giubboni

home / Archivio / Fascicolo / Potere di controllo ed indicazioni di diritto europeo

indietro stampa articolo leggi fascicolo


Potere di controllo ed indicazioni di diritto europeo

Daniela Zanetto (Cultrice della materia dell’Università Cattolica del Sacro Cuore)

I controlli a distanza sui lavoratori sono legittimi solo se vengono rispettati i principi ricavabili dalla normativa europea recentemente ribaditi dalla Corte europea dei diritti dell’uomo. Tra questi figurano il principio di necessità e quello di trasparenza. I controlli sono dunque ammissibili solo se necessari a tutelare interessi rilevanti del datore di lavoro e solo se svolti nella piena trasparenza. Quest’ultima viene garantita attraverso l’ado­zione da parte dei datori di lavoro di codici aziendali mediante i quali si debbono indicare tutte le attività vietate ai lavoratori, anche con riferimento all’utilizzo di internet ed e-mailaziendali, e le relative sanzioni. Alla luce di questi principi deve essere interpretato il nuovo art. 4 Stat. lav.

PAROLE CHIAVE: controlli a distanza - lavoratori - corte europea dei diritti dell'uomo - internet - e-mail aziendali - sanzioni - jobs act

Workers'monitoring and European Law's principles

The workers’monitoring is legitimate only if are respected the European legislation’s principles recently upheld by the European Court of Human Rights. These include the principles of necessity and transparency. The monitoring so is admissible only if necessary to protect important interests of the employer and only if carried out in full transparency. Transparency is ensured through use of a privacy management programme indicating all the activities prohibited to workers, including the use of internet and business e-mail, and sanctions. These principles are important also to interpret the new rule of the workers’Statute about monitoring

Keywords: Workers’monitoring, european principles, european Court of Human Rights’judg­ments, company’s privacy management programme, internet, business e-mail, sanctions, jobs’act

 

1. I principi in materia di controllo sui lavoratori ricavabili dal diritto europeo

Per quanto concerne i controlli a distanza sui lavoratori, il quadro giuridico sovranazionale si presenta complesso e dettato da più fonti, prevalentemente di livello europeo, dalle quali è possibile individuare un nucleo coerente di prin­cipi fondamentali.

Il diritto europeo muove dalla consapevolezza che numerosi sono i dati personali dei lavoratori che vengono trattati nello svolgimento di un rapporto di lavoro, dalla fase della selezione sino alla cessazione del rapporto medesimo (o per alcuni aspetti perfino dopo tale momento) [1].

L’obiettivo perseguito dall’Unione Europea è quello di realizzare un efficace bilanciamento tra i diritti alla riservatezza, dignità e libertà dei lavoratori, che non lasciano tali prerogative «fuori dalla porta quando si reca[no] sul luogo di lavoro ogni mattina», ed il diritto dei datori di lavoro di tutelare se stessi e le proprie imprese [2].

In primo luogo, tutti i controlli sui lavoratori (dal trattamento dei loro dati personali, compresi i dati di localizzazione, alla videosorveglianza, al monitoraggio della loro posta elettronica e degli accessi ad internet da essi effettuati) devono essere necessari.

L’art. 7 della direttiva 95/46/CE per quanto attiene al trattamento dei dati personali e alla libera circolazione degli stessi afferma, infatti, che è possibile darvi corso solo se necessario al perseguimento di determinati fini. Il medesimo principio è ribadito dall’art. 14 della direttiva 97/66/CE in materia di trattamento dei dati personali e della tutela della vita privata nel settore delle telecomunicazioni [3].

Il rispetto del principio di necessità succitato porta a privilegiare forme di controllo tradizionali e meno intrusive e a ricorrere al controllo della posta elet­tronica e degli accessi ad internet solo in casi del tutto eccezionali, qualora, ad esempio, il datore di lavoro sospetti un’attività criminosa da parte del proprio dipendente e sia lui stesso potenzialmente chiamato a risponderne in solido, oppure abbia la necessità di garantire la sicurezza del proprio sistema informatico da attacchi di virus o altro.

Il principio di necessità comporta altresì l’obbligo per il datore di lavoro di non conservare i dati per un tempo più lungo di quello necessario al perseguimento dello scopo individuato come fine dell’attività di controllo medesima [4].

In linea di principio, salvo eccezioni dunque, è vietato il trattamento dei c.d. dati sensibili, ossia di quei dati in grado di rilevare l’origine razziale o etni­ca, le opinioni politiche, le credenze religiose o filosofiche, l’appartenenza sin­dacale, le condizioni di salute e la vita sessuale del lavoratore [5].

Altri principi fondamentali, ai quali devono attenersi i datori di lavoro, sono quelli di finalità, trasparenza, legittimità, proporzionalità, accuratezza, conservazione e sicurezza dei dati, nonché sensibilizzazione del personale [6].

In base al principio di finalità i dati vanno raccolti per uno scopo determinato, esplicito e legittimo e non devono essere trattati secondo modalità incompatibili con tale scopo [7].

Il principio di trasparenza impone al datore di lavoro di informare i lavoratori di tutti i trattamenti dei loro dati personali e delle finalità perseguite mediante gli stessi. Impone altresì al datore di lavoro di non svolgere controlli occulti, se non in casi del tutto eccezionali, come ad esempio il compimento di un’attività criminosa da parte del dipendente.

Tale principio implica, altresì, l’obbligo di fornire, attraverso l’adozione di un privacy management programme aziendale, informazioni ai titolari dei dati e alle loro rappresentanze sui tempi e modi di uso consentito di e-mail ed internet aziendali, sui motivi e le finalità di un eventuale controllo, sui tempi e modi di notifica di eventuali infrazioni e sulle possibilità di difesa contro di esse [8].

Tale principio comporta inoltre l’obbligo d’informare le Autorità di vigilanza prima di procedere a qualsiasi operazione di trattamento dei dati parzial­mente od integralmente automatica o qualsiasi serie di tali operazioni [9].

