I controlli tecnologici difensivi sui lavoratori

Prospettive di compliance aziendale alla luce degli ultimi arresti giurisprudenziali

di Davide Carlesso


I controlli difensivi

In un mondo del lavoro sempre più connesso, inasprito dalla pandemia che ha spinto centinaia di imprese ad adottare soluzioni di remote working, è divenuto sempre più cruciale il tema dei controlli a distanza sui lavoratori, attuati mediante soluzioni tecnologiche di varia natura.

Sul tema, come noto, si contrappone la legittima esigenza dei datori di lavoro di vigilare sull’operato dei propri dipendenti, al fine di scongiurare la commissione di illeciti ai danni dei datori stessi (basti pensare ai numerosi casi di esfiltrazione di informazioni di business, know-how e segreti industriali registrati negli ultimi tempi) o di terzi (quali, ad esempio, la programmazione di codice malevolo atto ad infettare i sistemi di ignari clienti) in un’ottica generale di rispetto del principio di fedeltà sancito dall’art. 2105 del codice civile, all’esigenza dei lavoratori – altrettanto legittima – di salvaguardare la propria riservatezza ed, in particolare, di contenere il potere direttivo del datore di lavoro all’interno di una dimensione umana (non esasperata, cioè, dall’uso di tecnologie che rendano continua e anelastica  la vigilanza, a detrimento di ogni autonomia del prestatore di lavoro nello svolgimento delle proprie mansioni[1]).

Un tentativo normativo volto alla conciliazione delle due opposte istanze così descritte è offerto dall’art. 4 della Legge n. 300 del 1970 (c.d. Statuto dei Lavoratori) che – come noto – ha subito significative modifiche per effetto dell’art. 23 del D.Lgs. n. 151 del 2015 (c.d. Jobs Act).

In particolare, per quanto qui d’interesse, la novella legislativa del Jobs Act ha aggiunto, al nuovo comma 1 dell’art. 4 citato, fra le finalità legittime il cui perseguimento ammette lo svolgimento di controlli a distanza c.d. “indiretti” anche quella rappresentata dalla “tutela del patrimonio aziendale”, da intendersi in senso estensivo in quanto comprensivo anche del patrimonio informativo aziendale che, in quest’epoca di data economy, assume sempre maggior rilievo.

Tale integrazione risulta di non poco momento, atteso che  nella formulazione dell’art. 4 antecedente alla riforma del 2015 la  finalità sopra indicata non risultava contemplata dal dettato normativo, ritenendosi, pertanto, che essa rientrasse nell’alveo dei c.d. “controlli difensivi”, ossia di quei controlli a distanza che, esulando dall’ambito di applicazione dell’art. 4 (non presupponendo, quindi, l’osservanza delle garanzie ivi previste), potevano essere attuati dal datore di lavoro al fine precipuo di accertare comportamenti illeciti e lesivi del patrimonio e dell’immagine aziendali posti in essere dal lavoratore.

Poiché la novella del 2015 ha annoverato tale finalità fra quelle per le quali si rende necessaria l’osservanza della c.d. procedura di garanzia[2], la dottrina e la giurisprudenza si sono interrogate sulla sopravvivenza della categoria dei controlli difensivi, giungendo negli ultimi anni a soluzioni fra loro contrastanti.

A fare chiarezza è intervenuta, da ultimo, la Suprema Corte che, con la citata pronuncia del 12 novembre 2021 n. 34092 (la quale, a sua volta, richiama e fa propri i principi già enunciati dalle pronunce di legittimità del 22 settembre 2021, nn. 25731[3] e 25732[4]). I giudici di legittimità hanno  statuito come, anche sotto l’impero del nuovo art. 4, debba continuare a riconoscersi “diritto di cittadinanza” ai controlli difensivi, non risultando pertanto gli stessi annullati nella loro consistenza e categoria dalla novella legislativa di cui si è detto.

