ADAPT - Scuola di alta formazione sulle relazioni industriali e di lavoro Per iscriverti al Bollettino ADAPT clicca qui Per entrare nella Scuola di ADAPT e nel progetto Fabbrica dei talenti scrivi a: selezione@adapt.it
Con la sentenza del 18 settembre 2018, la Sezione Lavoro del Tribunale di Torino affronta, in 10 pagine, alcune delle questioni di maggiore rilievo nell’interpretazione dell’articolo 4 dello Statuto dei Lavoratori[1].
Nel caso di specie, il giudice è chiamato a decidere circa la legittimità di un licenziamento comminato ad un lavoratore, accusato, a seguito di controlli effettuati sul computer aziendale, di aver utilizzato il suo pc aziendale (uno strumento di lavoro dunque) per fini personali ed estranei all’oggetto della prestazione lavorativa. Per la precisione, si trattava della massiccia consultazione di siti web di borsa e finanza.
Nelle sue argomentazioni, il Tribunale di Torino ha seguito la logica espositiva dell’articolo 4 Statuto dei Lavoratori[2], interessando i vari aspetti della disciplina dei controlli a distanza.
Innanzitutto, si interroga se il pc aziendale, in quanto strumento di lavoro, costituisca anche uno strumento dal quale possa derivare la possibilità di controllo a distanza dell’attività dei lavoratori. La risposta è positiva. Il pc aziendale genericamente inteso, comprensivo dunque della memoria di massa e del software necessario alla navigazione (browser), costituisce uno strumento che, pur avendo una finalità lavorativa e non di controllo, può consentire il controllo a distanza dei lavoratori, ricadendo di conseguenza nell’ambito di applicazione dell’art. 4 Stat. Lav.
Dopo aver confermato l’esistenza di un generale divieto di controllo a distanza sull’attività dei lavoratori, il giudice di Torino interpreta l’eccezione all’applicazione del primo paragrafo posta dal comma 2 dell’articolo 4. In particolare, si chiede se tale ultima disposizione normativa attenga ad entrambi i precetti contenuti nel comma 1 – ovvero quello che subordina l’utilizzo di impianti e strumenti alla presenza di un accordo sindacale e quello che esige che gli strumenti dotati di potenzialità di controllo sull’attività dei lavoratori possano essere impiegati soltanto per il soddisfacimento delle esigenze tipizzate -. Svolgendo un’interpretazione che, per sua stessa ammissione, va oltre la lettera della legge e che giustifica in termini di lettura sistematica del dato normativo, il giudice interpreta la portata derogatoria del secondo comma come limitata al solo primo periodo, ossia alla procedura concertativo-autorizzatoria. Secondo il giudice infatti, diversamente opinando, verrebbe liberalizzato il controllo occulto e continuativo dei lavoratori, in violazione dei principi che governano la materia dei controlli a distanza.
In secondo luogo, diversamente dal computer, il proxy di navigazione, più che rappresentare uno strumento di lavoro, risponde a prevalenti esigenze di controllo, essendo stato impiegato dalla società datrice di lavoro per ottenere informazioni relative alla navigazione del web da parte dei dipendenti. Perciò, in quanto strumento di controllo diretto, ricade sotto l’ombrello del comma 1, art. 4 dello Statuto. In altri termini, il giudice arriva ad affermare che la funzionalizzazione allo svolgimento della prestazione lavorativa (elemento considerato per la riconducibilità alla nozione di strumento di lavoro) deve essere valutato con riferimento tanto alle componenti hardware quanto alle componenti software.
Infine, il giudice precisa che la soluzione della controversia, anche a prescindere dalle soluzioni interpretative sopra proposte, è in ogni caso connessa all’assolvimento dell’onere dell’informativa di cui all’articolo 4 comma 3 dello Statuto dei Lavoratori.
Secondo il giudice di merito, infatti, il datore di lavoro non avrebbe fornito un’adeguata informativa, in particolare con riferimento alle modalità di effettuazione dei controlli datoriali. Ciò si è pertanto rivelato preclusivo non solo dell’utilizzo delle informazioni raccolte attraverso gli strumenti di lavoro affidati al dipendente, ma anche di quelle raccolte attraverso l’impiego di strumenti tecnologici, come il proxy di navigazione, dai quali derivi la possibilità di controllo a distanza dell’attività lavorativa.
Interessante anche è l’argomento utilizzato per escludere la validità, a fini informativi, del Modello di Organizzazione e Gestione, adottato dal datore di lavoro ai sensi del d.lgs. n. 231/2001[3]. A detta del giudice, il MOG avrebbe come primo obiettivo quello di approntare un sistema di prevenzione, al fine di evitare il compimento dei reati specificamente previsti dal predetto decreto legislativo e di ingenerare nei dipendenti la consapevolezza di poter incorrere, in caso di comportamenti illeciti, in conseguenze sanzionatorie, estese poi all’impresa in cui operano. Il Modello, pertanto non avrebbe dunque alcuna finalità informativa, nel senso prescritto dall’art. 4, co. 3 dello Statuto dei Lavoratori.
