Controllo datoriale, WhatsApp e social: tra sorveglianza e riservatezza 

Nell’attuale scenario digitale, la questione relativa al controllo da parte del datore di lavoro sull’uso delle app di messaggistica istantanea (come WhatsApp, sia su dispositivi aziendali che personali) e dei social network (come Facebook e Instagram) si configura come un'area di indagine di crescente complessità e attualità. 

Premessa

Nel contesto del rapporto di lavoro subordinato, il datore di lavoro è titolare di tre poteri tipici: 

• il potere direttivo;
• il potere di controllo;
• il potere disciplinare. 

Egli ha facoltà di impartire istruzioni sull’organizzazione e sull’esecuzione della prestazione lavorativa, di verificare l’osservanza delle disposizioni impartite, nonché di irrogare sanzioni disciplinari in caso di violazione, al fine di garantire il corretto funzionamento e l’ordine all’interno dell’impresa.

Potere direttivo

Il potere direttivo si configura quale prerogativa essenziale del datore di lavoro, in virtù del vincolo di subordinazione, e consiste nella facoltà di emanare disposizioni vincolanti per il prestatore al fine di garantire l'organizzazione, l'esecuzione e la disciplina dell'attività lavorativa.

⇒Tale potere trova il suo fondamento primario nell'articolo 2104 del Codice Civile (diligenza del prestatore di lavoro) e nel principio di libertà di iniziativa economica privata sancito dall'articolo 41 della Costituzione.

L'esercizio del potere direttivo può avvenire in modo diretto da parte dell'imprenditore o delegato attraverso i suoi collaboratori che rivestono una posizione gerarchica superiore rispetto al lavoratore.

Come ogni altro potere aziendale, anche quello direttivo non è illimitato, ma incontra precisi confini normativi e principi generali, tra cui:

• Il rispetto dei canoni di buona fede e correttezza (Art. 1175 e 1375 c.c.).
• Il rigoroso divieto di discriminazione in qualsiasi sua forma (Art. 15 Stat. Lav.)
• L'osservanza delle disposizioni imperative in materia di sicurezza e salute sul lavoro (D.Lgs. 81/2008).

Nello specifico ambito operativo, il potere direttivo include la facoltà di:

1. Variazione delle mansioni: Modificare l'oggetto della prestazione lavorativa, inclusa l'assegnazione a mansioni inferiori, nel rispetto dei limiti e delle condizioni stabilite dall'articolo 2103 del Codice Civile (cd. ius variandi).;
2. Mutamento della sede di lavoro: Disporre la modifica del luogo di esecuzione della prestazione, sia in via temporanea (trasferta o distacco) sia in via definitiva (trasferimento), in conformità alle specifiche discipline normative e contrattuali;

Potere Disciplinare   

Il potere disciplinare costituisce l'espressione dello ius puniendi privato dell'imprenditore, finalizzato a sanzionare l'inosservanza, da parte del lavoratore, dei doveri fondamentali di:

• diligenza;
• obbedienza;
• e fedeltà.

Tale potestà trova il suo fondamento primario nell'art. 2106 c.c. e la sua disciplina di dettaglio nell' art. 7 della L. 300/1970 (Statuto dei Lavoratori), norma che ne definisce i limiti procedurali a tutela della dignità del prestatore.

Requisiti di Validità (art. 7 St. Lav.)

La validità di qualsiasi sanzione è subordinata al rispetto del principio del giusto procedimento, che impone:

• Pubblicità: Affissione del Codice Disciplinare aziendale in luogo accessibile.
• Contestazione:Tempestiva e specifica contestazione scritta degli addebiti.
• Diritto di Difesa: Concessione al lavoratore di un termine (minimo 5 giorni) per presentare giustificazioni.
• Proporzionalità: La sanzione irrogata deve essere proporzionata alla gravità dell'infrazione."

Tipologia delle Sanzioni

Le sanzioni si distinguono in base alla loro natura:

• Sanzioni conservative: Non intaccano la continuità del rapporto. Includono il rimprovero (verbale o scritto), la multa (fino a 4 ore di retribuzione) e la sospensione dal lavoro e dalla retribuzione (fino a 10 giorni).
• Sanzione non conservativa: Rappresentata dal licenziamento disciplinare, misura estrema applicabile esclusivamente in presenza di violazioni che compromettono in modo irrimediabile il vincolo fiduciario (giusta causa o giustificato motivo soggettivo).

