Privacy e lavoro: qual è il corretto equilibrio tra esigenze aziendali e tutela del lavoratore?

di Andrea Lisi e Francesca Cafiero – Team Privacy Digital & Law Deparment

La Corte di Cassazione è recentemente intervenuta sulla regolamentazione dell’utilizzo delle risorse fisiche e digitali proprie dell’ambiente di lavoro, con due sentenze, la 38331/16 e la 18302/16, riferite rispettivamente all’utilizzo dell’account di posta aziendale (da parte del dipendente) e alla configurazione dei sistemi di url filtering (da parte del datore di lavoro).

La portata delle due sentenze è a dir poco dirompente, dal momento che esse sembrerebbero arginare la naturale evoluzione dello Statuto dei Lavoratori in tema di controlli a distanza[1], deviandone il corso verso una pericolosa involuzione, a discapito della convergenza verso una privacy da intendersi quale corretto equilibrio tra le esigenze di carattere aziendale (che nel nuovo Regolamento generale sulla protezione dei dati personali costituiscono una solida base giuridica qualificabile come “legittimo interesse” del titolare) e quelle di tutela del lavoratore.

Un passo indietro: convergenza tra diritto del lavoro e privacy

La recente riscrittura dell’art. 4 della L. 300/1970 sulla disciplina dei controlli a distanza è stata recepita come una delle conseguenze più importanti dell’entrata in vigore del Jobs Act (d.lgs. 151/2015).

Lo Statuto dei Lavoratori ne è uscito di fatto rinnovato sotto il profilo del trattamento dei dati personali, i cui confini sono stati ridefiniti su un livello più individuale che collettivo, mentre è stato riconosciuto un ruolo preponderante al potere dell’Autorità Garante e ai principi generali che ne guidano l’azione[2].

La disciplina sui controlli a distanza è stata ridisegnata nel novellato articolo 4 per regolamentare rispettivamente l’impiego degli strumenti di controllo e di lavoro (commi 1 e 2), nonché la gestione delle informazioni raccolte per loro tramite (comma 3).

Quest’ultimo comma assume un’importanza strategica rispetto al coordinamento e all’aggiornamento della normativa, in esso il diritto del lavoro realizza la piena integrazione con il diritto della privacy, in quanto vi si dispone che il patrimonio informativo solo se lecitamente raccolto dal datore di lavoro può essere successivamente utilizzato per “tutti i fini connessi al rapporto di lavoro”.

Strumento di lavoro o strumento di controllo?

Sebbene non sia possibile catalogare aprioristicamente gli strumenti riconducibili a un certo tipo di lavoro, in quanto per ciascuna categoria è necessario verificare e quantificare in concreto, nell’ambito della specifica organizzazione, gli strumenti oggetto del contratto sottoscritto tra le parti, è comunque utile ribadire in questa sede alcune definizioni generali, utili per comprendere la materia. Occorre operare una netta distinzione tra:

  1. Strumenti di lavoro che possono essere qualificati quali strumenti per il controllo a distanza degli impianti e dei locali di lavoro;
  2. Strumenti di lavoro (strettamente indispensabili per lo svolgimento della prestazione individuale, come da contratto);
  3. strumenti per la registrazione degli accessi e delle presenze.

È determinante, altresì, ai fini di tale distinzione, considerare il livello di coinvolgimento del dipendente rispetto alla strumentazione attivata. Il lavoratore può essere considerato quale soggetto passivo (riferibile al punto 1) o soggetto attivo (riferibile ai punti 2 e 3):

–                Passivo: il lavoratore viene considerato soggetto passivo rispetto alle potenzialità di tracciamento dei dati (es. videosorveglianza, GPS installato sulla vettura e nei vestiti), dei sistemi e/o applicativi informatici adottati.

Ai sensi del comma 1 del succitato art. 4, per l’attivazione di sistemi e/o applicativi informatici, la cui azione deve essere commisurata esclusivamente alle finalità tipizzate dal legislatore (esigenze organizzative e produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale, dalle quali occorre escludere quelle investigative o difensive), è necessario siglare un accordo sindacale o ottenere l’autorizzazione della Direzione Territoriale del Lavoro (DTL).

