newsletter

home / Archivio / Fascicolo / Controllo a distanza (su impianti e strumenti di lavoro) e protezione dei dati del lavoratore

indietro stampa articolo leggi fascicolo


Controllo a distanza (su impianti e strumenti di lavoro) e protezione dei dati del lavoratore

Anna Trojsi (Prof. Associato di diritto del lavoro nell’Università degli Studi “Magna Græcia” di Catanzaro)

Questo saggio riprende e rielabora alcune delle riflessioni svolte in occasione della Relazione alla Tavola rotonda in ricordo di Sergio Mattone su “Poteri del datore di lavoro e tutela della dignità e professionalità del lavoratore al tempo del Jobs Act” (Corte di Cassazione-Roma-Aula Magna, 12 maggio 2016). Si ringrazia Pierluigi Luciani, titolare della INK Open Solutions, per le preziose informazioni di natura tecnica, utilizzate in particolare per la elaborazione del par. 3.

Il saggio esamina il nuovo testo dell’art. 4 Stat. lav. (riformato dal d.lgs. n. 151/2015), evidenziando il superamento della valenza generale del divieto di controllo a distanza dell’at­tività dei lavoratori. Ne analizza, poi, l’applicazione all’uso delle tecnologie informatiche e telematiche nel lavoro, individuando ampiezza e limiti sistematici della deroga del comma 2 al divieto di controllo a distanza sui lavoratori mediante strumenti di lavoro. Esso, in particolare, si concentra sulla funzione di garanzia per i lavoratori, svolta dalla normativa in materia di protezione dei dati personali, nazionale ed europea (dell’Unione Europea e del Consiglio d’Europa). Esprime, infine, l’opportunità di adozione del “Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato per finalità previdenziali o per la gestione del rapporto di lavoro”, come fonte normativa a tutela anche del trattamento dei dati dei lavoratori mediante nuovi strumenti tecnologici.

PAROLE CHIAVE: lavoratori - strumenti informatici - protezione dei dati personali - controllo a distanza

Remote monitoring of working tools and protection of workers'personal data

This scientific article examines the new text of article 4 Stat. lav. (reformed by Legislative Decree n. 151/2015), pointing out the loss of the general value of workers’remote monitoring. It analyzes, then, applying to the use of information and communication technologies in the work, identifying breadth and systematic limits of the paragraph 2’s exception to the prohibition of remote monitoring on workers using work tools. It particularly focuses on the guarantee function for workers, by national and European legislation about personal data protection; and finally underlines the opportunity to approve the “Code of conduct and professional practice by the processing of personal data either for social security purposes or in connection with management of employer-employee relationships” as a source of law also for protection of workers’personal data through new technologies.

Keywords: Workers’remote monitoring, ICT working tools, Personal data protection

 

1. Le sorti del divieto generale di controllo a distanza dell’attività dei lavoratori

Una delle principali, e più dirompenti, novità della novella dell’art. 4 Stat. lav., realizzata dall’art. 23, comma 1, del d.lgs. n. 151/2015 [1] – che, in virtù dell’art. 37 Stat. lav., nonché dell’art. 51, comma 2, del d.lgs. n. 165/2001, siap­plica anche al lavoro pubblico, oltre che a quello privato – è costituita dalla perdita del carattere di generalità del divieto di controllo a “distanza” (intesa in senso tanto spaziale, quanto temporale) [2] dell’attività dei lavoratori [3], mediante qualsivoglia apparecchiatura suscettibile (intenzionalmente o preterintenzional­mente) di svolgere tale controllo: precedentemente sancito in apertura dall’art. 4 [4]. Un divieto (sanzionato penalmente ai sensi dell’art. 38 Stat. lav.) inderogabile, anche da parte della contrattazione collettiva (e dell’autorizzazione amministrativa), oltre che dell’autonomia individuale, tenute anzi al rispetto dello stesso: essendo precluso a detti provvedimenti di disporre la possibilità di controlli a distanza sui lavoratori al di là dei limiti consentiti dalla legge (ossia esclusivamente il soddisfacimento di esigenze organizzative e produttive, e della sicurezza del lavoro), dovendo al contrario concorrere il compito autorizzatorio dell’installazione degli impianti alla garanzia e all’attuazione di tali limiti, nel dettare le modalità per l’uso degli stessi.

Il superamento della valenza generale del divieto di controllo a distanza sui lavoratori, nel nuovo art. 4 Stat. lav., si deduce – oltre che dalla mancata riproduzione dell’originario comma 1 – dalla espressa esclusione, ad opera del com­ma 2, degli «strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa» e degli «strumenti di registrazione degli accessi e delle presenze» dal campo di applicazione del comma 1, e dunque:

– dalla limitazione dell’utilizzo degli impianti audiovisivi e degli altri stru­menti potenzialmente suscettibili anche di controllo a distanza dell’attività dei lavoratori (e delle informazioni raccolte tramite questi, pure riguardanti i lavoratori), esclusivamente per le “esigenze organizzative e produttive”, la “sicurezza del lavoro” e la “tutela del patrimonio aziendale” (cui è riconducibile la maggior parte delle fattispecie di “controlli difensivi”, con l’intento di porre fine alle divergenze giurisprudenziali in materia [5]);

– dall’obbligo di accordo collettivo aziendale (o, in alternativa, per le imprese con unità produttive ubicate in diverse Province della stessa Regione o in più Regioni, stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale) o, in mancanza, di autorizzazione della Direzione territoriale del lavoro o del Ministero del lavoro (per le imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali) [6], come condizione di legittimità della installazione degli stessi [7];

– dalla conseguente sanzione della inutilizzabilità ad altri fini (pure probatori e disciplinari, inclusa la giustificazione del licenziamento) delle informazioni risultanti dai controlli sui lavoratori (a maggior ragione, sull’adempi­mento della prestazione lavorativa), anche se posti in essere da impianti e apparecchiature legittimamente installati ai sensi del comma 1 (oltre che se privi di autorizzazione sindacale o amministrativa), e della invalidità dei provvedimenti datoriali fondati su tali informazioni; nonché della nullità di eventuali clausole di un accordo sindacale derogatorie dei suddetti limiti di raccolta e di utilizzo delle informazioni.

Il comma 2 del nuovo art. 4 Stat. lav. reca, quindi, un’ampia deroga al divieto di controllo a distanza del comma 1 [8], consentendo al datore di lavoro il controllo sullo strumento di lavoro che serve a svolgere la prestazione lavorativa (e su quelli di registrazione degli accessi-presenze, tra i quali vanno ricompresi sia i più diffusi badge, sia i sistemi biometrici di identificazione, come impronta digitale, iride, ecc.), oltre a permetterne l’installazione liberamente (senza alcun vincolo autorizzatorio, né sindacale, né amministrativo) [9].

Con riguardo agli strumenti di lavoro, la norma limita, dunque, l’ambito del controllo datoriale legittimo solo alle operazioni (e alle relative informazioni) appunto concernenti l’“esecuzione della prestazione lavorativa” (tra le quali devono ritenersi incluse quelle relative al controllo – il più possibile meramente “quantitativo” – sull’eventuale utilizzo non lavorativo, ma privato o personale, dello strumento, ove non consentito – o al di là dei limiti consentiti – dal datore di lavoro). E non, invece, a quelle riguardanti le altre “attività dei lavoratori”, incidenti o meno sull’attività diretta alla produzione, ma non consistenti nell’“attività lavorativa” strettamente intesa: ad esempio, inerenti alle li­cenze comportamentali, o svolte durante i tempi morti o le pause di lavoro, o in luoghi adiacenti e connessi a quello di lavoro (spogliatoi, bagni, parcheggio auto, garage, autoveicoli, corridoi, ascensori, ecc.), o relative a qualsiasi altro aspet­to della estrinsecazione della persona del lavoratore durante il (o in prossimità del) tempo (e/o luogo) di lavoro [10]. Analogamente, la legittimità del controllo sugli strumenti di registrazione di accessi e presenze è circoscritta solo a questi elementi – “ingresso”, “uscita” e “permanenza” nel luogo di lavoro latamente inteso (comprendente anche spogliatoi, parcheggi, garage, bagni, corridoi, ascen­sori, aree riservate, ecc.) – e non, ad esempio, ad informazioni sulla salute del lavoratore desumibili dai rilievi biometrici.

In tale accezione restrittiva va interpretato il comma 3 dell’art. 4 Stat. lav., che sancisce la utilizzabilità delle informazioni raccolte ai sensi dei commi 1 e 2 «a tutti i fini connessi al rapporto di lavoro» (compresa l’adozione di provvedimenti, anche pregiudizievoli o disciplinari, nei confronti dei lavoratori). Leggendo questo comma in combinato disposto coi primi due commi dell’art. 4, la relativa statuizione va intesa nel senso che le informazioni raccolte possono essere adoperate sì a qualunque fine connesso al rapporto di lavoro (per ogni tipo di provvedimento o determinazione datoriale), ma non indiscriminatamente, bensì soltanto negli ambiti dichiarati appunto legittimi, rispettivamente, dai primi due commi. E così, riepilogando:

– mediante impianti audiovisivi e altri strumenti suscettibili di controllo a distanza sui lavoratori, installati previo accordo sindacale o autorizzazione am­ministrativa, il datore può raccogliere ed utilizzare solo informazioni (pure riguardanti i lavoratori) rispondenti ad esigenze organizzative e produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale (e non per contestazioni inerenti alla diligenza nell’adempimento dell’obbligazione lavorativa o ad altre attività non strettamente rilevanti per i predetti tre scopi) (comma 1);

– mediante gli strumenti di lavoro e quelli di registrazione degli accessi e delle presenze, il datore di lavoro può raccogliere ed utilizzare le informazioni relative, rispettivamente, all’adempimento della prestazione lavorativa (nonché all’utilizzo “quantitativo” non lavorativo degli strumenti, evitando di ingerirsi nei contenuti di informazioni esulanti dallo stretto svolgimento dell’attivi­tà lavorativa) e agli accessi e alle presenze (comma 2). Per poter, invece, utilizzare le informazioni, ricavabili dagli strumenti di lavoro e non concernentila prestazione lavorativa, per esigenze organizzative e produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale, il datore di lavoro deve premunirsi di accordo sindacale o autorizzazione amministrativa, ai sensi del comma 1.

La natura, in realtà, anche prescrittiva di divieti e limiti per il datore, di una norma – quale il comma 2 dell’art. 4 Stat. lav. – formulata come fondamental­mente permissiva, appare confermata dalla novella dell’art. 171 del d.lgs. n. 196/2003, realizzata dall’art. 23, comma 2, del d.lgs. n. 151/2015: là dove ha precisato che la inosservanza anche della disposizione del comma 2 (e non solo di quella del comma 1) dell’art. 4 Stat. lav. è punita con le sanzioni penali di cui all’art. 38 Stat. lav. L’indicazione del comma 2 come norma suscettibile di violazione avvalora l’interpretazione del suo contenuto come pure precettivo-proibitivo, ossia recante un obbligo negativo per il datore: appunto quello di non controllare, mediante gli strumenti ivi contemplati, attività (ed informazioni) diverse da quelle inerenti alla prestazione lavorativa e agli accessi e alle presenze.

2. Uso delle tecnologie informatiche, telematiche, digitali e satellitari nel lavoro e “potere informatico” del datore di lavoro

Benché il comma 2 dell’art. 4 Stat. lav. non individui espressamente gli strumenti di lavoro sui quali è consentito il controllo a distanza da parte del datore di lavoro, né tanto meno menzioni specificamente gli strumenti informatici, telematici, digitali o satellitari – con la conseguente possibilità di ricomprendervi qualsiasi strumento di lavoro, anche non informatico, come ad esempio il telefono fisso aziendale – è evidente che il legislatore abbia inteso riferirsi soprattutto a questi.

Ciò si ricava dal criterio direttivo della delega (art. 1, comma 7, lett. f ), legge n. 183/2014) [11], secondo cui la «revisione della disciplina dei controlli a distanza sugli impianti e sugli strumenti di lavoro» sarebbe dovuta avvenire «tenendo conto dell’evoluzione tecnologica» (oltre che «contemperando le e­sigenze produttive ed organizzative dell’impresa con la tutela della dignità e della riservatezza del lavoratore»: invocando così i valori dell’art. 41, comma 2, Cost.) [12].

In effetti, questa parte della delega legislativa della legge n. 183/2014 ha toccato uno dei più consistenti vuoti del Diritto del lavoro italiano, ossia il suo mancato adeguamento alla nuova realtà tecnologica.

È indiscutibile che l’attuale era digitale abbia profondamente modificato le logiche e i sistemi di organizzazione del lavoro, realizzando una vera e propria “rivoluzione tecnologica” del lavoro (paragonabile, per entità degli effetti, alla “rivoluzione industriale” cominciata nella seconda metà del ’700) [13], che ha colpito l’intero mondo del lavoro (privato e pubblico) con implicazioni diffuse, persino dando origine a nuovi settori (ICT) e tipi (telelavoro) di attività lavorative. Quelli informatici e telematici sono diventati strumenti predominanti (e talvolta indispensabili o esclusivi) di esecuzione del lavoro e di gestione delle relazioni aziendali, interne ed esterne, comportando (specie mediante mailchat, riunioni in videoconferenza, collegamento in rete tra i computer, ecc.) un significativo mutamento della comunicazione ed interazione in azienda, dando vita ad una nuova impostazione dei rapporti, anche interpersonali, tra i lavoratori, i superiori gerarchici e il datore di lavoro, e facendo emergere nuove modalità di adempimento degli obblighi e di fruizione dei diritti, individuali e collettivi, dei lavoratori. Tanto da potersi considerare avvenuto, anche nel campo del lavoro, il processo di “smaterializzazione” del corpo fisico del la­voratore [14], come pure evaporati i confini tra tempo di vita e tempo di lavoro [15].

E tanto da potersi individuare un nuovo potere datoriale, già sufficientemente connotato: vale a dire, il “potere informatico” del datore di lavoro [16]. Si tratta di un potere composito: in parte trasversale ai tradizionali poteri datoriali – sì, ma non soltanto, potere di controllo, anche (ma non necessariamente) funzionale al potere disciplinare, va al di là di questo, ha in sé al tempo stesso elementi del potere direttivo – in parte dalle caratteristiche nuove ed estremamente pervasivo, per la possibilità di rielaborazione elettronica e di interconnessione delle informazioni (anche relative ai dipendenti) offerta dalle tecnologie informatiche. Macchine e programmi sempre più sofisticati consentono, infatti, di compiere innumerevoli operazioni di trattamento “automatizzato” dei dati, ossia di raccogliere, rilevare, immettere, registrare, organizzare, selezionare, immagazzinare, catalogare, raffrontare ed incrociare una serie indefinita di dati, anche lecitamente assunti o conosciuti, sia sul conto dei lavoratori, sia apparentemente anonimi, acquisiti tanto in dipendenza dello svolgimento dell’at­tività lavorativa, quanto mediante la consultazione di fonti esterne, permettendo di ottenere informazioni ulteriori, spesso non ricavabili in altro modo, pure attinenti alla sfera personale-privata (persino a quella più intima e riservata) del prestatore di lavoro: fino al punto da pervenire a vere e proprie “profilature” della persona – in sostanza, “schedature elettroniche” dei dipendenti – utilizzabili ai più disparati fini, non sempre palesati dal datore.

Specularmente al potere informatico del datore di lavoro, è possibile conferire riconoscimento ai “diritti informatici” del prestatore di lavoro: attinenti non solo alla sfera della protezione dei dati personali, ma anche, ad esempio, a quella sindacale (essendo possibile l’esercizio di molti dei diritti sindacali, mediante bacheche o sistemi di comunicazione elettronica o digitale) [17].