La Suprema Corte ha, tuttavia, ribadito una fondamentale distinzione tra:

  • controlli difensivi “in senso lato”, ossia quelli a difesa del patrimonio aziendale che riguardano – almeno – gruppi di dipendenti (o il personale nella sua interezza) nello svolgimento della prestazione lavorativa la quale li pone a contatto con tale patrimonio, controlli che devono necessariamente essere realizzati nel rispetto delle previsioni dell’art. 4 come novellato; e
  • controlli difensivi “in senso stretto”, diretti ad accertare specificamente condotte illecite ascrivibili – in base a concreti indizi – a singoli dipendenti, anche se queste si verificano durante la prestazione di lavoro. Tali controlli – anche se effettuati con strumenti tecnologici – non avendo ad oggetto la normale attività del lavoratore, si situerebbero, ancora oggi, all’esterno del perimetro applicativo dell’art. 4, e ciò in quanto la procedura per l’installazione dell’impianto di controllo appare coerente con la necessità di consentire un controllo sindacale che, nel caso di eventi straordinari ed eccezionali costituiti dalla necessità di accertare e sanzionare gravi illeciti di un singolo lavoratore, non avrebbe  ragion d’essere.

In linea con quanto stabilito dalla sentenza del caso Barbulescu c. Romania, la Corte di legittimità ha specificato come, per essere legittimo, il controllo difensivo in senso stretto debba essere:

  • mirato, ossia riferibile ad uno o più lavoratori determinati;
  • disposto ex post, ossia successivamente all’attuazione del comportamento illecito del cui avvenuto compimento il datore abbia avuto il fondato sospetto, così da prescindere dalla mera sorveglianza sull’esecuzione della prestazione lavorativa.

Riguardo a tale ultimo profilo, la Suprema Corte ha precisato che il controllo non può concretizzarsi nella preliminare raccolta di informazioni e nella successiva analisi delle medesime all’occorrenza, perché in tal modo l’area del controllo si estenderebbe a dismisura e il “datore di lavoro potrebbe, in difetto di autorizzazione e/o di adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli, nonché senza il rispetto della normativa sulla privacy, acquisire per lungo tempo ed ininterrottamente ogni tipologia di dato, provvedendo alla relativa conservazione, e, poi, invocare la natura mirata (ex post) del controllo incentrato sull’esame ed analisi di quei dati.”.

Viceversa, potrà parlarsi di controllo ex post solo ove, a seguito del fondato sospetto del datore circa la commissione di illeciti ad opera del lavoratore, il datore stesso provveda, da quel momento, alla raccolta delle informazioni.

Va da sé, dunque, che i sistemi informatici che consentono la registrazione e la conservazione di dati per lungo tempo dovranno essere assoggettati alle regole di cui all’art. 4.

A maggior cautela, la Cassazione ha da ultimo evidenziato come il sospetto di illecito possa sì derivare dall’attivazione di un alert (ossia da una segnalazione informatica da parte del sistema al ricorrere di particolari condizioni, come la rilevazione di comportamenti che il datore abbia preventivamente considerato – e configurato – come anomali), ma come tale alert non sia di per sé decisivo al fine della verifica dell’ammissibilità del controllo ex post, in quanto occorrerà in questi casi, da un lato, accertare la fondatezza del sospetto di illecito generato dall’alert (e ciò all’evidente fine di evitare, quanto più possibile, casi c.d. di falso-positivo) e, dall’altro lato, appurare che i dati informatici rilevanti per la contestazione dell’illecito, utilizzati poi in sede disciplinare, siano raccolti successivamente all’insorgere del fondato sospetto.

Controlli difensivi in senso lato e in senso stretto: adempimenti a confronto

In ordine agli adempimenti propedeutici all’attuazione dei controlli, occorre anche in questa sede distinguere tra controlli difensivi in senso lato e controlli difensivi in senso stretto.

