Linea dura della Cassazione sui controlli a distanza dei lavoratori

Avv. Francesca Frezza

La Corte di Cassazione con sentenza n. 18302 del 19 settembre 2016, ricostruisce i limiti e le procedure che devono essere applicate per poter validamente utilizzare i dati acquisiti tramite strumenti informatici  in uso ai lavoratori. La decisione riguarda la versione dell’articolo 4 dello statuto vigente prima delle modifiche introdotte dal D.lgs. 151/2015 (che ha sottratto gli “strumenti di lavoro” alle procedure di autorizzazione), ma in larga misura è valida anche alla nuova versione della norma.

La Suprema Corte precisa con la summenzionata sentenza che è illegittima l’installazione di apparecchi e software che consentono controlli approfonditi sulla posta elettronica, sulle telefonate e sulla navigazione internet del lavoratore, se non sono preventivamente esperite le procedure di autorizzazione (sindacale o amministrativa) previste dall’articolo 4 dello statuto dei lavoratori e se non sono rispettati gli ulteriori adempimenti previsti dal codice della privacy.

La vicenda interessa l’Istituto Poligrafico Zecca dello Stato, destinatario di un provvedimento del Garante della privacy con il quale è stato vietato il trattamento dei dati personali dei dipendenti, relativi alla navigazione internet, all’utilizzo della posta elettronica e alle utenze telefoniche chiamate dai dipendenti.

Il sistema informatico utilizzato dal datore di lavoro, infatti, non si limitava a vietare la navigazione su alcuni specifici siti internet (quelli non inerenti all’attività istituzionale dell’ente) ma memorizzava ogni accesso o tentativo di accesso alla rete, e conservava queste informazioni per un periodo variabile (da 6 a 12 mesi). Quanto alla posta elettronica, il software conservava sul server aziendale tutti i messaggi spediti e ricevuti dal dipendente, consentendo la loro visualizzazione agli amministratori del sistema. Anche le telefonate erano oggetto di registrazione e conservazione, quanto meno con riferimento ai numeri chiamati.

Il Garante non ha contestato questi sistemi nella loro interezza ma, piuttosto, ha censurato il fatto che fossero stati installati e utilizzati senza il rispetto delle procedure previste dalla legge: quindi, senza l’accordo sindacale (o, in mancanza, l’autorizzazione amministrativa) previsto dallo statuto dei lavoratori, senza l’acquisizione del consenso individuale e senza il rilascio delle informative previste dal codice della privacy.

La Cassazione rigetta l’impugnazione proposta contro tale provvedimento. La Corte ricorda, innanzitutto, che l’articolo 4 dello statuto dei lavoratori, per costante giurisprudenza, trova applicazione ogni volta che un apparecchio consente il controllo a distanza dell’attività dei dipendenti, anche quando il datore di lavoro deve attuare i cosiddetti controlli difensivi.

Spetta al datore di lavoro, osserva la Corte, organizzarsi in modo tale da prevenire comportamenti illeciti dei dipendenti mediante l’utilizzo di strumenti leciti, evitando di svolgere un controllo diretto della prestazione lavorativa.

Se questo controllo non può essere evitato, anche solo come effetto indiretto, gli impianti sono utilizzabili solo previo accordo con le rappresentanze sindacali o, in mancanza, previa autorizzazione amministrativa.

Queste autorizzazioni, prosegue la sentenza, costituiscono lo strumento indispensabile individuato dal legislatore per bilanciare i diritti del lavoratore (in primo luogo, quello alla riservatezza) e il diritto del datore di lavoro a proteggere i beni aziendali.

La violazione di tale principio comporta, secondo la Corte, anche la violazione dell’articolo 8 dello statuto, non inciso nel suo contenuto dalla recente riforma del lavoro, che vieta lo svolgimento di indagini sulle opinioni e sulla vita personale del lavoratore, anche se i dati raccolti non sono in concreto utilizzati.

La sentenza ribadisce inoltre l’importanza dell’informativa prevista dall’articolo 13 del codice della privacy: la mancata consegna di tale documento, infatti, rende illegittimo il trattamento e la conservazione dei messaggi di posta elettronica sul server aziendale.