Qual è il giusto compromesso tra la tutela aziendale e la privacy dei dipendenti?
La necessità di tutelare gli interessi aziendali, perseguita attraverso i controlli difensivi effettuati dal datore di lavoro sui dati personali presenti all’interno degli strumenti digitali messi a disposizione del lavoratore, potrebbe confliggere con l’esigenza di tutelare il diritto di riservatezza di quest’ultimo, rendendo delicato e rischioso il bilanciamento tra i due valori. In tal senso, infatti, l’art. 88 del GDPR autorizza gli Stati a prevedere, tramite accordi collettivi o disposizione legislative, regole particolari dirette ad assicurare la protezione dei diritti e delle libertà dei dipendenti durante i trattamenti dei dati personali nel contesto lavorativo, in modo tale che le attività di controllo sul lavoratore vengano effettuate in un contesto di trasparenza e adeguata tutela dei dati personali. Nonostante le richiamate finalità di riservatezza, ci sono situazioni in cui il datore di lavoro è legittimato ad effettuare controlli difensivi, anche in parziale deroga alla normativa privacy. Sul punto, sono paradigmatiche due recenti pronunce della Cassazione (la n. 25732 del 22 settembre 2021 e la n. 33809 del 12 novembre 2021), il cui contenuto verrà analizzato di seguito.
Diffusione di virus in azienda da parte di un dipendente: cosa fare?
Il caso trattato dalla Corte Suprema verteva sulla legittimità di un licenziamento per giusta causa intimato ad una lavoratrice dopo aver rinvenuto all’interno del computer aziendale da lei utilizzato un file dal quale si era diffuso un virus nella rete aziendale, rendendo inutilizzabili e illeggibili i file presenti nei vari dischi di rete. In occasione dell’intervento erano stati, inoltre, rilevati diversi accessi da parte della lavoratrice a siti visitati per ragioni private durante l’orario di lavoro. A seguito del licenziamento, la lavoratrice aveva adito il Garante per la protezione dei dati personali che aveva stabilito come l’accesso del datore di lavoro sul computer in uso dalla dipendente andasse considerato un trattamento non conforme alle norme in materia di protezione dei dati personali, disponendo l’obbligo di astenersi dall’effettuare un ulteriore trattamento dei dati acquisiti, fatta eccezione per la mera conservazione degli stessi per un eventuale acquisizione giudiziaria.
Con la sentenza del 22 settembre 2021, la Corte di Cassazione ha concluso il ragionamento del Garante stabilendo un’importante distinzione tra:
- Controlli difensivi in senso lato, che riguardano tutti i dipendenti durante lo svolgimento della prestazione lavorativa e che rientrano nell’ambito applicativo dell’art. 4 dello Statuto dei lavoratori. L’articolo, in sintesi, prevede che l’utilizzo di dispositivi per effettuare un controllo a distanza sull’attività dei lavoratori è consentito soltanto per esigenze organizzative e produttive, per la sicurezza del lavoro e la tutela del patrimonio aziendale, a condizione che al lavoratore siano fornite adeguate informazioni sulle modalità d’uso degli strumenti e di effettuazione dei controlli;
- Controlli difensivi in senso stretto, finalizzati ad accertare in modo specifico, ex post, condotte illecite attribuibili, in base a concreti indizi, ad un singolo dipendente, che ricadono, invece, al di fuori della sfera applicativa dell’art. 4 dello Statuto dei lavoratori.
In base a tale distinzione, dunque, le informazioni raccolte dal datore di lavoro a seguito di un fondato timore di condotte illecite o comunque tali da pregiudicare il patrimonio aziendale potrebbero essere utilizzate senza la necessità di un’informativa preventiva al lavoratore, fatto salvo il doveroso bilanciamento, da condurre caso per caso, tra il danno arrecato al patrimonio aziendale e la tutela della riservatezza del lavoratore.
Se vi interessa saperne di più in tema di condotte illecite da parte di dipendenti, errori involontari e fenomeni di data breach, vi rimandiamo alla registrazione del seguente webinar.
Se invece un dipendente cancella dei dati aziendali importanti?
