IL CONTROLLO DISCIPLINARE DEL DATORE DI LAVORO IN RELAZIONE ALLA VIDEOSORVEGLIANZA, AGLI STRUMENTI DI LAVORO E ALLA PRIVACY DEL LAVORATORE (nota a Tribunale di Venezia sentenza 2/7/2019 n. 437).

Il Tribunale  di Venezia con la  sentenza n. 437 del 2/7//2019  applica la nuova disciplina dell’art. 4 L. 20/5/1970 n.300 sui controlli a distanza  del datore di lavoro nei confronti dei lavoratori in relazione alla videosorveglianza,  agli strumenti di lavoro e all’utilizzabilità delle informazioni raccolte dal controllo sull’uso degli strumenti informatici.

Per quanto concerne le riprese visive ne ha dichiarato l’illegittimità, con conseguente inutilizzabilità dei dati su cui si era fondato il licenziamento, per l’assenza di accordi sindacali o dell’autorizzazione amministrativa.

La sentenza ha  considerato irrilevante che le riprese fossero limitate a una zona circoscritta (quale il bancone su cui operava il lavoratore), tale da consentire di vedere il dipendente non interamente ma limitatamente al movimento delle mani durante l’attività lavorativa, trattandosi proprio delle mansioni cui era addetto il lavoratore.

Il Tribunale di Venezia ha sottolineato il carattere innovativo della modifica normativa intervenuta con il “Jobs act”.

Infatti sotto il vigore della precedente formulazione dell’art. 4 L. 300/1970 la giurisprudenza ha ritenuto necessario, ai fini dell’operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dei lavoratori, che il controllo riguardasse l’attività lavorativa, ritenendo estranei all’ambito di applicazione della norma  i controlli diretti ad accertare condotte illecite del lavoratore (cc.dd. controlli difensivi). Pertanto,  con riferimento all’uso di telecamere, la Corte di Cassazione ne ha dichiarato la legittimità  laddove volta a prevenire condotte illecite suscettibili di mettere in pericolo la sicurezza del patrimonio aziendale[1].

Per converso il legislatore del 2015 consente l’installazione di impianti “dai quali derivi  anche la possibilità di un controllo a distanza dell’attività dei lavoratori”  a seguito di accordo sindacale o, in mancanza, di autorizzazione dell’Ispettorato Nazionale del Lavoro che accerti la sussistenza delle causali tassative di cui al comma 1 dell’art. 4. Tra queste  oggi figura anche “la tutela del patrimonio aziendale” con conseguente trasformazione della precedente figura di controllo difensivo in un controllo  lecito ma con limiti chiari e rigorosi[2].

Conseguentemente la prova dell’espletamento della procedura codeterminativa o, in mancanza, dell’autorizzazione amministrativa, costituisce condizione imprescindibile di utilizzabilità ai fini disciplinari dei dati raccolti da cui il giudice non può discostarsi.

Il Tribunale di Venezia affronta anche la novità della riforma del 2015 contenuta   nel     comma 2 dell’ art. 4 dello Statuto dei lavoratori, in base al quale la disciplina codeterminativa o autorizzatoria prevista nel comma precedente non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze. In tale disposizione si può cogliere la volontà del legislatore di adeguare la disciplina normativa alle mutate esigenze dei contesti aziendali, sganciando dalla procedura di cui al comma 1 tutti quegli strumenti con i quali, in un mondo del lavoro caratterizzato dall’aumento costante della tecnologia, il lavoratore rende la propria prestazione di lavoro quali, ad esempio, il PC aziendale, lo smarthphone, la mail aziendale e il badge.

Il Tribunale di Venezia ha ritenuto legittima anche l’utilizzazione dei dati archiviati  dal sistema  mediante un programma informatico utilizzato per l’esercizio delle sue mansioni.

Tale interpretazione è controversa. L’espressione “strumenti  utilizzati dal lavoratore per rendere la prestazione lavorativa” è, al di là della necessaria correlazione con le mansioni esercitate dal lavoratore,  di   difficile delimitazione. Volendo tentare una distinzione è stato osservato che i sistemi di monitoraggio delle chiamate dei clienti, le webcam, le telecamere installate sui veicoli aziendali  sono senz’altro ricompresi nell’alveo del primo comma dell’art. 4 e, quindi, sono soggetti ai plurimi vincoli ivi previsti, in quanto non necessari per lo svolgimento della prestazione lavorativa, ma rispondenti ad altre esigenze organizzative dell’impresa.

Altri  strumenti, come gli smartphone, i gps   o la posta elettronica aziendale  possono soddisfare diverse esigenze .

Pertanto il tipo di controllo che alcuni dispositivi consentono non è a priori qualificabile come diretto o come eventuale, ma dovrà essere indagato caso per caso, in relazione al tipo di mansioni svolte e al concreto utilizzo che il lavoratore può fare dello strumento[3].