Al riguardo, non si può non tener conto dell’evoluzione dell’atteggiamento degli stessi fruitori-utenti delle tecnologie (in generale, ed anche in ambito lavorativo), oggi significativamente mutato rispetto ai primi anni di utilizzo di tali strumenti, dovuta proprio alla consuetudine – ovvero, all’abitudine e all’as­suefazione – a queste, che ha prodotto una naturale ed inevitabile accettazione della nuova realtà digitale, non percepita più, a differenza di una volta, come causa di possibili continui attentati alla propria sfera personale e di un’intru­sione così intollerabile e molesta. Per non parlare, poi, dei casi, sempre più diffusi, in cui l’utilizzo del computer è incorporato nella prestazione lavorativa stessa, per cui diventa estremamente difficile attuare il controllo su questa se non attraverso lo strumento informatico, non essendo distinguibili “strumento di lavoro” e “strumento di controllo”.

Ma, d’altro canto, non si può neppure ignorare che tali tecnologie di lavoro – peraltro in continua evoluzione – oltre alle potenzialità positive a tutti note, al tempo stesso mettono in pericolo nuovi aspetti dell’“uomo che lavora”, producendo un aggravamento dello stress psico-fisico insito nella prestazione di lavoro e nuove forme di attentato alla dignità e alla libertà del lavoratore, per le enormi capacità di ingerenza sui lavoratori offerte al datore di lavoro. Ed inoltre, pongono questioni nuove e peculiari, e relative esigenze di disciplina: ad esempio, quella del rischio di “invecchiamento”, e della connessa necessità di aggiornamento, dei dati contenuti negli archivi informatici (onde evitare che questi non corrispondano più alla realtà); o quella della limitazione del­l’ambito di comunicazione e di diffusione e di controllo sulla circolazione delle informazioni.

Ed è altrettanto evidente che il Diritto del lavoro italiano fatichi a prendere atto della nuova realtà tecnologica, collocandosi anzi tra i rami dell’ordina­mento giuridico più arretrati rispetto a tale processo di modernizzazione: se si escludono pochi esempi normativi, che in qualche modo contemplano l’utiliz­zo degli strumenti informatici e telematici (come la disciplina della sicurezza sul lavoro; o quella dei sistemi informativi per l’incontro tra domanda e offerta di lavoro; e, nel pubblico impiego, quelle del telelavoro e dell’amministrazio­ne digitale). È indubbia, dunque, la necessità che il Diritto del lavoro si metta al passo coi tempi: che si proceda alla costruzione del Diritto del lavoro del­l’era tecnologica (o dell’era digitale, che dir si voglia).

Va, dunque, senz’altro riconosciuto il merito della riforma del 2015: quello di aver, appunto, consentito l’ingresso della dimensione “tecnologica” nel Diritto del lavoro, benché non menzionandola espressamente: non a caso, proprio mettendo mano all’art. 4 Stat. lav., non a torto additato (da ormai tren­t’anni, anche in dottrina [18], oltre che in giurisprudenza [19]) come la norma-sim­bolo della desuetudine dell’ordinamento del lavoro italiano rispetto al progresso tecnologico (non essendo stato certo concepito e strutturato in vista di una siffatta eventualità, quale l’avvento dell’era informatica e telematica, ma pensato dal legislatore soprattutto per le telecamere a circuito chiuso) [20]. Lo stesso “potere informatico” del datore di lavoro – sebbene implicitamente – ha trovato, quindi, una prima disciplina nell’ordinamento giuslavoristico italiano, con il comma 2 del novellato art. 4 Stat. lav.

3. Fattibilità e limiti tecnologici del controllo sui lavoratori

Il comma 2 dell’art. 4 Stat. lav., pur presentandosi con una formulazione lineare, è tutt’altro che di facile applicazione.

Prima di analizzare il piano giuridico, anzi proprio per poterlo fare consapevolmente, occorre, infatti, verificare la concreta praticabilità, sotto il profilo “tecnico” (in base alle tecnologie attualmente disponibili), del controllo del da­tore di lavoro sugli strumenti informatici e telematici aziendali adoperati dai lavoratori, e la reale dimensione della possibilità tecnologica di recupero dei dati in essi contenuti [21]. Da qui, la necessaria interdisciplinarità in senso ampio del­l’approccio interpretativo: in particolare, l’utilità del confronto con le scienze (anche ingegneristiche) elettroniche, informatiche e delle telecomunicazioni.

Al riguardo, va preliminarmente precisato che oggetto del comma 2 del­l’art. 4 Stat. lav. sono soltanto gli strumenti «utilizzati dal lavoratore per rendere la prestazione lavorativa». Essa è espressione più circoscritta rispetto agli “strumenti di lavoro” (menzionati dalla delega), nel senso che non tutte le funzioni di un medesimo strumento informatico di lavoro (ad esempio, computernotebook, tabletsmartphone, ecc.) – e dunque, non automaticamente l’intero strumento, l’hardware – rientrano nel campo di applicazione di tale comma (e quindi, del controllo datoriale consentito): ma soltanto quelle funzioni (programmi, software o applicazioni) appunto utilizzate per rendere la prestazione lavorativa (ad esempio, i programmi di scrittura, di calcolo, di elaborazione delle immagini o di progetti, come wordpower pointexcelphotoshop; i programmi di navigazione nelle rete internet e di gestione della posta elettronica aziendale, ecc.); e non funzioni (e relativi programmi) non costituenti specificamente strumento di esecuzione della prestazione, bensì installati ed utilizzati prevalentemente ad altri fini, pure se accessori o connessi ad essa (ad esempio, di sicurezza) (come i programmi antivirus, o quelli di localizzazione satellitare), rientranti piuttosto nel campo di applicazione del comma 1 dell’art. 4 Stat. lav. [22]. Ciò comporta una prima necessaria distinzione “tecnica” sulla funzionalità di ciascun software, per catalogarlo nell’una o nell’altra fattispecie (comma 1 o 2) dell’art. 4 e, quindi, stabilire il tipo di controllo effettuabile e le regole dello stesso; conseguentemente, il datore di lavoro non è automaticamente legittimato ad entrare nell’intero contenuto dello strumento elettronico di lavoro.

A questo si aggiunge la possibilità, per il lavoratore, di adottare alcune cautele tecnico-operative – quali la sistematica rimozione delle cronologie delle operazioni effettuate e dei filescreati o scaricati dalla rete internet, o la più radicale cancellazione di tutti i dati immagazzinati nella macchina, anche mediante formattazione del disco rigido del computer [23] – volte ad eludere, o quanto meno a ridurre, e in ogni caso a rendere più difficoltosa, la sorveglianza del datore di lavoro sull’utilizzo (e sui contenuti) dello strumento informatico [24].

Ciò, ferma restando, a onor del vero, la teorica possibilità tecnologica, in linea di principio riscontrabile pressoché sempre, di far successivamente riemergere dalla memoria digitale della macchina (oltre ai computers, anche smart­phonestablets, fotocamere e videocamere) i dati, precedentemente presenti nel supporto di memorizzazione, pur se poi eliminati (anche con modalità particolarmente accurate, profonde e tendenzialmente “definitive”) [25]. I dati informatici e digitali, infatti, una volta salvati su files, anche se in seguito cancellati, non vengono mai completamente distrutti, risultando solamente eliminato il riferimento che punta alla locazione ove il file è conservato e rimanendo, invece, il contenuto dei cluster di dati, corrispondenti ai files, disponibile e recuperabile, fintantoché non sarà sovrascritto. Il ripristino dei files cancellati è, perciò, tanto più possibile quanto prima si agisce, scongiurando l’installazione di nuove applicazioni e la memorizzazione di nuove informazioni sull’unità oggetto di intervento. Tale operazione di recupero dei dati si presenta, comunque, complessa e non priva di costi economici per il datore, richiedendo il ricorso ad opportuni programmi-software e a strumentazioni informatiche dedicati e l’affidamento degli apparati a tecnici specializzati professionisti del settore.

In più, il datore di lavoro può agevolmente accedere alla navigazione internet effettuata dal lavoratore mediante il server aziendale [26], come pure all’uti­lizzo della posta elettronica con account aziendale [27]; ed al contenuto stesso dei computer aziendali, quando (il che avviene spesso) essi sono oggetto di col­legamento in rete intranet-aziendale, con la conseguente condivisione dei contenuti di questi (files e cartelle) e dell’accesso alle stampanti di rete, oltre che ad internet. In un contesto in cui i PC Client accedono alla rete locale e ai servizi da essa offerti, è infatti possibile, da parte dell’amministratore di rete (che verosimilmente sarà in possesso delle password di amministrazione dei Client), configurare i PC Client in modo che siano raggiungibili e “visionabili” da parte sua. Questi casi sfuggono senz’altro alla possibilità per il lavoratore di limitazione (o di inibizione) del controllo datoriale.

Nelle evenienze prospettate, la possibilità tecnologica di controllo datoriale si scontra, comunque, con le regole dei commi 1 e 2 dell’art. 4 Stat. lav., vertendo il controllo indiscriminatamente su tutti i contenuti dello strumento informatico (al pari della installazione, da parte del datore, di appositi programmi di monitoraggio in tempo reale delle operazioni effettuate tramite questo): è, pertanto, possibile avanzare dubbi sulla legittimità delle rilevazioni del datore di lavoro.

Particolarmente complicato è, per il datore di lavoro, recuperare i dati relativi alle operazioni effettuate dal lavoratore mediante lo smartphone, nel caso in cui quest’ultimo sia di proprietà del lavoratore utilizzatore, e quindi non ispezionabile dall’azienda, che abbia fornito solo la scheda telefonica (e relativo numero di telefono). In tale ipotesi, il datore di lavoro potrebbe accedere solo ai dati salvati nella sim card (tipicamente, il codice Personal Identification Num­ber-PIN necessario per l’autenticazione in rete del dispositivo cellulare, la rubrica telefonica, i messaggi di testo e la lista delle chiamate); mentre l’acquisi­zione degli altri dati digitali potrebbe essere tentata solo ricorrendo al gestore telefonico (e all’accesso al traffico transitato attraverso i server di questo).

Ulteriori complicazioni pratiche comporta il controllo datoriale sugli “stru­menti misti”, ossia in parte di lavoro, in parte di uso personale: ad esempio, gli abbonamenti telefonici aziendali che prevedono l’utilizzo dell’utenza telefonica anche per telefonate, sms ed mms personali (premettendo un determinato codice), con costi a carico dell’utente; o anche i notebook o tablet forniti in dotazione ai lavoratori, o i sistemi di localizzazione satellitare dell’autovettura aziendale, dei quali si consente anche un uso personale. Ciò, per la difficoltà materiale di separare i due tipi di contenuti – personale e aziendale – dello stru­mento e di accedere solo ai secondi (peraltro, anche ai soli fini della comunicazione del dettaglio di fatturazione da parte del gestore telefonico, nel caso di utilizzo “misto” del recapito telefonico aziendale di rete mobile).

4. La necessaria interpretazione sistematica dell’art. 4 Stat. lav. con la normativa in materia di protezione dei dati personali, nazionale (d.lgs. n. 196/2003 e provvedimenti attuativi, in particolare del Garante per la protezione dei dati personali) e dell’Unione Europea (il Reg. (UE) n. 2016/679)

Tenuti presenti i limiti tecnologici del controllo datoriale sugli strumenti in­formatici e telematici, vanno quindi esaminati i limiti giuridici “di sistema” al potere conferito al datore di lavoro dal comma 2 dell’art. 4 Stat. lav.

Benché tale disposizione abbia determinato una espansione dei confini di liceità del potere datoriale di controllo a distanza sui lavoratori tramite tali apparecchiature, bisogna fugare un possibile equivoco: l’idea, cioè, che la norma abbia realizzato una completa “liberalizzazione” dei controlli, nel senso che questi – e l’utilizzo delle relative informazioni, specie ai fini dell’adozione di provvedimenti concernenti il rapporto di lavoro – risultino consentiti senza vincoli al datore di lavoro.

Va, in proposito, evidenziata la necessaria prospettiva esegetica “sistematica” dell’art. 4 Stat. lav.: esso non può non essere interpretato intrecciandolo con la disciplina in materia di protezione dei dati personali, che anzi contribuisce in maniera rilevante a dargli significato e ad arricchirlo di contenuti. Ciò è confermato dallo stesso comma 3 dell’art. 4 Stat. lav., che pone come condizione di liceità dell’utilizzo delle informazioni, pur legittimamente raccolte ai sensi dei commi 1 e 2, la circostanza che esse siano trattate «nel rispetto di quan­todisposto dal decreto legislativo 30 giugno 2003, n. 196». La stretta interconnessione tra art. 4 Stat. lav. e normativa sui dati personali è affermata, inoltre: dal richiamo espresso dell’art. 4 Stat. lav. nell’art. 114 del d.lgs. n. 196/2003, che ne ha ribadito la vigenza (stabilendo che «resta fermo quanto disposto dal­l’art. 4 della legge 20 maggio 1970, n. 300»); e dalla trasposizione (fin dal­l’entrata in vigore del d.lgs. n. 196/2003) del regime sanzionatorio (penale) per la violazione dell’art. 4 Stat. lav. dalla sua sede normativa storica – ossia, dal testo dell’art. 38 Stat. lav. – all’interno del d.lgs. n. 196/2003 (ad opera de­gli artt. 171 e 179, comma 2) [28].

L’obbligo di rispetto della disciplina sulla protezione dei dati personali è, d’altronde, ineludibile da parte del legislatore nazionale, che non avrebbe potuto escluderne l’applicazione neppure settorialmente, in virtù dell’art. 117, comma 1, Cost., data la matrice europea di quella, col conseguente obbligo per l’ordinamento italiano di osservanza dei vincoli posti dal diritto dell’Unione Europea in materia di protezione dei dati personali. Del resto, la stessa legge delega n. 183/2014 ha dichiarato che la disciplina delegata deve essere emanata «in coerenza con la regolazione dell’Unione europea e le convenzioni internazionali» (art. 1, comma 7).

Com’è noto, il d.lgs. n. 196/2003 costituisce recepimento, in particolare, della direttiva 95/46/CE del 24 ottobre 1995, caratterizzata da specifica considerazione della tutela dei dati personali dei lavoratori (ed i cui contenuti sono stati, in via interpretativa, sviluppati ed integrati dai Pareri e Documenti del Gruppo di lavoro UE Articolo 29 per la protezione dei dati: alcuni dei quali appositi in materia di lavoro [29]); nonché attuazione dell’art. 8 della Carta dei diritti fondamentali dell’Unione Europea che, tra questi, sancisce appunto il diritto di ogni persona alla protezione dei dati di carattere personale che la riguardano (par. 1).

In più, la regolamentazione della protezione dei dati personali, a livello di Unione Europea, è oggetto di rinnovata attenzione: con la approvazione in via definitiva (ad aprile 2016), da parte delle istituzioni europee – e pubblicazione, il 4 maggio 2016, nella Gazzetta Ufficiale dell’Unione Europea – in sostituzione della direttiva del 1995, del c.d. “Pacchetto protezione dati”, ossia dei nuovi:

– Reg. (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (“Regolamento generale sulla protezione dei dati”), applicabile direttamente nei Paesi membri [30];

– e direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la Decisione quadro 2008/977/GAI del Consiglio (“Direttiva sulla protezione dei dati nelle attività di polizia e giustizia”, nei settori di prevenzione, contrasto e repressione dei crimini) [31].

Il Regolamento è entrato in vigore 20 giorni dopo la pubblicazione in Gazzetta, ma le sue disposizioni saranno direttamente (ed effettivamente) applicabili in tutta l’Unione Europea decorsi due anni dall’entrata in vigore (dal 25 maggio 2018: con l’obbligo, a partire da tale data, per gli Stati membri di garantire il perfetto allineamento tra le disposizioni del Regolamento e la normativa nazionale). Come pure, gli Stati membri dovranno, entro due anni (entro il 6 maggio 2018), recepire le disposizioni della direttiva nel diritto nazionale.

Si tratta di una riforma radicale, volta ad adeguare la disciplina europea al­l’era digitale e contenente anche norme sul trattamento dei dati dei lavoratori.

