Controlli del datore di lavoro: quando sono leciti, e quando invece violano i tuoi diritti e la tua Privacy?

Diritto del Lavoro: la disciplina dei controlli a distanza sull’attività lavorativa.

L’art. 23 del D.lgs. 151/2015 (in vigore dal 24 settembre 2015) ha modificato lo Statuto dei lavoratori, il cui art.4 oggi non contempla più un esplicito divieto di controllo a distanza dell’attività lavorativa, ma stabilisce che l’impiego di impianti audiovisivi, o qualsiasi strumento di controllo a distanza, è legittimo se giustificato da:

– esigenze organizzative e produttive

– o da motivi di sicurezza sul lavoro

– o di tutela del patrimonio aziendale

– deve esservi un previo accordo collettivo stipulato con la RSU o RSA (rappresentanze sindacali in azienda) o con gli Organismi Sindacali comparativamente più rappresentativi nel caso di imprese con unità ubicate in diverse province della stessa regione o in più regioni;

– in alternativa (mancanza di tale accordo sindacale), occorre l’apposita autorizzazione della Direzione Territoriale del Lavoro, o del Ministero del lavoro e delle politiche sociali.

Controlli a distanza c.d. indiretti per finalità organizzative e di sicurezza.

Due sono gli aspetti presi in considerazione dal nuovo testo della norma:

  • da un lato, l’impiego di impianti audiovisivi e di altri strumenti che consentono un controllo a distanza dell’attività dei lavoratori (ad esempio, gli impianti di videosorveglianza);
  • dall’altro, l’utilizzo di altri strumenti che il datore di lavoro assegna ai propri dipendenti per lo svolgimento della prestazione lavorativa (ad esempio, computer, telefoni, tablet), nonché gli strumenti di rilevazione degli accessi e delle presenze (c.d. lettori badge).

Gli impianti audiovisivi continuano, come in passato, a poter essere utilizzati dall’imprenditore esclusivamente per esigenze di carattere organizzativo e produttivo, di sicurezza del lavoro e di tutela del patrimonio aziendale. Come detto, affinché la loro installazione ed il loro utilizzo sia considerato legittimo, è necessario che vi sia un accordo sindacale circa le modalità di utilizzo di tali apparecchiature, ovvero la previa autorizzazione della Direzione Territoriale del Lavoro o del Ministero del Lavoro: entrambi gli organi, infatti, svolgono un compito di verifica della legittimità e della correttezza dell’impiego di questi strumenti a tutela dei dipendenti.

Sul punto si è espressa anche la Corte Europea dei Diritti dell’Uomo, stabilendo che non viola l’art. 8 CEDU la videosorveglianza occulta dei dipendenti laddove sia giustificata dal ragionevole sospetto di furti e relative perdite economiche, tenendo conto dell’entità e delle conseguenze della misura. (Corte europea dei diritti dell’uomo, Grande Camera, 17/10/2019, n. 1874/13 e n. 8567/13)  

E’ però importante sapere che, invece, per i cd. “controlli difensivi“, non è necessario il preventivo accordo sindacale o l’autorizzazione della DTL: le apparecchiature di controllo (tipicamente videosorveglianza) sono in tal caso installabili senza autorizzazione, ma solo se ed in quanto diretti all’accertamento di comportamenti illeciti diversi dal mero inadempimento della prestazione lavorativa, e mediante modalità non eccessivamente invasive (principi di adeguatezza e proporzionalità) e che siano comunque rispettose delle garanzie di libertà e dignità dei dipendenti, con le quali l’interesse del datore di lavoro al controllo ed alla difesa della organizzazione produttiva aziendale deve contemperarsi, e, in ogni caso, sempre secondo i canoni generali della correttezza e buona fede contrattuale.

I controlli c.d diretti sui lavoratori, invece, entro che limiti sono possibili?

La legge legittima poi anche un controllo a distanza c.d. diretto effettuato sugli strumenti utilizzati dal lavoratore per eseguire le proprie mansioni e sugli strumenti di rilevazione degli accessi e delle presenze (c.d. lettori badge).

In questo caso non essendoci l’obbligo per il datore di lavoro di raggiungere una intesa sindacale o l’autorizzazione ministeriale, è fondamentale sapere che il datore di lavoro può utilizzare le informazioni raccolte solo se vengano rispettate le due condizioni che seguono:

  • lavoratori devono essere informati adeguatamente circa le modalità con le quali devono essere utilizzati gli strumenti concessi in dotazione e le modalità con le quali verrà esercitato il controllo;
  • deve essere sempre rispettata la normativa in materia di privacy 

L’inosservanza anche solo di una delle suddette condizioni rende illegittimo l’utilizzo dei dati raccolti anche ai fini, ad esempio, di un procedimento disciplinare e, quindi, di un licenziamento per giusta causa.

