Leggi tutto l`articolo
Transcript
Leggi tutto l`articolo
Sinergie Grafiche srl Massimo Mutti - Copyright Wolters Kluwer Italia s.r.l. Jobs Act Pc, internet, mail e Gps Privacy del lavoratore e controlli tecnologici Enrico Barraco - Barraco Studio legale lavoro Divieto di controlli a distanza e suoi temperamenti “esclusivamente” circoscrive, infatti, la legittimità dell’installazione di impianti audiovisivi e di qualsiasi altro strumento atto a monitorare l’attività dei dipendenti alle sole finalità elencate dalla norma, le medesime già contemplate prima della novella, a cui si aggiunge quella di tutela del patrimonio aziendale. Appare quindi corretto ritenere tuttora vietato il ricorso a strumenti di sorveglianza (anche tecnologici), al solo scopo di controllare l’attività lavorativa (1). Il legislatore del 1970 aveva disciplinato la materia dei controlli datoriali a distanza con la legge 20 maggio 1970, n. 300 (Statuto dei lavoratori), il cui art. 4, originario primo comma, vietava in via di principio l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori. Tale generale divieto conosceva tuttavia la deroga di cui al comma secondo ove, nella previgente formulazione, si ammetteva un controllo c.d. “preterintenzionale”, occasionale, sull’attività dei dipendenti, in presenza di “esigenze organizzative e produttive” o per ragioni di “sicurezza del lavoro”. Da ciò discendeva la legittima installazione di strumenti di vigilanza che solo incidentalmente consentissero un controllo sull’operato dei lavoratori, con esclusione di qualsivoglia forma di controlli continui, tali da privare il lavoratore di spazi e tempi al di fuori dell’altrui supervisione, e pur sempre nel rispetto della procedura preventiva di accordo con le Rappresentanze sindacali o, in difetto, previa autorizzazione del Servizio ispettivo dell’Ispettorato del lavoro. La riforma operata dall’art. 23, D.Lgs. n. 151/2015, uno dei tanti tasselli che compongono il mosaico del Jobs Act, ha un impatto formalmente forte sul testo dell’art. 4, comma 1, in quanto elimina il radicale divieto collocato nell’originario incipit della norma. Nondimeno si può sin d’ora affermare che l’intervento del legislatore non ha comportato affatto l’ammissibilità di un controllo a distanza sui lavoratori privo di limiti. L’uso dell’avverbio Peraltro l’installazione e l’uso di tali strumenti di controllo continua ad essere condizionata alla preventiva stipulazione di accordi collettivi con la Rsu o le Rsa o, nel caso di imprese radicate nel territorio di più Province o Regioni, con “le associazioni sindacali comparativamente più rappresentative a livello nazionale”. Tale ultima precisazione costituisce il novum della riforma, che in tal modo supera il rigoroso orientamento del Ministero del lavoro (2), fonte di aggravio degli oneri datoriali, secondo il quale il coinvolgimento delle rappresentanze sindacali più vicine mediante la conduzione di separate negoziazioni in ogni unità produttiva, sarebbe stato imposto dalla natura dei diritti personali del lavoratore, quale quello alla riservatezza. Inoltre, dall’attribuzione di natura collettiva all’accordo discende la legittimazione alla sua stipulazione non solo in capo al datore, ma altresì della associazione sindacale alla quale risulti iscritto o conferisca mandato. In mancanza di accordo, il datore può rivolgersi alla Direzione territoriale del lavoro competente (1) In materia sia consentito rinviare a E. Barraco, A. Sitzia, Potere di controllo e privacy, Milano, 2016; Cfr. M. T. Salimbeni, La riforma dell’articolo 4 dello Statuto dei lavoratori, in Riv. It. dir. lav., 2015, IV, 601; A. Sitzia, I controlli a distanza dopo il “Jobs Act” e la Raccomandazione R(2015)5 del Consiglio d’Europa, in Lav. giur., 2015, 7, 671 ss.; Dagnino E., Tecnologie e controlli a distanza, in Dir. rel. ind., 2015, 4, 988 ss.; L. A. Cosattini, Le modifiche all’art. 4 St. lav. sui controlli a distanza, tanto rumore per nulla?, in Lav. Giur., 2015, 11, 985 ss. (2) Risposta ad interpello 5 dicembre 2005, prot. n. 2975. Diritto & Pratica del Lavoro 40/2016 Procedura di codeterminazione sindacale 2345 Sinergie Grafiche srl Massimo Mutti - Copyright Wolters Kluwer Italia s.r.l. Jobs Act per territorio o al Ministero del lavoro, in presenza di plurime unità produttive dislocate in territori di competenza di più direzioni, affinché accertino la necessità dell’installazione degli impianti. Da notare il venir meno del potere delle richiamate istituzioni di determinare le modalità d’uso delle apparecchiature (3). La violazione di tali precetti integra il reato di cui all’art. 38, Stat. lav. (4), tanto nel caso in cui l’impianto o l’apparecchiatura siano stati utilizzati o, per la giurisprudenza, anche solo installati senza il previo accordo sindacale o l’autorizzazione amministrativa, quanto nell’ipotesi in cui il controllo non risulti finalizzato alle esigenze elencate dal primo comma. Priva di rilevanza penale è invece l’inosservanza delle disposizioni di cui al comma 3, in punto di regole di utilizzabilità dei dati raccolti. Strumenti di controllo Rilevante modifica ha riguardato il comma secondo dell’art. 4, Stat. lav. Nella nuova versione la norma prevede infatti che “la disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze”. Da ciò deriva non solo che i controlli, resi possibili dalla strumentazione in esame, non sono soggetti agli oneri procedimentali appena esaminati, ma anche e principalmente che tramite tali mezzi si può effettuare un controllo a prescindere dalle finalità produttive, organizzative o legate alla sicurezza e alla difesa dei beni aziendali. Come si vedrà, la nuova disposizione ha un importante impatto soprattutto sull’utilizzo ai fini di controllo dei dispositivi elettronici, quali computer e tablet, dati in dotazione al lavoratore. Utilizzabilità delle informazioni raccolte Al terzo comma, il legislatore della riforma ha apposto dei limiti all’utilizzabilità dei dati ottenuti mediante i controlli condotti con le modalità di cui ai precedenti due commi, imponendo ulteriori oneri in capo al datore di lavoro. Il dogma del Jobs Act: controlli sì, ma solo se trasparenti Art. 4, comma 3: Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal Decreto legislativo 30 giugno 2003, n. 196. Il datore potrà quindi utilizzare ad ogni fine connesso al rapporto di lavoro (i.e. disciplinare, risarcitorio e retributivo) le informazioni raccolte, a condizione da un lato che l’effettuazione dei controlli sia condotta nel rispetto del Codice della privacy, dall’altro che sia stata data adeguata informazione sulle modalità d’uso degli strumenti e sui controlli (5). L’omessa o insufficiente osservanza di tali accorgimenti, quindi, impedisce l’uso delle informa- zioni acquisite, con conseguente impossibilità per il datore di porle a fondamento di provvedimenti disciplinari ovvero delle proprie ragioni in eventuali controversie con il lavoratore (6). L’accento posto sul dovere di informazione individuale del dipendente accresce, dunque, l’importanza del ricorso a policies aziendali adeguate, sulla scia delle indicazioni del Garante della Privacy in materia di monitoraggio degli accessi ad internet (7), che istruiscano in maniera com- (3) Il previgente comma 2, art. 4, Stat. lav. prevedeva infatti che “(…) In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti”. (4) Peculiare la vicenda normativa dell’incriminazione in oggetto. Originariamente prevista dallo stesso art. 38, Stat. lav, è stata poi “trasferita” dal legislatore all’art. 171, D.Lgs. 30 giugno 2003, n. 196, contenente un richiamo all’art. 114, stesso Decreto, che a sua volta opera un rinvio all’art. 4, Stat. lav., mantenendone ferme le disposizioni. Infine, il citato art. 23, D.Lgs. n. 151/2015 - nel riformare la materia - ha reintrodotto un’esplicita incriminazione delle violazioni delle regole sui controlli a distanza di cui ai commi 1 e 2, art. 4, Stat. lav. (5) E. Barraco-A. Sitzia, Potere di controllo e privacy. Lavoro, riservatezza e nuove tecnologie, cit., 13. (6) Cass. pen. 2 ottobre 1996, in Dir. prat. lav., 1996, 3249; v. anche Trib. Milano, 7 luglio 1977, in Orient. giur. lav., 1977, 716; Trib. Roma, 10 luglio 1974, in Foro it., 1975, II, 26, che hanno chiarito anche che la violazione sussiste per il solo fatto dell’installazione di un impianto obbiettivamente idoneo a realizzare una forma di controllo a distanza del lavoratore e che non è dunque necessario indagare sull’elemento intenzionale della condotta. Inoltre Bottini A. (a cura di), Controlli a distanza. A braccetto privacy e diritto del lavoro”, in Il Sole - 24 Ore, Norme e Tributi, 24 agosto 2016, n. 212. (7) Il riferimento è alla Deliberazione del 1° marzo 2007, n. 13 “Lavoro: le Linee guida del Garante per l’utilizzo della posta elettronica e di internet”, su cui si veda infra. 