Da ultimo questo principio implica il diritto d’accesso da parte dei lavoratori ai loro dati personali trattati dal datore di lavoro e di chiedere, laddove sia necessario, la rettifica, la cancellazione od il congelamento dei dati medesimi, in particolare a causa del loro carattere incompleto od inesatto [10].

Il lavoratore ha altresì il diritto di opporsi al trattamento dei suoi dati allorché ne derivi un nocumento ai suoi diritti e libertà fondamentali, nonché il diritto ad ottenere il risarcimento dei danni in caso di trattamento illecito [11].

Il principio di legittimità subordina la possibilità di svolgere qualsiasi operazione di trattamento dati al fatto che essa sia conforme alle disposizioni a­dottate dai singoli Stati membri a norma dell’art. 7 della direttiva 95/46/CE. Il riferimento non è tanto al consenso del lavoratore (art. 7, lett. a), che, dato il rapporto impari di forze, potrebbe non essere del tutto libero e quindi valido, quanto piuttosto al bilanciamento di interessi di cui alla lett. f ), in base alla quale il trattamento di dati personali può essere effettuato quando «è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata ...».

Il trattamento dei dati è altresì legittimo allorché sia «necessario all’esecu­zione del contratto [di lavoro] concluso con la persona interessata o all’esecu­zione di misure precontrattuali prese su richiesta di tale persona» (art. 7, lett. b); si pensi, ad esempio, ai dati che è necessario trattare per la corretta corresponsione della retribuzione. Esso è altresì ammesso nel caso in cui sia «necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento, oppure ... per la salvaguardia dell’interesse vitale della persona interessata» (lett. c) e d); si pensi, ad esempio, ai dati che ciascun datore di lavoro è tenuto a comunicare ad enti pubblici in osservanza di disposizioni di legge e ai dati che è necessario trattare per la tutela della salute dei lavoratori medesimi sul luogo di lavoro [12].

La proporzionalità richiede invece che i dati personali siano adeguati, pertinenti e non eccedenti rispetto agli scopi per i quali sono raccolti e/o ulteriormente trattati.

Tale principio impone altresì al datore di lavoro di trattare i dati personali dei lavoratori nel modo meno invasivo possibile. Esso esclude altresì, in linea di massima, i controlli a tappeto delle e-mail e degli accessi ad internet da parte dei lavoratori. Per l’attuazione di questo principio può essere assai utile la contrattazione collettiva, attraverso la quale, individuati i diritti e gli interessi contrapposti delle parti, è possibile negoziare le forme di controllo più idonee.

In merito all’utilizzo di internet da parte dei lavoratori, l’orientamento sovranazionale è nel senso di non vietarlo integralmente (il che sarebbe «poco pratico e non molto realistico») e di privilegiare sistemi di prevenzione degli abusi (es. meccanismi di blocco dell’accesso a determinati siti) piuttosto che di rilevazione degli stessi.

Per ciò che attiene ai controlli sulla posta elettronica sarebbe preferibile fornire al lavoratore due account, uno aziendale, soggetto a possibili controlli nei limiti stabiliti dalle direttive medesime, ed uno privato, soggetto a controlli solo in casi del tutto eccezionali [13].

L’accuratezza e la conservazione dei dati impongono al datore di lavoro di trattare solo dati raccolti accuratamente e aggiornati, esatti e completi avendo riguardo per le finalità perseguite, di cancellarli o rettificarli laddove siano inesatti e di conservarli solo per il tempo strettamente necessario (ad es. le e-mail potranno essere conservate sui servers centrali delle ditte per un periodo di tempo ragionevole, in linea di massima non superiore ai tre mesi).

Il principio di sicurezza obbliga il datore di lavoro a mettere in atto misure tecniche e organizzative adeguate a garantire la sicurezza dei dati personali dei propri dipendenti e nello specifico a prevenirne la comunicazione o l’accesso non autorizzati.

Sensibilizzare il personale significa in primo luogo formarlo e renderlo consapevole dei rischi connessi al trattamento dei dati personali. Il personale che si occupa del trattamento dei dati personali di altri lavoratori deve essere tenuto al segreto professionale, così come l’amministratore del sistema [14].

Dal diritto europeo è altresì possibile evincere una sostanziale equiparazione, ai fini della privacy, tra corrispondenza tradizionale e corrispondenza elettronica ed il principio in base al quale in nessun caso «l’ubicazione e la proprietà del mezzo elettronico utilizzato ... escludono la segretezza delle comunicazioni e della corrispondenza, quale sancita da principi giuridici fondamentali e costituzioni».

Un altro principio ricavabile dalla legislazione europea, strettamente connesso a quest’ultimo, è la legittima aspettativa del lavoratore alla riservatezza nei locali aziendali [15].

Il diritto europeo sancisce altresì il principio di gradualità dei controlli, in base al quale se è possibile escludere un abuso attraverso un controllo poco intrusivo non è necessario procedere ad ulteriori controlli di maggiore intrusività (ad esempio, in materia di accessi ad internet da parte dei dipendenti, se l’abu­so può essere escluso già solo osservando che i tempi dedicati alla navigazione sono alquanto circoscritti, non è necessario svolgere controlli aggiuntivi volti all’individuazione precisa dei siti visitati).

Il datore di lavoro deve inoltre avere la consapevolezza che a volte possono verificarsi visite involontarie di siti in seguito a risposte impreviste di motori di ricerca, collegamenti hypertext poco chiari, pubblicità fuorvianti ed errori di battitura [16].

Un altro principio individuabile dal diritto europeo è quello in base al quale al lavoratore a cui venga contestato un abuso deve sempre essere riconosciuta la possibilità di difendersi [17].

2. La Raccomandazione CM/Rec (2015)5

Sempre in ambito europeo la materia dei controlli a distanza sui lavoratori è stata di recente rivisitata con l’adozione della Raccomandazione 1° aprile 2015, n. 5 del Comitato dei Ministri agli Stati membri sul trattamento dei dati personali nel contesto occupazionale.

