È possibile eseguire controlli difensivi sugli strumenti digitali e/o tecnologici in azienda, utilizzabili in caso di procedimenti disciplinari verso i dipendenti? E se sì, in quali casi? Ecco cosa fare per rispettare sia la normativa sul lavoro che quella in materia di privacy.
Il caso e la decisione di Cassazione
La vicenda sulla quale si è pronunciata la Corte di Cassazione con la sentenza n. 25645 del primo settembre 2023, risale al 2010 e riguarda un dipendente, connivente con una collega ritardataria, della quale, in due distinte circostanze, aveva utilizzato il badge al fine di nasconderne il ritardo, falsificando l’orario di ingresso in azienda della medesima. Il dipendente era stato dunque licenziato per giusta causa e l’azienda, su cui ricadeva l’onere della prova in merito alla legittimità del provvedimento espulsivo, si era difesa in giudizio producendo i dati raccolti dal sistema di rilevazione degli accessi.
Il dipendente licenziato aveva eccepito che le apparecchiature finalizzate al controllo dell’orario di ingresso e di uscita dal lavoro dei dipendenti – i cui rilevamenti erano alla base della contestazione disciplinare – fossero state installate senza preventivo accordo con le organizzazioni sindacali o senza il nulla osta dell’Ispettorato del Lavoro, ragione per la quale i relativi rilevamenti erano stati ritenuti inutilizzabili per provare il fatto addebitato.
Nel corso dei primi due gradi di giudizio il Tribunale e la Corte d’Appello di Roma avevano respinto tale ultima tesi, sulla scorta di un risalente orientamento che riteneva che il controllo a distanza vietato dall’art. 4 St. Lav. (ed i relativi preventivi adempimenti) riguardasse il contenuto dell’attività lavorativa dei dipendenti e non l’orario di ingresso e di uscita dal luogo di lavoro, essendo queste ultime attività meramente preliminari o successive al vero e proprio svolgimento delle mansioni.
Con sentenza del 14 agosto 2017, n. 20102, la Corte di Cassazione aveva ribaltato gli esiti dei gradi precedenti, rinviando gli atti nuovamente ai Giudici di merito, sostenendo che, nel caso di specie, il dipendente fosse stato licenziato proprio per motivi disciplinari connessi all’attività lavorativa e, pertanto, tali controlli non sarebbero potuti avvenire (e, conseguentemente, i dati così raccolti non avrebbero potuto essere utilizzati) senza il preventivo esperimento degli adempimenti di legge (all’epoca dei fatti, accordo sindacale o autorizzazione dell’Ispettorato del Lavoro).
La Corte d’Appello di Roma, chiamata quindi a riesaminare il caso, mutando orientamento e come confermato in seguito dalla sentenza della Suprema Corte n. 25645/2023 qui in commento, rilevava come l’inutilizzabilità dei dati raccolti dagli strumenti marcatempo della Società, quale conseguenza diretta del mancato preventivo adempimento degli obblighi di cui all’art. 4 St. Lav., facesse venire integralmente meno la prova della condotta disciplinarmente rilevante (ovvero, l’utilizzo fraudolento del badge della collega) con conseguente illegittimità del licenziamento e reintegrazione del ricorrente.
Quali strumenti per i controlli difensivi
Preme precisare che il caso in esame si basa su una formulazione dell’art. 4 St. Lav. che è stata oggetto di modifica legislativa nel 2015. Ed infatti, all’epoca dei fatti di causa, l’art. 4 St. Lav. prevedeva che l’implementazione di qualunque strumento di controllo dell’attività lavorativa (inclusi, dunque, gli strumenti automatizzati di rilevazione delle presenze) fosse ammissibile solo previo accordo con le rappresentanze sindacali aziendali o autorizzazione con l’Ispettorato del Lavoro.
A seguito della riforma in questione la norma ha subito alcune sostanziali variazioni, tra cui l’esclusione dell’onere del datore di lavoro di procedere ad un preventivo vaglio sindacale o istituzionale (con l’Ispettorato del Lavoro) e la necessità di indicare uno dei tre motivi tassativamente previsti dalla legge – adempimenti necessari per gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori – con riferimento agli «strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze».
Tuttavia, come chiarito nello stesso anno da una nota del Ministero del Lavoro, tale accezione deve ritenersi strettamente limitata a quella strumentazione immediatamente necessaria al lavoratore al fine di adempiere le concrete mansioni assegnate. Ed infatti, laddove lo strumento che viene usato dal lavoratore per prestare la propria attività lavorativa subisca modifiche -ad esempio, con l’aggiunta di appositi software di localizzazione o filtraggio-, gli strumenti di lavoro saranno da considerarsi quali strumenti di (potenziale) controllo a distanza e come tali, da assoggettarsi agli adempimenti sopra indicati.