I controlli difensivi in senso lato:

  • riguardano l’intero personale o gruppi di dipendenti;
  • sono assoggettati alle regole di cui all’art. 4 e, per l’effetto, presuppongono:
    • l’attivazione della procedura c.d. di garanzia, che si estrinseca nel conseguimento dell’accordo con le rappresentanze sindacali (o, in alternativa, dell’autorizzazione amministrativa della competente direzione territoriale del lavoro) volto a stabilire di concerto le condizioni e le modalità secondo le quali è possibile adottare e utilizzare determinati strumenti tecnologici dai quali possano scaturire i controlli (salvo che detti strumenti siano necessari ai dipendenti per rendere la prestazione lavorativa, o per registrare gli accessi e le presenze, come previsto ai sensi del comma 2 dell’art. 4);
    • la somministrazione ai lavoratori di informazioni in ordine alle modalità d’uso degli strumenti assegnati e di effettuazione dei controlli, idonee a descrivere chiaramente di quali strumenti è dotato il personale, come tali strumenti debbano essere correttamente impiegati, quali usi siano invece vietati e quali controlli possano essere attuati al fine di verificare il rispetto delle regole imposte e, più in generale, dei doveri di ciascun lavoratore; dette informazioni dovranno essere portate a conoscenza di tutto il personale, nella forma più opportuna (es. policy interna, disciplinare tecnico, ecc.) e attraverso il canale più efficace (es. pubblicazione in bacheca o nella intranet aziendale): al riguardo, si rammenta come la sentenza del caso Barbulescu c. Romania abbia riconosciuto – tra le altre – la responsabilità del datore di lavoro per aver omesso preventive informazioni in ordine alla possibilità che le comunicazioni elettroniche (su Yahoo Messenger, nel caso di specie) potessero essere oggetto di controllo e per non avere portato a conoscenza dei lavoratori informazioni circa la natura e l’estensione dei controlli e del grado di intrusione degli stessi nella vita e nella corrispondenza privata dei lavoratori;
    • l’osservanza – ratione temporis – della normativa privacy applicabile, che – in estrema sintesi – comprende:
      • il rispetto dei principi di liceità, necessità, pertinenza, proporzionalità e minimizzazione nello svolgimento dei controlli, principi che impongono di privilegiare misure preventive e, in ogni caso, gradualità nell’ampiezza del monitoraggio, al fine di rendere assolutamente residuali i controlli più invasivi, legittimandoli solo a fronte della rilevazione di specifiche anomalie (quali, ad esempio, la riscontrata presenza di virus) e comunque all’esito dell’esperimento di misure preventive meno limitative dei diritti dei lavoratori; all’uopo, occorre prestare attenzione che tali controlli non abbiano luogo con modalità che li renderebbero massivi, costanti, prolungati, eccessivamente invasivi, arbitrari, irragionevoli, indiscriminati o sproporzionati rispetto alle effettive esigenze, modalità che prescindono dal rispetto delle regole di civiltà e di criteri ragionevoli volti a garantire, con l’impiego di determinati accorgimenti e cautele, la salvaguardia della dignità e della riservatezza dei dipendenti[5];
      • la predisposizione di un’informativa privacy ad hoc (o, in alternativa, l’integrazione di quella già resa al personale): all’obbligo, imposto dall’ultimo comma dell’art. 4, di rendere informazioni in merito alle modalità di utilizzo della strumentazione e di effettuazione dei controlli, gli articoli 5, co. 1 lett. a), 12, 13 e 14 del Regolamento (UE) 2016/679 impongono al datore il dovere di rendere ulteriori informazioni in ordine ai trattamenti di dati che originano dall’adozione e dall’impiego di particolari tecnologie che ne consentono la raccolta, e ciò con riferimento in particolare alla tipologia di dati riconducibili ai lavoratori (acquisiti per effetto dell’interazione di questi ultimi con le predette tecnologie), ai tempi di conservazione e alle persone che possono avervi accesso (sia all’interno che, eventualmente, all’esterno dell’organizzazione aziendale);
      • lo svolgimento di una “LIA”: poiché il consenso dei lavoratori non è idoneo a fondare i trattamenti in ambito giuslavoristico – a fortiori quello in parola – attesa la posizione subalterna in cui gli stessi si trovano rispetto al proprio datore (posizione che mina alla radice la presunzione di libertà del consenso eventualmente espresso e, per l’effetto, la sua validità), la base giuridica dei trattamenti connessi all’attività di controllo attuata mediante l’utilizzo di strumenti tecnologici è rinvenibile nell’interesse del datore stesso, interesse che deve assumere connotati di legittimità (così com’è nella misura in cui il trattamento sia diretto al perseguimento di una finalità sussumibile nel comma 1 dell’art. 4) e di prevalenza rispetto ai diritti e alle libertà fondamentali dei lavoratori interessati; all’uopo sarà quindi necessario svolgere una particolare valutazione preliminare (Legitimate Interest Assessment), volta a contemperare gli interessi coinvolti, avendo riguardo – in particolare, ma non solo – alle ragionevoli aspettative dei dipendenti/interessati sulla base della relazione esistente col datore/titolare, nonché all’impatto del trattamento e alle misure attuabili per minimizzarlo; inoltre, in ossequio al principio di minimizzazione, il datore di lavoro dovrà dimostrare l’inesistenza di modalità meno invasive per conseguire lo stesso obiettivo (che legittimerebbero appunto un diverso trattamento) e, in ogni caso, l’utilizzo di dati pertinenti e limitati a quanto strettamente necessario al perseguimento della finalità dichiarata (nel caso Barbulescu c. Romania era stata peraltro riconosciuta la responsabilità del datore di lavoro per non avere accertato le specifiche ragioni che giustificavano l’adozione di determinate misure di controllo, nonché la possibilità di impiegare misure meno intrusive);
      • la conduzione di una “DPIA”: l’utilizzo (presumibile) di nuove tecnologie per l’effettuazione dei controlli, nonché la natura, l’oggetto, il contesto e le finalità del trattamento, circostanze dalle quali può derivare un rischio elevato per i diritti e le libertà degli interessati, impongo al datore di lavoro di effettuare una valutazione dell’impatto dei trattamenti sulla protezione dei dati (art. 35 del Regolamento (UE) 2016/679); detta valutazione sarà funzionale preliminarmente al calcolo del livello di rischiosità del trattamento in sé (c.d. rischio inerente) e all’individuazione delle misure di sicurezza – tecniche ed organizzative – volte ad abbattere o quanto meno mitigare tale rischio, e conseguentemente al calcolo del livello di rischio c.d. residuo, la cui determinazione è indispensabile per comprendere se il trattamento in questione possa essere avviato;
      • l’aggiornamento del registro dei trattamenti.