Tale Raccomandazione sostituisce la precedente, ossia la Raccomandazione R (89)2 del 1989, in quanto il Comitato è «consapevole dei cambiamenti che si sono verificati a livello internazionale nel settore occupazionale e in quello delle attività correlate, in particolare a seguito del ricorso più consistente alle tecnologie dell’informazione e della comunicazione (ICT) e della globalizzazione di occupazioni e servizi».

Il principio n. 3, rubricato significativamente «rispetto per i diritti umani, la dignità e le libertà fondamentali», dispone che il trattamento dei dati personali per scopi di lavoro avvenga nel pieno rispetto della vita privata del lavoratore e garantisca a quest’ultimo l’assoluta protezione dei dati medesimi al fine di non ostacolarne il libero sviluppo della personalità e le opportunità di rapporti personali e sociali sul luogo di lavoro.

Fra gli altri, spiccano i principi di necessità, pertinenza, idoneità e non eccedenza di cui ai punti 4 e 5, aventi ad oggetto le modalità di acquisizione, trattamento e conservazione delle informazioni personali sui lavoratori. I datori di lavoro devono sempre essere in grado di dimostrare l’osservanza di tali principi e obblighi alle autorità di controllo.

La fonte privilegiata di raccolta dei dati medesimi deve sempre essere il lavoratore stesso e qualora si renda necessario raccogliere dati presso terzi è sempre necessario informarlo in via preventiva.

Il punto 6.2 invita invece i datori di lavoro ad adottare politiche, regole aziendali e/o altri strumenti interni in materia di trattamento dei dati personali dei lavoratori, coerenti con la Raccomandazione medesima. Viene quindi qui ri­proposta la necessità per i datori di lavoro di adottare un apposito privacy ma­nagement programme.

I punti 9.1 e 9.3 dispongono in materia di trattamento dei dati sensibili e genetici dei lavoratori, riconoscendone l’ammissibilità, per i dati sensibili, «sol­tanto in casi particolari» e «in conformità di idonee garanzie» e, per i dati genetici, «solo in casi eccezionali, ad esempio per evitare un grave pregiudizio per la salute dell’interessato o di terzi, ed esclusivamente se ciò è previsto dal diritto interno e in presenza di idonee salvaguardie».

Il punto 9.2 elenca tassativamente le ipotesi in cui un lavoratore può essere interrogato sul suo stato di salute e/o sottoposto ad esame medico: «tali dati devono riferirsi direttamente alla capacità del dipendente interessato di svolgere i propri compiti; essere necessari a supporto di misure finalizzate a proteggere la salute del dipendente; essere necessari per impedire rischi a carico di altri».

Il principio di necessità e la previsione di idonee salvaguardie sono disposti dai punti 18 e 19 anche, rispettivamente, per la raccolta ed il trattamento di dati biometrici e per i test psicologici ed altre analoghe procedure.

Il punto 10 invita alla trasparenza dei processi di acquisizione e conservazione delle informazioni personali dei lavoratori, imponendo ai datori di lavoro di dettagliare le categorie di dati personali che possono essere raccolti ed i possibili utilizzi di tali dati.

Il punto 11 dispone invece in materia di diritti di accesso, rettifica ed opposizione da parte del lavoratore, stabilendo che lo stesso deve poter ottenere, su richiesta, conferma del trattamento di dati personali che lo riguardano, nonché la rettifica, il blocco o la cancellazione di dati inesatti ovvero trattati illecitamente e può opporsi al trattamento dei propri dati se non previsto dalla legge o necessario per scopi di lavoro.

Fondamentale appare quanto statuito nel principio n. 14, in base al quale è preferibile il ricorso da parte del datore di lavoro in via preventiva a filtri che limitino l’utilizzo di internet da parte del lavoratore sul posto di lavoro rispetto ad un controllo successivo, evitando in questo modo interferenze ingiustificate ed irragionevoli nella privacy dei lavoratori. L’accesso ai dati del traffico internet dei dipendenti è quindi ammesso solo in via residuale e ponendo in essere determinate cautele.

L’accesso alle comunicazioni elettroniche di natura professionale dei dipendenti può avvenire solo previa informazione dell’interessato dell’esistenza di tale possibilità ed in presenza di un ragionevole motivo.

Il punto 14.4 prevede che «in nessun caso dovrebbe essere oggetto di sorveglianza il contenuto, l’invio e la ricezione di comunicazioni elettroniche di natura privata sul luogo di lavoro».

Il principio n. 15 vieta l’introduzione e l’utilizzo di sistemi informatici e tecnologie con lo specifico e diretto scopo di monitorare l’attività dei lavoratori e qualora dall’utilizzo di essi, introdotti per altri scopi, derivi un controllo preterintenzionale dei lavoratori è necessario rispettare le salvaguardie di cui al principio n. 21, consistenti nell’informazione preventiva dei lavoratori e nella consultazione delle rappresentanze collettive. Il testo dispone, infatti, che «non dovrebbe essere consentito introdurre e utilizzare sistemi informativi e tecnologie aventi per scopo diretto e primario la sorveglianza dell’attività e del comportamento dei dipendenti. Se l’introduzione e l’utilizzazione di tali sistemi e tecnologie per altri scopi legittimi, quali la tutela dell’attività produttiva, della salute e della sicurezza, o l’efficace gestione di un’azienda o di un ente, comportano indirettamente la possibilità di sorvegliare l’attività dei dipendenti, esse dovrebbero essere soggette alle ulteriori salvaguardie previste nel Principio 21, ed in particolare alla consultazione di rappresentanti dei dipendenti». Lo stesso punto prevede che «in nessun caso è consentito ricorrere alla videosorveglianza di luo­ghi che appartengono alla sfera più privata della vita dei dipendenti».

Alquanto rilevante è pure la disposizione di cui al punto 16, che ribadisce, anche in ordine all’installazione di apparecchiature in grado di rilevare l’ubi­cazione dei dipendenti, il rispetto dei principi di necessità e proporzionalità e sancisce che «l’utilizzo di tali apparecchiature non dovrebbe dar luogo alla sorveglianza continua del dipendente» e quest’ultima «non dovrebbe rappresentare la finalità primaria».