Nell’ambito di questa  qualificazione, particolari problemi può presentare il computer aziendale, in cui la memoria di massa (hardware) o il sistema operativo (software), sono senz’altro strumenti di lavoro in quanto  necessari al lavoratore  per espletare le sue mansioni.

Diversamente, i software installati sul computer che consentono di tenere traccia degli accessi ad internet o  la registrazione di altre informazioni  possono essere privi di un nesso con lo svolgimento della prestazione lavorativa[4]

Il Garante della privacy ha ritenuto che nella nozione di cui all’art. 4, comma 2, (con riferimento al servizio di posta elettronica e ‘‘navigazione web’’) ‘‘possano ricomprendersi solo servizi, software o applicativi strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza.

Da questo punto di vista, e a titolo esemplificativo, possono essere considerati ‘strumenti di lavoro’ il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale) e gli altri servizi della rete aziendale, fra cui anche il collegamento a siti internet. Costituiscono parte integrante di questi strumenti anche i sistemi e le misure che ne consentono   il fisiologico e sicuro funzionamento al fine di garantire un elevato livello  di sicurezza della rete aziendale messa a disposizione del lavoratore[5].

Il Garante e`  tornato sul tema successivamente, in occasione di un provvedimento reso nei confronti di un gestore di servizi postali, rilevando la violazione dell’art. 4, comma 1, dello Statuto dei lavoratori in quanto il sistema esaminato, non ponendosi come indispensabile per rendere la prestazione lavorativa, non rientrava negli strumenti di lavoro, bensì in quegli strumenti anche organizzativi dai quali puo` indirettamente derivare il controllo a distanza dell’attivita`  dei lavoratori,  con  conseguente  necessita`  di  attivare  le  procedure  ivi  previste[6].

Da questo punto di vista si registra una nozione di strumento di lavoro piu`  restrittiva di quella proposta in precedenza dal Garante, basata sull’ ‘‘indispensabilita`’’  dello  strumento  per  effettuare  la  prestazione  lavorativa  e non piu`  solo sulla stretta funzionalita`  con la prestazione.

Tale solco interpretativo sembra condiviso dall’Ispettorato nazionale del lavoro che nella circolare 19 febbraio 2018 n. 5[7], recante  indicazioni operative sull’installazione e utilizzazione di impianti audiovisivi e di   altri  strumenti  di  controllo,  ha  individuato  quale  strumento indispensabile a rendere la prestazione lavorativa’’ (per il quale possa prescindersi, alla stregua del comma 2, dalle garanzie del comma 1) il ‘‘riconoscimento biometrico’’, installato su macchinari per avviare il loro funzionamento allo scopo di impedirne l’utilizzo a soggetti non autorizzati.  L’Ispettorato nazionale del lavoro ha basato la sua valutazione in termini di indispensabilita` per lo svolgimento della specifica prestazione lavorativa.

Sull’ambito applicativo della nozione di strumento di lavoro si registra anche un altro importante intervento dell’Ispettorato Nazionale del Lavoro in relazione all’utilizzo di apparecchiature di localizzazione satellitare, nel quale e`  stato stabilito che in linea di massima, e in termini generali, si puo`  ritenere che i sistemi di geolocalizzazione rappresentino un elemento ‘aggiunto’ agli strumenti di lavoro, non utilizzati in via primaria ed essenziale per l’esecuzione dell’attivita`  lavorativa ma per rispondere ad esigenze ulteriori di carattere assicurativo, organizzativo, produttivo o per garantire la sicurezza del lavoro[8].

Ne consegue che, in tali casi, la fattispecie rientra nel campo di applicazione di cui al comma 1 dell’art. 4 L. n. 300/1970 e, pertanto, le relative apparecchiature possono essere installate solo previo accordo stipulato con la rappresentanza sindacale ovvero, in assenza di tale accordo, previa autorizzazione da parte dell’Ispettorato nazionale del lavoro.

Pertanto   allorché lo strumento di lavoro viene modificato, ad esempio con l’aggiunta di un software, non si può aprioristicamente decidere quando applicare la normativa sugli strumenti di lavoro o la normativa sugli strumenti di controllo. La soluzione varia anche in relazione alle circostanze di fatto, al settore di appartenenza, al grado di tecnologia dell’organizzazione aziendale e alle mansioni assegnate al singolo lavoratore (Tribunale di Roma 24/3/2017 cit.).

In ogni caso il comma 3 del “nuovo” art. 4 dello Statuto dei Lavoratori prescrive al datore di lavoro che voglia utilizzare le informazioni raccolte dal controllo sull’uso degli strumenti informatici da parte del dipendente due fondamentali adempimenti.