In particolare, il Reg. (UE) n. 2016/679 ha dedicato l’intero art. 88 al “Trattamento dei dati nell’ambito dei rapporti di lavoro”. Esso ha disposto la facoltà, per gli Stati membri, di prevedere, con legge o tramite contratti collettivi, entro la cornice normativa dettata dal Regolamento UE, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, di esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, di parità e diversità sul posto di lavoro, di salute e sicurezza sul lavoro, di protezione della proprietà del datore di lavoro o del cliente e ai fini dell’eserci­zio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro (par. 1) [32]. Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro (par. 2). L’art. 88 ha, infine, stabilito l’obbligo, per ogni Stato membro, di notificare alla Commissione, entro il 25 maggio 2018, le disposizioni di legge adottate, e di comunicare senza ritardo ogni successiva modifica (par. 3).

Se si eccettua qualche altra norma specifica del Regolamento in tema di lavoro (come l’art. 9, par. 2 [33]), il legislatore europeo ha, dunque, sostanzialmente rinviato alle fonti nazionali il compito di disciplinare la materia della protezione dei dati personali nel settore del lavoro in conformità alla nuova discipli­na europea, evitando di intervenirvi direttamente. Al riguardo è, in prima battuta, possibile rilevare la distonia tra la esclusione del ruolo della contrattazione collettiva, operata dal legislatore italiano nel riformare l’art. 4 Stat. lav., e la valorizzazione, da parte del Regolamento europeo, del contratto collettivo come fonte di regolazione della protezione dei dati personali dei lavoratori, tra l’altro proprio – tra gli ambiti espressamente menzionati – in materia di disciplina dei “sistemi di monitoraggio sul posto di lavoro” (art. 88, par. 2).

Non potendo entrare nei dettagli delle novità della disciplina europea, si segnala, poi, soltanto l’introduzione di una nuova figura a livello di impresa (e di amministrazione pubblica) – il c.d. “Data protection officer”, ossia il “Responsabile della protezione dei dati” (artt. 37-39) [34] (figura assonante al “Responsabile della sicurezza”) – con la funzione, tra le altre, di garante dell’os­servanza degli obblighi del Regolamento europeo e delle disposizioni degli Stati membri in materia di protezione dei dati. Come pure, l’istituzione di un meccanismo di “Certificazione della protezione dei dati” (una sorta di “Certificazione di qualità” in materia), nonché di “Sigilli e marchi di protezione dei dati” (artt. 42-43).

In attesa che diventino operative le norme del Regolamento UE del 2016 – con la conseguente necessità di attuazione nell’ordinamento italiano (anche del lavoro) – l’applicazione della disciplina generale nazionale vigente in materia di protezione dei dati personali alle risultanze dei controlli sui lavoratori effettuati dal datore di lavoro ai sensi del comma 2 (e del comma 1) dell’art. 4 Stat. lav. deriva dall’estrema ampiezza del campo di applicazione del d.lgs. n. 196/2003, rivolto a tutti i trattamenti di dati personali, da chiunque effettuati nel territorio nazionale (art. 5). Nonché dalla onnicomprensività della nozione di “dato personale”: definito come qualunque informazione che permetta l’i­dentificazione, anche in via indiretta, dei soggetti interessati (art. 4, comma 1, lett. b), inclusi dunque i suoni e le immagini, oltre ai dati alfanumerici, e a pre­scindere dal supporto che contiene i dati (carta; dischetti; pellicole; nastri magnetici; microchips; impianti di audiovideosorveglianza; tecnologie informatiche, telematiche o satellitari; badge magnetici; metal detector; sensori per lari­levazione di dati biometrici; ecc.) e dalla forma in cui essi sono trattati (informazioni cifrate, digitali, registrazioni visive o sonore, ecc.). E dalla vastità della accezione di “trattamento” di dati personali: che consiste in qualunque operazione o complesso di operazioni – svolti con o senza l’ausilio di strumenti elettronici (ossia, «elaboratori, programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento»: art. 4, comma 3, lett. b) – concernenti la raccolta, la registrazione, l’organizza­zione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la co­municazione, ladiffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati [35] (art. 4, comma 1, lett. a).

La disciplina in materia di protezione di dati personali svolge, senz’altro, una funzione contenitiva degli abusi datoriali e delle potenzialità di invasione/lesione dei “beni personali” (dignità, riservatezza, ecc.) dei lavoratori, nel controllo sugli strumenti di lavoro. Il datore di lavoro, ai fini della legittimità della raccolta e del trattamento delle informazioni sui lavoratori, pur consentiti dal comma 2 (e dal comma 1) dell’art. 4 Stat. lav., è, al tempo stesso e in aggiunta, comunque obbligato ad osservare l’articolato apparato di regole, sostanziali e procedurali, in materia di protezione dei dati personali, dettate dal d.lgs. n. 196/2003: in parte generali, ossia applicabili a tutti i tipi di trattamenti di dati; in parte differenziate per i dati comuni, sensibili e giudiziari, e a seconda che il titolare del trattamento sia un soggetto (datore di lavoro) privato o pubblico (con un diverso regime di tutela per i lavoratori privati e per i pubblici dipendenti); infine, speciali per peculiari tipi di trattamenti dei dati (come, ad esempio, quelle riguardanti la fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni: artt. 121 ss.) [36]. Tale regolamentazione è corredata da sanzioni civili (a cominciare dal divieto di utilizzo dei dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali, di cui all’art. 11, comma 2, confermato dal com­ma 3 dell’art. 4 Stat. lav., che appunto riconnette la inutilizzabilità dei dati rac­colti dal datore ai sensi dei commi 1 e 2 al mancato rispetto del d.lgs. n. 196/2003; nonché sanzioni risarcitorie), da sanzioni penali [37] e da sanzioni amministrative (con la possibilità di ricorrere al Garante per la protezione dei dati personali, oltre che all’autorità giudiziaria ordinaria).

Accanto alle regole di fonte legislativa, il datore di lavoro è obbligato ad osservare quelle dettate dalla normativa attuativa di questa: sia regolamentare; sia emanata dal Garante, nell’esercizio del suo potere “normativo” [38], in particolare sotto forma di:

– Autorizzazioni generali (rilevanti sono specialmente la n. 1, al trattamento dei dati sensibili nei rapporti di lavoro, e la n. 7, al trattamento dei dati giudiziari, entrambe dell’11 dicembre 2014);

– Linee guida (tra cui, sulle nuove tecnologie nel lavoro: Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati, del 23 novembre 2006; Linee guida per posta elettronica e internet, del 1° marzo 2007 [39]; Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico, del 14 giugno 2007; ma anche, Linee guida in materia di riconoscimento biometrico e firma grafometrica, del 12 novembre 2014 [40]);

– Provvedimenti generali (specialmente il Provvedimento generale dell’8 aprile 2010, in materia di videosorveglianza [41]; e il Provvedimento generale 4 ottobre 2011, n. 370, concernente i “Sistemi di localizzazione dei veicoli nell’ambito del rapporto di lavoro” [42]).

L’applicazione della normativa sulla protezione dei dati personali produce, in particolare, l’effetto di circoscrivere il potere del datore di lavoro di compiere qualunque operazione di elaborazione elettronica dei dati (anche dei lavoratori), immagazzinati o meno in banche di dati aziendali e in archivi informatici. Del resto, non bisogna dimenticare che la ratiooriginaria e la motivazione principale dell’introduzione, a livello europeo (e conseguentemente ne­gli ordinamenti nazionali), di regole sulla circolazione dei dati personali è stata proprio quella di disciplinare il trattamento “automatizzato” – ossia, effettuato mediante strumenti elettronici – dei dati (benché, poi, molte delle discipline nazionali attuative, compresa quella italiana, abbiano scelto di estendere i rispettivi campi di applicazione anche ai trattamenti svolti senza l’ausilio di mezzi elettronici).

5. L’applicazione delle misure di sicurezza e dei principi generali per il trattamento dei dati personali

Di particolare utilità protettiva sono, nel caso di specie, le regole generali “universali” dettate dal d.lgs. n. 196/2003: applicabili, cioè, a qualunque tipo di trattamento di dati personali, effettuato sia da soggetti pubblici, sia da soggetti privati (quindi valide tanto per il lavoro pubblico, quanto per il lavoro privato). Esse assumono centralità anche nel Reg. (UE) n. 2016/679 (artt. 5 ss.).

In tale ambito vanno annoverate senz’altro le dettagliate “misure di sicurezza” nel trattamento dei dati – contenute negli artt. 31 ss. del d.lgs. n. 196/2003, e nel “Disciplinare tecnico in materia di misure minime di sicurezza”, di cui all’Allegato B del decreto – per la maggior parte riguardanti il trattamento elettronico dei dati personali. Tali “misure minime” di sicurezza sono definite come «il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza, che configurano il livello minimo di protezione richiesto in relazione ai rischi (di distruzione o di perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta) previsti nell’articolo 31» (art. 4, comma 3, lett. a).

Ma soprattutto, un valido strumento di tutela è rappresentato dai cc.dd. “principi generali” per il trattamento dei dati personali, concernenti le modalità del trattamento e i requisiti dei dati, elencati quasi tutti nell’art. 11, comma 1, del d.lgs. n. 196/2003 (ma già nell’art. 9 della legge n. 675/1996), ossia i principi di:

– liceità correttezza del trattamento (lett. a);

– finalità, in base al quale i dati personali devono essere raccolti e registrati per scopi determinati, espliciti e legittimi, e utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi (lett. b);

– esattezza aggiornamento dei dati (lett. c);

– pertinenzacompletezza non eccedenza dei dati rispetto alle finalità per le quali sono raccolti o successivamente trattati (lett. d);

– conservazione dei dati in una forma che consenta l’identificazione del­l’interessato per un periodo di tempo non superiore a quello necessario agli sco­pi per i quali essi sono stati raccolti o successivamente trattati (lett. e) (con i connessi limiti alla cessione, e alla conservazione stessa, dei dati in caso di cessazione del trattamento: art. 16).

Dalla combinazione tra alcuni di questi principi, il Garante ha, poi, ricavato, in via interpretativa, in particolare, i principi di:

– proporzionalità tra mezzi impiegati e fini perseguiti nel trattamento dei dati, desunto dalla interazione dei principi di pertinenza e di non eccedenza con un criterio di adeguatezza dell’uso degli stessi;

– trasparenza del trattamento dei dati personali, individuato dalla connessione tra il principio di correttezza e la regola dell’informativa all’interessato (di cui all’art. 13 del d.lgs. n. 196/2003).

Accanto a questi, il d.lgs. n. 196/2003 ha enunciato nuovi principi, non contenuti nella previgente legge n. 675/1996, e cioè i principi di:

– semplificazionearmonizzazione ed efficacia, secondo cui il trattamento dei dati personali viene disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà fondamentali dell’interessato, nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonché per l’adempimento degli obblighi da parte dei titolari del trattamento (art. 2, comma 2);

– necessità, specificamente rivolto al trattamento “informatico” dei dati personali, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possano essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità (art. 3);

– indispensabilità, riguardante il trattamento dei dati sensibili e giudiziari da parte di un soggetto pubblico, rispetto alle finalità perseguite (ovvero, agli obblighi e ai compiti attribuiti) nei singoli casi, secondo cui i soggetti pubblici possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attività istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa (art. 22, comma 3) [43].

Come pure, specificamente concernente il trattamento informatico di dati personali è il c.d. “divieto di profilazione”: ossia, il divieto di fondare qualsivoglia determinazione, atto o provvedimento (giudiziario o amministrativo), che implichi una valutazione del comportamento umano, unicamente su un trattamento automatizzato di dati personali volto a definire il profilo o la personalità dell’interessato (art. 14) (cui in parte si connette il più circoscritto divieto, per i soggetti pubblici, di trattare i dati sensibili e giudiziari nell’ambito di testpsico-attitudinali volti a definire il profilo o la personalità dell’interessato: art. 22, comma 10).

I principi generali per il trattamento dei dati contribuiscono, in particolare, a limitare il “potere informatico” del datore di lavoro. Soprattutto i principi di necessità, di finalità e di pertinenza e non eccedenza impediscono al datore di compiere operazioni di trattamento automatizzato dei dati dei dipendenti incompatibili con gli scopi per i quali essi sono stati raccolti, ed in ogni caso circoscrivono questo potere datoriale soltanto alle operazioni di trattamento as­solutamente inevitabili [44]: così risultando confermato, tra l’altro, il ridimensionamento interpretativo della dichiarazione, nell’art. 4, comma 3, Stat. lav., di utilizzabilità delle informazioni raccolte, ai sensi dei commi 1 e 2, “a tutti i fini connessi al rapporto di lavoro”. Come pure, il principio di esattezza e di aggiornamento dei dati, e il connesso obbligo per il datore di lavoro di provvedervi, evita il rischio di invecchiamento dei dati contenuti in archivi informatici.

L’enunciazione del principio di finalità, e di quello di pertinenza e non eccedenza, avvalora, poi, il contenuto precettivo e la funzione di tutela dell’art. 8 Stat. lav., anche e soprattutto nei confronti del “potere informatico” del datore di lavoro: esso, com’è noto, limita la legittimità delle indagini datoriali sui lavoratori soltanto a quelle aventi ad oggetto fatti rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore (ponendo il generale divieto, inderogabile e penalmente sanzionato, di raccolta, e di conseguente uso, di ogni altro tipo di informazioni sul lavoratore). Non è un caso, infatti, che la rubrica dell’art. 113 del d.lgs. n. 196/2003 – che ha ribadito la vigenza dell’art. 8 Stat. lav. – abbia qualificato tale ultima disposizione come espressione del principio di “pertinenza” del trattamento dei dati (rispetto al rapporto di lavoro). D’altron­de, a conferma della sua persistente attualità, in assenza di una specifica disciplina limitatrice dell’utilizzo datoriale dei nuovi strumenti informatici e telematici, l’art. 8 Stat. lav. – pur non essendo stato certo formulato in funzione della successiva applicazione ad indagini datoriali realizzate con sistemi più avanzati di quelli dei primi anni ’70 – ha costituito, nel vuoto legislativo in ma­teria, uno dei pochi baluardi normativi all’utilizzo delle nuove tecnologie nel lavoro, di fatto svolgendo la funzione di argine giuslavoristico al “potere informatico” del datore di lavoro. Ciò, data la applicabilità della disposizione a qualunque tipo di “indagine” datoriale (in virtù della ampiezza della relativa nozione, come oggetto di elaborazione giurisprudenziale [45]), indipendentemente dallo strumento adoperato, dunque anche effettuata mediante (o sul contenuto degli) strumenti tecnologici.

Difatti, permane, naturalmente, per il datore di lavoro l’obbligo di osservanza dell’art. 8 Stat. lav. (nonché dell’art. 5 Stat. lav., relativamente ai dati sulla salute), nel trattamento anche delle informazioni sui lavoratori reperite ai sensi dei commi 1 e 2 del nuovo art. 4 Stat. lav. In particolare, l’applicazione del­l’art. 8 Stat. lav., e dei principi di finalità, proporzionalità, pertinenza e non ec­cedenza del trattamento dei dati, in combinazione coll’art. 4, comma 2, Stat. lav., rafforza il fondamento della regola in base alla quale il datore di lavoro può effettuare il controllo pieno (anche nei contenuti) dei dati e delle operazioni attinenti all’esecuzione della prestazione lavorativa (nonché alla registra­zione degli accessi e delle presenze), mentre deve limitarsi ad un controllo “quantitativo” di ogni altro tipo di utilizzo dello strumento (anche digitale) di lavoro da parte del lavoratore (incluso quello a fini personali), dovendo evitare di apprendere (e, a maggior ragione, di utilizzare) informazioni personali dei lavoratori non rilevanti ai fini della valutazione dell’attitudine professionale.

6. L’obbligo di informativa dei lavoratori come condizione di liceità dell’utilizzo, da parte del datore di lavoro, delle informazioni raccolte ai sensi dei commi 1 e 2 dell’art. 4 Stat. lav.

