Le indagini fatte sulla posta elettronica e sull’uso del Web sono lecite solo se è stato preventivamente adottato e diffuso un codice disciplinare interno ad hoc. Con la riforma dell’articolo 4 dello Statuto dei lavoratori, le aziende si stanno interrogando sull’opportunità di rivedere le policy applicabili ai controlli sulle email e sul computer dei dipendenti. Il Jobs act non sembra aver introdotto stravolgimenti su questa materia, perché la nuova normativa regola solo il momento dell’installazione degli impianti di controllo, mentre non tocca il principio – sancito dal Codice della privacy – secondo il quale le indagini fatte sulla posta elettronica e sull’uso di internet sono lecite solo se è stato preventivamente adottato e diffuso un codice disciplinare interno ad hoc, tramite il quale sono portate a conoscenza dei lavoratori le regole aziendali.
Il codice di condotta – che dovrebbe essere affisso con le modalità previste dall’articolo 7 dello Statuto dei lavoratori o con strumenti equivalenti – serve a far venire meno l’aspettativa di segretezza della email aziendale e di internet. E a chiarire che l’utilizzo di questi strumenti deve essere strettamente funzionale all’esecuzione della prestazione di lavoro.
Il codice di condotta deve, in particolare, specificare i seguenti aspetti:
l’uso che i lavoratori possono fare del computer aziendale in loro dotazione;
i limiti entro i quali è consentito o tollerato un uso privato del computer in dotazione;
i limiti di utilizzo da parte del dipendente della posta aziendale, e in particolare la possibilità o meno di un suo utilizzo per scopi privati;
i siti internet la cui consultazione è vietata, perché sono considerati non correlati con la prestazione lavorativa;
le conseguenze disciplinari applicabili in caso di uso contrario alla policy interna della posta elettronica e di internet.
L’informativa
La diffusione del codice di condotta non basta a legittimare i controlli: il datore di lavoro deve rispettare l’ulteriore obbligo, previsto dall’articolo 13 del Codice della privacy, di informare i lavoratori sulle finalità e sulle modalità con le quali i loro dati saranno trattati (si veda l’articolo in basso).
L’informativa costituisce la condizione di legittimità per poter raccogliere e trattare i dati personali dei dipendenti tramite strumenti telematici. La centralità di questo documento è stata rafforzata dalla nuova stesura dell’articolo 4 dello Statuto dei lavoratori, che subordina l’utilizzabilità delle informazioni raccolte alla preventiva consegna dell’informativa.
I limiti ai controlli
Anche dopo aver compiuto questi adempimenti, il datore di lavoro non può effettuare controlli indiscriminati sulle email aziendali e sull’uso di internet: i controlli possono, infatti, essere svolti solo se sono giustificati da una finalità lecita, quale ad esempio la tutela di un diritto esercitabile in via giudiziaria (ad esempio la repressione di una condotta illecita del dipendente). Inoltre, non possono essere effettuati controlli prolungati, costanti o indiscriminati; devono essere preferiti, quando possibile, controlli anonimi e su dati aggregati, e le indagini devono essere circoscritte a specifiche aree di lavoro. Infine, devono essere cancellati periodicamente e automaticamente i dati relativi agli accessi a Internet e al traffico telematico.
Il Garante della privacy ha reso attuali questi concetti generali tramite diverse prescrizioni concrete, con le quali sono state individuale le forme di controllo che sono ammissibili e quelle che invece non possono essere svolte.
Sono state definite illecite la registrazione massiva di tutte le email in uscita, il monitoraggio costante dei siti internet visitati o la copia di tutti i file salvati dal dipendente tramite la porta Usb: queste attività possono essere svolte solo in presenza di motivi specifici e gli accertamenti non devono essere sistematici, indiscriminati e preventivi.
La violazione di questi criteri ha conseguenze importanti: oltre ai risvolti penali, il datore di lavoro non può legittimamente usare le informazioni raccolte in violazione delle regole.
LA COMUNICAZIONE. I PUNTI CARDINE. NELL’INFORMATIVA LE POSSIBILI VERIFICHE
Il nuovo articolo 4 della legge 300/1970 rafforza l’obbligo di informare i lavoratori sui controlli effettuati in azienda: è un passo che resta essenziale per poter raccogliere e trattare i dati personali (come in passato) ma ora la possibilità di usare le informazioni raccolte per fini legati al rapporto di lavoro (ad esempio la tutela del patrimonio aziendale) è subordinata alla consegna preventiva dell’informativa ai dipendenti.
Le caratteristiche
Bisogna ritenere, dunque, che oggi l’informativa debba essere più ampia di quella che le aziende hanno già dato in passato in base all’articolo 13 del Codice della pricacy.
Il documento deve chiarire i principali elementi del trattamento da realizzare. L’elenco completo di questi contenuti è nell’articolo 13 del Dlgs 196/2003, ma i principali sono:
gli estremi identificativi del titolare e (se individuato) di almeno un responsabile di trattamento;
i diritti dell’interessato sul trattamento (ad esempio, accedere ai dati);
i soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza;
l’ambito di diffusione dei dati;
le conseguenze di un eventuale rifiuto di farsi controllare.
È necessario comunicare anche le modalità d’uso degli strumenti e quelle di effettuazione dei controlli. Significa che, prima di usare i dati personali per fini legati al apporto di lavoro, al dipendente si devono dare notizie adeguate sul funzionamento dell’apparecchiatura utilizzata e sulla procedura che l’azienda ha deciso di impiegare (ad esempio, in sede di accesso con i sistemi di registrazione e nei reparti di produzione con telecamere).