3. La Convenzione europea dei diritti dell’uomo e le sentenze della Corte europea di Strasburgo

Certamente meritano attenzione, sempre a livello europeo, i principi contenuti nella Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, nonché alcune sentenze della Corte europea dei diritti dell’uomo.

Gli artt. 8 e 10 della predetta Convenzione sanciscono i diritti alla vita privata e familiare, all’inviolabilità del domicilio e della corrispondenza e la libertà d’espressione, che ricomprende in sé «la libertà d’opinione e la libertà di ricevere o di comunicare informazioni od idee senza ingerenza alcuna ...».

Gli Stati membri e l’Unione Europea sono vincolati dalle disposizioni della Convenzione. Tradizionalmente questi diritti sono stati esercitati in senso verticale, ossia dall’individuo nei confronti dello Stato, ma è attualmente in corso un dibattito circa la misura in cui essi possano essere esercitati anche in senso orizzontale, ossia tra individui.

La quarta sezione della Corte europea dei diritti dell’uomo si è recentemente espressa in materia di controlli a distanza sui lavoratori con la sentenza del 12 gennaio 2016 (caso Bărbulescu v. Romania[18].

Un cittadino rumeno, il Sig. Bărbulescu, agendo ai sensi dell’art. 34 della Convenzione per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, nel dicembre 2008 presentò alla Corte un ricorso contro il proprio Paese, sostenendo di essere stato licenziato illegittimamente dal proprio datore di lavoro, il quale avrebbe violato il suo diritto alla riservatezza controllando alcuni suoi messaggi a contenuto privato inviati dall’account aziendale al fratello e alla fidanzata. Il medesimo affermava altresì che i giudici del suo Paese non lo avevano tutelato in ordine ai suoi diritti fondamentali alla vita privata e alla corrispondenza, protetti dalla Costituzione e dal codice penale della Romania, nonché dall’art. 8 della Convenzione europea dei diritti dell’uomo in base al quale «ogni persona ha diritto al rispetto della propria vita privata e familiare, del suo domicilio e della sua corrispondenza».

La Corte, confermando le sentenze dei giudici nazionali, ha invece ritenuto legittima e rientrante nel normale potere di controllo l’ingerenza del datore di lavoro nelle comunicazioni tenute dal proprio dipendente mediante l’account aziendale in quanto al medesimo, al pari dei suoi colleghi, era stato espressamente vietato, attraverso l’adozione di un apposito codice aziendale, l’utilizzo dei beni aziendali (compresi il computer ed internet) a fini privati e pochi giorni prima del controllo lo stesso era stato avvisato mediante nota scritta che vi sarebbero stati nei giorni a seguire accertamenti sull’utilizzo degli strumenti informatici aziendali [19].

La legittimità del controllo, a parere della Corte, si fondava altresì sulla necessità per l’azienda di evitare la commissione di reati da parte dei propri dipendenti a nome dell’azienda medesima, il danneggiamento del sistema infor­matico aziendale con collegamenti internet incauti, nonché la diffusione di segreti aziendali.

Inoltre il datore di lavoro aveva esaminato i messaggi del proprio dipendente solo dopo che questi aveva assicurato, all’interno di un procedimento di­sciplinare, che gli stessi non avevano un contenuto privato, essendo stati usati esclusivamente per comunicare con i clienti dell’azienda. Il datore di lavoro aveva altresì usato la cautela di non divulgare né utilizzare il contenuto dei messaggi stessi.

Il controllo posto in essere dal datore di lavoro è stato pertanto ritenuto trasparente, necessario e proporzionato e quindi legittimo, anche alla luce della direttiva 95/46/CE.

La Corte con questa sentenza non nega, anzi riafferma, che le telefonate effettuate nei locali commerciali, le e-mail inviate dal lavoro, le informazioni ac­quisite mediante il monitoraggio dell’uso personale di internet e gli effetti personali depositati negli armadietti o sui tavoli di lavoro sono tutelati dall’art. 8 della Convenzione, in quanto rientranti nelle nozioni di vita privata e comunicazioni (come già affermato nelle sentenze Halford v. Regno Unito del 1997, Copland v. Regno Unito e Peev v. Bulgaria del 2007), ma riconosce come legittima e rientrante nel potere di controllo del datore di lavoro la vigilanza trasparente, necessaria e ragionevole.

In particolare il solo avvertimento da parte del datore di lavoro di un futuro monitoraggio, afferma la Corte, fa venir meno nei lavoratori l’aspettativa stessa di riservatezza. Inoltre il datore di lavoro – qui starebbe la principale differenza con gli altri casi esaminati in precedenza dalla Corte – aveva adottato un apposito codice aziendale mediante il quale aveva espressamente vietato deter­minati comportamenti, fra i quali l’uso a fini personali di internet e della posta elettronica («It is strictly forbidden ... to use computers, photocopiers, telephones, telex and fax machines for personal purposes»).

Si deve ritenere che questa decisione della Corte europea dei diritti dell’uo­mo, al pari delle altre, sia vincolante anche per il nostro ordinamento, in virtù del combinato disposto dell’art. 6 del Trattato sull’Unione Europea, il quale ai commi 2 e 3 stabilisce che «l’Unione aderisce alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali» e che «i diritti fondamentali, garantiti dalla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali ... fanno parte del diritto dell’Unio­ne in quanto principi generali» e dell’art. 46, comma 1, della Convenzione, che stabilisce che «le Alte Parti contraenti si impegnano a conformarsi alle sentenze definitive della Corte sulle controversie nelle quali sono parti».

Deve ritenersi che, sebbene l’art. 46, comma 1, limiti alle Alte Parti contra­enti l’obbligo di conformarsi alle sentenze della Corte europea dei diritti umani, a tali sentenze sia stata riconosciuta un’efficacia persuasiva nei confronti di tutti gli organi degli Stati contraenti. La nostra Corte costituzionale ha infatti affermato che «al giudice nazionale, in quanto giudice comune della Convenzione, spetta il compito di applicare le relative norme nell’interpretazione offertane dalla Corte di Strasburgo alla quale questa competenza è stata espressamente attribuita dagli Stati contraenti» [20].