Un rilevante problema sostanziale è, però, rappresentato dalla difficoltà pratica, in molti casi, di evitare la conoscenza, da parte del datore di lavoro, di informazioni personali dei lavoratori (ultronee rispetto a quelle relative alla esecuzione della prestazione lavorativa e/o rilevanti ai fini della valutazione dell’at­titudine professionale), nel momento in cui indaga il contenuto dello strumento di lavoro aziendale, a causa della inscindibilità tra controllo sullo strumento e controllo su tutti i dati in esso presenti. È concreto il rischio di apprendimento, da parte del datore, anche involontariamente, di informazioni private del la­voratore, nell’effettuare il controllo sull’utilizzo “lavorativo” dello strumento, specie a seguito di uso personale, improprio o consentito, dello stesso da parte del prestatore.

Il che disvela, tra l’altro, un limite del divieto di “indagini” dell’art. 8 Stat. lav.: ossia, la scarsa effettività della norma, in termini di tutela “preventiva” del prestatore di lavoro, poiché non sempre è possibile per il datore di lavoro stabilire preliminarmente con sicurezza, al momento di intraprendere un’inda­gine, di che tipo di informazioni egli potrà venire a conoscenza, se rilevanti o meno ai fini della valutazione dell’attitudine professionale del lavoratore. Ed è, dunque, solo all’esito delle indagini, cioè a posteriori, che si può verificare la legittimità di queste ai sensi dell’art. 8 Stat. lav., valutando informazioni or­mai raccolte, e quindi apprese, dal datore.

Va, infatti, rilevata la illusorietà, per certi versi, della puntualizzazione, effettuata in sede parlamentare [46], in merito alle ragioni della dicitura della delega legislativa della legge n. 183/2014 – che si sarebbe riferita ai controlli a distanza “aventi per oggetto gli impianti e gli strumenti di lavoro, non le persone” dei lavoratori, con una funzione di delimitazione dell’ambito dell’inter­vento normativo, a tutela dei lavoratori – in particolare in relazione agli strumenti informatici di lavoro, proprio in considerazione delle caratteristiche di questi, di incorporazione con la prestazione lavorativa e con le attività (e con le stesse manifestazioni della persona) del lavoratore. Per cui il controllo su di essi tende ad implicare contestualmente il controllo sul lavoratore (sulle sue attività, lavorative e non, e sui profili della personalità esplicati), anche in virtù della capacità di questi di memorizzazione e di elaborazione elettronica di tutte le operazioni svolte con (o tramite) essi, produttrici o rivelatrici di informazioni personali del lavoratore.

Il problema della difficile separabilità tra “controllo lavorativo” e “controllo su aspetti personali” si pone, oltre che per gli strumenti informatici, telematici e satellitari, per quelli biometrici di controllo degli accessi e delle presenze (parimenti collocati nel comma 2 dell’art. 4 Stat. lav.), che possono rivelare caratteristiche fisiche e dati sulla salute del lavoratore. Ed inoltre, anche per le informazioni non rispondenti ad esigenze organizzativo-produttive, di sicurezza del lavoro o di tutela del patrimonio aziendale, registrate dagli strumenti pur legittimamente installati ai sensi del comma 1 dell’art. 4 Stat. lav.

Benché le informazioni personali del lavoratore, ulteriori rispetto a quelle consentite dai primi due commi dell’art. 4 Stat. lav., siano protette dal divieto di utilizzo datoriale, anche ai fini dell’adozione di provvedimenti riguardanti i lavoratori, la conoscenza stessa, da parte del datore di lavoro, di queste informazioni costituisce di per sé un vulnus per il lavoratore, inevitabilmente potendo condizionare di fatto l’opinione e l’atteggiamento del datore nei suoi confronti.

Ecco perché assume importanza fondamentale la “prevenzione” di tale rischio di impropria conoscenza datoriale, disciplinata dal comma 3 dell’art. 4 Stat. lav.: costituita dall’obbligo del datore di lavoro di rendere i lavoratori edotti – fornendo loro “adeguata informazione” – delle modalità d’uso degli strumenti (tanto di quelli del comma 2, quanto di quelli del comma 1) e di effettuazione dei controlli, la cui osservanza è condizione di legittimità dell’uti­lizzo datoriale delle informazioni sui lavoratori raccolte ai sensi dei primi due commi dell’art. 4 Stat. lav. [47] (e la cui violazione è, dunque, punita con la inutilizzabilità dei dati [48], riproducendo così la sanzione posta in via generale dall’art. 11, comma 2, del d.lgs. n. 196/2003 per i trattamenti illeciti di dati personali).

L’informativa dei lavoratori, da noioso adempimento burocratico-procedi­mentale (com’è stata spesso considerata, anche dagli stessi interessati al trattamento dei dati, inclusi i lavoratori, oltre che dai datori di lavoro titolari del trattamento), manifesta, invece, la sua rilevante funzione di protezione preventiva dei lavoratori: essendo volta a far acquisire loro consapevolezza sugli usi consentiti (se esclusivamente professionale, o anche personale, e in quali limiti) degli strumenti di lavoro (informatici e non), su modi e forme dell’ingeren­za datoriale (di controllo, acquisizione e trattamento dei dati incamerati dallo strumento), nonché sulle possibili conseguenze (anche sanzionatorie) dell’uti­lizzo degli strumenti di lavoro, così che i lavoratori possano premunirsi, evitando operazioni o comportamenti compromettenti o pregiudizievoli o di lasciare tracce indesiderate sulle loro informazioni, con effetti potenzialmente negativi sul rapporto di lavoro.

L’obbligo d’informazione dei lavoratori, così arricchito di rinnovato valore, soddisfa, quindi, i principi di pubblicità, di trasparenza e di correttezza del­l’agire datoriale – impedendo, d’ora in avanti, controlli “occulti” del datore di lavoro, anche “difensivi” [49] – e l’esigenza di certezza delle regole del controllo e del trattamento dei dati dei lavoratori.

L’informativa dei lavoratori è, inoltre, funzionale a consentire loro l’eserci­zio dei cc.dd. “diritti dell’interessato” dell’art. 7 del d.lgs. n. 196/2003 [50], e cioè:

– il “diritto di accesso ai dati personali”, in base al quale l’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo ri­guardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile, nonché di chiedere e di ottenere l’indicazione delle seguenti informazioni: l’origine dei dati personali; le finalità e le modalità del trattamento; la logica applicata, in caso di trattamento effettuato con l’ausilio di strumenti elettronici; gli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’art. 5, comma 2; i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o di incaricati;

– il diritto di ottenere l’aggiornamento, la rettificazione ovvero, quando vi abbia interesse, l’integrazione dei dati;

– il diritto di ottenere la cancellazione (cui è collegato il divieto di comunicazione e di diffusione dei dati personali: art. 25, comma 1, lett. a), la trasformazione in forma anonimao il blocco dei dati trattati in violazione di legge (compresi quelli di cui non sia necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati);

– il diritto di ottenere l’attestazione che le operazioni di aggiornamento, rettificazione, integrazione, cancellazione, trasformazione in forma anonima o blocco dei dati sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi (a meno che tale adempimento si riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato);

– il diritto dell’interessato di opposizione, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta.

L’obbligo di informazione del lavoratore del comma 3 dell’art. 4 Stat. lav., interpretato sistematicamente con la normativa in materia di protezione dei dati personali, va inteso nel senso:

– sia di obbligo di informativa individuale del lavoratore nella sua qualità di “interessato al trattamento dei dati”, ai sensi dell’art. 13 del d.lgs. n. 196/2003. Esso deve essere assolto preventivamente al trattamento e riguarda i seguenti elementi: le finalità e le modalità del trattamento cui sono destinati i dati; la natura obbligatoria o facoltativa del conferimento dei dati; le conseguenze di un eventuale rifiuto di fornirli; i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o di incaricati, e l’ambito di diffusione dei dati medesimi; i diritti dell’interessato, di cui all’art. 7; gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato e del responsabile;

– sia – in ossequio all’esigenza di uniformità delle regole sul controllo in azienda, corollario dei summenzionati principi di correttezza e trasparenza – di obbligo di predeterminazione chiara, completa ed omogenea per tutti i dipendenti, della disciplina delle modalità d’uso degli strumenti di lavoro e di effettuazione dei controlli, mediante la predisposizione di un regolamento aziendale (ovvero, “Disciplinare interno” o “Policy interna”); e di conseguente comunicazione dei relativi contenuti alla collettività dei lavoratori, attraverso adeguate forme di pubblicità.

Il regolamento aziendale – la cui elaborazione è stata già prescritta dal Garante nelle “Linee guida” in materia di lavoro (specie in quelle per posta elettronica ed internet del 2007) e che costituisce, peraltro, uno strumento non nuovo al Diritto del lavoro (si veda, per tutti, il codice disciplinare dell’art. 7, comma 1, Stat. lav.) [51] – soddisferebbe anche l’esigenza di adattare la disciplina legislativa (nonché quella del Garante) alle specifiche realtà organizzative dei singoli ambiti lavorativi (imprese e amministrazioni pubbliche), contestualizzando le norme ai concreti assetti aziendali.

Al riguardo, la prescrizione, in un regolamento aziendale, di ambito, forme e modalità dell’ispezione datoriale dei contenuti degli strumenti informatici, satellitari, telematici e digitali (e della conseguente possibilità di trattamento delle informazioni in tal modo reperite), deve accompagnarsi alla indicazione dei confini di tollerabilità – ossia, dei limiti, tanto quali-quantitativi, quanto temporali (ad esempio, fuori dall’orario di lavoro o durante le pause lavorative) – dell’utilizzo, a fini personali, degli strumenti di lavoro (inclusi internet e la po­sta elettronica) da parte del lavoratore, nonché delle conseguenze sanzionatorie per la violazione delle regole predisposte dall’azienda [52]. Fermo restando che, in assenza di autorizzazione da parte del regolamento aziendale (o del datore di lavoro), in base all’art. 4, comma 2, Stat. lav. deve ritenersi inibito al lavoratore l’uso degli strumenti di lavoro per finalità diverse da quelle legate alla esecuzione della prestazione lavorativa, sarebbe auspicabile un atteggiamento datoriale non intransigente: anche in virtù della estensibilità in via analogica delle conclusioni cui è non di rado giunta la giurisprudenza, nel consentire un moderato-occasionale uso personale, da parte del lavoratore, di uno stru­mento assimilabile, benché tecnologicamente più risalente, quale il telefono aziendale [53]. Tanto nel caso di strumenti misti, quanto in quello di un consentito utilizzo personale dello strumento di lavoro, sarebbe, infine, opportuna la previsione di alcuni accorgimenti tecnici volti a rispettare la riservatezza delle informazioni personali del lavoratore, evitando la promiscuità tra queste e le informazioni sulla prestazione: ad esempio, la creazione di due distinti “Profili utente” di accesso al computer per ciascun lavoratore, uno per l’uso aziendale-lavorativo e l’altro per l’uso personale-privato, protetti da differenti password, con il divieto per il datore di entrare nel secondo (al limite potendo monitorare solo le tempistiche di utilizzo di quest’ultimo).

7. Le regole della Raccomandazione del Consiglio d’Europa n. R(2015)5 e l’opportunità di adozione del “Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato per finalità previdenziali o per la gestione del rapporto di lavoro”

Il richiamo, nella legge delega (art. 1, comma 7, legge n. 183/2014), alla “coerenza” della disciplina delegata con le regolazioni (convenzioni) internazionali induce ad evocare, infine, i più significativi Documenti internazionali in materia (benché essi non siano stati oggetto di specifica attenzione, né tanto meno di recepimento, da parte del legislatore delegato), vale a dire:

– il Codice di condotta dell’Organizzazione Internazionale del Lavoro del 1996 sulla “Protezione dei dati personali dei lavoratori” (le cui regole sono incentrate quasi tutte sul trattamento dei dati dei lavoratori mediante strumenti informatici) [54];

– ma soprattutto, la Raccomandazione del Comitato dei Ministri del Consiglio d’Europa agli Stati membri n. R(2015)5 del 1° aprile 2015, sul “Trattamento di dati personali nel contesto occupazionale” [55]: attuativa della Convenzione del Consiglio d’Europa 28 gennaio 1981, n. 108 sulla protezione delle persone rispetto al trattamento automatizzato dei dati personali (ratificata dal­l’Italia con legge n. 98/1989), con la funzione di applicarne i principi al settore del lavoro; e sostitutiva della precedente Raccomandazione n. R(89)2 del 18 gennaio 1989, sulla protezione dei dati a carattere personale utilizzati per finalità di lavoro [56], di cui ha riformulato la disciplina proprio per adeguarla al­l’utilizzo delle nuove tecnologie (in particolare, di quelle dell’informazione e della comunicazione ICT) e dei nuovi strumenti di comunicazione elettronica nelle relazioni di lavoro.

La Raccomandazione n. R(2015)5 contiene una articolata disciplina sulla protezione dei dati personali dei lavoratori, applicabile a qualunque trattamento di dati per scopi di lavoro nel settore pubblico e privato, in cui campeggiano la centralità dei principi generali in materia di trattamento dei dati e l’invito al­l’adozione di idonee misure interne (ossia, di regolamenti aziendali), accompagnato dall’obbligo di preventiva informazione dei dipendenti (parte I). Essa reca, inoltre, regole specifiche per le seguenti “particolari tipologie di trattamento”: utilizzo di internet e comunicazioni elettroniche sul luogo di lavoro; sistemi informativi e tecnologie per la sorveglianza dei dipendenti, compresa la videosorveglianza; apparecchiature in grado di rivelare l’ubicazione dei dipendenti; meccanismi interni di segnalazione; dati biometrici; test psicologici, analisi ed altre analoghe procedure (parte II).

Nonostante il rafforzato valore giuridico delle norme internazionali – in virtù dell’art. 117, comma 1, Cost. – la Raccomandazione del Consiglio d’Europa è, in realtà, uno strumento di soft law, di per sé non vincolante per gli Stati mem­bri, né tanto meno direttamente applicabile o integrante le regole dell’ordina­mento interno. La Raccomandazione n. R(2015)5 – al pari delle altre numerose Raccomandazioni del Consiglio d’Europa in materia di protezione dei dati personali in ambiti specifici – assume, però, un rilevante valore interpretativo, poiché contribuisce a riempire di contenuti l’art. 8, par. 1, della Convenzione europea dei diritti dell’uomo: che, com’è noto, sancisce il diritto di ogni perso­na al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza. Ciò, a maggior ragione in considerazione dell’inter­pretazione dell’art. 8 fornita dalla Corte europea dei diritti dell’uomo [57]: secondo cui, nel campo di applicazione di tale diritto alla vita privata – e quindi, nell’area tutelata dall’art. 8 CEDU – sono comprese le attività di natura professionale o imprenditoriale, inclusi i rapporti di lavoro (come viene ricordato anche nei Considerandi iniziali della Raccomandazione del 2015).

La Raccomandazione n. R(2015)5 svolge, dunque, la funzione di adattare il principio generale di tutela della vita privata, contenuto nell’art. 8 CEDU, e le connesse regole generali sulla protezione dei dati personali, alle specificità del settore lavorativo: come tale, invocabile davanti alla Corte europea dei diritti dell’uomo appunto per il tramite dell’art. 8 (oltre che utilizzabile come parametro interpretativo dai giudici nazionali).