2346 Diritto & Pratica del Lavoro 40/2016 Sinergie Grafiche srl Massimo Mutti - Copyright Wolters Kluwer Italia s.r.l. Jobs Act prensibile il lavoratore sulle regole d’uso ed i tipi di controlli effettuabili mediante tutti gli strumenti aziendali. La norma richiede al datore soltanto un’informazione “data al lavoratore”, configurando così un atto unilaterale, che non abbisogna del consenso del dipendente. In assenza di precise indicazioni legislative, deve ritenersi comunque che esigenze di certezza e difendibilità impongano la forma scritta e un’opportuna documentazione, da esibire e produrre in caso di accesso ispettivo o di contenzioso con i lavoratori. In via prudenziale appare consigliabile anche l’affissione dell’informativa ai fini e per gli effetti di cui all’art. 7, Stat. lav. (8). In materia di controlli a distanza sull’attività del lavoratore è pertanto evidente il mutamento di prospettiva della riforma: ad una dimensione collettiva di tutela della riservatezza del lavoratore, fondata sull’intervento dei sindacati, è stata affiancata una forma di protezione individuale, coerente con la natura personalissima del diritto alla privacy, realizzata mediante la previa informazione del singolo lavoratore. Del resto l’informazione assume da sempre un ruolo chiave nella disciplina del Codice della privacy: la legittimità dell’utilizzo dei dati personali transita proprio attraverso la correttezza e la completezza dell’informazione fornita all’interessato circa le modalità di acquisizione ed utilizzo degli stessi, come si evince dalla lettura degli artt. 11 e 13, D.Lgs. 30 giugno 2003, n. 196. Mediante l’espresso richiamo dell’art. 4, comma 3, Stat. lav., la disciplina sulla privacy, il cui rispetto è condizione di utilizzabilità dei dati rac- colti con le modalità indicate dai commi 1 e 2, si intreccia al diritto del lavoro. Del resto, tale connubio, sebbene raramente valorizzato in giurisprudenza (9), era già contemplato dalla normativa internazionale e sovranazionale proprio in relazione ai controlli eseguiti mediante i nuovi mezzi informatici e telematici. In particolare si fa riferimento alla “Raccomandazione del Consiglio d’Europa sul trattamento dei dati personali sul posto di lavoro” del 1° aprile 2015, sostitutiva della precedente Raccomandazione settoriale del 1989, superata dalle grandi innovazioni tecnologiche intervenute nel corso degli ultimi anni. Prima ancora era intervenuto il Regolamento di lavoro riguardante la vigilanza sulle comunicazioni elettroniche sul posto di lavoro, pubblicato dal Gruppo di lavoro sulla protezione dei dati personali, istituito ai sensi dell’art. 29, Direttiva 95/46/Cee, con cui sono dettati i principi indispensabili alla base della legittimità del controllo tecnologico. Infine, come valorizzato dallo stesso Garante per la protezione dei dati personali in materia di controlli tecnologici (10), anche nell’ordinamento interno il collegamento tra la disciplina dei controlli datoriali a distanza e quella sulla privacy era effettuato dall’art. 114, Codice privacy, che ribadiva (e tuttora ribadisce) la piena vigenza dell’art. 4, Stat. lav. nell’ambito dei rapporti di lavoro, fatti salve le disposizioni del codice. Pertanto, a contrario, anche prima della riforma, il datore di lavoro, nell’esercizio del potere di controllo, era vincolato ai principi di necessità, correttezza, pertinenza e non eccedenza propri del Codice della privacy. Intreccio tra tutela lavoristica e privacy I trattamenti dei dati personali devono avvenire nell’osservanza dei principi del Codice ed in particolare: a) il principio di necessità: gli strumenti informatici devono essere configurati