Vi sono altre sentenze della Corte di Strasburgo più risalenti nel tempo che meritano comunque di essere ricordate. In particolare il caso Niemietz v. Germania, in cui la Corte afferma che deve essere ricompresa nel concetto di vita privata anche la vita professionale e commerciale dell’individuo. Nel caso concreto si dibatteva circa una perquisizione dell’ufficio del ricorrente effettuata dall’autorità governativa tedesca, che sosteneva l’inapplicabilità dell’art. 8 della Convenzione sussistendo una netta distinzione tra vita privata e mura domestiche da una parte e vita professionale e locali destinati all’attività professionale dall’altra.

La Corte ha respinto questa tesi affermando che «del rispetto della vita privata deve parimenti far parte in certa misura il diritto di stabilire e sviluppare relazioni con altri esseri umani. Non sembra inoltre esservi alcuna ragione di principio per la quale si debba considerare tale interpretazione della nozione “vita privata” tale da escludere attività di natura professionale o commerciale, giacché dopo tutto è nel corso della propria vita lavorativa che la maggior parte delle persone ha una possibilità significativa, se non la più significativa, di sviluppare relazioni con il mondo esterno. Questa tesi è confortata dal fatto che, come la commissione ha correttamente fatto rilevare, non è sempre possibile distinguere chiaramente quali tra le attività svolte da un individuo rientrino nell’ambito della sua vita professionale o commerciale e quali no» [21].

Nella sentenza emessa nel già citato caso Halford v. Regno Unito la Corte fa rientrare nella nozione di “vita privata” e “corrispondenza”, tutelate dall’art. 8 della Convenzione, anche le telefonate a carattere privato effettuate dalla lavoratrice dalla linea telefonica aziendale messa a sua disposizione. La Corte afferma altresì che l’aspettativa di riservatezza di un lavoratore nei locali di lavoro viene meno solo quando il medesimo è stato avvisato che potrebbero es­servi controlli da parte del datore di lavoro.

La Corte ha infatti affermato che «risulta chiaro dalla giurisprudenza che le chiamate telefoniche effettuate da sedi commerciali possano, alla pari di quelle effettuate da casa, rientrare nell’ambito delle nozioni di “vita privata” e “corrispondenza” a termini dell’articolo 8, paragrafo 1. ... Non vi sono elementi atti a provare che la sig.ra Halford, in quanto utente del sistema interno di telecomunicazioni, abbia ricevuto un avviso di qualunque tipo circa il fatto che le chiamate effettuate a partire da tale sistema potessero essere oggetto d’inter­cettazioni. A parere della Corte lei poteva ragionevolmente attendersi una certa riservatezza per tali chiamate ...»  [22].

Nel caso Copland v. Regno Unito, deciso dalla Corte con sentenza del 3 aprile 2007, si equiparano alle telefonate le e-mail spedite dal luogo di lavoro ed i siti internet visitati in orario di lavoro. La Corte afferma che anche questi debbono farsi rientrare nella nozione di “vita privata” e “corrispondenza” di cui all’art. 8 della CEDU, fintantoché i lavoratori non vengano avvertiti della possibilità di controlli ed intercettazioni. Si legge, infatti, nella sentenza che «secondo quanto affermato dalla costante giurisprudenza della Corte, le chiamate telefoniche da luogo di lavoro sono prima facie coperte dalla nozione di “vita privata” e “corrispondenza” ai sensi dell’art. 8 § 1 CEDU ... Logicamente ne consegue che le e-mailspedite dal luogo di lavoro sono analogamente protette dall’art. 8, così come l’utilizzo di internet. La ricorrente, nel presente caso non è stata avvertita che le sue telefonate sarebbero state intercettate, cosicché ella ha confidato in una ragionevole aspettativa sulla riservatezza delle chiamate da lei effettuate dal luogo di lavoro. La medesima aspettativa era nutrita anche in relazione alle e-mail e all’uso di internet».

Nel già citato caso Peev v. Bulgaria, deciso con sentenza del 26 luglio 2007, la Corte riafferma come la ragionevole aspettativa di privacy, questa volta in relazione ad oggetti privati lasciati dal lavoratore nel suo ufficio, venga meno solo in caso di adozione di policy aziendali che vietino espressamente alcuni comportamenti. Si legge, infatti, che «such an arrangement is implicit in habitual employer employee relation and there is nothing in the particular circumstances of the case such as a regulation or stated policy of the applicant’s employer discouraging employees from storing personal papers and effects in their desks or filing cabinets to suggest that the applicant’s expectation was unwarranted or unreasonable».

Possiamo concludere affermando che la Corte di Strasburgo con la sentenza del 12 gennaio 2016 (caso Bărbulescu) ha assunto una posizione maggiormente rigida nei confronti dei lavoratori, rispetto ai propri precedenti, pur riconfermati.

La principale differenza tra il caso in questione e i precedenti, che giustifica questo cambiamento di rotta, consiste nell’avvenuta adozione da parte del­l’azienda rumena, prima dell’accadimento dei fatti dedotti in giudizio, di un codice aziendale dettagliato, con il quale determinati comportamenti, quali l’uso personale di internet e della posta elettronica, venivano espressamente vietati ai propri dipendenti.

Nella sentenza stessa si legge infatti che «the case is different, as suggested by the Government, from the Halford and Copland cases, in which the personal use of an office telephone was allowed or, at least, tolerated. The case must also be distinguished from the Peev case, in which the employer’s regulations did not forbid employees to keep personal belongings in their professional office».

La sentenza pare quindi ribadire la centralità delle policy e dei codici aziendali, sui quali avremo modo di tornare nel prosieguo dell’opera.

4. Le ripercussioni del diritto europeo nell’ordinamento interno

È venuto ora il momento di analizzare come il diritto europeo influenzi il nostro ordinamento nella materia di cui si tratta ed in particolare di vedere co­me esso condizioni l’interpretazione del nuovo art. 4 Stat. lav.

