Il datore di lavoro non può liberamente utilizzare impianti e apparecchiature di controllo per qualsiasi finalità (di tutela dei beni aziendali, di accertamento e prevenzione dei comportamenti illeciti dei dipendenti ecc.), quando derivi anche solo “la possibilità di controllo a distanza dell’attività dei lavoratori”, a prescindere dalle sue intenzioni. Ciò significa che l’attività di vigilanza a distanza, quando permette anche la mera possibilità di controllo dell’attività lavorativa fornita dal prestatore di lavoro, non è consentita se non a seguito del positivo esperimento delle procedure di garanzia di cui all’art. 4, comma 2 (vecchia formulazione) dello Statuto dei Lavoratori.
SOMMARIO: 1. Massima – 2. Il caso – 3. La questione – 4. Le soluzioni giuridiche – 5. Osservazioni
Cass. civ., sez. I, 19 settembre 2016, n. 18302
1. Massima
Il datore di lavoro non può liberamente utilizzare impianti e apparecchiature di controllo per qualsiasi finalità (di tutela dei beni aziendali, di accertamento e prevenzione dei comportamenti illeciti dei dipendenti ecc.), quando derivi anche solo “la possibilità di controllo a distanza dell’attività dei lavoratori”, a prescindere dalle sue intenzioni.
Ciò significa che l’attività di vigilanza a distanza, quando permette anche la mera possibilità di controllo dell’attività lavorativa fornita dal prestatore di lavoro, non è consentita se non a seguito del positivo esperimento delle procedure di garanzia di cui all’art. 4, comma 2 (vecchia formulazione) dello Statuto dei Lavoratori.
2. Il caso
Il Garante per la protezione dei dati personali (di seguito il “Garante”), con provvedimento del 21 luglio 2011, aveva inibito all’Istituto Poligrafico e Zecca dello Stato S.p.A. (di seguito l’Istituto”) di conservare e categorizzare i dati personali dei dipendenti riferiti alla navigazione in Internet, all’utilizzo della posta elettronica e del sistema di telefonia su Internet (VoIP).
Infatti, da accertamenti effettuati per verificare la corretta applicazione da parte dell’Istituto della normativa in materia di protezione dei dati, era emerso che:
1. il sistema di navigazione in Internet non si limitava a rifiutare la connessione dei lavoratori a siti non inerenti l’attività lavorativa ma memorizzava attraverso un sistema di filtraggio ogni accesso, conservando i dati nel sistema per un certo periodo di tempo;
2. i messaggi di posta elettronica inviati e ricevuti dai dipendenti venivano conservati sul server aziendale per un prolungato periodo di tempo, consentendone la visualizzazione integrale agli amministratori di sistema, senza che fosse stata rilasciata agli interessati una specifica informativa;
3. i numeri di telefono chiamati dai dipendenti tramite VoIP venivano conservati, per un tempo indeterminato unitamente alla durata delle singole conversazioni, senza che, anche in questo caso, fosse stata rilasciata una adeguata informativa.
Secondo il Garante si trattava di trattamenti effettuati in palese violazione – oltre che dell’art. 8 – dell’art. 4 dello Statuto dei Lavoratori, così come degli artt. 11, 113 e 114 del D.Lgs. n. 196/2003 (cd. “Codice della Privacy’). Con il medesimo provvedimento, l’Autorità aveva, altresì, ordinato all’Istituto di informare dettagliatamente i propri dipendenti circa le modalità d’uso e di archiviazione della posta elettronica
e di rendere nota ad essi l’identità degli amministratori di sistema, le cui operazioni dovevano essere tracciabili.
L’Istituto impugnava il provvedimento dinnanzi al Tribunale di Roma, eccependo, tra gli altri, che non vi era stata alcuna violazione dell’art. 4 dello Statuto dei Lavoratori, trattandosi di controlli difensivi, ossia diretti ad accertare comportamenti illeciti dei dipendenti e, quindi, posti in essere a tutela del patrimonio aziendale.
Il Tribunale confermava, però, il provvedimento del Garante sostenendo, con riferimento all’art. 4 dello Statuto dei Lavoratori, che esso trova applicazione anche nell’ambito dei controlli difensivi tutte le volte in cui comportino un controllo a distanza dei lavoratori.