–                Attivo: esiste una relazione “attiva” tra il lavoratore e lo strumento di lavoro effettivamente utilizzato per rendere la prestazione.

Ai sensi del comma 2 del succitato art. 4, non è necessario in tal caso siglare alcun accordo sindacale o richiedere l’autorizzazione della DTL, bensì sarà sufficiente rendere al dipendente una corretta ed esaustiva informazione in materia di trattamento dei dati personali.

Nello specifico, l’uso di internet e dell’account di posta aziendale sono ascrivibili a questa tipologia di strumentazione. Tuttavia, particolare attenzione deve essere prestata sul software a corredo della dotazione informatica: come è stato recentemente sottolineato dall’Autorità Garante[3], infatti, è vietata l’installazione di apparati (differenti dalle ordinarie postazioni di lavoro) e di sistemi software che consentano – con modalità non percepibili dall’utente (c.d. in background ) e in modo del tutto indipendente rispetto alla normale attività dell’utilizzatore (cioè senza alcun impatto o interferenza sul lavoro del dipendente) – operazioni di “monitoraggio”, “filtraggio”, “controllo” e “tracciatura” costanti e indiscriminati degli accessi a internet o al servizio di posta elettronica. Tali software, infatti, non possono essere considerati “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”.

La sentenza n. 38331/16: il “mio” account di posta aziendale

Con la sentenza n. 38331/16 la Cassazione ha riconosciuto l’account di posta aziendale quale “domicilio privato” del dipendente, in virtù del possesso della password di accesso, la cui esclusività comporta parimenti l’impossibilità di conservare il contenuto della casella sui server aziendali ai quali possono aver accesso gli amministratori di sistema.

Tale assimilazione non è giustificabile alla luce di quanto richiamato, considerando altresì le pericolose e compromettenti conseguenze per la conservazione dello stesso patrimonio informativo aziendale, rappresentato dalle mail, che la Cassazione riconduce all’esclusiva proprietà del dipendente.

Da una prospettiva squisitamente archivistica, la naturale sedimentazione della documentazione del soggetto produttore nel corso dell’attività è da ricondurre esclusivamente alla titolarità di quest’ultimo. Nel caso di un’azienda, il soggetto titolare dell’attività -e pertanto produttore di documentazione – non è da identificarsi nel dipendente che presiede nello specifico la singola operazione, ma nel datore, titolare giuridico dell’attività e, di conseguenza, della documentazione. In fase conservativa è il “soggetto produttore” il titolare del processo conservativo e solo a lui è possibile riferire la proprietà della documentazione.

Risulta pertanto del tutto insensato agli occhi di chi scrive procedere alla creazione di barriere interne al sistema di gestione e conservazione aziendale, derivate da una fantomatica proprietà “alternativa” della documentazione, basata sull’esclusività del possesso di password (rilasciata tra l’altro dallo stesso datore e gestita dagli stessi amministratori di sistema ai quali si vuole negare l’accesso).

D’altronde, in diverse occasioni è stata la stessa Autorità Garante a evidenziare come la definizione in termini di liceità o illiceità del comportamento del datore di lavoro che intende conoscere il contenuto dei messaggi di posta elettronica del lavoratore (inviati o ricevuti) debba trovare fondamento nella predisposizione di apposite policy aziendali (quali “regolamenti interni” della struttura lavorativa), in cui il datore di lavoro espliciti, preventivamente all’assegnazione al dipendente dell’indirizzo di posta elettronica, le modalità di gestione della casella. Infatti, imponendo ad esempio un divieto espresso di utilizzo di tale strumento per finalità private, viene sgombrato il campo da possibili usi distorti per fini personali e viene meno il carattere di riservatezza e confidenzialità delle comunicazioni avvenute tramite lo strumento stesso. Si ritiene, quindi, che in questo modo al datore di lavoro – se ha concordato preventivamente con il lavoratore le modalità di accesso all’account aziendale mediante opportune privacy policy interne – non potranno più essere preclusi i relativi controlli! Sul punto sarebbe auspicabile, in ogni caso, una decisione della Cassazione a Sezioni Unite che possa far luce su una decisione potenzialmente molto pericolosa e a forte impatto per tutte le organizzazioni pubbliche e/o private.