In più, le Raccomandazioni del Consiglio d’Europa sul trattamento dei dati personali nei vari ambiti – inclusa, dunque, quella sul lavoro – hanno trovato nell’ordinamento italiano specifico riconoscimento di normative di riferimento, rinvenendosi proprio nel d.lgs. n. 196/2003 l’impegno espresso di recepimento dei loro contenuti, mediante Codici di deontologia e di buona condotta (art. 12, comma 1). I Codici di deontologia [58] costituiscono, dunque, gli strumenti attraverso i quali l’ordinamento italiano ha inteso realizzare la predisposizione di normative di settore – mediante discipline speciali integrative – in materia di protezione dei dati personali, che tengano conto dei “criteri direttivi” delle Raccomandazioni del Consiglio d’Europa sul trattamento dei dati per­sonali: perpetuando la scelta, originariamente effettuata dall’art. 20 del d.lgs. n. 467/2001, di trasferire, attraverso una delega di potere normativo, all’auto­regolamentazione delle categorie di soggetti pubblici e privati interessati (nel caso del lavoro, le organizzazioni datoriali e quelle sindacali), oltre che al Garante (nella sua funzione di promozione della sottoscrizione dei Codici e di controllo della legittimità, nonché di garanzia della diffusione e del rispetto, degli stessi), il delicato compito di trasposizione dei contenuti delle Raccomandazioni del Consiglio d’Europa nell’ordinamento interno, là dove questa non era stata realizzata direttamente mediante fonte di rango legislativo, ossia nelle materie in cui non si era riusciti ad intervenire con la legislazione delegata di esercizio delle deleghe della legge n. 676/1996 (in effetti rimaste parzialmente inattuate, benché più volte reiterate). Tra le quali compariva quella al recepimento dei principi delle due Raccomandazioni del Consiglio d’Europa in materia di lavoro e previdenza sociale allora vigenti: la n. R(86)1 del 23 gennaio 1986, sui dati impiegati per scopi di sicurezza sociale; e appunto la n. R(89)2 del 18 gennaio 1989, sui dati utilizzati per finalità di lavoro (art. 1, comma 1, lett. b), nn. 3 e 4, legge n. 676/1996). Difatti, all’art. 20, comma 2, lett. b), del d.lgs. n. 467/2001 si deve l’inserimento del lavoro e della previdenza sociale tra i settori oggetto di tali Codici di deontologia.

Attualmente, è l’art. 111 del d.lgs. n. 196/2003 a prevedere l’emanazione dell’apposito “Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato per finalità previdenziali o per la gestione del rapporto di lavoro” – ispirato ai contenuti delle pertinenti Raccomandazioni del Consiglio d’Europa (appunto la n. R(2015)5, oltre che la n. R(86)1) – ad oggi non ancora approvato.

I Codici di deontologia sono atti dotati di valore normativo, integrativi della disciplina sul trattamento dei dati: i cui contenuti sono sottoposti al controllo, da parte del Garante per la protezione dei dati personali, sulla conformità alle norme di legge e di regolamento (art. 12, comma 1, d.lgs. n. 196/2003). Si tratta, in realtà, di fonti di hard law mascherato da soft law: in quanto «il rispetto delle disposizioni contenute nei codici costituisce condizione essenziale per la liceità e correttezza del trattamento dei dati personali effettuato da soggetti privati e pubblici» (art. 12, comma 3, d.lgs. n. 196/2003). Il Codice svolge, dunque, la funzione di “riempire di contenuti” il principio di liceità e correttezza del trattamento (sancito dall’art. 11, comma 1, lett. a), del d.lgs. n. 196) – la cui osservanza, come già sottolineato, costituisce uno degli obblighi fondamentali per i titolari dei trattamenti dei dati, ai fini della legittimità degli stessi – contenendo previsioni esplicative di tale principio, e per questo idonee a costituire parametro per la valutazione della liceità e della correttezza del trattamento dei dati. Di conseguenza, il mancato rispetto delle prescrizioni del codice, comportando una violazione dell’art. 11, comma 1, del d.lgs. n. 196/2003, implica la applicazione, nei confronti del titolare del trattamento, delle molteplici sanzioni previste dal d.lgs. n. 196/2003.

Avendo, in definitiva, il legislatore affidato al futuro Codice di deontologia il compito di introdurre una normativa specifica sulla protezione dei dati nel settore del lavoro, sarebbe auspicabile che si cogliesse tale opportunità di predisposizione di una regolamentazione organica sul regime giuridico delle informazioni del lavoratore: che riorganizzi il sistema normativo speciale a tutela del trattamento dei dati nel campo del lavoro e al tempo stesso adatti le disposizioni generali sulla protezione dei dati personali alle esigenze particolari di tale ambito, recependo i dettami dell’Unione Europea e quelli internazionali (in special modo, del Consiglio d’Europa) in materia, nonché quelli contenuti nei provvedimenti dei Garanti italiano ed europeo.

In particolare, in quanto delegato dal legislatore a tale ruolo regolativo, detto Codice di deontologia potrebbe svolgere la funzione di adeguamento del­l’ordinamento del lavoro italiano alla disciplina del Reg. (UE) n. 2016/679, come strumento di attuazione dell’art. 88 di questo: essendo, peraltro, l’elabo­razione di “Codici di condotta” fortemente promozionata dallo stesso Regolamento UE (spec. art. 40 ss.) (come del resto già dall’art. 27 della direttiva 95/46/CE).

 

NOTE

[1] Su cui, tra i primi commenti dottrinali, v. I. ALVINO, I nuovi limiti al controllo a distanza dell’attività dei lavoratori nell’intersezione fra le regole dello Statuto dei lavoratori e quelle del Codice della privacy, in Labour Law Issues, n. 1, 2016, 3; A. ARBORE, La nuova disciplina dei controlli ex art. 4 St. lav., in E. GHERA, D. GAROFALO (a cura di), Semplificazioni – sanzioni – ispezioni nel Jobs Act 2. Commento ai d.lgs. 14 settembre 2015, nn. 149 e 151, Cacucci, Bari, 2016, 157; E. BARRACO, Privacy del lavoratore e controlli tecnologici, in Dir. prat. lav., 2016, 2345; A. BELLAVISTA, Il nuovo art. 4 dello Statuto dei lavoratori, in G. ZILIO GRANDI, M. BIASI (a cura di), Commentario breve alla riforma “Jobs Act”, Cedam, Padova, 2016, 717 ss.; M.T. CARINCI, Il controllo a distanza dell’attività dei lavoratori dopo il “Jobs Act” (art. 23 D.Lgs. 151/2015): spunti per un dibattito, in Labour Law Issues, n. 1, 2016, III; L.A. COSATTINI, Le modifiche all’art. 4 St. lav. sui controlli a distanza, tanto rumore; per nulla?, in Lav. giur., 2015, 985; E. DAGNINO, Tecnologie e controlli a distanza, in Dir. rel. ind., 2015, 988; L. D’ANDREA, E. MORICONI, Controlli a distanza: la disciplina prima e dopo la riforma, in Dir. prat. lav., 2016, 567; R. DEL PUNTA, La nuova disciplina dei controlli a distanza sul lavoro (art. 23, d.lgs. n. 151/2015), in Riv. it. dir. lav., 2016, I, 77; L. FICARI, I controlli effettuati attraverso gli strumenti utilizzati lavoratore per rendere la prestazione lavorativa, in A. LEVI(a cura di), Il nuovo art. 4 sui controlli a distanza. Lo Statuto dei Lavoratori dopo il Jobs Act, Giuffrè, Milano, 2016, 89; L. FRUSCIO, Art. 4 Statuto dei lavoratori: i controlli a distanza, in Dir. prat. lav., 2016, 1837; C. GAMBA, Il controllo a distanza delle attività dei lavoratori e l’utilizzabilità delle prove, in Labour Law Issues, n. 1, 2016, 122; M.T. GOFFREDO, V. MELECA, Jobs Act e nuovi controlli a distanza, in Dir. prat. lav.,2016, 1894; P. LAMBERTUCCI, La disciplina dei “controlli a distanza” dopo il Jobs Act: continuità e discontinuità con lo Statuto dei lavoratori, in F. CARINCI (a cura di), Jobs Act: un primo bilancio, Atti del XI Seminario di Bertinoro-Bologna del 22-23 ottobre 2015, Adapt University Press, Modena, 2016, e-book n. 54, 270; M. LANOTTE, La ridefinizione dei limiti al potere di controllo a distanza, in A. LEVI (a cura di), Il nuovo art. 4, cit., 21; A. LEVI, La ridefinizione dell’assetto regolativo dei controlli a distanza, quale tassello di una più complessiva riforma del diritto del lavoro, in A. LEVI (a cura di), Il nuovo art. 4, cit., 1; S. MAGNIFICO, La nuova disciplina dell’art. 4 St. Lav. sui controlli a distanza: il difficile bilanciamento tra esigenze imprenditoriali e tutela della riservatezza del lavoratore, in Personale e lavoro, n. 3, 2016, 4; V. MAIO, La nuova disciplina dei controlli a distanza sull’attività dei lavoratori e la modernità post panottica, in Arg. dir. lav., 2015, I, 1186; M. MARAZZA, Dei poteri (del datore di lavoro), dei controlli (a distanza) e del trattamento dei dati (del lavoratore), in CSDLE “Massimo D’Antona”, n. 300, 2016; R. MAURELLI, La riforma dei controlli a distanza della prestazione lavorativa: nuove tutele e suggestioni orwelliane, in www. pietroichino.it, 2015; L. MONTEROSSI, L’art. 4, comma 2, L. n. 300/1970: gli incerti confini dell’eccezione alla regola, in Personale e lavoro, 2016, 10; A.I. NATALI, Jobs act e legittimità del controllo a distanza dei lavoratori, in Dir. prat. lav., 2015, 1980; P. RAUSEI, La nuova disciplina dei controlli a distanza fra luci e ombre, in Dir. prat. lav., 2015, 2149; M.T. SALIMBENI, La riforma dell’articolo 4 dello Statuto dei lavoratori: l’ambigua risolutezza del legislatore, in Riv. it. dir. lav., 2015, I, 589; G. SANTORO-PASSARELLI, Sulle categorie del diritto del lavoro “riformate”, in Dir. rel. ind., 2016, 30 ss.; A. SITZIA, Il controllo (del datore di lavoro) sull’attività dei lavoratori: il nuovo articolo 4 St. lav. e il consenso (del lavoratore), in Labour Law Issues, n. 1, 2016, 83; M. SOFFIENTINI, I nuovi controlli a distanza, in Dir. prat. lav., 2016, 494.

[2] Secondo quell’interpretazione, dottrinale e giurisprudenziale, che ha accolto tale accezione più vasta di “distanza” come connotazione del tipo e delle modalità del controllo, così fornendo un contributo significativo all’ampiezza del relativo divieto assoluto: su cui, v. A. TROJSI, Il diritto del lavoratore alla protezione dei dati personali, Giappichelli, Torino, 2013, 324.

[3] Come sottolineato dallo stesso Presidente del Garante per la protezione dei dati personali, nel testo della Audizione sugli schemi dei decreti legislativi attuativi del c.d. Jobs Act, presso la Commissione Lavoro della Camera dei Deputati, del 9 luglio 2015, e la Commissione Lavoro del Senato, del 14 luglio 2015.

[4] Sull’art. 4 Stat. lav. precedente alla novella del 2015, v. per tutti, A. BELLAVISTA, Il controllo sui lavoratori, Giappichelli, Torino, 1995, 57 ss.; A. CATAUDELLA, Commento all’art. 4, in U. PROSPERETTI(diretto da), Commentario dello Statuto dei lavoratori, Giuffrè, Milano, 1975, tomo I, 77 ss.; E. GRAGNOLI, L’informazione nel rapporto di lavoro, Giappichelli, Torino, 1996, 157 ss.; P. ICHINO, Diritto alla riservatezza e diritto al segreto nel rapporto di lavoro. La disciplina giuridica della circolazione delle informazioni nell’impresa, Giuffrè, Milano, 1979; C. PISANI, I controlli a distanza sui lavoratori, in Giorn. dir. lav. rel. ind., 1987, 121; U. ROMAGNOLI, Osservazioni sugli artt. 4 e 6 dello Statuto dei lavoratori, in Giur. it., 1971, IV, 129 ss.; U. ROMAGNOLI, Commento all’art. 4, in G. GHEZZI, G.F. MANCINI, L. MONTUSCHI, U. ROMAGNOLI, Statuto dei diritti dei lavoratori. Art. 1-13, Zanichelli-Il Foro Italiano, Bologna-Roma, 1979, 18 ss.; M.T. SALIMBENI, Il controllo a distanza sull’atti­vità dei lavoratori: la sopravvivenza dell’art. 4 sugli impianti audiovisivi, in Dir. lav. merc., 2010, 587; L. SERRANI, Moderne soluzioni di registrazione audio-visiva: ambito di applicazione e limiti dell’articolo 4 dello Statuto dei lavoratori, in Dir. rel. ind., 2010, 529 ss.; B. VENEZIANI, I controlli dell’imprenditore ed il contratto di lavoro, Cacucci, Bari, 1975; B. VENEZIANI, Commento all’art. 4, in G. GIUGNI (diretto da), Lo statuto dei lavoratori. Commentario, Giuffrè, Milano, 1979, 17 ss.; P. ZANELLI, Nuove tecnologie. Legge e contrattazione collettiva, Giuffrè, Milano, 1993, 14 ss.; C. ZOLI, Il controllo a distanza del datore di lavoro: l’art. 4l. n. 300/1970 tra attualità ed esigenze di riforma, in Riv. it. dir. lav., 2009, I, 485. Sia consentito, inoltre, rinviare (anche per ulteriori riferimenti bibliografici) ad A. TROJSI, Il diritto del lavoratore, cit., spec. 296 ss.

[5] A. RUSSO, M. TUFO, I controlli preterintenzionali: la nozione, in A. LEVI (a cura di), Il nuovo art. 4, cit., 66; S. SERVIDIO, Controllo dei dipendenti e difesa del patrimonio aziendale, in Dir. prat. lav., 2016, 769.

Per l’orientamento giurisprudenziale di sottrazione all’art. 4 Stat. lav., mediante la elaborazione della categoria dei cc.dd. “controlli difensivi”, ritenuti legittimi in quanto esclusi dal­l’ambito di operatività della norma e, dunque, scevri dai limiti e dai vincoli di questa (in particolare, non bisognosi di accordo sindacale o di autorizzazione amministrativa): cfr. Cass., sez. lav., 3 aprile 2002, n. 4746, in Riv. giur. lav., 2003, II, 71, con nota di L. D’ARCANGELO, Uso privato del telefono, riservatezza e poteri di controllo del datore di lavoro; Cass. pen., sez. III, 28 gennaio 2003, n. 10268, in Dir. prat. lav., 2003, 926; Cass. pen., sez. III, 15 dicembre 2006, n. 8042, in Cass. pen., 2008, 1555; Cass. pen., sez. V, 18 marzo 2010, n. 20722, in Riv. it. dir. lav., 2011, I, 85, con nota di P. TULLINI, Videosorveglianza a scopi difensivi e utilizzo delle prove di reato commesso dal dipendente; Cass., sez. lav., 28 gennaio 2011, n. 2117, in Arg. dir. lav., 2012, II, 136, con nota di T. ERBOLI, Legittimità dei controlli difensivi e regime di utilizzabilità delle prove; Cass. pen., sez. V, 12 luglio 2011, n. 34842, in Cass. pen., 2012, 1432; Cass., sez. lav., 23 febbraio 2012, n. 2722, in Arg. dir. lav., 2012, II, 1029, con nota di N. GIRELLI, Condizioni e limiti del controllo datoriale sulla posta elettronica del lavoratore; Cass., sez. lav., 4 aprile 2012, n. 5371, in Riv. it. dir. lav., 2013, II, 113, con nota di G. SPINELLI, La legittimità dei controlli datoriali c.d. “difensivi”: certezze apparenti in una categoria dubbia; Cass., sez. lav., 17 maggio 2013, n. 12091; Cass. pen., sez. VI, 4 giugno 2013, n. 30177; Cass. pen., sez. II, 16 gennaio 2015, n. 2890, in Foro it., 2015, II, 274; Cass., sez. lav., 27 maggio 2015, n. 10955, in Riv. giur. lav., 2015, II, 587, con nota di M. RUSSO, Controlli difensivi: il fine giustifica i mezzi?, in Riv. it. dir. lav., 2015, II, 984, con nota di M. FALSONE, L’infelice giurisprudenza in materia di controlli occulti e le prospettive del suo superamento, in Dir. rel. ind., 2015, 833, con nota di E. DAGNINO, Controlli social dei lavoratori: un’interessante pronuncia della Cassazione, e in Lav. giur., 2015, 896, con nota di V. AMATO, Legittimità del controllo difensivo occulto attraverso i social networks (su cui, v. inoltre, P.J. NATALI, Datore di lavoro e profilo falso su Facebook per controllare i dipendenti, in Dir. prat. lav., 2015, 2597); Cass. pen., sez. V, 28 settembre 2015, n. 39206, in Dir. prat. lav., 2015, 2499; Cass., sez. lav., 2 luglio 2015, n. 20440, in Riv. giur. lav., 2016, II, 148, con nota di E. RAIMONDI, La riservatezza del lavoratore tra innovazioni legislative e giurisprudenza nazionale ed europea, e in Riv. it. dir. lav., 2016, II, 249, con nota di M. AVOGARO, Abbandono ingiustificato del lavoro, gps e investigatori privati tra controlli difensivi e jobs act; Cass. pen., sez. V, 17 marzo 2016, n. 11419, in Dir. prat. lav., 2016, 1153; Cass. pen., sez. II, 1 agosto 2016, n. 33567.