Non solo. La circostanza che il MOG contenga delle prescrizioni relative all’uso corretto degli strumenti informatici, non modifica la natura di tale documento e la sua inidoneità a costituire un’informativa adeguata.
Per questi motivi, dal mancato rispetto della condizione di legittimità fissata dall’articolo 4, co. 3 dello Statuto, discende l’inutilizzabilità dei dati acquisiti in violazione della legge e l’illegittimità del licenziamento.
La sentenza, appena delineata nei suoi punti fondamentali, ci offre l’occasione per una riflessione sulla nozione di adeguata informazione.
Il punto di partenza è l’articolo 4, co. 3 dello Statuto. Esso precisa che il datore di lavoro potrà utilizzare le informazioni raccolte col controllo a distanza (comma 1) e con gli apparecchi di cui ha dotato i suoi dipendenti (comma 2), ma solo per i fini connessi al rapporto di lavoro, e purché i lavoratori siano informati adeguatamente sulle modalità d’uso di tali strumenti e sui modi con cui verrà esercitato il controllo. Ciò deve sempre avvenire nel rispetto delle discipline previste dal Regolamento (UE) 2016/679 sulla privacy (General Data Protection Regulation) e dal d.lgs. n. 196/2003 (il Codice Privacy) così come modificato dal d.lgs. n. 101/2018.
Ora, partendo dalla considerazione che l’informativa, in quanto tale, non richiede alcuna accettazione dei lavoratori che ne sono destinatari, le questioni che si pongono, affinché l’informativa possa considerarsi adeguata, riguardano il contenuto e le modalità con le quali essa deve essere portata a conoscenza del personale dipendente.
Per quanto riguarda l’adeguatezza del suo contenuto, esso deve riguardare le modalità d’uso degli strumenti e l’effettuazione dei controlli. Questi due elementi potrebbero essere letti come un’endiadi utilizzata dal legislatore per individuare il contenuto necessario dell’informativa. Il riferimento alle modalità d’uso degli strumenti ricomprendono anche le modalità con le quali il datore di lavoro effettuerà il controllo. Nella sostanza, non si tratta di redigere un manuale di istruzioni per l’impiego dello strumento, ma di identificare le modalità del suo utilizzo che comportano l’acquisizione dei dati relativi all’attività del lavoratore. Occorre spiegare, insomma, come l’uso dello strumento si raccorda con il contenuto che ne deriva[4].
L’informazione deve essere mirata e non generalizzata. Tale informazione dovrà riguardare gli strumenti utilizzati dal lavoratore. Un’informativa rivolta invece alla generalità dei dipendenti e che riguardi complessivamente gli strumenti impiegati nell’azienda potrebbe risultare non coerente con la finalità perseguita dal legislatore, ossia quella di consentire la puntuale conoscenza da parte del lavoratore dei controlli al quale è assoggettato.
Per quanto riguarda invece le modalità con le quali l’informativa deve essere portata a conoscenza dei lavoratori, occorre verificare se il contenuto dell’informazione è generalizzabile per tutto il personale dipendente. I lavoratori, destinatari della comunicazione, dovranno essere infatti individuati in base all’impiego degli strumenti di cui essi si avvalgono.
La questione appena esaminata si colloca nel solco tracciato dalla giurisprudenza della Corte Europea dei Diritti dell’Uomo, della quale non possiamo non tener conto. In particolare, forti sono le analogie con un recente caso sottoposto all’attenzione dei giudici di Strasburgo: la causa Bărbulescu c. Romania[5].
In tale controversia, originata dal ricorso presentato da un ingegnere di una società privata rumena, il quale contestava il licenziamento comminato per aver utilizzato l’account di posta aziendale a fini personali durante l’orario di lavoro, nonostante un divieto espresso di uso dei computer aziendali per scopi personali, contenuto in un regolamento interno reso noto ai dipendenti, la Grande Camera della Corte di Strasburgo ha individuato espressamente i criteri che devono guidare i giudici nazionali nel valutare se una determinata misura sia proporzionata all’obiettivo perseguito e se il dipendente interessato sia tutelato contro interferenze arbitrarie nella sua sfera personale.
