio 1985, in Mass. Giur. Lav., 1986, p. 404; Pret. Milano 23 luglio 1991, in}

Riv. It. Dir. lav., 1992, II, p. 337; Cass. pen. 22 ottobre 2002, n. 42217, in Dir. Prat. Lav. 2002,

p. 506; Cass. pen., 15 dicembre 2006, n. 8042; conformi Cass. pen. 24 settembre 2009, n. 40199; Cass pen. 17 aprile 2012, n. 22611; Cass pen. 1 giugno 2010, n. 2072, in Riv. It. Dir.

lav., 2011, 1, II, p. 86; Cass pen. 16 gennaio 2015, n. 2890. Per una rassegna delle pronunce

della Cassazione in materia penale e lavoristica si veda S. SERVIDIO, Controllo dei dipendenti e

difesa del patrimonio aziendale, in Dir. prat. Lav., 2016, p. 769.

223 _{In merito si veda anche la recente Cass. pen. n. 33567 del 12 maggio 2016, in CED}

Cassazione penale, 2016, secondo cui “Sono utilizzabili a fini probatori nel processo penale, le

Ancora, può osservarsi, la linea adottata dai giudici penali sembra essere ben più intransigente di quella adottata dai giudici europei: nel 2016, ad esempio, la Corte Edu ha affermato l’ammissibilità dei controlli datoriali nella misura in essi risultino proporzionati e non eccedenti lo scopo di verifica dell’adempimento contrattuale, limitati nel tempo e nell’oggetto, mirati e non massivi, fondati su presupposti concreti, previsti dalle policies aziendali. Una serie di requisiti che, se rispettati, rendono legittima l’intromissione nella sfera privata del lavoratore; ma che invece, per il giudice penale italiano, non sono sufficiente causa di esclusione della punibilità (in quanto, tra essi mancano le esigenze di ordine pubblico).

Per quel che concerne le ricadute in ambito penalistico della riformulazione dell’art. 4 St. lav. due sono le considerazioni da fare.

In primo luogo, la scomposizione nei due momenti (in senso temporale) dell’installazione (prima) e dell’impiego degli strumenti (poi) ha fatto sì che la prima sia inquadrabile tra i reati di pericolo, mentre l’utilizzo degli strumenti sia meglio inquadrabile tra i reati di danno224_{. Deve quindi conseguire un}

effetto dannoso materialmente percepibile perché si configuri la responsabilità del datore di lavoro.

In secondo luogo, scomparso il divieto generale di controllo si è dato spazio ad una accezione positiva dei modi e dei casi in cui è possibile fare il controllo. Ne deriva che la fattispecie penale dovrà essere ricostruita attraverso il richiamo alla disciplina extrapenale che, a sua volta, rinvia a fonti privatistiche o agli accordi collettivi e ai provvedimenti autorizzativi.

rilevazione siano stati installati in violazione delle garanzie procedurali previste dall'art. 4, comma 2, l. 20 maggio 1970, n. 300, in quanto tali garanzie riguardano soltanto i rapporti di diritto privato tra datore di lavoro e lavoratori, ma non possono avere rilievo nell'attività di accertamento e repressione di fatti costituenti reato”.

224 _{La differenza tra i reati di danno e di pericolo sta nel fatto che i primi vengono puntiti per}

l’evento lesivo in sé, i secondi intervengono in un momento precedente realizzando un’anticipazione della tutela penale, punendo l’agente per la semplice messa in pericolo di un certo bene giuridico.

SEZIONE II