 Potere di Controllo

A seconda della finalità e della forma del controllo però, sono previsti limiti diversi dalla legge, a tutela della libertà e della dignità del lavoratore.  

Disciplina di riferimento e limiti al controllo

Il quadro normativo di riferimento è fissato dal Titolo I dello Statuto dei Lavoratori (L. 300/1970), che, in particolare con l’art. 3, regolamenta le funzioni del personale di vigilanza.

• È previsto che il datore di lavoro debba informare anticipatamente i lavoratori sia sui nomi che sulle mansioni di coloro che sono incaricati della sorveglianza, così da assicurare piena trasparenza e protezione dei diritti dei dipendenti.
• Se questa comunicazione preventiva manca, le segnalazioni raccolte dal personale di vigilanza non possono essere utilizzate per procedimenti disciplinari, rischiando così di invalidare le eventuali sanzioni adottate nei confronti dei lavoratori.

Oggetto del controllo

Il campo di applicazione del controllo datoriale è rigorosamente circoscritto per evitare ingerenze nella sfera privata del dipendente. L'intervento di vigilanza deve essere finalizzato esclusivamente a sanzionare o prevenire condotte integranti violazioni del patrimonio aziendale o comportamenti illeciti del lavoratore, i quali possano esporre l’impresa a potenziali responsabilità penali o patrimoniali. 

Disciplina delle Guardie Giurate (Art. 2 Stat. Lav)

• La loro attività è esclusivamente rivolta alla custodia, protezione e sicurezza dei beni aziendali.
• Non sono legittimate ad accedere ai reparti in cui si svolge l’attività lavorativa ordinaria.
• Non possono esercitare forme di vigilanza sull’adempimento o sulla diligenza dei dipendenti. 

 I controlli a distanza

L’articolo 4, comma 1, dello Statuto dei Lavoratori (L. 300/1970) è la norma cardine che regola l’uso da parte del datore di lavoro di strumenti di controllo a distanza, come telecamere e sistemi informatici in grado di monitorare l’attività dei dipendenti. 

• Questa disposizione è stata pensata per tutelare la dignità e la riservatezza dei lavoratori e rappresenta uno dei principali limiti che il datore di lavoro deve rispettare nell’esercizio dei suoi poteri di direzione e controllo.

Quando è consentito installare sistemi di controllo a distanza?

L’installazione di questi strumenti non è libera, ma è ammessa solo se rispondente a esigenze aziendali specifiche, che il legislatore ha indicato in modo tassativo:

• Esigenze organizzative e produttive legate allo svolgimento dell’attività d’impresa;
• Esigenze di sicurezza sul lavoro, per prevenire infortuni e proteggere la salute dei lavoratori;
• Esigenze di tutela del patrimonio aziendale, sia materiale che immateriale, contro comportamenti illeciti o dannosi.

 

L'Iter Procedurale

Il datore di lavoro che intende installare sistemi di controllo a distanza deve seguire un iter rigoroso:

• Accordo Sindacale: L'implementazione deve avvenire prioritariamente previo accordo collettivo stipulato con le Rappresentanze Sindacali Aziendali (RSA) o Unitarie (RSU). La giurisprudenza (Cass. 20919/2019) sottolinea che il coinvolgimento delle rappresentanze sindacali serve a garantire che i lavoratori possano effettivamente partecipare alle scelte che li riguardano, anche senza l’unanimità, ma con la maggioranza delle rappresentanze.
• Autorizzazione Amministrativa (in Difetto): In mancanza di accordo sindacale, il datore di lavoro deve ottenere l'autorizzazione preventiva dall'Ispettorato Territoriale del Lavoro (ITL) competente o, in caso di unità produttive dislocate su più sedi, dall'Ispettorato Nazionale del Lavoro (INL). Il tentativo di accordo è condizione imprescindibile prima di potersi rivolgere all’autorità amministrativa per l’eventuale rilascio dell’autorizzazione. 

Indipendentemente dalla legittimità dell'installazione, sussiste l'obbligo di fornire ai lavoratori una trasparente informativa preventiva sulle modalità di funzionamento degli impianti e sulle caratteristiche dei controlli.

Inoltre, il trattamento dei dati (immagini, informazioni) raccolti deve sottostare ai principi del GDPR (Regolamento UE 679/2016), garantendo che i dati siano trattati per finalità determinate, esplicite e legittime, e con modalità strettamente proporzionate e pertinenti agli scopi dichiarati. à Il datore di lavoro, in qualità di Titolare del Trattamento, deve adottare misure tecniche e organizzative idonee a garantire la sicurezza e la riservatezza delle informazioni.