Nel senso dell’applicabilità dell’art. 4 Stat. lav. a tale tipologia di “controlli difensivi”, v. invece, Cass., sez. lav., 17 giugno 2000, n. 8250, in Not. giur. lav., 2000, 711; Cass., sez. lav., 17 luglio 2007, n. 15892, in Riv. it. dir. lav., 2008, II, 714, con nota di M.L. VALLAURI, È davvero incontenibile la forza espansiva dell’art. 4 dello Statuto dei lavoratori?, e in Riv. giur. lav., 2008, II, 358, con nota di A. BELLAVISTA, Controlli a distanza e necessità del rispetto della procedura di cui al comma 2 dell’art. 4 Stat. lav.; Cass., sez. lav., 23 febbraio 2010, n. 4375, in Riv. giur. lav., 2010, II, 462, con nota di A. BELLAVISTA, La Cassazione e i controlli a distanza sui lavoratori; Cass., sez. lav., 22 marzo 2011, n. 6498, in Giust. civ., 2012, I, 485; Cass., sez. lav., 1° ottobre 2012, n. 16622, in Riv. giur. lav., 2013, II, 87, con nota di A. MATTEI, Controlli difensivi e tutela della riservatezza del lavoratore, e in Lav. giur., 2013, 383, con nota di E. BARRACO, A. SITZIA, Un de profundis per i “controlli difensivi” del datore di lavoro?; Cass., sez. lav., 13 maggio 2016, n. 9904 (su cui, v. C.A. GIOVANARDI, Badge, controllo a distanza e li­cenziamento, in Lav. giur., 2016, 823; S. SERVIDIO, Timbratura del badge, controllo e licenziamento, in Dir. prat. lav., 2016, 1594; A. STANCHI, Badge a radio frequenza, l’interrelazione dei dati di accesso e presenza è soggetta all’art. 4 St. lav., in Guida lav., 2016, 51); Cass. civ., sez. I, 19 settembre 2016, n. 18302; Cass., sez. lav., 5 ottobre 2016, n. 19922.

[6] Su cui, v. precedentemente, la nota del Ministero del lavoro e delle politiche sociali 16 aprile 2012, n. 7162, su “Procedure per il rilascio delle autorizzazioni previste dall’articolo 4 della Legge 20 maggio 1970, n. 300 – Statuto dei lavoratori”.

Il d.lgs. n. 185/2016 – recante (ai sensi dell’art. 1, comma 13, della legge n. 183/2014) disposizioni integrative e correttive, tra gli altri, del d.lgs. n. 151/2015 – ha (art. 6, comma 2) modificato il terzo periodo dell’art. 4, comma 1, Stat. lav., al fine di adeguarlo all’intervenuta riforma (ad opera del d.lgs. n. 149/2015) istitutiva dell’Ispettorato nazionale del lavoro, le cui sedi territoriali subentrano nelle funzioni già esercitate dalle Direzioni territoriali del lavoro. La nuova norma ha stabilito che, in mancanza di accordo sindacale, gli impianti e gli strumenti del primo periodo del comma 1 dell’art. 4 Stat. lav. possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro; ha, inoltre, statuito la definitività dei suddetti provvedimenti (per cui non è possibile proporre ricorso gerarchico contro gli stessi). V. P. RAUSEI, L’intervento sui provvedimenti autorizzatori dei controlli a distanza, in Dir. prat. lav., 2016, 1843.

[7] Sul tema, A. BELLAVISTA, Gli accordi sindacali in materia di controlli a distanza sui lavoratori, in Lav. giur., 2014, 737; P. PASSALACQUA, I controlli preterintenzionali: la procedura, in A. LEVI (a cura di), Il nuovo art. 4, cit., 75.

[8] Benché dal nuovo art. 4 Stat. lav. sia scomparsa la formulazione del divieto generale di uso di apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori (contenuta nel previgente comma 1) ed il comma 1 (analogamente all’originario comma 2) – riferendosi agli strumenti «dai quali derivi anche la possibilità di controllo a distanza» – contempli espressamente la sola fattispecie del controllo “preterintenzionale”, deve in ogni caso ritenersi interpretativamente confermato il divieto assoluto di controllo “intenzionale” a distanza, potendo que­st’ultimo essere implicitamente desunto a contrario proprio dalla previsione, ad opera del com­ma 2 dell’art. 4, delle uniche possibili deroghe al divieto di controllo a distanza (concernenti pur sempre un controllo “preterintenzionale”).

[9] Quest’ultimo risulterebbe il contenuto principale della norma, secondo la Relazione illustrativa dello schema di decreto legislativo: in base alla quale essa contiene la previsione per cui «l’accordo sindacale o l’autorizzazione ministeriale non sono necessari per l’assegnazione ai lavoratori degli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa, pur se dagli stessi derivi anche la possibilità di un controllo a distanza del lavoratore».

[10] Secondo la ampia qualificazione di “attività dei lavoratori”, elaborata dalla giurisprudenza sull’originario art. 4 Stat. lav., con l’effetto di estendere l’area tutelata dal relativo divieto di controllo a distanza: v. Cass. pen., sez. II, 8 ottobre 1985, n. 8687, in Mass. giur. lav., 1986, 408; Cass., sez. lav., 3 luglio 2001, n. 8998, in Not. giur. lav., 2002, 34; App. Torino, 28 marzo 2006, in Giur. piem., 2007, 148; Trib. Genova, 1° ottobre 1983, in Dir. lav., 1984, II, 455-456; Pret. pen. Milano, sez. V, 5 dicembre 1984, in Riv. it. dir. lav., 1985, II, 209, con nota di T. PADOVANI, Il controllo a distanza dell’attività lavorativa svolta mediante elaboratori elettronici.

[11] La delega alla revisione della disciplina dei controlli a distanza sui lavoratori, non prevista nella versione originaria dell’art. 4 del d.d.l. n. AS 1428 (del 2014), è stata successivamente aggiunta, in occasione della prima approvazione in Senato, all’interno del maxi emendamento 4.1000 sostitutivo dell’art. 4, presentato dal Governo. Su tale delega, v. A. BELLAVISTA, La tutela del lavoro tra marketing politico ed esigenze reali, in F. CARINCI (a cura di), La politica del lavoro del Governo Renzi, Atti del X Seminario di Bertinoro-Bologna del 23-24 ottobre 2014, Adapt University Press, Modena, 2015, e-book n. 40, 509; F. CARINCI, Jobs Act, atto II: la legge delega sul mercato del lavoro, in Arg. dir. lav., 2015, I, 9; F. CARINCI, Il tramonto dello Statuto dei lavoratori (dalla l. n. 300/1970 al Jobs Act), Adapt University Press, Modena, 2015, e-book n. 41, 12; M. DE LUCA, Legge delega sui tipi di contratti di lavoro: interpretazione costituzionalmente orientata in funzione delle leggi delegate, in Lav. giur., 2015, 352-353; V. FERRANTE, Riflessioni a caldo sulla progettata modifica degli artt. 4 e 13 dello “Statuto”, in F. CARINCI (a cura di), La politica del lavoro, cit., 315; P. LAMBERTUCCI, Potere di controllo del datore di lavoro e tutela della riservatezza del lavoratore: i controlli a “distanza” tra attualità della disciplina statutaria, promozione della contrattazione di prossimità e legge delega del 2014 (c.d. Jobs act), in CSDLE “Massimo D’Antona”, n. 255, 2015, 15 ss.; F. SANTONI, La revisione della disciplina dei rapporti di lavoro, in F. CARINCI (a cura di), La politica del lavoro del Governo Renzi Atto II, Adapt University Press, Modena, 2014, e-book n. 32, 141 ss.; V. SPEZIALE, Le politiche del lavoro del Governo Renzi: il Jobs Act e la riforma dei contratti e di altre discipline del rapporto di lavoro, in CSDLE “Massimo D’Antona”, n. 233, 2014, 37 ss.; A. TROJSI, Il comma 7, lettera f), della legge delega n. 183/2014: tra costruzione del Diritto del lavoro dell’era tecnologica e liberalizzazione dei controlli a distanza sui lavoratori, in M. RUSCIANO, L. ZOPPOLI (a cura di), Jobs Act e contratti di lavoro dopo la legge delega 10 dicembre 2014 n. 183, in CSDLE “Massimo D’Antona”, Collective Volumes, n. 3, 2014, 117 ss.

L’attuazione di tale delega è, peraltro, avvenuta non senza travaglio, non a caso solo in occasione della emanazione dell’ultimo dei decreti legislativi attuativi (il d.lgs. n. 151/2015), recante prevalentemente “Disposizioni di razionalizzazione e semplificazione delle procedure e degli adempimenti a carico di cittadini e imprese”: potendo così offrire a prima vista la prospettiva, per alcuni versi fuorviante, per cui la riforma dell’art. 4 Stat. lav. abbia costituito fondamentalmente una misura di semplificazione.

[12] L’Analisi di impatto della regolamentazione dello schema di decreto legislativo ha confermato che «per quanto concerne i controlli a distanza dell’attività lavorativa l’esigenza di riformare la disciplina, risalente alla legge n. 300 del 1970, nasce dalla necessità di adeguare la normativa allo sviluppo della tecnologia garantendo nel contempo il rispetto della dignità e della riservatezza dei prestatori di lavoro» (Sezione I, lettera A).

[13] V. già AA.VV., Rivoluzione tecnologica e rapporto di lavoro, Atti dell’VIII Congresso nazionale di Diritto del lavoro. Napoli, 12-14 aprile 1985, Giuffrè, Milano, 1986. V. poi, E. COLÀS NEILA, Fundamental Rights of workers in the Digital Age: a methodological approach from a case study, in CSDLE “Massimo D’Antona”, n. 89, 2011; J. RASO DELGUE, I rapporti di lavoro nell’era digitale, in Dir. rel. ind., 2014, 953; M. WEISS, Digitalizzazione: sfide e prospettive per il diritto del lavoro, in Dir. rel. ind., 2016, 651.

[14] S. RODOTÀ, La vita e le regole. Tra diritto e non diritto, Feltrinelli, Milano, 2007.

[15] S. BROADBENT, Internet, lavoro, vita privata. Come le nuove tecnologie cambiano il nostro mondo, il Mulino, Bologna, 2012.

[16] Su cui, v. diffusamente, A. TROJSI, Il diritto del lavoratore, cit., 311 ss. Sui controlli informatici sui lavoratori, v. poi, R. IMPERIALI, R. IMPERIALI, Controlli sul lavoratore e tecnologie, Giuffrè, Milano, 2012; A. LEVI, Il controllo informatico sull’attività del lavoratore, Giappichelli, Torino, 2013; F. TOFFOLETTO, Nuove tecnologie informatiche e tutela del lavoratore. Il potere di controllo del datore di lavoro. Il telelavoro, Giuffrè, Milano, 2006; P. TULLINI (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro. Uso dei mezzi elettronici, potere di controllo e trattamento dei dati personali, Cedam, Padova, 2010.

[17] Cfr. B. GRANDI, La protesta informatica: i medici aprono la discussione, in Arg. dir. lav., 2015, I, 599. V. pure, M. FORLIVESI, La sfida della rappresentanza sindacale dei lavoratori 2.0, in Dir. rel. ind., 2016, 664.

[18] Tra i primi, v. F. CARINCI, Rivoluzione tecnologica e diritto del lavoro: il rapporto individuale, in Giorn. dir. lav. rel. ind., 1985, 224; R. DE LUCA TAMAJO, R. IMPERIALI D’AFFLITTO, C. PISANI, R. ROMEI (a cura di), Nuove tecnologie e tutela della riservatezza dei lavoratori, Franco Angeli, Milano, 1988; M. DELL’OLIO, Art. 4 St. lav. ed elaboratori elettronici, in Dir. lav., 1986, I, 487; G. GIUGNI, Lo statuto dei lavoratori vent’anni dopo, in Lav. dir., 1990, 182; A. GARILLI, A. BELLAVISTA, Innovazioni tecnologiche e Statuto dei lavoratori: i limiti ai poteri dell’imprenditore fra tutela individuale e collettiva (artt. 4-9-13), in Quad. dir. lav. rel. ind., 1989, 139 ss.; B. VENEZIANI, L’art. 4 della legge 20 maggio 1970, n. 300: una norma da riformare?, in Riv. giur. lav., 1991, I, 84; P. ZANELLI, Impresa, lavoro e innovazione tecnologica, Giuffrè, Milano, 1985.

[19] Fin dalla nota Pret. pen. Milano, sez. V, 5 dicembre 1984, cit. (sulla quale, v. G. GHEZZI, F. LISO, Computer e controllo dei lavoratori, in Giorn. dir. lav. rel. ind., 1986, 352; D. PETRINI, L’articolo 4 dello Statuto dei lavoratori e il controllo dell’attività lavorativa attuato con mezzi informatici, in Riv. giur. lav., 1985, IV, 375). Per la ricognizione e l’esame dei più significativi orientamenti giurisprudenziali interpretativi e applicativi del previgente art. 4 Stat. lav. (peraltro possibile oggetto di futura rivisitazione alla luce della novella legislativa: cfr. L. CAIRO, Il controllo a distanza dei lavoratori: precedenti nella giurisprudenza di ieri decisi con le norme di oggi, in Labour Law Issues, n. 1, 2016, 63) – in specie, in rapporto alle nuove tecnologie, divisi tra le opposte posizioni “evolutivo-estensiva” (volta a ricomprendere nella fattispecie aperta delle “altre apparecchiature di controllo a distanza”, e quindi nel campo di applicazione della disposizione, i nuovi strumenti informatici e telematici) e “di fuga” dalla norma – sia consentito rinviare ad A. TROJSI, Il diritto del lavoratore, cit., 297 ss., spec. 324 ss. All’ampia giurisprudenza ivi citata (nonché a quella in tema di controlli difensivi, riportata retro, nota 5), si aggiungano, tra le pronunce successive: Cass., sez. lav., 22 novembre 2012, n. 20613, in Arg. dir. lav., 2013, II, 192, con nota di C.V. VACCHIANO, Il controllo occulto svolto dal datore di lavoro per il tramite di agenzia di investigazione è legittimo se finalizzato alla tutela del patrimonio aziendale o all’accertamento di illeciti da parte del lavoratore; Cass. pen., sez. III, 12 novembre 2013, n. 4331, in Foro it., 2014, II, 129; Cass., sez. lav., 21 novembre 2013, n. 26143, in Arg. dir. lav., 2014, II, 781, con nota di C. CRISTOFOLINI, Sulla legittimità del licenziamento del lavoratore che registra e produce in giudizio le conversazioni intrattenute con i colleghi; Cass., sez. lav., 26 novembre 2013, n. 26397; Cass. pen., sez. III, 27 marzo 2014, n. 17027; Cass. pen., sez. VI, 14 dicembre 2015, n. 49286; Cass., sez. lav., 9 febbraio 2016, n. 2531; Cass., sez. lav., 12 maggio 2016, n. 9749; Cass., sez. lav., 15 giugno 2016, n. 12337; Cons. Stato, sez. VI, 5 giugno 2015, n. 2773, in Foro it., 2015, III, 393; TAR Milano, sez. I, 11 luglio 2013, n. 1815, in Foro amm. TAR, 2013, 2203; Trib. Lucca, 4 febbraio 2015, in Foro it., 2015, I, 1384.