A tale riguardo, i giudici devono valutare se al dipendente è stata comunicata la possibilità che il datore di lavoro possa monitorare la sua attività e come vengono attuate tali misure; quale sia l’estensione del controllo da parte del datore di lavoro e il grado di intrusione nella privacy del dipendente; se il datore di lavoro abbia fornito motivazioni legittime per giustificare il monitoraggio; se sia possibile istituire un sistema di monitoraggio basato su metodi e misure meno intrusivi; quali siano le conseguenze del monitoraggio per il lavoratore subordinato e quale l’uso da parte del datore di lavoro dei risultati dell’operazione di monitoraggio; se siano state predisposte adeguate misure di salvaguardia in favore del lavoratore[6].
Visto l’orientamento, tuttavia non del tutto unanime[7], dei giudici di Strasburgo, la sentenza del Tribunale di Torino non sembra aver tenuto pienamente conto, dal punto di vista argomentativo, dei criteri posti dalla Corte EDU. La motivazione fornita dal giudice di merito, infatti, è alquanto sbrigativa e si concentra esclusivamente sulle finalità del MOG, diverse ovviamente da quelle di un’informativa puntuale. Non si preoccupa di indagare la formulazione delle prescrizioni relative all’uso corretto degli strumenti informatici, che pur ci sono, affermando che tali prescrizioni comunque non modificano “la natura di tale documento e la sua inidoneità a costituire un’informativa adeguata”. In altre parole, il Tribunale di Torino si è concentrato esclusivamente sulla forma dello strumento adottato e sulle sue finalità principali, piuttosto che analizzare il contenuto delle prescrizioni in merito ai controlli datoriali in esso contenute.
In conclusione, la questione concernente l’obbligo di fornire un’adeguata informazione ai sensi dell’art. 4, co. 3 Statuto dei Lavoratori, a maggior ragione alla luce della giurisprudenza CEDU, è destinata a diventare un aspetto fondamentale nella nuova giurisprudenza sui controlli datoriali, pur essendo tale aspetto già stato richiamato in passato dal Garante italiano per la protezione dei dati personali[8]. Essa costituisce il presupposto per l’utilizzo di tutte le informazioni entrate nella disponibilità del datore di lavoro a seguito dell’esercizio del potere di controllo, nei limiti fissati dall’art. 4, commi 1 e 2, dello Statuto. La carenza dell’adesione a tale schema operativo conduce non solo a rischiare in termini di sanzioni derivanti dall’esecuzione di trattamenti illegittimi dei dati personali, ma anche alla impossibilità di fare valere le proprie ragioni nei confronti di lavoratori inadempienti in sede giudiziaria.
Michele Cibin
Scuola di dottorato in Formazione della persona e mercato del lavoro
Università degli Studi di Bergamo
[1] Si tratta della sentenza della sezione lavoro del Tribunale ordinario di Torino del 18 settembre 2018, n. 1664, Ruolo Generale n. 768/2018.
[2] In ossequio al principio tempus regit actum, essendo i fatti di causa riferiti al periodo dicembre 2015- aprile 2016, il giudice fonda le proprie argomentazioni sul menzionato articolo così come modificato dal d.lgs. 151/20151 e quindi nella formulazione precedente alle modifiche apportate dal d.lgs. 185/2016. dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”.
[3] Il d.lgs. n. 231/2001 reca la disciplina della responsabilità amministrativa delle persone giuridiche.
[4] Per ulteriori approfondimenti si veda Maresca, Controlli tecnologici e tutele del lavoratore nel nuovo art. 4 dello Statuto dei Lavoratori, in Rivista Italiana di Diritto del Lavoro, fasc. 4, 2016, p. 512 e ss.
[5] European Court of Human Rights (Grand Chamber), case of Bărbulescu v. Romania, Application no., 61496/08, 5 September 2017.
[6] Sul punto si veda la sentenza: European Court of Human Rights (Grand Chamber), case of Bărbulescu v. Romania, Application no., 61496/08, 5 September 2017, paragrafi 108 -120.
[7] Si veda sul punto la sentenza: European Court of Human Rights (Fifth Section), case of Libert v. France, Application no. 588/13, 22 febbraio 2018.
[8] Tra i vari provvedimenti che si pongono in linea con la giurisprudenza dei giudici di Strasburgo, aventi ad oggetto il trattamento dei dati connessi al rapporto di lavoro ed il cui contenuto può incidere sulla materia dei controlli a distanza, si possono segnalare i seguenti: Lavoro: le linee guida del Garante per posta elettronica e internet”, G.U. n. 58 del 10 marzo 2007; Accesso alla posta elettronica dei dipendenti – 22 dicembre 2016, Registro dei provvedimenti n. 547 del 22 dicembre 2016 [doc. web n. 5958296]; Trattamento dei dati personali effettuato sugli account di posta elettronica aziendale – 1 febbraio 2018, Registro dei provvedimenti n. 53 del 1 febbraio 2018.