Lavoro e privacy: quando il datore può controllare pc, mail e social dei dipendenti

Il datore di lavoro può controllare l’utilizzo degli strumenti tecnologici aziendali (computer, smartphone, e-mail, social network) messi a disposizione per i lavoratori dipendenti solo nel rispetto dei limiti imposti dallo Statuto dei lavoratori, dal GDPR e dalle linee guida del Garante Privacy.
Il controllo è ammesso per esigenze organizzative, produttive o di sicurezza, ma deve essere proporzionato, trasparente e non invasivo. Le informazioni raccolte senza adeguata informativa o policy aziendale non sono utilizzabili a fini disciplinari.

Premessa

L’art. 4 della Legge n. 300/1970 (Statuto dei Lavoratori), come modificato dal D.Lgs. 151/2015 (Jobs Act), disciplina i controlli a distanza.
La regola generale ad oggi in vigore prevede che il datore può legittimamente utilizzare strumenti tecnologici che comportano anche indirettamente un controllo sull’attività dei lavoratori, ma solo se:

1. L’uso è necessario per esigenze organizzative e produttive, sicurezza del lavoro o tutela del patrimonio aziendale;
2.  Il lavoratore è informato in modo chiaro e preventivo sulle modalità d’uso e sulle attività di controllo;
3.  È rispettato il principio di proporzionalità e minimizzazione dei dati (artt. 5 e 6 del Reg. UE 2016/679 - GDPR).

L’evoluzione normativa

La disciplina del controllo a distanza è stata modificata dal D. Lgs 151/2015 (Jobs Act) che ha riscritto l’art. 4 St. Lav.

Restavano fuori dall’ambito di applicazione della norma i “controlli difensivi”, categoria di creazione giurisprudenziale nella quale rientravano i controlli aventi ad oggetto non l’esatto adempimento delle obbligazioni discendenti dal contratto, ma comportamenti illeciti dei lavoratori e lesivi del patrimonio e dell’immagine aziendale (si vedano in tal senso: Cass. 13266/2018; Cass. 10637/2017)

Con il Jobs Act il divieto generale previsto al comma 1 dell’art. 4 St. Lav. è scomparso. Resta fermo che gli impianti e gli strumenti audiovisivi dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati solo per determinate finalità (accanto alle esigenze organizzative e produttive e alla sicurezza sul lavoro compare l’esigenza di tutela del patrimonio aziendale che sembra aver comportato il superamento della giurisprudenza sui controlli difensivi sopra richiamata) e possono essere installati solo previo accordo collettivo stipulato con le RSU o le RSA ovvero con le associazioni sindacali comparativamente più rappresentative sul piano nazionale in caso di imprese con unità produttive ubicate in diverse province della stessa regione o in più regioni. In mancanza di accordo, gli impianti e gli strumenti possono essere installati previa autorizzazione dell’Ispettorato del lavoro.   

Il nuovo art. 4 St. Lav. prevede, infine, che è consentito un utilizzo delle informazioni raccolte ai sensi dei commi 1 e 2 “a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal D.Lgs. 196/2003”.

In sostanza il Jobs Act ha introdotto un regime diverso a seconda del tipo di strumento utilizzato prevedendo che:

• per gli impianti audiovisivi e gli altri strumenti che consentono il controllo a distanza del lavoratore permane il divieto di installazione salvo esigenze specifiche e l’accordo sindacale/l’autorizzazione dell’INL;
• per gli strumenti di lavoro e per gli strumenti di registrazione di accessi e presenze non opera alcun divieto e alcun obbligo di accordo sindacale o di autorizzazione dell’INL;
• sia per i primi che per i secondi il datore ha l’obbligo di fornire ai dipendenti adeguata informazione circa le modalità d’uso degli strumenti e di effettuazione dei controlli nonché l’obbligo di rispettare la normativa sulla privacy nella raccolta e nel trattamento dei dati.

Strumenti di lavoro

L’INL, con  circolare n. 2 del 07/11/2016  ha precisato che possono considerarsi strumenti di lavoro “gli apparecchi, dispositivi, apparati e congegni che costituiscono il mezzo indispensabile al lavoratore per adempiere la prestazione lavorativa dedotta in contratto, e che per tale finalità siano stati posti in uso e messi a sua disposizione”. Analogamente, il Garante privacy con  verifica preliminare del 16/03/2017 , in linea con l’Ispettorato, ha confermato che gli strumenti di lavoro sono tutti quei dispositivi “utilizzati in via primaria ed essenziale per l’esecuzione dell’attività lavorativa”, ovvero “direttamente preordinati all’esecuzione della prestazione lavorativa”.