La sentenza n. 18302/16: prevenire è meglio che curare?

Con questa sentenza, invece, la Cassazione – nella nota controversia tra l’Istituto Poligrafico e Zecca dello Stato e l’Autorità Garante per la protezione dei dati personali – ha dichiarato illegittimi i controlli effettuati a tappeto su posta elettronica, computer e telefoni aziendali dei dipendenti[4].

Infatti, nel caso di specie il servizio di navigazione sul web non si limitava solo a prevenire l’accesso e rifiutare così la connessione a determinati siti web non inerenti all’attività lavorativa dei dipendenti del Poligrafico (attraverso le c.d. “black list”), ma memorizzava ogni accesso o tentativo di accesso, conservando i dati per un periodo compreso tra i sei mesi e un anno.

Condanna è arrivata anche per l’attività di conservazione sul server per un periodo prolungato dei messaggi di posta elettronica dei dipendenti (inviati e ricevuti) e la loro possibile visualizzazione da parte degli amministratori di sistema in assenza di una idonea informativa.

In sintesi queste le principali prescrizioni disposte all’epoca dei fatti dall’Autorità Garante:

– con riguardo al trattamento dei dati personali relativi agli accessi a Internet effettuati dai dipendenti, era stato disposto il divieto dell’ulteriore trattamento, nella forma della conservazione e della categorizzazione su base individuale, dei dati personali riferiti alla navigazione internet dei dipendenti (con conservazione di quelli trattati in vista di un’eventuale acquisizione degli stessi da parte dell’autorità giudiziaria, nonché per esigenze di tutela dei diritti in sede giudiziaria);

– con riguardo al trattamento dei dati personali relativi allo svolgimento del servizio di posta era stato prescritto di fornire idonea informativa agli utenti (ai sensi dell’art. 13 del Codice) con riguardo al trattamento effettuato per rendere il servizio;

– con riguardo al trattamento di dati personali connesso al servizio VoIP era stato disposto

  1. il divieto dell’ulteriore trattamento (nella forma della conservazione dei dati personali relativi alle utenze telefoniche chiamate dai singoli dipendenti) fino all’eventuale espletamento delle procedure previste dall’art. 4, comma 2, l. n. 300/1970 (vecchia formulazione) e previa idonea informativa agli utenti ai sensi dell’art. 13 del Codice privacy (con conservazione di quelli fino a quel momento trattati in vista di un’eventuale acquisizione degli stessi da parte dell’autorità giudiziaria, nonché per esigenze di tutela dei diritti in sede giudiziaria);
  2. di provvedere a disattivare la funzione di “alert”, dandone contestuale comunicazione all’Autorità;
  3. limitatamente ai tempi di conservazione dei dati riferiti a utenze del servizio di telefonia VoIP, di contenere i medesimi entro il limite dei sei mesi, salva l’ulteriore conservazione dei dati ove gli stessi formino oggetto di contestazione e la società sia chiamata a tutelare le proprie pretese;

– con riguardo al trattamento di dati personali effettuato dagli amministratori di sistema, era stato prescritto di dare integrale attuazione alla prescrizione di cui alle lett. c) ed f) del provvedimento del 27 novembre 2008 (“Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”), assicurando che fosse resa nota o conoscibile l’identità degli amministratori di sistema nell’ambito della società, nonché la completezza del tracciamento delle attività effettuate dagli amministratori di sistema (punto 5.3);

– in caso di introduzione o potenziamento di sistemi informativi che possono avere un impatto sulla protezione dei dati personali e sulla riservatezza degli interessati, dovevano essere introdotte idonee misure organizzative, quali forme di coordinamento e cooperazione tra le pertinenti unità organizzative presenti all’interno della società, volte ad assicurare un corretto processo decisionale, rispettoso delle garanzie previste dall’ordinamento.