I controlli difensivi in senso stretto:

  • devono essere mirati, ossia riferibili ad uno o più lavoratori determinati;
  • devono essere attuati ex post, ossia a seguito del comportamento illecito del cui avvenuto compimento il datore abbia avuto il fondato sospetto;
  • non devono osservare i dettami dell’art. 4 dello Statuto dei Lavoratori;
  • non possono, in alcun caso, “giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e della riservatezza del lavoratore” (Cass. 34092 cit.).

Una proposta di approccio metodologico

Per essere affrontato adeguatamente, il tema dei controlli tecnologici difensivi (siano essi intesi in senso lato o in senso stretto) richiede il coinvolgimento di molteplici attori, sia interni che esterni all’organizzazione aziendale, dall’ICT alle risorse umane, dalle rappresentanze sindacali ai fornitori di tecnologie.

Tale percorso, per quanto dispendioso in termini di tempo ed energie, ad avviso di chi scrive risulta  tuttavia necessario, in prima battuta, per definire le concrete esigenze di tutela del patrimonio aziendale, anche informativo,  e dunque per tracciare il perimetro di operatività dei controlli in parola: in altri termini, si dovranno preliminarmente identificare le risorse (critiche e non), gli applicativi e, più in generale, gli asset (materiali e immateriali) da proteggere da condotte illecite, provenienti sia dall’interno che dall’esterno dell’organizzazione aziendale, e, per l’effetto, da sottoporre a monitoraggio.

