E’ illegittima l’installazione di apparecchi e software con consentono controlli approfonditi sulla posta elettronica, sulle telefonate e sulla navigazione Internet del lavoratore, se non sono preventivamente esperite le procedure di autorizzazione (sindacale o amministrativa) previste dall’art. 4 dello Statuto dei lavoratori e se non sono rispettati gli ulteriori adempimenti previsti dal Codice Privacy.La Corte di Cassazione (sentenza n. 18302/2016, depositata ieri), ricostruisce le procedure che devono essere applicate per poter validamente utilizzare strumenti informatici di controllo a distanza sull’attività dei lavoratori. La decisione riguarda la versione dell’art. 4 dello Statuto vigente prima delle modifiche introdotte dal d.lgs. n. 151/2015 (che ha sottratto gli “strumenti di lavoro” alle procedure di autorizzazione, con una formulazione che lascia aperti alcuni interrogativi applicativi), ma in larga misura è applicabile anche alla versione risultante dalla novella.

La vicenda interessa l’Istituto Poligrafico Zecca dello Stato, destinatario di un provvedimento del Garante Privacy con il quale era stato vietato il trattamento dei dati personali dei dipendenti, relativi alla navigazione Internet, all’utilizzo della posta elettronica ed alle utenze telefoniche chiamate dai dipendenti.

Il sistema informatico utilizzato dal datore di lavoro, infatti, non si limitava a vietare l’utilizzo di alcuni specifici siti Internet (quelli non inerenti all’attività istituzionale dell’ente) ma memorizzava ogni accesso o tentativo di accesso alla rete, e conservava queste informazioni per un periodo variabile (da 6 a 12 mesi). Quanto alla posta elettronica, il software utilizzato dall’ente conservava sul server aziendale tutti i messaggi spediti e ricevuti dal dipendente, consentendo la loro visualizzazione agli amministratori del sistema. Anche le telefonate erano oggetto di registrazione e conservazione, quanto meno con riferimento ai numeri chiamati.

Il Garante non aveva contestato questi sistemi nella loro interezza ma, piuttosto, aveva censurato il fatto che fossero stati installati e utilizzati senza il rispetto delle procedure previste dalla legge: quindi, senza l’accordo sindacale (o, in mancanza, l’autorizzazione amministrativa) previsto dallo Statuto dei lavoratori, senza l’acquisizione del consenso individuale e senza il rilascio delle informative previste dal Codice Privacy.

La Corte di Cassazione rigetta l’impugnazione proposta contro tale provvedimento. La Corte ricorda, innanzitutto, che l’art. 4 dello Statuto dei lavoratori, per costante giurisprudenza, trova applicazione ogni volta che un apparecchio consente il controllo a distanza dell’attività dei lavoratori, anche quando il datore di lavoro deve attuare i c.d. controlli difensivi.

Spetta al datore di lavoro, osserva la Corte, organizzarsi in modo tale da prevenire comportamenti illeciti dei dipendenti mediante l’utilizzo di strumenti leciti, evitando di svolgere un controllo diretto della prestazione lavorativa.

Se questo controllo non può essere evitato, anche solo come effetto indiretto, gli impianti sono utilizzabili solo previo accordo con le rappresentanze sindacali o, in mancanza, previa autorizzazione amministrativa.

Queste autorizzazioni, prosegue la sentenza, costituiscono lo strumento indispensabile individuato dal legislatore per bilanciare i diritti del lavoratore (in primo luogo, quello alla riservatezza) e il diritto del datore di lavoro a proteggere i beni aziendali.

La violazione di tale principio comporta, secondo la Corte, anche la violazione dell’art. 8 dello Statuto, che vieta lo svolgimento di indagini sulle opinioni e sulla vita personale del lavoratore, anche se i dati raccolti non sono in concreto utilizzati.

La sentenza ribadisce anche l’importanza dell’informativa prevista dall’art. 13 del Codice Privacy: la mancata consegna di tale documento, infatti, rende illegittimo il trattamento e la conservazione dei messaggi di posta elettronica sul server aziendale.

 

 

Annunci