riducendo al minimo l’utilizzazione di dati personali in relazione alle finalità perseguite; b) il principio di correttezza: le caratteristiche essenziali dei trattamenti - considerando oltretutto l’invasività e il carattere a volte occulto dei controlli tecnologici - devono essere rese note ai lavoratori; c) il principio di pertinenza e non eccedenza: si tratta di un canone di valutazione che, malgrado l’apparente (e in buona parte effettiva) fumosità, appare di centrale importanza, stante la massiccia utilizzazione che ne fa il Garante nei propri provvedimenti e risposte ad interpello; il datore di lavoro deve trattare i dati nella misura meno invasiva possibile. (8) E. Barraco-A. Sitzia, Potere di controllo e privacy. Lavoro, riservatezza e nuove tecnologie, cit., 15. (9) Pone l’accento sulla rilevanza della disciplina del D.Lgs. n. 196/2003 in materia di controlli datoriali Corte di Appello di Diritto & Pratica del Lavoro 40/2016 Milano, 30 settembre 2005, in Not. giur. lav., 2006, 100. (10) Deliberazione 1° marzo 2007, n. 13 “Lavoro: le Linee guida del Garante per l’utilizzo della posta elettronica e di internet”, in Dir. prat. lav., 2007, n. 23, Inserto. 2347 Sinergie Grafiche srl Massimo Mutti - Copyright Wolters Kluwer Italia s.r.l. Jobs Act Pc, tablet ed internet Il dato che emerge chiaramente dalla disamina degli interventi normativi e del Garante per la privacy, antecedenti alla riforma dell’art. 4, Stat. lav., è la rilevanza del ricorso a strumenti di controllo tecnologici in ambito lavorativo. L’uso di devices elettronici, quali computer, tablet, smartphone e della connessione ad internet è divenuto infatti imprescindibile per l’espletamento di un elevato numero di prestazioni lavorative, consentendone una maggior rapidità ed efficienza. Tuttavia, un utilizzo distorto o un abuso di tali mezzi da parte del lavoratore può essere da un lato fonte di rischi e costi per l’azienda (si pensi, ad esempio, ai casi in cui attraverso il proprio personal computer sia effettuato un accesso in rete a siti a pagamento o si contraggano virus tali da infettare l’intera rete informatica aziendale o, peggio ancora, siano commessi reati); dall’altro può costituire occasione di distrazione e scarso rendimento nello svolgimento dell’attività lavorativa. Al contempo, la memorizzazione - consentita dai suddetti dispositivi - dei dati salvati, delle operazioni compiute e degli accessi in rete permette al datore di rilevare l’utilizzo non “fisiologico” degli strumenti di lavoro in questione e reperire dati inerenti eventuali responsabilità per i danni cagionati all’azienda o relativi ai tempi, quantità e contenuti dell’attività lavorativa. Al rovescio della medaglia, il controllo delle attività svolte attraverso i dispositivi tecnologici si presta a utilizzi invasivi della sfera di riservatezza del prestatore di lavoro, sconfinanti nel trattamento di dati sensibili inerenti la salute o gli orientamenti politici, sindacali, religiosi, sessuali. Particolarmente pericoloso, sotto questo profilo, appare l’utilizzo di Internet da parte dei dipendenti in quanto può formare oggetto di analisi, profilazione e integrale ricostruzione mediante elaborazione di log file della navigazione web ottenuti, ad esempio, da un proxy server o da un altro strumento di registrazione delle informazioni (11). In assenza della disciplina di cui ai commi 2 e 3, art. 4, Stat. lav. che, riferendosi genericamente (11) E. Barraco-A. Sitzia, Potere di controllo e privacy. Lavoro, riservatezza e nuove tecnologie, cit., 20. (12) Il riferimento è ancora una volta alla Deliberazione 1° 2348 agli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, ricomprende pacificamente anche i dispositivi di natura tecnologica, i punti di riferimento in quanto a legittimità dei controlli ed utilizzabilità dei dati erano rappresentati dalle Linee guida del Garante della privacy (12) e dai principi elaborati in materia dalla giurisprudenza. Navigazione in internet Accanto al generale dovere del datore di dotarsi di policies aziendali sulle quali informare compiutamente i lavoratori (art. 13, Codice privacy), rendendo così note le tipologie e modalità dei