Una volta individuato detto perimetro, sarà indispensabile procedere ad una attenta ed approfondita analisi della normativa applicabile (supportata dall’interpretazione giurisprudenziale che, come dimostrano gli orientamenti degli ultimi anni, si caratterizza per la sua mutevolezza nel tempo, anche in ragione della relativa freschezza delle modifiche normative sottostanti), al fine di comprendere i limiti  entro cui il datore di lavoro possa impiegare determinate soluzioni tecnologiche e raccogliere informazioni pertinenti – anche, ma non solo – all’attività lavorativa dei propri dipendenti, e ciò allo scopo di collocare la propria condotta entro un alveo di liceità e andare esente da sanzioni di varia natura.

Solo a questo punto si potrà procedere all’individuazione delle soluzioni tecnologiche più adatte al soddisfacimento delle esigenze preventivamente emerse, soluzioni che potrebbero essere già in funzione – per altri scopi – all’interno dell’organizzazione aziendale, oppure di cui si renda necessario lo sviluppo o l’acquisto (in tale caso, se opportuno, attraverso un’attività di software selection).

Se del caso, sarà necessaria un’interlocuzione con le rappresentanze sindacali di riferimento (o in loro assenza, con la competente direzione territoriale del lavoro) al fine di cristallizzare con le medesime le modalità di utilizzo di tali tecnologie ed ottenere così, in tale sede, necessarie ed utili indicazioni in ordine agli accorgimenti e alle cautele da porre in essere nell’impiego delle predette.

Alla luce delle attività sin qui condotte, sarà poi possibile svolgere le valutazioni summenzionate (LIA e DPIA), nonché aggiornare il registro dei trattamenti dell’impresa datrice.

Una volta adottate, le soluzioni in parola dovranno essere opportunamente configurate prima della loro attivazione, affinché operino secondo le modalità e con i limiti preventivamente (i) individuati attraverso l’analisi normativa e giurisprudenziale, (ii) indicati dalle organizzazioni sindacali (se convocate, o dalla direzione territoriale del lavoro, se adita) ed (iii) emersi dalle valutazioni di cui sopra; in tale sede dovrà quindi essere assicurata l’adozione di idonee misure di sicurezza, tecniche ed organizzative (art. 32 del Regolamento (UE) 2016/679), quali – a titolo esemplificativo – la cifratura e la segregazione dei dati, la regolamentazione degli accessi logici e la limitazione della conservazione.

Successivamente si dovranno individuare le funzioni aziendali deputate all’effettuazione dei controlli in parola, tenendo conto del principio di minimizzazione che impone che l’accesso ai dati – vieppiù se acquisiti durante un’attività di controllo – sia consentito solo ai soggetti che necessariamente devono trattarli in ragione delle specifiche attribuzioni, i quali dovranno in ogni caso essere debitamente istruiti, formati e autorizzati, ai sensi degli articoli 29 del Regolamento (UE) 2016/679 e 2-quaterdecies del novellato D.Lgs. 196/2003.

Tale indagine non potrà prescindere dalla valutazione di tutte le circostanze del caso concreto, delle dimensioni dell’impresa, delle aree di business in cui opera, degli obblighi di legge gravanti sulla medesima (alcuni settori, più regolamentati di altri, prevedono l’istituzione di particolari ruoli che possono soccorrere nel caso di specie) e dell’articolazione interna delle sue funzioni.

L’attribuzione dei controlli difensivi, sia in senso lato che in senso stretto, alla medesima funzione non sembra di per sé incompatibile col dettato normativo, a condizione che siano osservate le regole esaminate poc’anzi, che diversificano detti controlli sulla base – oltre che delle appropriate garanzie preliminari – anche della gradazione degli stessi, della visibilità dei dati raccolti (tipicamente aggregati in relazione ai controlli in senso lato, granulari in relazione ai controlli in senso stretto), nonché del momento a decorrere dal quale essi debbano avere corso.