La pericolosità di tale ultima sentenza, pertanto, risiede nel fatto che la Cassazione tende a considerare legittimi i c.d. “controlli difensivi” solo dianzi a specifiche garanzie, ovvero solo se ricondotti nell’alveo dell’articolo 4 dello Statuto dei Lavoratori (controlli che non devono portare a “forme surrettizie di controllo a distanza dell’attività lavorativa”). Occorrono, quindi, garanzie procedurali che possano evitare che “attraverso tali strumenti si possa porre in essere, anche se quale conseguenza mediata, un controllo a distanza dei lavoratori”.

È ovvio che le principali conseguenze negative di questa sentenza si abbatteranno inevitabilmente sulla “sicurezza informatica” aziendale, facendo venir meno un principio abbastanza consolidato in materia che vede tali fattispecie estranee al campo di applicazione dell’art. 4 dello Statuto dei Lavoratori e che consente al datore di lavoro di porre in essere attività di controllo sulle strutture informatiche aziendali (prescindendo ovviamente dalla pura e semplice sorveglianza sull’esecuzione della prestazione lavorativa), soprattutto per accertare la perpetrazione di eventuali comportamenti illeciti posti in essere dagli stessi dipendenti “infedeli”.

Il c.d. “controllo difensivo”, però, a differenza del controllo a distanza non dovrebbe riguardare l’adempimento da parte dei dipendenti degli obblighi discendenti dal rapporto di lavoro, ma dovrebbe essere utilizzato per accertare eventuali comportamenti illeciti da parte del lavoratore, che possano mettere in pericolo il patrimonio o l’immagine dell’azienda.

La (vera) soluzione: l’informativa e le policy aziendali

È fuorviante e controproducente lasciar credere al dipendente che la sua tutela sia strettamente connessa alla privatizzazione del patrimonio informativo aziendale, la cui recuperabilità e disponibilità, oltretutto, rappresenta un obbligo di legge (ai sensi del d.lgs. 196/2003).

L’unica vera soluzione per tutelare in maniera appropriata il lavoratore è quindi la formulazione di una idonea informativa e la condivisione di regole aziendali. La stesura prevede l’inserimento di indicazioni dettagliate sulle modalità di utilizzo dei dati e, qualora previsti, sull’uso degli strumenti e dei sistemi di controllo (laddove necessario anche in accordo con le organizzazioni sindacali). L’informativa deve fare riferimento a un disciplinare interno, chiaro e aggiornato, e accompagnarsi alle policy e ai regolamenti aziendali che dovranno essere parimenti rivisti e aggiornati per essere in linea con i nuovi provvedimenti del legislatore e del Garante. L’informativa dovrà essere fornita a ogni singolo lavoratore con strumenti idonei a provarne l’effettiva conoscenza.

In conclusione, auspicandoci che intervengano le Sezioni Unite della Cassazione a fare chiarezza, molti degli effetti dirompenti di queste sentenze potrebbero di fatto già essere superati dall’interpretazione più “estensiva” del nuovo articolo 4 dello Statuto dei Lavoratori in materia di controlli a distanza, richiedendo alle aziende una revisione delle policy e dei processi organizzativi interni in materia di utilizzo degli strumenti informatici di lavoro e di controllo.


[1] Ultima, importante tappa di tale iter evolutivo è la modifica all’articolo 4 della legge 20 maggio 1970, n. 300 ai sensi dell’art. 23 del decreto legislativo n. 151/2015, in attuazione della legge 10 dicembre 2014, n. 183. 

[2] Necessità, finalità, trasparenza, sicurezza, proporzionalità, accuratezza, conservazione per il giusto tempo.

[3] Provvedimento del 13 luglio 2016 “Trattamento di dati personali dei dipendenti mediante posta elettronica e altri strumenti di lavoro”.

[4] Il Tribunale civile di Roma, infatti, già in data 21 gennaio 2013, aveva rigettato il ricorso presentato dal Poligrafico dello Stato avverso il provvedimento del Garante del 21 luglio 2011.