Il terzo comma del nuovo art. 4 dello Statuto dei lavoratori, infine, stabilisce che le informazioni raccolte attraverso l’esercizio del potere di controllo sono utilizzabili a tutti i fini connessi al rapporto di lavoro, tra i quali figura anche l’eventuale procedimento disciplinare (finalizzato a sanzioni o a licenziamento), purchè sia stata effettuata, in favore dei lavoratori, una adeguata informazione delle modalità d’uso degli strumenti e sulle modalità di effettuazione dei controlli, in aggiunta alla necessaria conformità alla normativa in materia di privacy.

Inoltre è bene sapere che l’informativa predisposta ai sensi del comma 3 dell’art. 4 St. lav. dovrà essere dettagliata, specifica e rivolta ai dipendenti non in modo generico, bensì in base agli strumenti di lavoro utilizzati .

Violazione della Privacy ed altri esempi di violazioni nei controlli a distanza sui dipendenti.

La raccolta e gestione di tutta la mole di dati di cui il datore di lavoro può disporre attraverso l’utilizzo dei sistemi di controllo degli strumenti di lavoro deve conformarsi e rispettare i principi basici dettati in materia di Tutela della Privacy – GDPR, secondo cui i dati devono essere:

  • trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»)
  • raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»)
  • adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)
  • esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»)
  • conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»)
  • trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)
  • Il titolare del trattamento è competente per il rispetto dei suddetti principi e deve essere in grado di comprovarlo («responsabilizzazione»)

In caso di violazione di tali principi, come in caso di altre violazioni specifiche della normativa in materia di protezione dati sensibili e Privacy, può configursi un illecito anche penalmente rilevante da parte del datore di lavoro, ed le informazioni o dati raccolti attraverso gli strumenti di controllo sono inammissibili e inutilizzabili.

Ecco alcuni esempi (trattati dalla giurisprudenza della Cassazione) di violazioni da parte del datore di lavoro:

– Vi è violazione della normativa in materia di privacy, ove il datore di lavoro che controlli i dipendenti mediante pedinamento e l’accesso all’account di posta elettronica senza dare atto delle ragioni e delle effettive modalità del controllo. Inoltre, è illegittimo ai sensi dell’art. 4, co. 2 St. lav. il controllo diretto sull’account email del dipendente, in assenza dell’adeguata informazione prevista dall’art. 4, co. 3 St. lav.: tali violazioni comportano l’inammissibilità delle risultanze ottenute dai controlli occulti e, dunque, l’inutilizzabilità delle informazioni acquisite, anche per supportare un eventuale procedimento disciplinare e/o un licenziamento.

– Sono in ogni caso considerati invasivi i controlli cd. difensivi eccedenti, sotto l’aspetto temporale, i limiti della adeguatezza e proporzionalità e, sotto il profilo sostanziale, quelli ricadenti sugli aspetti personali estranei all’oggetto e fine dell’indagine: secondo la Cassazione, infatti, “l’esigenza, pur meritevole di tutela, del datore di lavoro di evitare condotte illecite da parte dei dipendenti non può assumere una portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore”.

– Laddove vi sia controllo dei dipendenti mediante rilevazione dei dati di entrata e di uscita, attraverso le timbrature del badge aziendale, ove tale modalità non sia concordata preventivamente con le rappresentanze sindacali e ove si traduca in un controllo sul quantum della prestazione lavorativa, è illegittimo e viola i limiti di cui all’art. 4 St. lav. ante Riforma. Diversamente, è legittimo l’impiego delle risultanze del badge ove finalizzato allo svolgimento di indagini aventi a oggetto fatti illeciti del dipendente, fra cui l’utilizzo abusivo del badge aziendale  

– Il controllo per tramite di una agenzia investigativa non può riguardare in nessun caso né l’adempimento né l’inadempimento dell’obbligazione contrattuale del lavoratore di prestare la propria opera, essendo l’inadempimento stesso riconducibile all’attività lavorativa, che è sottratta a suddetta vigilanza, ma deve limitarsi agli atti illeciti del lavoratore non riconducibili all’inadempimento dell’obbligazione, e ciò anche nel caso di prestazioni lavorative svolte al di fuori dei locali aziendali.   

E nel caso di smart working, quali controlli sul lavoro sono consentiti ?

In base alla legge di riferimento, deve essere l’accordo individuale (sul lavoro agile) a disciplinare l’esercizio del potere di controllo sulla prestazioni resa dal lavoratore dipendente, all’esterno dei locali aziendali, nel rispetto dall’articolo 4 dello Statuto dei lavoratori.

Con specifico riguardo allo smart worker, che lavora al proprio domicilio utilizzando un computer aziendale o uno smartphone, ad esempio, i controlli debbono essere giustificabile con la tutela dalla strumentazione in datazione, inclusi software aziendali, nonchè per la tutela dei dati aziendali utilizzati per lo svolgimento delle mansioni.