Utilizzo di pc e internet

Il datore può monitorare l’utilizzo del PC, della posta elettronica e di Internet solo con finalità legittime e proporzionate: è vietato il monitoraggio sistematico o la lettura del contenuto delle e-mail personali. È ammesso, invece, il controllo di log, tempi di connessione, traffico anomalo, per finalità di sicurezza informatica o organizzative, purché i lavoratori siano informati tramite policy aziendale o regolamento interno aziendale. Il datore può verificare il traffico (quantità di dati, orari, costi), ma non il contenuto delle conversazioni o dei messaggi. Il dispositivo deve essere assegnato per finalità lavorative, e l’uso personale può essere limitato o vietato. Se previsto un uso promiscuo, la policy aziendale deve specificare limiti e possibili controlli. Social network e comportamenti online

Limiti e tutele

L’uso di software di tracciamento, keylogger o registrazioni occulte è vietato. I dati raccolti senza adeguata informativa non possono essere utilizzati per sanzioni disciplinari (Cass. n. 25732/2017). Ogni controllo deve essere proporzionato: il datore deve scegliere la misura meno invasiva possibile. Il Garante Privacy ha più volte ribadito che “il potere di controllo non deve mai diventare sorveglianza occulta”.

Obblighi del datore di lavoro

L’obbligo di informativa impone di fare molta attenzione al contenuto della policy. Essa, infatti, deve contenere l’indicazione degli strumenti che consentono il controllo a distanza nelle loro caratteristiche e funzionamento, le modalità e le regole di utilizzo di tali strumenti, il tipo di controlli che potranno essere effettuati dall’azienda, i dati conservati e i soggetti abilitati ad accedervi, nonché le modalità e i tempi di conservazione dei dati stessi e le eventuali sanzioni che potranno essere comminate al dipendente/trasgressore.

Infatti, una policy incompleta o troppo generica rischia di invalidare le prove di un eventuale giudizio nel corso del quale sia, ad esempio, necessario provare un comportamento illecito del dipendente e idoneo a giustificare un licenziamento disciplinare.

L’informativa, in sostanza, non è adeguata quando, rivolgendosi alla generalità dei dipendenti, si limiti a prescrivere direttive riguardanti tutte le tipologie di strumenti impiegati nell’organizzazione aziendale, non consentendo quindi al singolo lavoratore di capire di essere controllato. In altre parole, il lavoratore deve essere informato del fatto che una sua specifica attività (si pensi agli accessi a Internet) può essere controllata dal datore di lavoro secondo modalità che consentono, ad esempio, di verificare la tipologia dei siti Internet visitati e di accertare la durata degli accessi ai siti medesimi.

L'esperto

Sì, ma con limiti precisi. Il controllo è lecito solo se lo strumento (PC, e-mail, rete Internet) è utilizzato per finalità organizzative, produttive o di sicurezza e il lavoratore è stato informato in modo chiaro e preventivo.
Il datore può monitorare log di accesso, tempi di utilizzo o traffico anomalo, ma non può leggere il contenuto di e-mail personali o messaggi privati.

Il datore può verificare uso, costi, traffico dati o chiamate di lavoro, ma non il contenuto delle comunicazioni. Il controllo è ammesso solo se previsto da una policy aziendale scritta, firmata dal lavoratore, che chiarisca:

• che il telefono è strumento di lavoro;
• eventuali limiti d’uso personale;
• le modalità di controllo e i tempi di conservazione dei dati.

Solo in casi specifici. Il datore può visionare i profili social pubblici se le informazioni sono accessibili a chiunque e servono a tutelare l’immagine o il patrimonio aziendale (es. diffamazioni, divulgazione di dati riservati).
È invece vietata qualsiasi forma di sorveglianza occulta o tramite profili falsi.
Eventuali contenuti raccolti illecitamente non possono essere utilizzati per sanzioni disciplinari.

 Caso 

Un’azienda scopre, tramite analisi dei log di rete, che un dipendente trascorre parte dell’orario lavorativo sui social network.
Se è prevista una policy interna firmata dai dipendenti, che prevede la possibilità di monitorare i siti visitati per ragioni di sicurezza, l’azienda dispone di elementi utilizzabili a fini disciplinari.
Diversamente, se il controllo fosse stato eseguito senza informativa o tramite strumenti occulti, il provvedimento disciplinare sarebbe illegittimo.

Riferimenti normativi 

• Art. 4 Legge n. 300/1970
• D.Lgs. 151/2015 (Jobs Act)
• Reg. UE 2016/679 (GDPR)
• Provvedimento Garante Privacy 1° dicembre 2016
• Cass. Civ. Sez. Lavoro n. 25732/2017
• Cass. Civ. n. 10955/2015
• Garante Privacy FAQ 2022 su lavoro e smart working
• Codice privacy D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018