I Controlli su WhatsApp 

L'uso promiscuo di dispositivi, la messaggistica istantanea (WhatsApp, Telegram) e la presenza diffusa sui social network (Facebook, Instagram) hanno radicalmente trasformato il perimetro dei poteri datoriali di controllo.

Il cuore della questione risiede nella distinzione tra controllo sull'attività lavorativa (tendenzialmente vietato o rigorosamente limitato) e controllo sugli strumenti di lavoro (permesso a specifiche condizioni, art. 4, comma 2, Stat. Lav.) o controlli difensivi (ammessi in presenza di sospetti fondati di illecito).

La piattaforma di messaggistica istantanea richiede pertanto un approccio binario, basato sulla proprietà del dispositivo e sulla destinazione d'uso:

WhatsApp Aziendale (Dispositivo Aziendale)

L'account WhatsApp installato su uno smartphone o tablet fornito dall'azienda per l'esecuzione della prestazione rientra pacificamente tra gli "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa" (art. 4, co. 2, Stat. Lav.). Legittimità del Controllo: Il controllo è consentito a condizione che: Sia fornita una adeguata e preventiva informazione al lavoratore sulle modalità d'uso degli strumenti e di effettuazione dei controlli (art. 4, co. 3, Stat. Lav. e principi GDPR - trasparenza). Sia rispettata la normativa privacy (D.Lgs. 196/2003 e GDPR), in particolare i principi di finalità, necessità e proporzionalità. Controlli di tipo Difensivo: le conversazioni su WhatsApp aziendale possono essere utilizzate a fini disciplinari (es. per contestare comportamenti infedeli o lesivi) se il controllo è mirato e volto a tutelare il patrimonio aziendale da condotte illecite già poste in essere (c.d. controlli difensivi postumi), purché sia stata data l'informativa preventiva. La giurisprudenza di legittimità ha confermato l'utilizzabilità delle risultanze in giudizio.

WhatsApp Personale (Dispositivo Privato)

L'accesso da parte del datore di lavoro a un account WhatsApp personale (su dispositivo privato o, seppure su device aziendale, per comunicazioni chiaramente private) è in linea di principio vietato. Tutela Privacy Rafforzata: le conversazioni private, in chat singole o di gruppo, godono della tutela della corrispondenza privata (art. 15 Cost.) e di un'elevata aspettativa di riservatezza (orientamento del Garante Privacy e Cassazione). Base Giuridica: l'utilizzo dei dati personali estratti da chat private è lecito solo in presenza di una valida base giuridica (es. accertamento, esercizio o difesa di un diritto in sede giudiziaria, controlli difensivi in presenza di fondati sospetti di illecito e con rispetto delle garanzie previste) e, in ogni caso, con l'obbligo di valutare la stretta necessità e la proporzionalità del trattamento.

Uso promiscuo del dispositivo (aziendale e personale) 

Se il dispositivo aziendale viene usato anche per scopi personali, è fondamentale che il datore preveda policy interne trasparenti che disciplinino:

• I limiti di utilizzo personale.
• Le modalità dei controlli;
• la distinzione tra dati personali e dati aziendali.

Il lavoratore deve essere adeguatamente informato. Restano comunque vietati controlli generalizzati o sistematici sulle comunicazioni di natura personale.

Profili social network (Facebook, Instagram)

La problematica dei social network ruota attorno al confine tra sfera pubblica e privata e alla liceità dei controlli occulti.

Contenuti Pubblicamente Accessibili

Le informazioni, i post o le immagini che un dipendente decide di pubblicare su un profilo accessibile a tutti (senza restrizioni di privacy) possono essere legittimamente consultate dal datore di lavoro. Finalità Disciplinare: l'utilizzo è lecito se tali contenuti sono oggettivamente idonei a ledere il vincolo fiduciario, l'immagine aziendale (es. diffamazione, denigrazione) o violano gli obblighi di fedeltà (art. 2105 c.c.) – anche se pubblicati fuori dall'orario di lavoro. La giurisprudenza è consolidata nel ritenere legittimo il licenziamento in questi casi.