controlli eseguibili, il Garante vieta in particolare l’utilizzo dei dati personali ottenuti mediante le strumentazioni hardware e software mirate al controllo dell’utente di un sistema di comunicazione elettronica, svolto mediante: 1) la riproduzione e l’eventuale memorizzazione sistematica delle pagine web visualizzate dal dipendente; 2) la lettura e la registrazione dei caratteri inseriti tramite tastiera o analogo dispositivo (la rilevanza di tale divieto si può apprezzare, ai fini del presente paragrafo, considerando che dal monitoraggio della digitazione effettuata dal dipendente si può comunque risalire ai siti frequentati); 3) l’analisi occulta di computer portatili affidati in uso (anche a tal proposito è agevole osservare come sia sufficiente azionare il comando “cronologia” per avere un panorama completo delle navigazioni effettuate tramite un determinato personal computer). Prescrive inoltre talune misure per una regolamentazione del controllo sulla navigazione web compatibili con un’acquisizione e trattamento legittimo dei dati personali del lavoratore. Sul punto, le Linee guida richiedono la previa individuazione di siti considerati correlati o meno con la prestazione cui è tenuto il lavoratore; la configurazione di sistemi di filtri atti a prevenire operazioni reputate inconferenti con l’attività lavorativa; il trattamento di dati in forma anonima o su base collettiva, per gruppi sufficientemente ampi di lavoratori; la conservazione dei dati per un marzo 2007, n. 13 “Lavoro: le Linee guida del Garante per l’utilizzo della posta elettronica e di internet”, cit. Diritto & Pratica del Lavoro 40/2016 Sinergie Grafiche srl Massimo Mutti - Copyright Wolters Kluwer Italia s.r.l. Jobs Act tempo strettamente necessario al perseguimento di finalità organizzative, produttive e di sicurezza. La presenza di queste ultime esigenze, in ossequio al previgente art. 4, comma 2, Stat. lav., consente - secondo il Garante - l’espletamento di controlli a distanza esclusivamente previa conduzione della procedura codeterminativa. Alla luce della nuova disciplina, tuttavia, se gli strumenti di natura tecnologica sono funzionali allo svolgimento dell’attività lavorativa, deve escludersi tanto l’onere procedurale, quanto la necessaria preterintenzionalità del controllo, operando soltanto i vincoli di cui al terzo comma (preventiva informazione e rispetto delle norme del Codice della privacy) ai fini dell’utilizzabilità delle informazioni ottenute. Esempio emblematico è il Gps: strumento di lavoro o strumento di controllo? Dipende dalle mansioni del lavoratore (…). Il segnale Gps: metafora dei controlli tecnologici Direzione Interregionale del lavoro di Milano, parere 10 maggio 2016: “se un lavoratore del settore dell’autotrasporto guida il veicolo aziendale dotato di rilevatore Gps per esigenze assicurative e/o per esigenze produttive e/o di sicurezza e il Gps traccia gli spostamenti del veicolo e, quindi, indirettamente segue gli spostamenti del lavoratore, si può ritenere che lo strumento accessorio impiantato sul veicolo rientri nella previsione del nuovo art. 4, comma 2, legge n. 300/1970? La risposta è sicuramente positiva: l’automezzo ed il Gps servono entrambi inscindibilmente ed unitariamente al lavoratore per rendere la sua prestazione lavorativa, quindi sono strumento di lavoro nella loro unicità”. Teoria dei controlli difensivi In assenza di disposizioni espressamente riguardanti gli strumenti utilizzati ai fini dell’esecuzione della prestazione, oggi invece contenute negli attuali commi 2 e 3, art. 4, Stat. lav., in giurisprudenza erano emersi due orientamenti contrastanti. Il primo, più liberale e allo stesso tempo minoritario, con particolare riferimento alla navigazione in internet, affermava l’inapplicabilità dell’art. 4, Stat. lav. all’ipotesi di controlli perpetrati mediante strumenti tecnologici, laddove questi consentissero l’emersione di un rilevante inadempimento degli obblighi di diligenza, integrante una giusta causa di licenziamento. Pertanto veniva ritenuta legittima l’acquisizione e l’allegazione in giudizio dei dati registrati dal provider, l’impresa informatica che fornisce