Avverso la decisione del Tribunale l’Istituto proponeva ricorso per Cassazione.
3. La questione
La questione oggetto d’esame da parte della Suprema Corte di Cassazione è la seguente:
può la categoria dei controlli difensivi bypassare il filtro di cui all’art. 4, comma 2 (vecchia
formulazione), dello Statuto dei Lavoratori?
4. Le soluzioni giuridiche
La Cassazione ha confermato la sentenza di merito, rigettando il ricorso presentato dall’Istituto sull’assunto che “quando l’attività di vigilanza a distanza, attivata dal datore di lavoro per qualsiasi finalità, permetta anche la mera possibilità di controllo dell’attività lavorativa fornita dal prestatore di lavoro, l’attività non è consentita se non a seguito del positivo esperimento delle procedure di garanzia di cui all art. 4, comma 2 (…)”.
Ciò in quanto “non è possibile ritenere che il datore di lavoro possa liberamente utilizzare impianti e apparecchiature di controllo per qualsiasi finalità (di tutela dei beni aziendali, di accertamento e prevenzione dei comportamenti illeciti dei dipendenti ecc.), eludendo il positivo esperimento delle procedure (…) in esame, quando derivi anche solo <<la possibilità di controllo a distanza dell’attività dei lavoratori>>, a prescindere dalle sue intenzioni” .
La Corte prende così le distanze da quell’orientamento giurisprudenziale, sia pur minoritario, che, agli inizi degli anni 2000, si era spinto sino al punto di sostenere che i controlli c.d. difensivi (ossia quelli diretti ad accertare le condotte illecite del lavoratore) non sarebbero soggetti alla disciplina dettata dall’art. 4 dello Statuto dei Lavoratori (Cass. sez. lav., 3 aprile 2002, n. 4746 in Notiziario giur. lav., 2002, 642), a prescindere dal loro grado di invasività, sopraelevando la tutela del patrimonio aziendale rispetto al diritto di ciascun dipendente alla riservatezza.
Secondo la Corte, infatti, i controlli difensivi non possono assumere portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e della riservatezza del singolo lavoratore.
Pertanto i controlli difensivi, quando possono potenzialmente comportare un controllo a distanza dell’attività lavorativa, debbono essere soggetti alle procedure garantiste ex art. 4, comma 2, dello Statuto dei Lavoratori (accordo sindacale o autorizzazione amministrativa).
Tali procedure contemperano l’esigenza di tutela del diritto del lavoratore a non essere controllato a distanza e quello del datore di lavoro all’organizzazione, produzione e sicurezza del lavoro.
In sostanza la Corte non contesta i sistemi adottati dall’Istituto nella loro interezza ma il fatto che non siano stati installati nel rispetto dell’art. 4 dello Statuto dei Lavoratori. Peraltro la stessa Corte ribadisce la necessità che questi sistemi siano utilizzati conformemente alle disposizioni del Codice della Privacy.
5. Osservazioni
L’art. 4 dello Statuto dei Lavoratori nella sua formulazione vigente all’epoca dei fatti di causa, sanciva:
1. al primo comma il divieto assoluto di utilizzo di apparecchiature aventi come unico scopo il
controllo a distanza dell’attività lavorativa del dipendente e
2. al secondo comma la validità dei cd. “controlli preterintenzionali’:
– in presenza di esigenze organizzative, produttive o per motivi di sicurezza sul lavoro;
– a condizione che venisse osservata una precisa procedura concertativa (accordo sindacale o autorizzazione amministrativa).
Questa normativa ha comportato nel tempo non poche difficoltà applicative stante il necessario bilanciamento e contemperamento tra la tutela della libera iniziativa economica ex art. 41 Cost. del datore di lavoro e la tutela della riservatezza del dipendente, difficoltà aumentata con l’avvento nell’ambito del rapporto di lavoro della tecnologia.
