Il fornitore non è sempre responsabile del trattamento

Il datore di lavoro può controllare il pc dei suoi dipendenti?

La lavoratrice Tizia veniva licenziata dalla Fondazione Accademia Nazionale di Santa Cecilia in seguito alla diffusione, nel sistema informatico, di un virus che aveva criptato i files di vari dischi di rete rendendoli inutilizzabili. Durante le indagini, infatti, era emerso che il virus proveniva dal computer della lavoratrice, dal quale erano stati effettuati numerosi accessi a siti web per finalità personali.

Tizia presentava ricorso ex art. 145 D.Lgs. n. 196/2003, in seguito al quale l’Autorità Garante per la protezione dei dati personali ordinava alla Fondazione di non procedere ulteriormente al trattamento dei dati della lavoratrice acquisiti dalla cronologia del browser di Google Chrome.

Questa decisione veniva confermata dal Tribunale di Roma ed era poi riformata dalla Corte di appello che rigettava il ricorso.

Pronuncia della Corte di Cassazione e i c.d. “controlli difensivi”

La Corte di Cassazione accoglieva il ricorso con la sentenza n. 25732/2021.

In merito al primo motivo di impugnazione, la ricorrente sosteneva la violazione dell’art. 4 della legge n. 300/1970 e dell’art. 160.6 del Codice della privacy, nel momento in cui il datore di lavoro aveva utilizzato le informazioni acquisite, quali la cronologia dei dati di accesso ad Internet, violando i diritti di informativa di Tizia. Costui non avrebbe potuto utilizzare i dati raccolti per la ricerca del virus anche per finalità disciplinari, in mancanza di informazioni sulle modalità di verifica dei controlli. Infatti, il datore di lavoro deve, precedentemente alla raccolta dei dati, fornire indicazioni sui controlli e distribuire le informative per il trattamento dei dati personali.

La Corte ha avuto modo di interrogarsi sui c.d. “controlli difensivi”, concetto che era stato elaborato dalla giurisprudenza e che ha subito variazioni durante gli ultimi anni. Infatti, prima della riforma recata dal D.Lgs. n. 151/2015, l’art. 4 dello Statuto dei lavoratori disciplinava due livelli di protezione verso il lavoratore: uno che consisteva nel porre divieti assoluti relativi all’utilizzo di strumentazioni audiovisive e in generale di apparecchiature di controllo a distanza dei lavoratori; l’altro più affievolito che veniva utilizzato in base a determinate esigenza d’impresa. La ratio era quella di circoscrivere il potere di controllo del datore di lavoro, soprattutto se manifestato tramite strumenti tecnologici, nel momento in cui lede la sfera personale del lavoratore e, in particolare, la sua riservatezza. A seguito della necessità di realizzare i controlli seguendo determinate cautele ed effettuando bilanciamenti tra i diritti dei lavoratori e le esigenze di sicurezza aziendale del datore di lavoro, tale disciplina è stata riformata seguendo i principi di proporzionalità, pertinenza, buona fede e correttezza.

Nuova formulazione

Conseguentemente, dopo la modifica del sopramenzionato art.4, la norma stabilisce che i controlli a distanza sono legittimi se non sono “fini a sé stessi”. La giurisprudenza ha distinto i c.d. “controlli difensivi” che riguardano tutti i dipendenti nello svolgimento di mansioni che li pongono a contatto con il patrimonio aziendale e i “controlli difensivi” in senso stretto che hanno come target singoli dipendenti. In questo ultimo caso, i controlli esulano dal perimetro dell’art. 4 in quanto non hanno ad oggetto la normale attività del lavoratore. Infatti, la realizzazione delle procedure di cui all’art. 4 è coerente con un sistema di controllo dell’organizzazione aziendale in linea generale, senza che vi sia riferimento ad eventi eccezionali commessi dal singolo lavoratore. E’ lo stesso Tribunale di Roma che, nel 2017, dichiara “ legittimo il controllo c.d. difensivo del datore di lavoro sulle strutture informatiche aziendali in uso al lavoratore, a condizione che esso sia occasionato dalla necessità indifferibile di accertare lo stato dei fatti a fronte del sospetto di un comportamento illecito e che detto controllo prescinda dalla pura e semplice sorveglianza sull’esecuzione della prestazione lavorativa essendo, invece, diretto ad accertare la perpetrazione di eventuali comportamenti illeciti”.

Se ne ricava che il c.d. “controllo difensivo” in senso stretto, per essere ritenuto legittimo, deve essere realizzato ex post, a seguito di un comportamento illecito da parte di un lavoratore del cui avvenimento il datore di lavoro ha un sospetto. Il controllo non è realizzato ex post se le informazioni sono raccolte per un tempo indefinito su ogni tipologia di dato dove solo l’analisi è effettuata in un secondo momento. Per rientrare nella definizione, infatti, il datore di lavoro deve raccogliere i dati soltanto dopo che ha avuto il sospetto della commissione di un illecito da parte dei lavoratori. Da quel momento lì, la raccolta di dati e informazioni è considerata lecita.

Conclusioni

La Corte di Cassazione, cassando la sentenza della Corte d’appello, statuisce che i controlli tecnologici sono stati realizzati dal datore di lavoro senza porre in essere un bilanciamento tra le esigenze di protezione dei beni aziendali e quelle di riservatezza e di tutela della dignità di Tizia. E’, infatti, venuto meno l’accertamento ex post in relazione alla commissione dell’illecito, dato che il controllo del browser della lavoratrice e la raccolta dati sono stati effettuati prima dell’insorgere del sospetto.

Consulta l’infografica

Sara Donati – s.donati@lascalaw.com

© RIPRODUZIONE RISERVATA

Print Friendly, PDF & Email

Condividi su

Potrebbe interessarti anche
Il fornitore non è sempre responsabile del trattamento

La C.S. Group S.p.a., società di noleggio veicoli ecologici, esponeva sul proprio sito web (sul si...

Privacy

Il TAR detta regole restrittive per i DPO persone giuridiche

Avete mai parcheggiato sulle “strisce blu”? Una volta era semplice e bastava far stampare dal p...

Privacy

Lavoro e Relazioni Industriali

Da domani entrerà in vigore l'obbligo di esibire il Green Pass nei luoghi di lavoro pubblici e pri...

Lavoro e Relazioni Industriali

X