Ove possibile, sarà opportuno che tali attribuzioni siano distinte in virtù dello specifico ruolo ricoperto – in seno all’organizzazione aziendale – dal soggetto che andrà a svolgerli:

  • i controlli difensivi tecnologici in senso lato saranno tipicamente appannaggio delle strutture che gestiscono le risorse tecnologiche o la sicurezza informatica, di norma deputate al monitoraggio e al contrasto delle minacce che hanno ad oggetto gli asset informatici e il patrimonio informativo dell’impresa;
  • i controlli difensivi tecnologici in senso stretto saranno invece affidati alle funzioni propriamente di controllo di alto livello (quali Compliance o Internal Audit) o alle funzioni che gestiscono le risorse umane, avendo ad oggetto l’indagine in merito al comportamento addebitato al lavoratore sospettato di aver tenuto una condotta illecita; per altro verso, di tale tipologia di controllo ben potrebbe essere incaricato il responsabile del processo di whistleblowing, attesa l’aderenza con le inchieste che questi ha il compito di portare avanti allorquando venga attenzionato di presunti illeciti ai danni dell’azienda o di terzi.

Sarà infine necessario predisporre ex novo (oppure rivedere) la regolamentazione interna in ragione delle attività sin qui descritte, nonché in linea con le modifiche organizzative che eventualmente ne sono derivate, e ciò al fine di assicurare tanto il principio di trasparenza (verso i lavoratori) quanto il principio di accountability (verso le Autorità).

Da ultimo, si renderà opportuno e necessario procedere, con cadenza regolare, ad un’attività di revisione della configurazione degli strumenti adottati, delle regole di accesso ai dati acquisiti, della documentazione prodotta e – se del caso – della DPIA e della LIA, e ciò al fine di verificare il mantenimento nel tempo della valenza dei requisiti individuati per i controlli a distanza e dei presupposti che ne hanno giustificato lo svolgimento.


[1] Si tratta di principi affermati sia dalla sentenza della Corte europea dei diritti dell’uomo del 5 settembre 2017 all’esito del caso Barbulescu c. Romania, la quale ha fornito un’interpretazione estensiva del concetto di “vita privata” al punto da includervi anche la “vita professionale”, che – da ultimo – dalla pronuncia della Corte Suprema di Cassazione, Sezione Lavoro, del 12 novembre 2021 n. 34092. Tali pronunce risultano, rispettivamente, disponibili per la consultazione ai siti web di cui ai seguenti link: https://www.echr.coe.int/Pages/home.aspx?p=home; https://olympus.uniurb.it/index.php?option=com_content&view=article&id=27185:cassazione-civile,-sez-lav-,-12-novembre-2021,-n-34092-controlli-difensivi-del-datore-di-lavoro-sul-lavoratore-sono-leciti-se-c-%C3%A8-un-fondato-sospetto-di-grave-violazione&catid=16&Itemid=138

[2] Come noto l’art. 4 co. 1 della L. 300/1970 in tema prevede che: “Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi.”.

[3] Disponibile per la consultazione al seguenti link: https://www.wikilabour.it/segnalazioni/rapporto-di-lavoro/corte-di-cassazione-sentenza-22-settembre-2021-n-25731/

[4] Disponibile per la consultazione al seguente link: https://www.wikilabour.it/segnalazioni/rapporto-di-lavoro/corte-di-cassazione-sentenza-22-settembre-2021-n-25732/

[5] Per un approfondimento in merito ai criteri che devono informare l’esecuzione dei controlli, si rimanda ad alcuni provvedimenti, generali e speciali, del Garante per la protezione dei dati personali, quali le “Linee guida per posta elettronica e internet”, adottate con provvedimento n. 13 del 1° marzo 2007, e i provvedimenti del 1° febbraio 2018 (doc. web n. 8159221), del 21 luglio 2011 (doc. web n. 1829641), del 2 aprile 2009 (doc. web n. 1606053), del 1° aprile 2010 (doc. web n. 1717799), del 2 febbraio 2006 (doc. web n. 1229854), n. 139 del 7 aprile 2011 (doc. web n. 1812154), del 23 dicembre 2010 (doc. web n. 1786116).


Autore:

 

it_IT