Per più di 45 anni nel nostro ordinamento i controlli a distanza sui lavoratori sono stati disciplinati dall’art. 4 della legge n. 300, nella formulazione originaria del 1970.

Tale norma, nell’interpretazione offerta dalla dottrina e dalla giurisprudenza, si è mano a mano adattata ai tempi e alle nuove possibilità di controllo derivanti dall’introduzione delle nuove tecnologie, pur manifestando una progressiva obsolescenza [23]. Essa rappresentava una tutela in linea con le indicazioni di diritto europeo e per certi versi era anche più pervasiva.

Il comma 1 poneva un divieto generale di effettuare controlli a distanza sui lavoratori in modo intenzionale, in accordo con le indicazioni di diritto europeo da ultimo ribadite con la recente Raccomandazione 1° aprile 2015, n. 5.

Il comma 2 ammetteva la possibilità per il datore di lavoro di adottare sistemi di controllo per tutelare i propri interessi legittimi, dai quali potessero derivare controlli preterintenzionali sull’attività dei lavoratori: «gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando ove occorra, le modalità per l’uso di tali impianti».

Tali controlli, quindi, dovevano essere necessari, finalizzati alla tutela di determinati interessi e proporzionati, in sintonia con le indicazioni di diritto europeo, che come visto impongono un bilanciamento fra gli interessi del datore di lavoro ed i diritti di libertà, dignità e riservatezza dei lavoratori.

L’obiettivo della trasparenza era invece perseguito con il coinvolgimento delle rappresentanze sindacali. Anzi proprio su questo punto si registrava una tutela più avanzata del nostro ordinamento rispetto alle indicazioni europee, in quanto le rappresentanze sindacali non erano soltanto consultate, ma con esse doveva raggiungersi, laddove possibile, un accordo in ordine all’installazione degli impianti medesimi.

La previsione di limiti sostanziali e di limiti procedurali garantiva quindi la conformità del nostro ordinamento alle indicazioni europee.

La giurisprudenza consentiva poi ai datori di lavoro di procedere a controlli occulti in caso di controlli difensivi, ossia volti a tutelare il patrimonio aziendale dall’attività criminosa dei dipendenti, dando del concetto di patrimonio aziendale un’accezione piuttosto ampia [24]. Anche ciò doveva ritenersi in linea con le indicazioni di diritto europeo, che, come anticipato, riconosce solo in casi residui (come la commissione di un’attività criminosa da parte dei lavoratori) la possibilità di controlli occulti.

La situazione nel nostro ordinamento è cambiata a seguito della riforma ex art. 23, d.lgs. n. 151/2015.

Innanzitutto è venuto meno il divieto generale di procedere a controlli intenzionali dell’attività svolta dai lavoratori, anche se la dottrina ritiene questo divieto implicito nella norma medesima, che si riferisce esclusivamente a controlli preterintenzionali: «gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori pos­sono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali ...» [25].

Si noti come la tutela del patrimonio aziendale sia divenuta una causa giustificativa dell’impiego di strumenti di controllo, al pari delle esigenze organizzative, produttive e di sicurezza del lavoro e che anche per il suo perseguimento sia dunque ora necessaria la procedura sindacale o amministrativa [26].

Si deve ritenere che la nozione di “patrimonio aziendale” vada intesa in senso ampio, in modo tale da ricomprendervi sia i beni materiali che i beni immateriali.

La maggiore novità è rappresentata, però, dalla disposizione di cui all’at­tuale comma 2, in base alla quale è possibile precedere a controlli sugli «strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e [sugli] strumenti di registrazione degli accessi e delle presenze» senza l’osservanza dei predetti limiti sostanziali e procedurali, ossia senza specifiche necessità organizzative, produttive o di tutela della salute o dei beni aziendali, e senza il raggiungimento di un accordo con le rappresentanze sindacali o l’ottenimento del­l’autorizzazione ministeriale.

Pare, a parere di chi scrive, che l’unica interpretazione compatibile con le indicazioni di diritto europeo sia quella fornita dal Ministero del lavoro il 18 giugno 2015 a dibattito parlamentale ancora aperto [27]. In base a questa interpretazione i controlli liberi da ogni limite sostanziale e procedurale atterrebbero ai soli mezzi aziendali (computertablet, telefoni cellulari, ...) messi a dispo­sizione dei lavoratori per lo svolgimento della prestazione lavorativa, senza aver precedentemente installato su di essi sistemi di rilevazione dei dati. Per proce­dere all’installazione di tali sistemi è necessario, quindi, rispettare le procedure di cui al comma 1 e l’installazione è possibile solo in caso di necessità, ovvero per garantire l’organizzazione e la produzione e/o tutelare il patrimonio aziendale e la sicurezza dei lavoratori.

La suddetta nota afferma infatti che «l’espressione “per rendere la prestazione lavorativa” comporta che l’accordo o l’autorizzazione non servono se, e nella misura in cui, lo strumento viene considerato quale mezzo che “serve” al lavoratore per adempiere la prestazione: ciò significa che, nel momento in cui tale strumento viene modificato (ad esempio, con l’aggiunta di appositi software di localizzazione o filtraggio) per controllare il lavoratore, si fuoriesce dall’am­bito della disposizione: in tal caso, infatti, da strumento che “serve” al lavoratore per rendere la prestazione il pc, il tablet o il cellulare divengono strumenti che servono al datore per controllarne la prestazione. Con la conseguenza che queste “modifiche” possono avvenire solo alle condizioni ricordate sopra: la ricorrenza di particolari esigenze, l’accordo sindacale o l’autorizzazione».

Solo aderendo a questa interpretazione la norma è di fatto rispettosa dei principi posti dal diritto europeo, in particolare i principi di necessità, finalità, trasparenza, legittimità e proporzionalità sopra individuati. Si ricordi che la legge delega medesima (legge n. 183/2014) aveva imposto al legislatore delegato l’osservanza delle norme europee e delle convenzioni internazionali.

Di pari avviso pare essere la dottrina prevalente che pur enfatizza il carattere fortemente innovativo di questa disposizione e la considera un necessario adeguamento all’odierno sistema organizzativo – produttivo delle nostre aziende e del lavoro in generale [28].