La comunicazione può essere anche solo orale. Per esigenze di prova, è opportuno, però, che sia scritta, datata, e firmata dal singolo lavoratore. In altre parole, è preferibile un modulo.
I destinatari
L’ambito dei destinatari coincide con i lavoratori effettivamente controllati e con quelli che, potenzialmente, possono entrare nell’orbita dei riscontri. Considerando che il controllo è, a rigor di legge, anche quello tramite sistemi di timbratura, si può ritenere, di regola, che qualsiasi lavoratore sia interessato e vada informato, se non altro per questo controllo.
Né il Dlgs 196/2003 né l’articolo 4 della legge 300/1970 forniscono elementi puntuali su chi debba dare l’informativa al lavoratore. Si può ritenere che, di regola e in assenza di maggiori specifiche organizzative sulla privacy a livello di singola azienda, l’onere della comunicazione ricada sul titolare del trattamento, cioè sul legale rappresentante. Nelle piccole aziende il titolare del trattamento coincide dunque con il titolare dell’azienda.
Se l’azienda ha una significativa articolazione organizzativa, con responsabili (o addirittura dirigenti) che rivestono ruoli intermedi della struttura, è opportuno che il titolare usi la facoltà di individuare figure di responsabili di trattamento (articolo 29 comma 1, del Dlgs 196/2003), precisando i loro compiti anche sulla informativa agli interessati. Per individuare chi è tenuto a dare l’informativa, occorrerà considerare:
qual è la finalità di controllo dei dati (ad esempio rapporto di lavoro o sicurezza);
se per lo scopo del controllo c’è in azienda, un responsabile di trattamento (ad esempio, il datore di lavoro per la sicurezza);
se questo soggetto è stato delegato dal titolare di trattamento anche a dare l’informativa.
Se ci sono queste tre condizioni, sarà il responsabile ad hoc a dare l’informativa.
LA GIURISPRUDENZA. LE IMMAGINI SU DVD VALGONO COME PROVA
Dopo le modifiche della disciplina dei controlli a distanza introdotte dal Dlgs 151/2015 (articolo 23) una parte delle interpretazioni giurisprudenziali legate alle vecchie disposizioni risulta superata. D’altra parte, però, ci sono orientamenti della Cassazione che si rivelano ancora attuali. Vediamo quali.
Nella sentenza 17027/2014, la Cassazione si è espressa sul caso di un datore di lavoro che aveva installato quattro telecamere in un ristorante: ritenendo questi apparecchi privi di autorizzazione, la Corte conferma la sentenza di condanna. Come già in altre pronunce (Cassazione, 8042 del 15 dicembre 2006 e 4331 del 30 gennaio 2014), i giudici stabiliscono, come principio, che il mancato rispetto della procedura di legge rileva penalmente anche nell’ipotesi di controllo occulto, poiché l’essenza della sanzione sta nell’uso degli impianti audiovisivi senza il preventivo accordo con le parti sociali.
Le riprese effettuate da terzi
La pronuncia 2117 del 28 gennaio 2011, giudicando lecito il controllo datoriale tramite riprese effettuate da terzi, ha chiarito che l’articolo 4 dello Statuto dei lavoratori non preclude al datore che voglia dimostrare l’illecito di propri dipendenti, di usare registrazioni video operate, fuori dall’azienda, da un soggetto terzo (per finalità “difensive” del proprio ufficio) estraneo ai lavoratori.
In modo analogo si è espressa la Cassazione nella sentenza 5371 del 4 aprile 2012, nel caso di un “vigilantes” licenziato per lunghe telefonate durante il servizio in un ospedale dove lavorava per una società di sorveglianza. La Corte chiarisce che l’articolo 4 della legge 300/1970 si riferisce alle installazioni attivate dal datore di lavoro e non preclude, per dimostrare l’illecito realizzato da propri dipendenti, che lo stesso utilizzi, in processo, le risultanze di tabulati telefonici di un terzo, estraneo all’impresa e ai lavoratori licenziati, che li aveva raccolti per sue finalità «difensive».
La riproduzione
Nella pronuncia 3122 del 17 febbraio 2015, la Corte ha approfondito il valore giuridico della riproduzione, in un disco digitale, di immagini dell’attività illecita di lavoratori. Questi ultimi avevano disconosciuto, durante il processo civile, quanto presente in quel Dvd.
Nel confermare il licenziamento, la Corte ribadisce il principio secondo cui, in caso di avvenuta produzione in giudizio di un documento elettronico, il disconoscimento della conformità della copia all’originale da parte dei lavoratori coinvolti non vincola il giudice, che può comunque apprezzarne l’efficacia rappresentativa anche con altre modalità (nel caso specifico un testimone).
La terza sezione penale (sentenza 4331 del 12 novembre 2013 – 30 gennaio 2014), esaminando la condanna di un legale rappresentante che aveva installato otto telecamere in un supermercato, ma che non aveva osservato la procedura prevista all’articolo 4, ha stabilito che il diritto alla riservatezza dei lavoratori è leso anche se l’impianto non è messo in funzione, poiché la norma sanziona a priori l’installazione, prescindendo dal suo utilizzo.
Il Sole 24 Ore – 16 novembre 2015