Ed è proprio il diritto alla riservatezza del dipendente che impone al datore di lavoro una attenta
ponderazione circa l’installazione di apparecchiature e/o impianti (vedi sul punto, Garante Privacy, Parere 08 settembre 2016), i quali debbono considerarsi illegittimi ove siano utilizzabili “anche in funzione di controllo (…) della correttezza dell’esecuzione della prestazione” (Cass. sez. lav., 13 maggio 2016, n. 9904 in Foro it. 2016, 7-8, I, 2421), essendo obliquamente tesi a controllare il singolo.
La sentenza rientra in quel filone giurisprudenziale ormai pressoché unanime secondo cui icontrolli diretti a prevenire e/o proteggere la sicurezza dell’azienda e i suoi dati che, in via sussidiaria e secondaria, possono consentire un controllo a distanza dell’attività lavorativa, sono ammessi previo esperimento positivo delle procedure garantiste ex art. 4, comma 2, dello Statuto dei Lavoratori (nella sua formulazione precedente il Jobs Act).
Ciò in quanto questo articolo “fa parte di quella complessa normativa diretta a contenere in vario modo le manifestazioni del potere organizzativo e direttivo del datore di lavoro che, per le modalità di attuazione incidenti nella sfera della persona, si ritengono lesive della dignità e della riservatezza del lavoratore (…) sul presupposto (…) che la vigilanza sul lavoro, ancorché necessaria nell’organizzazione produttiva, vada mantenuta in una dimensione umana, e cioè non esasperata dall’uso di tecnologie che possono rendere la vigilanza stessa continua e anelastica, eliminando ogni zona di riservatezza e di autonomia nello svolgimento del lavoro” (Cass. sez. lav., 17 luglio 2007, n. 15892).
Ad ulteriore conferma di questo orientamento vi è anche una recente sentenza della Suprema Corte secondo la quale “l’effettività del divieto di controllo a distanza dell’attività dei lavoratori richiede che anche per i cosiddetti controlli difensivi trovino applicazione le garanzie dell’art. 4, comma 2, Legge n. 300/1970″(Cass. sez. lav., 5 ottobre 2016, n. 19922 in Diritto & Giustizia 2016, 6 ottobre).
In questo contesto il Codice della privacy ha rafforzato i diritti del lavoratore sul versante della tutela della dignità e riservatezza, mentre le Linee Guida in materia di Internet e Posta Elettronica, emanate del Garante nel marzo del 2007, hanno confermato la riconducibilità dei controlli difensivi nell’ambito dell’art. 4, comma 2, Statuto dei Lavoratori.
Per inciso, la violazione di questo sistema, oltre ad integrare un comportamento antisindacale ex art. 28 dello Statuto dei Lavoratori, si configura reato di pericolo, come si evince dal combinato disposto degli artt. 4 e 38 dello Statuto dei Lavoratori e degli artt. 114 e 171 del Codice della Privacy. Infatti, per la sua punibilità non è richiesta la messa in funzione o il concreto utilizzo degli impianti/delle attrezzature ma è sufficiente la loro mera predisposizione (Cass. pen., sez. III, 12 novembre 2013, n. 4331 in CED Cassazione penale 2014; Cass. pen., sez. III, 15 novembre 2006, n. 8042; Cass. pen., sez. III, 24 settembre 2009, n. 40199; Cass. pen., sez. III, 17 aprile 2012, n. 22611).
E l’art. 23 del D.Lgs. n. 151/2015, nel riformulare l’art. 4 dello Statuto dei Lavoratori, oltre ad avercodificato la finalità della ” tutela del patrimonio aziendale ” (il concetto di “tutela del patrimonio aziendale ” va intenso in senso ampio, rientrandovi non solo i beni materiali ma anche quelli immateriali, come ilknow how), ha confermato che i controlli a distanza si possono considerare legittimi in presenza di un accordo sindacale (con le RSU o con le RSA o, nel caso di imprese con sedi in più province o regioni, con te associazioni sindacali comparativamente rappresentative sul piano nazionale”) o di autorizzazione amministrativa.
In definitiva, anche il nuovo art. 4 dello Statuto dei Lavoratore detta unregime protezionistico della tutela e riservatezza del dipendente da contemperare con specifiche esigenze datoriale. Il tutto, così come previsto dal nuovo comma 3 del predetto articolo, nel pieno rispetto delle prescrizioni di cui al Codice della Privacy.