Infine, è bene per il lavoratore prestare attenzione al fatto che, secondo una recente sentenza della Cassazione, non è applicabile la disciplina sul controllo a distanza quando il datore di lavoro si limiti a stampare la cronologia di navigazione internet, perché in tal caso i dati non sono raccolti attraverso un dispositivo di monitoraggio installato ad hoc, e poiché l’art. 4 St. lav. si applica soltanto a quei controlli che rilevano dati sulla produttività ed efficienza nello svolgimento dell’attività lavorativa e non, viceversa, a quelli che riguardano condotte illecite estranee alla prestazione di lavoro. (Cass. 1/2/2019 n. 3133)

Videosorveglianza, controlli su computer o telefoni aziendali, e la Privacy.

In generale il datore di lavoro può installare un sistema di videosorveglianza in azienda, ma non al fine di controllare a distanza i propri dipendenti, bensì solo per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.

Resta il fatto che, una volta installate, le videocamere consentono al datore di lavoro anche la possibilità di controllare l’operato dei propri dipendenti.

Proprio per questo motivo quindi, a meno che le telecamere non inquadrino luoghi dove non si pratica alcun tipo di attività lavorativa (nemmeno di carico e scarico merci), abbiamo visto che è sempre necessario il previo accordo con le rappresentanze sindacali o la previa autorizzazione dell’Ispettorato del lavoro, volto proprio a verificare preventivamente che la finalità delle videocamere non sia il puro e semplice controllo dei lavoratori, bensì quella di far fronte ad effettive esigenze organizzative, produttive o di sicurezza, e che il potenziale controllo sia contenuto entro certi limiti. 

Anche l’ispezione dei computer aziendali, nonchè dei telefoni o smartphone e tablet aziendali, non può essere finalizzata al mero controllo a distanza della sua attività lavorativa. Pertanto, il lavoratore deve essere informato della possibilità di controllo, sebbene non sia necessario il suo consenso al riguardo; controllo che deve peraltro essere necessario e proporzionato rispetto alla finalità aziendale e che non può comunque essere continuativo o ad oltranza.

La normativa sulla Privacy giustifica l’impiego di controlli in termini di c.d. videosorveglianza «intelligente» e persino ispezioni «retroattive» sul pc aziendale dei dipendenti, sempre che particolari esigenze lo richiedano, come ad esempio laddove l’azienda svolga un’attività che deve essere tutelata in maniera particolare per rischio sabotaggi o attacchi terroristici.

I controlli a distanza ed il licenziamento per giusta causa.

L’attuale normativa vigente consente al datore di lavoro di utilizzare i dati ripresi dalle videocamere e le informazioni raccolte dagli strumenti di lavoro aziendale (pc, telefoni, smartphone e tablet in dotazione ai dipendenti) per tutti i fini connessi al rapporto di lavoro e quindi anche ai fini disciplinari.

Come abbiamo detto, però, il datore di lavoro deve aver rispettato la normativa sulla Privacy, e deve aver preventivamente fornito ai lavoratori adeguata informazione sulle modalità d’uso degli strumenti e sulle modalità di effettuazione dei controlli, facendo ricorso ad una specifica e dettagliata policy o regolamento aziendale sul punto, e che informi in merito alla possibilità di apprendere dati e circostanze utilizzabili disciplinarmente carico dei dipendenti: e ciò in quanto, ad esempio, ove vengano rilevati fatti estremamente gravi, posti in essere da un lavoratore, i dati registrati potrebbero essere utilizzati anche per fondare il licenziamento per giusta causa di quel dipendente.  

In conclusione.

In questo articolo, abbiamo visto per sommi capi tutti i principi di legge e di giurisprudenza in materia di controlli da parte del datore di lavoro, ed abbiamo visto come la riforma normativa consente oggi controlli molto più ampi (specie per ragioni di salvaguardia del patrimonio aziendale), e come i dati raccolti possano essere utilizzati per motivi discliplinari ed addirittura per licenziare un dipendente per giusta causa.

Pertanto, è sempre più fondamentale, sapere se il datore di lavoro compie tali controlli rispettando i diritti dei lavoratori ed i requisiti di legge, in modo da poter tutelare la propria privacy ed i propri diritti, anche contro potenziali provvedimenti disciplinari (o peggio ancora di licenziamento.)

Ovviamente ogni singolo caso va analizzato perchè presenta caratteristiche diverse ed uniche, oltre al fatto che anche ogni realtà aziendale è unica e diversa da un’altra.

Per tale ragione riveste importanza fondamentale intervenire tempestivamente con l’assistenza di un avvocato esperto in Diritto del Lavoro, così di poter tutelare efficacemente i propri diritti..