Il primo attiene alla necessità di dare “al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”. Il secondo adempimento riguarda il “rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196” (come modificato dal D. Lgs. 101/2018 e di quanto disposto dal Regolamento UE n. 679/2016).

Non può  infatti nutrirsi alcun dubbio sul fatto che le informazioni raccolte dal datore di lavoro e relative all’uso degli strumenti informatici da parte del dipendente siano “dati personali” nell’accezione data al termine dalla normativa privacy e, quindi, oggi dal c.d. GDPR (Regolamento UE n. 679/2016, entrato definitivamente in vigore lo scorso 25 maggio 2018) che definisce dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (art. 4, lett. 1, GDPR).

Parimenti indiscutibile è che l’attività del datore di lavoro che carpisce dai sistemi informatici informazioni relative all’uso degli strumenti informatici da parte del dipendente costituisca un “trattamento di dati personali”, che viene definito dal GDPR “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Si può dunque affermare che il “nuovo” art. 4 dello Statuto dei Lavoratori rappresenta una vera e propria norma di cerniera tra il diritto del lavoro e la normativa di protezione dei dati personali al punto che il rispetto della seconda diventa precondizione di legittimità dell’esercizio di uno dei poteri tipici del rapporto di lavoro, ossia il potere di controllo [9](Tribunale di Roma 13 Giugno 2018 n. 57668 cit.).

Il Tribunale di Venezia ha dichiarato la legittimità della prova acquisita con il software installato anche perché i lavoratori, utilizzandolo, ne erano sicuramente a  conoscenza, anche ai fini di quanto previsto al comma 3 dell’art. 4 L. 300/1970 che richiede un’adeguata informazione ai lavoratori delle modalità d’uso  degli strumenti e di effettuazione dei controlli e il rispetto della normativa in materia di privacy.

Il Tribunale di Torino, invece, con la sentenza 1664/2018  ha ritenuto  necessario, ai fini dell’adeguatezza, che il lavoratore venga informato del fatto  che una sua specifica attività (si pensi agli accessi a Internet) possa essere controllata dal datore di lavoro secondo modalità che consentano, ad esempio, di verificare la tipologia dei siti Internet visitati e altresì di accertare la durata degli accessi ai siti medesimi.

[1] Cass. 2.5.2017 n. 10636 in www.neldiritto.it, giurisprudenza; Cass. 08/11/2016 n. 22662 in webgiuridico.it – sentenze 2016 –.

[2] R. Del Punta, La nuova disciplina dei controlli a distanza sul lavoro (art. 23, d. lgs. 151/2015) in Riv. It. Dir. Lav. 2016, I, 99); A. Ingrao, Il controllo disciplinare e la privacy del lavoratore dopo il Jobs act in Riv. It. Dir. Lav. 2017, I, 46; Tribunale di Roma 13.6.2018 n. 57668 in Wikilabour.it;   Tribunale di Torino 19.9.2018 n. 1664 in Il Giustavorista.it, 2018;; in senso contrario Tribunale di Roma 24.3.2017 in Bollettino Adapt, Home, Mercato del Lavoro; Tribunale di Padova, ordinanza  19.1.2018, in Il Caso.it, sez. Giurisprudenza, 19948, pubb. 14/6/2018, laddove si afferma che residua un’area di controlli difensivi leciti non soggetti alle condizioni dell’art. 4 c.1 L.300/1970  nel caso di indizi di condotte illecite a carico di singoli dipendenti. ‘ordinanza rileva che “tali indizi devono ricavarsi aliunde” e “non possono desumersi dagli stessi controlli a distanza”. G. Proia, Trattamento dei dati personali, rapporto di lavoro e l’impatto della nuova disciplina dei controlli a distanza, in Riv. It.Dir. Lav., fasc. 4, 2016, pag. 547.

[3] Claudia Criscuolo, Potere di controllo e computer aziendale, in Rivista Italiana di Diritto del Lavoro, fasc.1, 2019, pag. 9.

[4]

[5] Garante per la protezione dei dati personali, provv. 13 luglio 2016, n. 303, doc. web. 5408460.

[6] Garante per la protezione dei dati personali, provv. 16 novembre 2017, n. 479, doc. web. n. 735553.

[7] Circolare INL 19 febbraio 2018 n. 5 in www.ispettorato.gov.it.

[8] Circolare INL  7 Novembre 2016 n. 7 in www.ispettorato.gov.it

[9] M.T. Salimbeni, La riforma dell’art. 4 dello Statuto dei Lavoratori: l’ambigua risolutezza del legislatore, in Riv. It. Dir. lav. 2015, I, 589; M. Marazza, Dei poteri (del datore di lavoro), dei controlli (a distanza) e del trattamento dei dati (del lavoratore), in CSDLE n. 300/2016.