Due sarebbero infatti le condizioni per l’operatività dell’eccezione di cui al comma 2, ossia che risulti «una stretta correlazione tra gli strumenti tecnologici e le mansioni svolte dal lavoratore» e che l’applicativo, dal quale potenzialmente può derivare un controllo a distanza dell’attività del lavoratore, «sia direttamente funzionale allo svolgimento della prestazione lavorativa». In difetto di tali condizioni, si fuoriesce dall’eccezione e si ricade nell’ambito di operatività del comma 1 [29].

Parte della dottrina già sotto la vigenza del vecchio art. 4 Stat. lav. aveva sostenuto che gli strumenti di lavoro dovessero essere esclusi dai limiti sostanziali e procedurali di cui all’allora comma 2 [30].

In una posizione anticipatrice della novella, così come qui interpretata, si era, invece, espressa altra parte della dottrina, che escludeva dai suddetti limiti sostanziali e procedurali gli strumenti di lavoro finalizzati alla mera effettuazione della prestazione, non così per quelli dai quali poteva derivare un controllo dell’attività dei lavoratori [31].

Per quanto attiene agli strumenti di rilevazione delle presenze, secondo parte della dottrina, i medesimi dovevano già, prima della novella, considerarsi esclusi dai limiti di natura sostanziale e procedurale [32].

Un’eccezione è rappresentata dagli strumenti attraverso i quali vengono registrati gli spostamenti del lavoratore all’interno dell’azienda, da ricondursi all’odierno art. 4, comma 1, poiché particolarmente intrusivi [33].

Venendo ora al comma 3 ed ultimo, esso richiama esplicitamente il principio di trasparenza, imponendo al datore di lavoro che voglia utilizzare le informazioni raccolte ai sensi dei precedenti commi «a tutti i fini connessi al rapporto di lavoro», quindi anche ai fini disciplinari, di dare al lavoratore una «adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli».

Il datore di lavoro è altresì tenuto a rispettare quanto disposto dal d.lgs. n. 196/2003 in materia di privacy ed, in via indiretta, quanto disposto dalle linee guida e dai provvedimenti del Garante, che ha ripetutamente esortato i datori di lavoro ad adottare policy e codici disciplinari interni aziendali che individuino gli usi consentiti dei beni aziendali, le infrazioni e le sanzioni conseguenti [34].

Il rinvio generico al codice della privacy operato dal legislatore è stato criticato da parte della dottrina, poiché foriero di problemi interpretativi [35].

La novella ha quindi fatto chiarezza prevedendo che le informazioni ottenute dal datore di lavoro mediante controlli a distanza legittimi possono essere utilizzate dallo stesso a tutti i fini connessi al rapporto. Non era così in precedenza, stante l’originaria formulazione dell’art. 4 dello Statuto che nulla prevedeva in merito e lasciava di conseguenza ampia discrezionalità alla giurisprudenza.

Il principio della trasparenza era già presente nel nostro ordinamento in alcune norme di legge, che potremmo definire antesignane del nuovo art. 4 dello Statuto, come l’allegato VII, par. 3, del d.lgs. n. 626/1994 e l’allegato XXXIV, par. 5, del d.lgs. n. 81/2008, in base alle quali «nessun dispositivo o controllo quantitativo o qualitativo può essere utilizzato all’insaputa dei lavoratori».

Quindi possiamo concludere che oggi le informazioni raccolte a seguito di controlli a distanza preterintenzionali, ossia posti in essere per ragioni organizzative e produttive o per ragioni di sicurezza del lavoro o di tutela del patrimonio aziendale, possono essere utilizzate dal datore di lavoro a condizione dell’avvenuto rispetto della procedura sindacale o amministrativa e dell’ade­guata informazione al lavoratore ai sensi del nuovo comma 3. L’informativa al lavoratore costituisce, invece, la sola condizione necessaria per l’utilizzo dei dati raccolti mediante il monitoraggio degli strumenti di lavoro e degli strumenti atti a registrare gli accessi e le presenze dei lavoratori.

Si ritiene che l’informativa in questione debba consistere in una comunicazione dettagliata, non contenente formule generiche, effettuata in forma scritta, in via preventiva e sottoscritta dal singolo lavoratore per ricevuta.

 

NOTE

[1] Si v. il parere n. 8 sul trattamento di dati personali nell’ambito dei rapporti di lavoro adottato il 13 settembre 2001 dal Gruppo di lavoro ex art. 29 della direttiva 95/46/CE, 3.

[2] Si v. chiaramente in tal senso il documento di lavoro riguardante la vigilanza sulle comunicazioni elettroniche sul posto di lavoro del Gruppo di lavoro, 29 maggio 2002, n. 55, 4.

[3] Nonché, con esplicito riferimento ai rapporti di lavoro, dal parere n. 8/2001 e dal documento di lavoro n. 55/2002 succitati. Si vedano altresì le linee guida OCSE in materia di privacy adottate nel 1980 e rivedute nel 2013 (principio n. 8).

[4] Documento di lavoro n. 55/2002, citato, 13-14.

[5] Si v. l’art. 8 della direttiva 95/46/CE ed il punto 8 del parere n. 8/2001.

[6] Art. 6 della succitata direttiva 95/46/CE; punti 5 e 6.14 del codice di condotta dell’Ufficio internazionale del lavoro del 1997; art. 8, comma 2, della Carta dei diritti fondamentali dell’U­nione Europea; principi dal 7 al 14 delle linee guida OCSE.

[7] Parere n. 8/2001, 9; documento di lavoro n. 55/2002, 14.

[8] Parere n. 8/2001, 9; documento di lavoro n. 55/2002, 14-16. Si v. altresì il par. 15 delle linee guida OCSE. Per quanto attiene agli obblighi d’informazione delle rappresentanze si v. anche il principio 12.2 del codice di condotta dell’Ufficio internazionale del lavoro, che prevede che «laddove esistano e garantendo il rispetto delle legislazioni e delle prassi nazionali, i rappresentanti dei lavoratori andranno informati e consultati ... prima che venga introdotta qualsiasi forma di vigilanza elettronica sul comportamento dei lavoratori sul posto di lavoro ...».