Contenuti Privati e i Controlli Difensivi Occulti

Il controllo di profili con impostazioni di privacy restrittive (accessibili solo agli "amici") è più problematico. Divieto di Accesso Fraudolento: è categoricamente vietato l'accesso ottenuto mediante artifici o raggiri (es. creazione di fake profile o utilizzo di credenziali altrui), in quanto viola la riservatezza e la privacy del lavoratore. Controlli Difensivi "Sui Generis": la giurisprudenza di Cassazione (es. Cass. n. 10955/2015, sebbene precedente alla modifica dell'art. 4 Stat. Lav.) ha ammesso, in casi eccezionali e circoscritti, l'utilizzo di un falso profilo social (c.d. agente provocatore o infiltrato) non per controllare l'esatto adempimento della prestazione, ma per accertare un illecito (es. furto, mobbing, infedeltà aziendale) già in atto e a tutela del patrimonio aziendale. Tale orientamento resta controverso e va applicato con estrema cautela

L’esperto 
  

Il datore di lavoro può effettuare controlli sulle applicazioni di messaggistica presenti su dispositivi aziendali solo se sono rispettate precise condizioni:

• Deve essere stata fornita ai lavoratori un’informativa chiara e preventiva sulle modalità d’uso degli strumenti e sulle modalità dei controlli (art. 4, co. 3, Statuto dei Lavoratori; principi GDPR);
• I controlli devono essere funzionali a esigenze organizzative, produttive o di tutela del patrimonio aziendale, e mai generici o indiscriminati;

L’eventuale accesso a contenuti di natura personale (ad esempio chat private WhatsApp su device aziendale) resta vietato, salvo casi di controlli difensivi in presenza di fondati sospetti di illecito e con stretta necessità e proporzionalità nel trattamento.

Se un lavoratore utilizza WhatsApp aziendale per coordinare consegne, l’azienda può visionare la corrispondenza a fini organizzativi, ma non può monitorare le chat private o di gruppo a carattere personale senza una base giuridica specifica e senza rispetto delle garanzie di legge. 

Sì, il datore di lavoro può legittimamente utilizzare a fini disciplinari contenuti pubblici di un social network se questi ledono il vincolo fiduciario, l’immagine aziendale o violano gli obblighi di fedeltà (art. 2105 c.c.), anche se pubblicati fuori dall’orario di lavoro. 

La giurisprudenza è consolidata nel ritenere legittimo il licenziamento nei casi in cui il comportamento, anche extralavorativo, arrechi pregiudizio concreto all’azienda.

L’azienda deve adottare una policy interna chiara che disciplini i limiti e le modalità di utilizzo promiscuo dello strumento aziendale, distinguendo tra dati personali e dati aziendali, informando preventivamente i lavoratori sulle modalità dei controlli e sulle finalità perseguite (art. 4, comma 3, Statuto dei Lavoratori, GDPR art. 13). 

Deve essere garantito che i controlli siano proporzionati, non generalizzati o indiscriminati e che siano effettuati solo per finalità organizzative, produttive o di tutela del patrimonio aziendale (art. 4, comma 2, Stat. Lav., Reg. UE 679/2016).

L’accesso a conversazioni di natura personale, anche su device aziendale, resta vietato salvo ipotesi di controlli difensivi in presenza di fondati sospetti di illecito, sempre nel rispetto di necessità e proporzionalità del trattamento. 

Dunque, se il dipendente utilizza WhatsApp Business per comunicare con clienti e, saltuariamente, per fini privati, l’azienda può controllare le chat solo in relazione ad esigenze di servizio e non può accedere a messaggi chiaramente personali senza una base giuridica specifica e senza rispetto delle garanzie previste. 

Riferimenti normativi e giurisprudenziali

• Art. 15 Cost.
• Art. 41 Cost.
• Art. 1175 c.c. 
• Art. 1375 c.c. 
• Art. 2103 c.c. 
• Art. 2104 c.c. 
• Art. 2105 c.c. 
• Art. 2106 c.c. 
• Art. 2 L. 300/1970 
• Art. 3 L. 300/1970 
• Art. 4, comma 1, L. 300/1970 
• Art. 4, comma 2, L. 300/1970 
• Art. 4, comma 3, L. 300/1970 
• Art. 7 L. 300/1970 
• Art. 15 L. 300/1970 
• D.Lgs. 81/2008 
• D.Lgs. 196/2003 
• Regolamento UE 679/2016 (GDPR).
• Cass. n. 13789/2011 
• Cass. n. 20440/2015 
• Cass. n. 10955/2015 
• Cass. n. 20919/2019