[20] All’art. 4 Stat. lav. la delega legislativa dell’art. 1, comma 7, lett. f ), della legge n. 183/2014 intendeva, infatti, senz’altro mirare, pur non avendolo richiamato espressamente: essendo questo l’articolo recante la controversa disciplina sui controlli a distanza dei lavoratori da riformare. Così pure, sulla medesima linea, già l’art. 8 del d.l. n. 138/2011, convertito con modificazioni dalla legge n. 148/2011, nella parte in cui ha conferito ai contratti collettivi di prossimità il potere di regolazione – tra le materie elencate, inerenti all’organizzazione del lavoro e della produzione – degli impianti audiovisivi e della introduzione di nuove tecnologie (comma 2, lett. a).

[21] Cfr. G. ZICCARDI, Il controllo delle attività informatiche e telematiche del lavoratore: alcune considerazioni informatico-giuridiche, in Labour Law Issues, n. 1, 2016, spec. 55 ss.

[22] Come chiarito dal Comunicato stampa del Ministero del lavoro del 18 giugno 2015, su “Controlli a distanza: Ministero del lavoro, nessuna liberalizzazione; norma in linea con le indicazioni del Garante della Privacy”.

[23] V. però, Cass., sez. lav., 14 maggio 2015, n. 9900.

[24] Ed inoltre, la violazione dell’obbligo di diligenza nell’adempimento della prestazione lavorativa durante l’orario di lavoro potrebbe pur sempre essere perpetrata dal lavoratore, piuttosto che effettuando un uso personale-privato dello strumento informatico-telematico di lavoro, adoperando propri strumenti elettronici portatili (tabletnotebooksmartphone, ecc.), così da sottrarsi al controllo informatico del datore di lavoro.

[25] Dunque, in particolare l’intero potenziale contenuto dello strumento informatico (computer): i files documentali o recanti immagini, foto, registrazioni audio e video; i messaggi di posta elettronica scaricati, relativi ad account privati; la navigazione internet effettuata mediante una rete di collegamento privata, ossia la cronologia, le pagine visitate (comprese quelle dei motori di ricerca), i downloads effettuati (di filesdocumentali, video e audio), nonché i dati di login (user ID e password) per l’accesso ad aree riservate dei siti (ad esempio, social networksinternet banking, gestione di carte di credito, e-commerce, posta elettronica con accesso mediante web mail, collegamento skype, ecc.), anche non salvati in fase di primo accesso al sito ma solamente editati (in tal caso, benché non banalmente recuperabili dal PC, è comunque possibile risalire ad essi, utilizzando specifici strumenti software in grado di leggere i dati salvati nella memoria principale RAM da una determinata applicazione, quindi anche da un browser web; ciò, a meno che per la navigazione sia stato utilizzato il protocollo “https”, su cui v. la nota successiva), e le operazioni effettuate e visualizzate in tali aree protette da credenziali di accesso (anche dopo il logout). Il recupero dei dati relativi alla navigazione nella rete internet, in particolare, è possibile tramite l’accesso alla cache dei browser internet del PC – che è una porzione di hard disk in cui vengono salvate le pagine web visitate, ed i relativi contenuti, con la funzione di ridurre il consumo di banda (in quanto, quando si andrà a visitare una seconda volta tali pagine internet, esse verranno recuperate dalla cache senza doverle richiedere e scaricare nuovamente dal server remoto) – utilizzando appositi software che permettono di visionare la cache del browser ed estrapolare i dati.

Lo stesso vale per i dati tipicamente registrati dagli smartphones (e dalle relative sim card) (in quanto essi utilizzano criteri analoghi ai PC per la memorizzazione dei dati sui vari supporti): rubrica telefonica; telefonate, sms e mms inviati e ricevuti; foto, video, registrazioni vocali; files; messaggi di posta elettronica scaricati o spediti; pagine internet visitate (incluse le ricerche effettuate mediante i motori di ricerca e i downloads); messaggi di testo e vocali, foto e video transitati mediante le applicazioni del telefono (whatsapphangout, ecc.). Al riguardo, bisogna però anche tener conto della maggiore difficoltà di recupero dei dati, nel caso di dispositivi informatici dotati di meccanismi di protezione dell’accesso da parte di terzi (come l’iPhone Apple), o per quelle applicazioni munite di sistemi di criptazione dei contenuti (si veda, ad esempio, l’attivazione della crittografia end-to-end da parte di WhatsApp, per cui i messaggi inviati tramite questa chat e le chiamate non possono essere decodificati neppure dalla società produttrice o gestrice, oltre che da terze parti, ma solo dal mittente e dal destinatario).

[26] Specie se l’accesso ad internet avviene attraverso un Proxy cache “http”, ovvero un’altra delle possibili funzioni che può svolgere un Firewall. Se la navigazione avviene attraverso il protocollo “http” (HyperText Transfer Protocol), inoltre, chiunque sia in grado di intercettare il traffico internet potrà leggere tutti i dati che transitano tra il PC Client ed il Server Web su cui sono presenti le pagine web. Mentre maggiori garanzie di criptazione e di sicurezza offre la navigazione via “https” (HyperText Transfer Protocol over Secure Socket Layer) (quando è possibile tale tipo di accesso). A meno che, dunque, si utilizzi il protocollo “https” in fase di navigazione, l’amministratore di sistema in possesso delle credenziali di amministratore del Proxy Server potrebbe essere in grado di entrare in possesso persino delle credenziali di accesso (nome-utente password) inserite nel web browser per l’accesso ad aree riservate dei siti internet. Il recupero successivo del contenuto delle pagine internet visitate mediante il server aziendale è, poi, possibile se il server è configurato per salvare (cachare) la navigazione: in tal caso, oltre alla cache locale del browser internet, vi è anche una cache centralizzata sul Proxy Server.

[27] Con riguardo alla posta elettronica con dominio aziendale, la possibilità di lettura e di conservazione delle mail da parte del Client mail aziendale dipende dal tipo di protocollo utilizzato da quest’ultimo (MUA:Mail User Agent) per recuperare le mail dal Mail Server (MTA: Mail Transfer Agent). I protocolli standard, più utilizzati a tal fine, sono il POP (Post Office Protocol) e l’IMAP (Internet Message Access Protocol). Se il Client utilizza il protocollo POP, le mail saranno scaricate sul PC Client, che però potrà essere configurato per mantenere una copia delle mail sul server; se, invece, utilizza il protocollo IMAP, le mail presenti sui PC Clientsaranno sincronizzate con quelle presenti sul server. Ad ulteriore complicazione del quadro, va segnalata l’esistenza anche di protocolli proprietari, come ad esempio il MAPI e l’AES di Microsoft. Al di là del tipo di protocollo usato, è possibile l’effettuazione, da parte dell’ammini­stratore di sistema, di configurazioni particolari del Mail Server, quale l’inoltro automatico della posta di uno o di tutti gli account verso un altro account di posta. Infine, solitamente l’am­ministratore di sistema realizza le copie di sicurezza (backup) delle mail gestite dal Mail Server. In tutti i predetti casi – almeno uno dei quali è normalmente riscontrabile – anche mailscaricate sul computer e/o cancellate dal singolo intestatario dell’indirizzo di posta elettronica continuano, in realtà, ad esistere.

[28] Sulle peculiari vicende (e ragioni) di tali formulazioni del d.lgs. n. 196/2003, risalenti ai lavori preparatori dello schema di decreto legislativo, sia consentito rinviare ad A. TROJSI, Il diritto del lavoratore, cit.,359 ss.

[29] Ad esempio: parere 13 settembre 2001, n. 8, sul “Trattamento dei dati personali nel contesto lavorativo”; Documento di lavoro del 29 maggio 2002, riguardante “La vigilanza sulle comunicazioni elettroniche sul posto di lavoro”; Documento di consultazione del 24 settembre 2003, relativo ad un “Quadro comunitario concernente la protezione dei dati personali dei lavoratori nel contesto dell’occupazione”.

[30] Su cui, v. F. PIZZETTI, Privacy e il diritto europeo alla protezione dei dati personali. Dalla Direttiva 95/46 al nuovo Regolamento europeo, Giappichelli, Torino, 2016; M. SOFFIENTINI, Privacy: guida al regolamento europeo, in Dir. prat. lav., 2016, inserto, III ss.; M. SOFFIENTINI, Protezione dei dati personali: nuovo Regolamento Ue, in Dir. prat. lav., 2016, 1565. Inoltre, su aspetti specifici, M. MONTANILE, Notifiche della violazione al Garante, in Dir. prat. lav., 2016, 1873; F. NOVARIO, La progettazione della privacy, in Dir. prat. lav., 2016, 1633.

[31] Le proposte dei due testi normativi (su cui, v. F. BALDUCCI ROMANO, La protezione dei dati personali nell’Unione europea tra libertà di circolazione e diritti fondamentali dell’uomo, in Riv. it. dir. pubbl. com.,2015, spec. 1653 ss.; per gli aspetti lavoristici, A. TROJSI, Il diritto del lavoratore, cit., 675 ss.) erano state presentate, insieme alle relative Relazioni illustrative, dalla Commissione europea il 25 gennaio 2012 [Com(2012)11 def e Com(2012)10 def, rispettivamente]. Il 15 dicembre 2015 la Commissione europea ha raggiunto un accordo politico col Parlamento europeo e col Consiglio dell’Unione Europea (in sede di negoziati finali tra le tre istituzioni: cc.dd. “riunioni di trilogo”). In esecuzione di tale accordo, i due testi normativi sono stati approvati, in prima lettura, dal Consiglio UE l’8 aprile 2016 e in via definitiva, in seconda lettura, dall’Assem­blea plenaria del Parlamento europeo il 14 aprile 2016. Il 21 aprile 2016 il Consiglio Ue ha effettuato la presa d’atto, senza modifiche, dei due testi approvati dal Parlamento.

Si veda pure la direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi.

[32] Tale previsione del Regolamento fa seguito al considerando 155: che ha appunto affermato la possibilità che il diritto degli Stati membri o i contratti collettivi, ivi compresi gli “accordi aziendali”, prevedano norme specifiche per il trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per quanto riguarda le condizioni alle quali i dati personali nei rapporti di lavoro possono essere trattati sulla base del consenso del dipendente, per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, e ai fini dell’eserci­zio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.

[33] L’art. 9, par. 2, del Regolamento consente il trattamento dei dati sensibili (ossia, dei dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dei dati genetici, dei dati biometrici intesi a identificare in modo univoco una persona fisica, dei dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona), tra le altre ipotesi, quando: il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o del­l’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato (lett. b); il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità sindacali (nonché politiche, filosofiche o religiose), a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato (lett. d); il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatta salva la garanzia del segreto professionale (lett. h).

[34] Su cui, v. L. CORINO, Il Responsabile della Protezione dei Dati, in Dir. prat. lav., 2016, 1769.

[35] Definita come «qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti» (art. 4, comma 1, lett. p).

[36] Sull’applicazione della disciplina generale in materia di protezione dei dati personali al settore del lavoro, sia consentito rinviare ad A. TROJSI, Il diritto del lavoratore, cit., spec. 348 ss. Ivi anche i riferimenti bibliografici relativi all’ampia letteratura giuslavoristica sul tema, di cui ci si limita, in questa sede, a citare gli altri principali lavori monografici: M. AIMO, Privacy, libertà di espressione e rapporto di lavoro, Jovene, Napoli, 2003; P. CHIECO, Privacy e lavoro. La disciplina del trattamento dei dati personali del lavoratore, Cacucci, Bari, 2000; A. SITZIA, Il diritto alla “privatezza” nel rapporto di lavoro tra fonti comunitarie e nazionali, Cedam, Padova, 2013. Nonché riepilogativamente, M. AIMO, Tutela della riservatezza e protezione dei dati personali dei lavoratori, in M. MARAZZA (a cura di), Contratto di lavoro e organizzazione, Trattato di diritto del lavoro, diretto da M. PERSIANI, F. CARINCI, Cedam, Padova, 2012, vol. IV, tomo II, 1771. E, in rapporto al nuovo art. 4 Stat. lav., spec. I. ALVINO, I nuovi limiti, cit.; E. BARRACO, A. SITZIA, Potere di controllo e privacy. Lavoro, riservatezza e nuove tecnologie, Ipsoa, Milano, 2016; L. CALAFÀ, I limiti derivanti dalla disciplina della tutela della riservatezza, in A. LEVI (a cura di), Il nuovo art. 4, cit., 145; M. MARAZZA, Dei poteri, cit.

[37] Con riguardo alle sanzioni penali, oltre alle fattispecie di reato previste dagli artt. 167 ss. del d.lgs. n. 196/2003, sono applicabili al caso di specie quella dell’art. 38 Stat. lav. [su cui, v. R. FLOR, Diritto penale e controlli a distanza dei lavoratori dopo il c.d. Jobs Act, in A. LEVI (a cura di), Il nuovo art. 4, cit., 161], nonché quelle relative ai cc.dd. “reati informatici” (artt. 615 bis ss. c.p.) – in particolare, di interferenze illecite nella vita privata (art. 615-bis c.p.) (su cui, v. Cass. pen., sez. III, 2 luglio 2015, n. 27847) e di accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.) (su cui, v. Cass. pen., sez. V, 10 marzo 2015, n. 10083; Cass. pen., sez. V, 2 marzo 2016, n. 8631, in Dir. prat. lav., 2016, 670; Cass. pen., sez. V, 31 marzo 2016, n. 13057, in Dir. prat. lav., 2016, 1155) – e ai reati a tutela della segretezza della corrispondenza (artt. 616-620 c.p.). Sul tema, v. M. GROTTO, La rilevanza penale del controllo datoriale attraverso gli strumenti informatici, in Dir. inf., 2014, 57.

[38] Ciò, benché debba essere verificata la compatibilità dei contenuti di tali provvedimenti normativi del Garante rilevanti per la materia del lavoro – spesso restrittivi della possibilità, per il datore di lavoro, di controllo informatico sui lavoratori – con la sopravvenuta disciplina riformata dell’art. 4 Stat. lav. Al riguardo, si segnala la affermazione di conformità del nuovo art. 4 Stat. lav. alle Linee guida del Garante, da parte del Comunicato stampa del Ministero del lavoro del 23 giugno 2015, su “Jobs Act: Ministero del lavoro, su controlli a distanza si adegua la disciplina vigente alle innovazioni tecnologiche, nel rispetto delle indicazioni del Garante della Privacy”.

Rilevante è altresì la profusa “giurisprudenza” del Garante in materia di lavoro: per la cui analisi sia consentito rinviare ad A. TROJSI, Il diritto del lavoratore, spec. 348 ss. Tra le pronunce del Garante in tema di uso degli strumenti informatici e telematici nel lavoro, si segnalano, in ogni caso, quelle del: 30 ottobre 2001, in Cittad. soc. inf., 2001, 86; 23 aprile 2002, in Cittad. soc. inf., 2002, 14; 4 luglio 2002, in Cittad. soc. inf., 2002, 148; 30 novembre 2002; 22 dicembre 2003; 2 febbraio 2006, in Arg. dir. lav., 2006, II, 1142, con nota di V. FERRANTE, Competenze dell’Autorità Garante e controlli difensivi; 18 maggio 2006, in Arg. dir. lav., 2006, II, 1135, con nota di A. CATAUDELLA, Riservatezza del lavoratore subordinato e accesso a suoi dati personali in sede di controllo da parte del datore di lavoro; 16 novembre 2006; 16 maggio 2007 (disapplicata da Trib. Torino, 28 settembre 2007, in Arg. dir. lav., 2008, II, 1265, con nota di D. IARUSSI, L’utilizzabilità delle prove acquisite a sostegno del licenziamento disciplinare: tra potere datoriale (e del giudice) e diritto alla riservatezza del lavoratore); 28 novembre 2007; 11 dicembre 2007; 2 aprile 2008; 27 novembre 2008; 2 aprile 2009, in Riv. giur. lav., 2010, II, 167, con nota di S. ROSSETTI, Nuove tecnologie informatiche e controllo dell’attività lavorativa; 8 aprile 2009; 25 giugno 2009; 2 ottobre 2009; 21 gennaio 2010; parere 4 marzo 2010; 22 aprile 2010; 23 dicembre 2010; 7 aprile 2011; 21 luglio 2011, n. 308; 18 ottobre 2012, n. 307; 29 novembre 2012; 20 dicembre 2012, n. 440; 10 ottobre 2013, n. 443; 12 giugno 2014, n. 298; 31 luglio 2014, n. 392; 27 novembre 2014, n. 551; 8 gennaio 2015, n. 11; 5 febbraio 2015, n. 65 (su cui, v. P.J. NATALI, Navigazione internet dei lavoratori e tutela della privacy, in Dir. prat. lav., 2015, 1917); 5 marzo 2015, n. 136; 4 giugno 2015, n. 345, in Dir. rel. ind., 2015, 1170, con nota di E. DAGNINO, Privacy e tecnologie: il Garante contro il controllo delle conversazioni Skype; 30 luglio 2015, n. 456; 13 luglio 2016, n. 303. Su tale giurisprudenza del Garante, v. S. BELLUMAT, Privacy e «controlli tecnologici» del lavoratore: tra “contrasti” della giurisprudenza e “certezze” dell’Autorità Garante, in Arg. dir. lav., 2009, II, 1217; A. STANCHI, Privacyrapporto di lavoromonitoraggio degli accessi ad Internetmonitoraggio delle email e normative di tutela contro il controllo a distanza. Alcuni spunti per una riflessione interpretativa, in G. ZILIO GRANDI (a cura di), I poteri del datore di lavoro nell’im­presa, Atti del Convegno di Studi. Venezia, 12 aprile 2002, Cedam, Padova, 2002, 93; P. TULLINI (a cura di), Tecnologie della comunicazione, cit.