l’accesso ad internet, in assenza di qualsivoglia procedura codeterminativa o informazione del lavoratore, anche ai fini della contestazione dell’esattezza dell’esecuzione della prestazione (13). A tale impostazione si contrapponeva l’orientamento più restrittivo e dominante che escludeva l’applicazione dell’art. 4, Stat. lav. in relazione all’utilizzo di dati reperiti mediante strumenti elettronici, in particolare attraverso il monitoraggio della navigazione in internet, solo in occasione di controlli c.d. “difensivi”, ovvero eseguiti a poste- riori, per l’esclusivo accertamento di condotte illecite lesive di beni aziendali estranei al rapporto con il lavoratore (esempio: rete informatica aziendale infettata da virus), accertamento effettuato su dati occasionalmente acquisiti, ovvero mediante strumenti che non consentissero un controllo costante e mirato dell’esecuzione della prestazione lavorativa, bensì fossero preterintenzionalmente idonei alla memorizzazione di dati. Pertanto, anche in occasione di controlli difensivi, se diretti all’accertamento e alla denuncia di comportamenti inadempienti delle obbligazioni contrattuali e non meramente lesivi dei beni estranei al rapporto di lavoro, si imponeva, secondo tale ricostruzione, l’osservanza delle prescrizioni di cui all’art. 4, Stat. lav. Emblematiche le pronunce di merito e legittimità nella vicenda relativa all’utilizzo del programma di controllo informatico centralizzato “SuperScout”, che consente di acquisire automaticamente tutte le navigazioni in internet effettuate dal lavoratore. I giudici esclusero la legittimità dell’utilizzo dei dati ottenuti con lo strumento di controllo in questione, in quanto pervasivo e costante, quindi contrario alle istanze di libertà e dignità dei lavoratori, laddove non fossero rispettate le condizioni procedurali e non sussistessero esigenze di produzione, organizzazione e sicurezza richieste dal previgente art. 4, Stat. lav. (14). (13) Trib. Milano, 8 giugno 2001, in D&L Riv. crit. dir. lav., 2001, 1067, con nota di G. Bulgarini d’Elci, Licenziamento per abuso di collegamento ad internet e tutela del lavoratore dai controlli a distanza. (14) Trib. Milano 31 marzo 2004, in Orient. giur. lav., 2004, 108, con nota di L. Cairo, Internet e posta elettronica in azienda: Diritto & Pratica del Lavoro 40/2016 2349 Sinergie Grafiche srl Massimo Mutti - Copyright Wolters Kluwer Italia s.r.l. Jobs Act In particolare, questo il principio di diritto dettato nella suddetta vicenda dalla Suprema Corte: “In tema di controllo del lavoratore, le garanzie procedurali imposte dall’art. 4, comma 2, legge n. 300/1970 (espressamente richiamato anche dall’art. 114, D.Lgs. n. 196/2003 e non modificato dall’art. 4, legge n. 547/1993, che ha introdotto il reato di cui all’art. 615-ter c.p.) per l’installazione di impianti ed apparecchiature di controllo richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, trovano applicazione anche ai controlli c.d. difensivi, ovverosia a quei controlli diretti ad accertare comportamenti illeciti dei lavoratori, quando tali comportamenti riguardino l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro e non la tutela dei beni estranei al rapporto stesso, dovendo escludersi che l’insopprimibile esigenza di evitare condotte illecite da parte dei dipendenti possa assumere portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore”. Riflessioni conclusive All’indomani del D.Lgs. 14 settembre 2015, n. 151, la teoria dei controlli difensivi deve ritenersi tendenzialmente superata (15). Ove infatti pc, tablet o smartphone, dotati di connessione internet, siano strumenti essenziali all’esecuzione della prestazione lavorativa, lecito è l’utilizzo dei dati ottenuti attraverso gli stessi, a prescindere dalla finalità del controllo e dalla attuazione della procedura codeterminativa, sempreché siano rispettate le norme del Codice della privacy, e sia stata data adeguata informazione al lavoratore sulle tipologie e le modalità di controllo, conformemente al dettato del comma 3, art. 4, Stat. lav., con conseguente necessità di implementare in tal senso le policies aziendali (16). Per contro, qualora