Resta infine inteso che in nessun caso tali strumenti dovranno essere utilizzati per verificare lo svolgimento dell’attività lavorativa, in quanto ciò non è comunque consentito.
La Corte di Cassazione sottolinea un concetto già espresso dal legislatore e noto anche alla giurisprudenza. I dati raccolti in violazione della normativa non trovano spazio quale mezzo probatorio. L’intento pare chiaro: disincentivare comportamenti illeciti, volti a ottenere informazioni utili poi in procedimenti giudiziari.
Quali sono i requisiti normativi lato privacy
È utile ricordare che questo concetto è stato affermato con forza dal Codice per la protezione dei dati personali (D. Lgs. 196/2003, anche “Codice privacy”, innovato dopo l’entrata in vigore del Regolamento 2016/679, anche noto come GDPR). L’art. 160-bis del Codice privacy specifica chiaramente che “La validità, l’efficacia e l’utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali”. Questo non ha impedito interpretazioni difformi, data la moltitudine di regolamentazioni (e.g. la normativa giuslavoristica, quella penale, quella civile, etc), circa l’inutilizzabilità di tali mezzi di prova (se da considerarsi in toto o a discrezione del giudice).
L’inutilizzabilità dei dati raccolti potrebbe risultare anche da circostanze diverse rispetto a quelle del caso di specie, se comportano una violazione della normativa giuslavoristica. È questo il caso dell’obbligo informativo che il legislatore richiede all’articolo 4 dello Statuto dei Lavoratori; si tratta di una disposizione che riprende quanto impone la normativa privacy, secondo cui i trattamenti di dati personali devono essere sempre accompagnati da una spiegazione chiara.
Si tratta di un caposaldo della normativa, che assume due vesti.
- Da un lato, è una misura di responsabilizzazione che grava sui titolari dei trattamenti (e.g. l’azienda che utilizza i dati personali), per dimostrare un’elevata conoscenza dei trattamenti che realizza.
- Dall’altro lato, è una misura di sicurezza per gli interessati (e.g. il lavoratore cui si riferiscono i dati trattati), in quanto consente di verificare le finalità di impiego dei dati e, di conseguenza e tramite l’esercizio di specifici diritti privacy, di controllare l’operato dell’azienda.
In ambito lavorativo, il fine informativo è soddisfatto dalla presenza di un’informativa ad hoc ma anche di un disciplinare interno; quest’ultimo viene impiegato per soddisfare quanto impone l’art. 4 St. Lav., ovvero informare il dipendente “circa le modalità d’uso degli strumenti e l’effettuazione dei controlli”.
Il disciplinare può assumere forme diverse: dipende dagli strumenti in uso, dalla complessità dei sistemi informatici, dalla realizzazione o meno di controlli difensivi da parte del datore di lavoro. Alcune indicazioni chiave sono state fornite dal Garante per la protezione dei dati personali oramai in un datato provvedimento del 2007; il contesto lavorativo è fortemente mutato da allora e l’Autorità ha emanato diversi provvedimenti (anche sanzionatori) negli anni, che orientano le aziende in merito a come realizzare eventuali controlli. In linea di principio, viene comunque richiesto un livello molto elevato di trasparenza, al fine di spiegare con toni chiari e comprensibili quali dati siano raccolti, quali utilizzi si intende realizzare, se e in che termini sono condotti controlli (che devono comunque rispettare un connotato di gradualità), le specifiche ragioni legittime e modalità, le conseguenze (anche disciplinari) in caso di rinvenute condotte improprie, quali soggetti potrebbero essere coinvolti nei controlli e per quanto tempo i dati vengono conservati.
Conclusioni: tra controlli difensivi e privacy
La sentenza che si è analizzata, dunque, ripropone un argomento di grande interesse. La realizzazione di controlli (difensivi) rispetto all’attività di un dipendente può comportare rischi per l’azienda, laddove questi non rispettino sia le disposizioni dell’art. 4 St. Lav., che quelle della normativa privacy: a tal proposito, si auspica una sempre maggiore chiarezza rispetto alle corrette modalità della loro realizzazione, dato che talvolta le interpretazioni rese da parte dell’Autorità giudiziaria (sezione lavoro) e del Garante privacy hanno comportato esiti molto diversi rispetto ai procedimenti in corso. Sicuramente, si tratta di un ambito che richiede una verifica sin dall’inizio dei controlli effettuati, al fine di salvaguardare la validità del mezzo probatorio, laddove risultasse utile in sede di procedimento giudiziario.
I commenti riportati in questo contributo sono espressione esclusiva e personale delle professioniste che firmano l’articolo.
