di Chiara Zaccagnini
È illegittimo l’utilizzo da parte del datore di lavoro di programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi internet.
Questo è quanto ha affermato la Corte di Cassazione, nella Sentenza n. 4375/10, con la quale ha rigettato il ricorso presentato da una società avverso la Sentenza della Corte d’Appello, che aveva dichiarato illegittimo il licenziamento intimato ad un dipendente per l’accesso a internet per fini privati.
Nel caso di specie, una società aveva scoperto che un proprio dipendente utilizzava internet in orario d’ufficio per ragioni non di servizio, in contrasto con il regolamento aziendale.
Tale utilizzo improprio dell’accesso alla rete era stato scoperto attraverso un programma di controllo informatico centralizzato.
La società aveva quindi intimato al dipendente il licenziamento.
L’interessato aveva impugnato tale atto di fronte al Giudice del Lavoro, ritenendo violato l’art. 4, comma 2, della Legge n. 300/70, con la conseguente inutilizzabilità dei dati acquistati.
Aveva, inoltre, ritenute violate le regole di proporzionalità e gradualità delle sanzioni disciplinari.
Il Giudice del lavoro aveva dichiarato illegittimo il licenziamento, con conseguente reintegrazione del dipendente, ai sensi dell’art. 18 dello Statuto dei lavoratori.
Il Tribunale aveva ritenuto che i fatti contestati fossero stati rilevati e registrati da un programma di controllo informatico centralizzato, in violazione del comma 2 dell’art. 4 dello Statuto dei lavoratori, secondo il quale l’utilizzo di tali apparecchiature è subordinato a esigenze di sicurezza del lavoro, previo accordo con le rappresentanze sindacali, con conseguente inutilizzabilità di tali informazioni.
Inoltre, secondo il Giudice erano state violate le regole di proporzionalità e gradualità delle sanzioni disciplinari.
Avverso tale Sentenza aveva proposto appello il datore di lavoro, lamentando che i controlli attuati, in quanto finalizzati a osteggiare comportamenti illeciti vietati dalla società, non erano limitati dal citato art. 4 e che il comportamento tenuto dal lavoratore giustificava il licenziamento intimato.
La Corte d’Appello aveva confermato la Sentenza di primo grado, ritenendo applicabile, ai fatti addebitati, il comma 2 dell’art. 4 dello Statuto dei lavoratori.
Inoltre, la Corte aveva rilevato la mancanza del nesso di proporzionalità tra i fatti contestati e la sanzione, in base alla durata dei collegamenti, alla mancanza di precedenti contestazioni sollevate nei confronti di altri dipendenti per fatti analoghi e alla mancanza di precedenti disciplinari in capo al lavoratore.
La società aveva quindi presentato il ricorso in Cassazione, sostenendo che il Giudice di merito non aveva tenuto conto del quantitativo di accessi a internet effettuato dal dipendente, che aveva sottratto tempo al lavoro e messo in pericolo la sicurezza della rete aziendale, precisando che il regolamento aziendale, conosciuto dai dipendenti, autorizzava tali accessi solo per esigenze di servizio.
In riferimento al citato art. 4, il datore di lavoro aveva censurato la Sentenza nella parte in cui dichiarava la violazione di tale norma, affermando che tali dati erano stati rilevati dalla consultazione diretta del computer del dipendente e non mediante l’impiego di un sistema di controllo informatico.
La Corte di Cassazione, già nella Sentenza n. 4746/02, in merito al divieto di utilizzo di apparecchiature per il controllo a distanza dell’attività dei lavoratori, previsto dall’art. 4 dello Statuto, aveva chiarito che è necessario che il controllo sia riferito (direttamente o indirettamente) all’attività lavorativa, escludendo, dall’applicazione della richiamata norma, i controlli diretti ad accertare condotte illecite tenute dal lavoratore (c.d. controlli difensivi).
Il comma 1 dell’art. 4 dello Statuto dei lavoratori dispone, in merito al divieto di utilizzazione di mezzi di controllo a distanza, che la vigilanza del lavoro svolto, necessaria all’organizzazione produttiva, non deve essere eccessivamente caratterizzata dall’uso di tecnologie, tali da renderla continua e rigida, privando in questo modo l’adempimento del lavoro dagli elementi di riservatezza e di autonomia.
Il comma 2, del richiamato art. 4, dispone che per esigenze organizzative e produttive possono essere installati impianti e apparecchiature di controllo, con la possibilità di un controllo a distanza dell’attività dei lavoratori.
Tale installazione è subordinata all’accordo con le rappresentanze sindacali o con la commissione interna.
Nel caso in cui non vi sia accordo tra le parti, può provvedere l’Ispettorato del lavoro, a seguito di istanza presentata dal datore di lavoro.
Ancora la Corte di Cassazione, con la Sentenza n. 15892/07, si era espressa in merito, affermando che “il Legislatore ha inteso contemperare l’esigenza di tutela del diritto dei lavoratori a non essere controllati a distanza a quello del datore di lavoro, o, se si vuole, della stessa collettività, relativamente all’organizzazione, produzione e sicurezza del lavoro, individuando una precisa procedura esecutiva e gli stessi soggetti ad essa partecipi”.
Con tale Sentenza è stato precisato, inoltre, che “l’esigenza di evitare condotte illecite da parte dei dipendenti non può assumere portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore”, pertanto, tale esigenza “non consente di espugnare dalla fattispecie astratta i casi dei c.d. controlli difensivi ossia di quei controlli diretti ad accertare comportamenti illeciti dei lavoratori, quando tali comportamenti riguardino l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro e non la tutela di beni estranei al rapporto stesso”.