il dispositivo di controllo non costituisca al contempo uno strumento di lavoro e tuttavia ricorrano finalità di tutela del patrimonio aziendale, fondanti il c.d. controllo difensivo nelle ricostruzioni giurisprudenziali, deve ritenersi oggi necessario l’adempimento degli oneri procedurali di cui al comma 1, art. 4, Stat. lav., in forza dell’espresso richiamo a tale esigenza quale condizione alla derogabilità del divieto dei controlli a distanza. Un dubbio permane in ordine all’estensione del concetto di strumento utilizzato “per rendere la prestazione lavorativa”. Se pc, tablet e connessione ad internet possono senz’altro essere attribuiti in dotazione al lavoratore a tale scopo, non tutte le funzioni che essi svolgono si rivelano indispensabili allo svolgimento delle mansioni. In particolare, ove un’applicazione o un software installati nei dispositivi di lavoro abbiano in realtà funzione di mero controllo dell’attività del dipendente (si veda ad esempio il citato programma “Super Scout”), il monitoraggio perpetrato sfruttando tali funzioni dovrebbe ricadere nelle maglie dell’art. 4, comma 1, Stat. lav., non potendo le stesse essere qualificate quali strumenti funzionali all’esecuzione della prestazione lavorativa. In tal senso sembra orientarsi anche il Ministero del lavoro che, in un comunicato stampa del 18 giugno 2015, ravvisa come lo strumento che funge da mezzo per lo svolgimento delle mansioni cessa di essere tale nel momento in cui viene modificato per controllare il lavoratore, ad esempio mediante l’aggiunta di programmi di geolocalizzazione o di filtraggio (17). Con Provvedimento del 13 luglio 2016, anche il Garante per la privacy, richiamandosi al suddetto comunicato, è intervenuto in materia di controlli tecnologi indicando, a titolo meramente esemplificativo, quali strumenti elettronici possono costituire strumenti di lavoro ricompresi nel comma 2 dell’art. 4, Stat. lav. Si riporta il passaggio “(…) Possono essere considerati ‘strumenti di lavoro’ alla stregua della normativa sopra citata il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale) e gli altri servizi della rete aziendale, fra cui anche il collegamento a siti internet. Costituiscono parte integrante di questi strumenti anche i sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il il potere di controllo del datore di lavoro; Corte di Appello di Milano, 30 settembre 2005, in Not. giur. lav., 2006, 100; Cass., sez. lav., 23 febbraio 2010, n. 4375, in Lav. giur., 2011, 991, con nota di E. Barraco - A. Sitzia; in materia di controlli difensivi, tra le più recenti, cfr. anche Trib. Milano, 28 aprile 2009, in Dir. rel. ind., 2010, 1, 187 ss., con nota di P. Monda, L’impiego dei controlli difensivi e la protezione della sfera personale del dipendente. In materia si veda anche Provvedimento Garante per la protezione dei dati personali 2 febbraio 2006, in Guida lav., 2006, n. 9, 31 con nota di Pietrosanti. (15) Sul superamento dei controlli difensivi vedi anche la recentissima Cass. 19 settembre 2016, n. 18302. (16) E. Barraco-A. Sitzia, Potere di controllo e privacy. Lavoro, riservatezza e nuove tecnologie, cit., 35. (17) Ministero del lavoro, Comunicato stampa del 18 giugno 2015, in www.lavoro.gov.it. 2350 Diritto & Pratica del Lavoro 40/2016 Sinergie Grafiche srl Massimo Mutti - Copyright Wolters Kluwer Italia s.r.l. Jobs Act corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta ‘envelope’ del messaggio, per una breve durata non superiore comunque ai sette giorni; sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso)”. Pertanto deve concludersi che non esiste una qualificazione valida a priori, in via generale ed astratta, di uno strumento come apparecchiatura di controllo piuttosto che strumento per rendere la prestazione lavorativa. La classificazione in tal senso, anche per le attrezzature tecnologiche, deve viceversa essere condotta con approccio casistico a seconda della tipologia merceologica aziendale e delle caratteristiche delle mansioni svolte (18). (18) E. Barraco-A. Sitzia, Potere di controllo e privacy. Lavoro, riservatezza e nuove tecnologie, cit., 8. Diritto & Pratica del Lavoro 40/2016 2351