[9] Documento di lavoro n. 55/2002, 16.

[10] Art. 12 della direttiva 95/46/CE; parere n. 8/2001, 11; documento di lavoro n. 55/2002, 16.

[11] Art. 14 della direttiva 95/46/CE; parere n. 8/2001, 11.

[12] Parere n. 8/2001, 10 e documento di lavoro n. 55/2002, 17.

[13] Documento di lavoro n. 55/2002, 5.

[14] Parere n. 8/2001, 10-11 e documento di lavoro n. 55/2002, 17-19.

[15] Documento di lavoro n. 55/2002, 4 e 20.

[16] Documento di lavoro n. 55/2002, 24.

[17] Documento di lavoro n. 55/2002, 15.

[18] Le sentenze della Corte europea dei diritti dell’uomo possono essere reperite sul sito www.dirittieuropa.it/blog/category/rassegne-cedu/.

[19] Sebbene, si noti, non è mai stata fornita in giudizio prova certa dell’effettiva conoscenza del codice aziendale da parte del Sig. Bărbulescu.

[20] Corte cost. 26 novembre 2009, n. 311, in www.cortecostituzionale.it.

[21] Sentenza del 16 dicembre 1992, in Racc., serie A, vol. 251, B. 78.

[22] Sentenza del 25 giugno 1997, in Racc., 1997, III, 1016.

[23] L. GAETA, Che cosa è oggi lo Statuto dei lavoratori?, in Lav. dir., 2010, 52; P. TULLINI, Comunicazione elettronica, potere di controllo e tutela del lavoratore, in Riv. it. dir. lav., 2009, 347, C. ZOLI, Il controllo a distanza del datore di lavoro: l’art. 4, L. n. 300/1970 tra attualità ed esigenze di riforma, in Riv. it. dir. lav., 2009, 502-503.

[24] Si v., fra le altre, Cass. 23 febbraio 2012, n. 2722, in Riv. it. dir. lav., 2013, 113 ss.

[25] Si v. ad es. A. SITZIA, I controlli a distanza dopo il “Jobs Act” e la Raccomandazione R (2015)5 del Consiglio d’Europa, in Lav. giur., 2015, 678; M.T. SALIMBENI, La riforma del­l’articolo 4 dello statuto dei lavoratori: l’ambigua risolutezza del legislatore, in Riv. it. dir. lav., 2015, 602; A. LEVI, La ridefinizione dell’assetto regolativo dei controlli a distanza, quale tassello di una più complessiva riforma del diritto del lavoro,in A. LEVI (a cura di), Il nuovo art. 4 sui controlli a distanza. Lo Statuto dei Lavoratori dopo il Jobs Act, Giuffrè, Milano, 2016; V. MAIO, La nuova disciplina dei controlli a distanza sull’attività dei lavoratori e la modernità post panottica, in Arg. dir. lav., 2015, 1190. Contra L.ACOSATTINI, Le modifiche all’art. 4 Stat. Lav. sui controlli a distanza, tanto rumore; per nulla?, in Lav. giur., 2015, 986. In una posizione intermedia, M. LANOTTE, La ridefinizione dei limiti al potere di controllo a distanza, in A. LEVI (a cura di), op. cit., 26, che parla di “polifunzionalità delle strumentazioni”.

[26] Sulla decisione del legislatore di ricondurre i controlli cd difensivi all’art. 4, comma 1, si v. A. RUSSO, M. TUFO, I controlli preterintenzionali: la nozione, in A. LEVI (a cura di), op. cit., 66 ss.; L.A. COSATTINI, op. cit., 987.

[27] Controlli a distanza. Ministero del Lavoro, nessuna liberalizzazione; norma in linea con le indicazioni del Garante della Privacy, in http://www.lavoro.gov.it/Notizie/Pages/2015_06_18 Controlli-a-distanza.aspx.

[28] Si v. R. DEL PUNTA, La nuova disciplina dei controlli a distanza sul lavoro (art. 23, D.Lgs. n. 151/2015), in Riv. it. dir. lav., 2016, 83, che evidenzia come l’avvento dell’era informatica, che ha reso normale l’uso di computer, smartphone tablet, abbia messo in crisi la vecchia distinzione tra strumenti di lavoro e strumenti di controllo. Nello stesso senso, si v. M. LANOTTE, op. cit., 29.

[29] R. DEL PUNTA, op. cit., 100 ss.

[30] Si v. P. ICHINO, Il contratto di lavoro, in P. SCHLESINGER, Trattato di diritto civile e commerciale, Giuffrè, Milano, 2003, 234.

[31] I. ALVINO, L’articolo 4 dello Statuto dei lavoratori alla prova di internet e della posta elettronica, in Dir. rel. ind., 2014, 999 ss.

[32] Si v. C. ZOLI, op. cit., 490. In giurisprudenza in senso contrario, però, Cass. 17 luglio 2007, 15892, in Riv. it. dir. lav., 2008, 714.

[33] M.T. SALIMBENI, op. cit., 604.

[34] Deliberazione del Garante della privacy del 1° marzo 2007, n. 13 (Linee guida del Garante per posta elettronica ed Internet nel rapporto di lavoro), pubblicata nel Bollettino n. 81, marzo 2007. Si v. altresì i Provvedimenti del Garante dell’8 aprile 2010 in materia di videosorveglianza, del 4 ottobre 2011 in materia di geolocalizzazione e del 12 novembre 2014 in materia di dati biometrici.

Sulla valenza etica più che disciplinare delle policy e sulla distinzione tra queste e i codici disciplinari, si v. C. TIMELLINI, L’utilizzabilità dei dati raccolti: il punto di scardinamento della vecchia normativa statutaria, in A. LEVI (a cura di), op. cit., 127 ss.

[35] Si v. L. CALAFÀ, I limiti derivanti dalla disciplina della tutela della riservatezza, in A. LEVI (a cura di), op. cit., 147.


  • Giappichelli Social