Nel caso di specie, la Corte di Cassazione ha rigettato il ricorso, affermando che i programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi ad internet sono necessariamente apparecchiature di controllo, nel momento in cui, in ragione delle loro caratteristiche, consentono al datore di lavoro di controllare a distanza e in via continuativa l’attività lavorativa.
Pertanto, i dati acquisiti mediante l’utilizzo di programmi di controllo informatico sono inutilizzabili dal datore di lavoro, ove reperiti senza il rispetto delle regole dettate dall’art. 4, comma 2, dello Statuto dei lavoratori.
In materia di controllo dell’attività svolta dai dipendenti, si sono espressi di recente anche il Garante per la protezione dei dati personali, con il Provvedimento n. 1665170/09, e il Ministero del Lavoro con l’Interpello n. 2/10.
Il Garante, nel citato provvedimento, ha affermato che in caso di emergenza il datore di lavoro può avere accesso ai file contenuti nel computer in uso a un dipendente assente.
Nel caso in cui il datore di lavoro consenta ai lavoratori un uso per finalità personali degli apparecchi elettronici aziendali, lo stesso dovrà specificare condizioni, finalità e modalità di utilizzo, informando adeguatamente il personale di tale possibilità.
Questo è quanto ha affermato il Garante, a seguito di un reclamo sollevato da un dipendente che, rientrato in azienda dopo un periodo di cassa integrazione si era reso conto che alcuni file memorizzati sul computer, affidato in dotazione dalla società al lavoratore, erano stati oggetto di accesso da parte del soggetto che lo aveva sostituito.
Alcuni file presenti sul computer avrebbero avuto natura personale e, quindi, estranea ai compiti di ufficio.
Inoltre, il dipendente si era lamentato di non aver ricevuto alcuna informativa sulle procedure di accesso ai dati dei lavoratori assenti.
Il Garante ha chiarito che, dalla documentazione presentata, la cartella contenente informazioni personali era posta, insieme ad altre cartelle individuali ad accesso condiviso, all’interno di una cartella denominata “Ufficio personale”.
Da tale documentazione risultava che la società avesse messo in atto i necessari controlli di accesso e di autenticazione, distinguendo sul server di rete le cartelle ad accesso libero da quelle ad accesso riservato.
Pertanto, tutte le cartelle risultavano configurate in modo da assicurare “la disponibilità dei dati in caso di emergenza”.
Dagli elementi raccolti può non si evincevano con chiarezza le condizioni di accesso da parte della società alle cartelle attribuite ai dipendenti, in quanto non era stata fornita una definizione chiara e univoca della locuzione “emergenza”.
Il Garante ha accolto il reclamo presentato dal lavoratore, affermando che doveva essere fornita una chiara informativa ai dipendenti, mediante disciplinare interno autonomo e distinto dal Dps, a proposito delle condizioni, le finalità e le modalità con le quali potevano essere rese accessibili le cartelle personali di rete, definendo le situazioni di emergenza che giustificavano un’eventuale visibilità a terzi regolarmente autorizzati.
L’Autority ha così intimato alla società di integrare le istruzioni contenute nel Dps, esplicitando le condizioni, le finalità e le modalità di utilizzo di aree virtuali eventualmente destinate ad un uso personale da parte dei dipendenti.
Il Garante per la protezione dei dati personali si era già espresso in tal senso nella newsletter n. 328 del 22 settembre 2009, ove aveva chiarito che il monitoraggio sistematico e continuativo della navigazione in internet dei lavoratori da parte dei datori è illecito, in quanto in tal modo viene violato il divieto, imposto dallo Statuto dei lavoratori, dell’impiego di apparecchiature per il controllo a distanza dell’attività dei dipendenti.
Il Ministero del Lavoro, nell’Interpello n. 2/10, a seguito di una richiesta di parere in merito alla possibilità di installazione da parte di un’impresa di telecomunicazioni di un sistema di controllo in grado di effettuare registrazioni audio di chiamata in uscita e in entrata, ha chiarito che gli impianti e le apparecchiature di controllo a distanza possono essere utilizzate, anche senza accordo o autorizzazione, in base a precise condizioni.
Il Ministero ha posto l’attenzione sull’art. 4 dello Statuto dei lavoratori, nella parte in cui esclude le apparecchiature di controllo, ritenendo tale norma non applicabile nel caso in cui siano introdotte alcune accortezze che non permettano di risalire all’identità degli operatori.
In particolare, nel caso di specie, le voci di clienti e operatori saranno criptate in fase di registrazione, in modo tale da essere non riconoscibili e non riconducibili all’identità del singolo operatore e cliente; i primi secondi di conversazione verranno eliminati, con conseguente impossibilità di ascoltare il nome dell’operatore; il sistema di monitoraggio non fornirà alcun report di informazioni sul singolo operatore; non verranno tracciati né il nome dell’operatore, né alcun altro dato che possa condurre alla sua identificazione; l’accesso ai dati registrati sarà rigorosamente tracciabile e limitato ai soggetti autorizzati rispetto alle finalità di monitoraggio.
Il sistema non consentirà un controllo diretto sull’attività dei dipendenti, in quanto mancherà il collegamento tra l’attività lavorativa e l’utilizzo dell’apparecchiatura.
In materia, il Ministero si era già espresso con l’Interpello del 6 giugno 2006 prot. n. 25/I/0000218, con il quale aveva escluso la possibilità di un controllo dell’attività del lavoratore “nel caso in cui vi sia un sistema in grado di registrare l’apparecchio chiamato ed il numero della postazione dalla quale è effettuata la chiamata, ma comunque sussista una rotazione del personale che usufruisce della postazione stessa, così da impedire una diretta ed inequivocabile correlazione tra l’apparecchio dal quale sono effettuate le chiamate ed il lavoratore”.