I provvedimenti del Garante citati, privi degli estremi della pubblicazione, s’intendono reperiti nel sito internet dell’Autorità, all’indirizzo www.garanteprivacy.it.

[39] Su cui, v. I. ALVINO, L’articolo 4 dello Statuto dei lavoratori alla prova di internet e della posta elettronica, in Dir. rel. ind., 2014, 1017 ss.; M. DEL CONTE, Internet, posta elettronica e oltre: il Garante della privacy rimodula i poteri del datore di lavoro, in Dir. inf., 2007, 497 ss.; A. MINERVINI, I controlli sul lavoratore e la tutela dell’azienda, in Lav. giur., 2014, 314. In generale, sullo strumento delle Linee guida del Garante, v. G. DI COSIMO, Sul ricorso alle linee guida da parte del Garante per la privacy, in Osservatoriosullefonti.it, 2016, n. 1.

[40] Sull’uso dei dati biometrici dei lavoratori per monitorare gli accessi e le presenze, v. pure le pronunce del Garante: 21 luglio 2005; 23 novembre 2005; 15 giugno 2006; 26 luglio 2006; 1 febbraio 2007; 8 novembre 2007; 15 febbraio 2008; 2 ottobre 2008; 8 aprile 2009; 4 giugno 2009; 12 giugno 2009; 17 settembre 2009; 15 ottobre 2009; 29 ottobre 2009; 10 dicembre 2009; 17 novembre 2010; 10 marzo 2011, n. 100; 26 maggio 2011, n. 212; 10 giugno 2011; 5 luglio 2011; 20 ottobre 2011, n. 393; 29 novembre 2012, n. 374; 10 gennaio 2013, n. 4; 31 gennaio 2013, n. 38; 30 maggio 2013, n. 261; 30 maggio 2013, n. 262; 1 agosto 2013, n. 384; 28 novembre 2013, n. 534; 28 novembre 2013, n. 543; 22 ottobre 2015, n. 552.

[41] In tema, tra i numerosissimi pronunciamenti del Garante, anche con specifici riferimenti all’art. 4 Stat. lav., v. in particolare: parere 17 dicembre 1997, in Cittadsocinf., 1997, 57; parere 28 maggio 1998, in Cittadsocinf., 1998, 74; parere 31 dicembre 1998, in Cittadsocinf., 1998, 139; parere 24 febbraio 1999; parere 23 marzo 1999, in Cittadsocinf., 1999, 58; parere 21 ottobre 1999, in Cittadsocinf., 1999, 80; 29 ottobre 2009; parere 17 febbraio 2000, in Cittadsocinf., 2000, 74; parere 7 marzo 2000, in Cittadsocinf., 2000, 76; 27 giugno 2001, in Cittad. soc. inf., 2001, 18; 19 dicembre 2001, in Cittad. soc. inf., 2001, 40; 5 ottobre 2002, in Cittad. soc. inf., 2002, 124; 8 febbraio 2005; 22 febbraio 2005; 2 febbraio 2006; parere 6 giugno 2006; 2 ottobre 2008; 26 febbraio 2009; 4 settembre 2009; 10 giugno 2010, in Dir. prat. lav., 2010, 2151; 24 giugno 2010; 15 ottobre 2010; 4 novembre 2010; 9 febbraio 2011, n. 58; 14 aprile 2011, n. 142; 14 luglio 2011, n. 300; 10 novembre 2011, n. 420; 11 novembre 2011, n. 421; 11 novembre 2011, n. 422; 17 novembre 2011, n. 433; 17 novembre 2011, n. 434; 17 novembre 2011, n. 435; 12 gennaio 2012, n. 11; 2 febbraio 2012; 9 febbraio 2012; 16 febbraio 2012, n. 63; 1 marzo 2012, n. 87; 1 agosto 2012, n. 235; 6 settembre 2012, n. 236; 4 ottobre 2012, n. 267; 25 ottobre 2012, n. 313; 29 novembre 2012, n. 368; 17 gennaio 2013, n. 16; 7 febbraio 2013; 7 marzo 2013, n. 104; 21 marzo 2013, n. 142; 4 aprile 2013, n. 163; 4 aprile 2013, n. 164; 18 aprile 2013, n. 199; 18 aprile 2013, n. 200; 18 aprile 2013, n. 202; n. 261/2013, cit.; 4 luglio 2013, n. 335; 30 ottobre 2013, n. 484; 18 dicembre 2013, n. 590; 9 gennaio 2014, n. 13; 6 marzo 2014, n. 106; 8 maggio 2014, n. 230; 12 giugno 2014, n. 301; 10 luglio 2014, n. 357; 18 settembre 2014, n. 412; 2 ottobre 2014, n. 434; 8 gennaio 2015, n. 2; 12 marzo 2015, n. 142; 18 giugno 2015, n. 370; 8 luglio 2015, n. 413; 8 luglio 2015, n. 414; 30 luglio 2015, n. 455; n. 303/2016, cit.

[42] In tema, v. anche il precedente Provvedimento generale del Garante 9 marzo 2005, su “Etichette intelligenti (Rfid): il Garante individua le garanzie per il loro uso”. Nonché le pronunce del Garante: 24 agosto 2006; 27 dicembre 2007; 5 giugno 2008; 18 febbraio 2010; 7 ottobre 2010; 7 luglio 2011, n. 284; 7 luglio 2011, n. 285; 1° marzo 2012, n. 81; 1° agosto 2012, n. 134; 7 marzo 2013, n. 103; 7 novembre 2013, n. 499; 9 ottobre 2014, n. 448; n. 434/2014, cit.; n. 2/2015, cit.; 29 gennaio 2015, n. 50; 7 maggio 2015, n. 270; 8 settembre 2016, n. 350. V. inoltre, il decreto del Ministero del lavoro e delle politiche sociali, Direzione generale della tutela delle condizioni di lavoro, divisione IV, del 24 giugno 2004, in tema di installazione di impianti di controllo satellitare su autovetture di pronto intervento di un’impresa erogatrice di gas, in Riv. it. dir. lav., 2005, II, 172, con nota di C. SANTINI, Il controllo satellitare sull’autovettura e la disciplina del controllo a distanza ex art. 4 St. lav.: un provvedimento del Ministero del lavoro; nonché la risposta a una istanza di interpello del medesimo Ministero, Direzione generale per l’attività ispettiva, n. 25/I/0006585 del 28 novembre 2006, in materia di localizzazione mediante computer palmari assegnati in dotazione a informatori scientifici del farmaco.

[43] Rispetto ai dati sensibili e giudiziari indispensabili ai sensi del comma 3, i soggetti pubblici sono autorizzati ad effettuare unicamente le operazioni di trattamento indispensabili per il perseguimento delle finalità per le quali il trattamento è consentito, anche quando i dati sono raccolti nello svolgimento di compiti di vigilanza, di controllo o ispettivi (art. 22, comma 9). I soggetti pubblici devono, inoltre, valutare specificamente il rapporto tra i dati e gli adempimenti e prestare specifica attenzione alla verifica dell’indispensabilità dei dati sensibili e giudiziari riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni o gli adempimenti (art. 22, comma 5).

[44] V. Cass., sez. lav., 1° agosto 2013, n. 18443, e Cass., sez. lav., 11 luglio 2013, n. 17204, in Riv. giur. lav., 2013, II, 465, con nota di A. MATTEI, Trattamento dei dati personali del lavoratore ed esercizio del diritto alla difesa del datore; Trib. Ferrara, 27 agosto 2012, n. 172, in Riv. it. dir. lav., 2013, II, 367, con nota di F. OLIVELLI, Il difficile bilanciamento tra la tutela della privacy e le esigenze di controllo del datore di lavoro.

[45] Per i relativi riferimenti giurisprudenziali (nonché dottrinali), sia consentito rinviare ad A. TROJSI, Il diritto del lavoratore, cit., 116 ss., spec. 127 e 332 ss.

[46] Cfr. Relazione del Sen. Pietro Ichino alla Commissione 11a, Lavoro e Politiche sociali, del Senato sul disegno di legge AS n. 1428-B, del 26 novembre 2014, 5.

[47] M. TALARICO, Art. 4, co. 3, L. n. 300/1970: sulle condizioni di utilizzabilità dei dati derivanti da impianti audiovisivi e strumenti di controllo, in Personale e lavoro, 2016, 14; C. TIMELLINI, L’utilizzabilità dei dati raccolti: il punto di scardinamento della vecchia normativa statutaria, in A. LEVI (a cura di), Il nuovo art. 4, cit., 119.

[48] Come confermato dal Comunicato stampa del Ministero del lavoro del 18 giugno 2015.

[49] V. invece, Cass., sez. lav., 27 maggio 2015, , n. 10955, cit. Sull’utilizzo dei social networks da parte del lavoratore, v. anche App. Torino, 15 maggio 2014, n. 588, in Riv. giur. lav., 2015, II, 425, con nota di B. CATANIA, Responsabilità disciplinari per dichiarazioni su social network; TAR Lombardia, sez. III, 3 marzo 2016, n. 246; Trib. Ascoli Piceno, 19 novembre 2013, e Trib. Milano, 1° agosto 2014, in Riv. it. dir. lav., 2015, II, 75, con nota di F. IAQUINTA, A. INGRAO, Il datore di lavoro e l’inganno di Facebook; Trib. Milano, 1° agosto 2014, in Lav. giur., 2015, 287, con nota di P. SALAZAR, Facebook e rapporto di lavoro: quale confine per l’obbligo di fedeltà; Trib. Ivrea, 28 gennaio 2015, n. 1008, in Lav. giur., 2015, 837, con nota di P. SALAZAR, Facebook e licenziamento per giusta causa: quando si travalicano i limiti del privato influendo sul rapporto di lavoro; Trib. Bergamo, 24 dicembre 2015, in Lav. giur., 2016, 474, con nota di L.A. COSATTINI, I comportamenti extralavorativi al tempo dei social media: “postare” foto costa caro. Sul tema, v. A. INGRAO, Il controllo a distanza effettuato mediante Social network, in Labour Law Issues, n. 1, 2016, 105; P. SALAZAR, Facebook e rapporto di lavoro: a che punto siamo, in Lav. giur., 2016, 201; nonché F. IAQUINTA, A. INGRAO, La privacy e i dati sensibili del lavoratore legati all’utilizzo di social networks. Quando prevenire è meglio che curare, in Dir. rel. ind., 2014, 1027.

[50] Su cui, v. da ultima, Cass., sez. lav., 7 aprile 2016, n. 6775.

[51] Inoltre, un tentativo di regolamentazione per il lavoro pubblico è stato effettuato dalla Direttiva della Presidenza del Consiglio dei Ministri-Dipartimento della funzione pubblica n. 2 del 26 maggio 2009, concernente l’“Utilizzo di internet e della casella di posta elettronica istituzionale sul luogo di lavoro”. Si veda, altresì, in particolare l’art. 11, comma 3, del d.P.R. 16 aprile 2013, n. 62 (“Regolamento recante codice di comportamento dei dipendenti pubblici, a norma dell’articolo 54 del decreto legislativo 30 marzo 2001, n. 165”): che ha stabilito l’obbligo per il dipendente di utilizzare il materiale o le attrezzature di cui dispone per ragioni di ufficio e i servizi telematici e telefonici dell’ufficio nel rispetto dei vincoli posti dall’amministrazione; nonché di utilizzare i mezzi di trasporto dell’amministrazione a sua disposizione soltanto per lo svolgimento dei compiti d’ufficio, astenendosi dal trasportare terzi, se non per motivi d’ufficio.

[52] Cfr. Cass., sez. lav., 11 agosto 2014, n. 17859, e Cass., sez. lav., 28 marzo 2014, n. 21107, in Riv. giur. lav., 2015, II, 77, con nota di M. PARPAGLIONI, La tutela dei dati personali come presupposto logico-giuridico del divieto di discriminazione. Sul tema, v. inoltre, Cass., sez. lav., 2 novembre 2015, n. 22353, in Dir. prat. lav., 2016, 99 (col commento di S. SERVIDIO, Uso di strumenti aziendali non inerenti l’attività lavorativa: licenziamento, in Dir. prat. lav., 2016, 94).

[53] Su cui, v. A. TROJSI, Il diritto del lavoratore, cit., 333 ss.

[54] Più in generale, v. anche il Documento dell’Assemblea generale dell’Organizzazione delle Nazioni Unite del 24 marzo 2015, su “The right of privacy in the digital age”. Cfr. C. FOCARELLI, La privacy. Proteggere i dati personali oggi, il Mulino, Bologna, 2015.

[55] Su cui, v. A. SITZIA, I controlli a distanza dopo il “Jobs Act” e la Raccomandazione R(2015)5 del Consiglio d’Europa, in Lav. giur., 2015, 671.

[56] Sulla quale, v. S. GIUBBONI, Potere datoriale di controllo e diritto alla privacy del lavoratore. Una sinossi delle fonti europee e internazionali, in Riv. giur. lav., 2012, I, 87 ss.; A. TROJSI, Il diritto del lavoratore, cit., spec. 682 ss.

[57] Da ultimo confermata dalla sentenza della Corte EDU, sez. IV, 12 gennaio 2016, causa n. 61496/08, case of Barbulescu v. Romania (in Riv. giur. lav., 2016, II, 148, con nota di E. RAIMONDI, La riservatezza del lavoratore, cit.; e in Riv. it. dir. lav., 2016, II, 279, con nota di C. CRISCUOLO, Il controllo sugli account di posta elettronica e di messaging aziendale), proprio con riferimento all’utilizzo di internet e della posta elettronica da parte dei lavoratori. La decisione (su cui, v. L. ABBALLE, Il controllo dei lavoratori: tutela di interessi contrapposti, in Dir. prat. lav., 2016, 1669) è incentrata sui principi della proporzionalità, della non eccedenza e della ragionevolezza dell’ingerenza datoriale, nel bilanciamento col diritto alla privacy dei dipendenti. Precedentemente, v. ad esempio, Corte EDU, sez. V, 5 ottobre 2010, causa n. 420/07, case of Kopke v. Germany, in Cass. pen., 2011, 1972; Corte eur. dir. uomo, sez. I, 14 marzo 2013, causa n. 24117/08, case of Bernh Larsen Holding AS and Others v. Norway.

[58] Sullo strumento dei Codici di deontologia e di buona condotta in materia di protezione dei dati personali, sia consentito rinviare ad A. TROJSI, Il diritto del lavoratore, cit., spec. 89 ss. e 698 ss.