Nel secondo caso sottoposto alla nostra attenzione, alla Corte è stata presentata una domanda risarcitoria da parte di una società contro un suo ex dirigente, relativamente a condotte illecite dimostrabili attraverso conversazioni sull’account Skype privato del dirigente stesso. In primo grado, la Corte d’Appello di Torino aveva statuito l’inutilizzabilità di tali conversazioni, essendo state apprese in violazione della segretezza della corrispondenza e della password di accesso del lavoratore; la Corte aveva precisato che, l’accesso a tali dati, in assenza di consenso dell’interessato, non potesse essere giustificato dall’art. 24 del Codice della privacy (d.lgs. n. 196/2003, applicabile nella formulazione vigente al tempo dei fatti in discussione), in assenza di diretta strumentalità all’esercizio o alla tutela di un diritto in sede giudiziaria.
La Corte di Cassazione, muovendo da un presupposto diverso, ha ribaltato la decisione, ritenendo, in particolare, decisiva l’avvenuta riconsegna, da parte del dirigente, dei dispositivi aziendali svuotati di tutti i dati, anche di pertinenza aziendale. In tale direzione, veniva ricordato che, secondo la giurisprudenza penale, la cancellazione dei dati che consenta la possibilità di recupero soltanto attraverso procedure dispendiose integra la fattispecie delittuosa prevista dall’art. 635 bis del c.p. (danneggiamento di informazioni, dati e programmi informatici). Nel caso di specie, la cancellazione dei dati aveva reso necessario per la società affidare l’hard disk del computer ad un perito informatico per le relative analisi, che avevano consentito il recupero di alcune conversazioni effettuate via Skype dal dirigente. Il controllo del datore di lavoro, in quest’ottica, si è atteggiato, quindi, a controllo difensivo in senso stretto: l’attività di recupero dei dati era stata effettuata in funzione della richiesta risarcitoria, integrando la condotta del dipendente una violazione dei doveri di fedeltà e diligenza, tale da costituire giusta causa di licenziamento.
Sulla base di questi presupposti, il diritto di difesa in giudizio è considerato prevalente sul diritto di inviolabilità della corrispondenza, potendosi prescindere dal consenso dell’interessato per il trattamento dei dati personali quando il trattamento è necessario per la tutela dell’esercizio di un diritto in sede giudiziaria, nel rispetto dei principi di limitazione della finalità e della conservazione (art. 5 GDPR).
Inoltre, il diritto di difesa si estende oltre alla sede processuale, ricomprendendo tutte le attività dirette ad acquisire prove utilizzabili in giudizio precedenti all’instaurazione della controversia.
In tal senso, la Corte di Cassazione è arrivata ad affermare il seguente principio di diritto “la produzione in giudizio di documenti contenenti dati personali è sempre consentita ove sia necessaria per esercitare il proprio diritto di difesa, anche in assenza del consenso del titolare e quali che siano le modalità con cui è stata acquisita la loro conoscenza: dovendo, tuttavia, tale facoltà di difendersi in giudizio, utilizzando gli altrui dati personali, essere esercitata nel rispetto dei doveri di correttezza, pertinenza e non eccedenza”.
Sarà necessario, quindi, che la produzione in giudizio di documenti contenenti dati personali sia valutata in relazione al doveroso bilanciamento tra il contenuto e il grado di riservatezza dei dati utilizzati e le effettive esigenze difensive.
I controlli difensivi in azienda sono dunque leciti?
L’analisi di questi due casi mette in evidenza il complesso bilanciamento tra l’esigenza di riservatezza dei dipendenti e il bisogno di tutelare gli interessi aziendali da parte del datore di lavoro, rendendo indispensabile una valutazione case by case per attribuire prevalenza ad una delle due istanze. Come è stato già spiegato in precedenza, per la legittimità del controllo difensivo in senso stretto sarà necessario che questo sia mirato e venga attuato solo a seguito del comportamento illecito di uno o più lavoratori, del cui avvenuto compimento il datore di lavoro abbia avuto il fondato sospetto, in modo tale che il controllo non abbia ad oggetto l’attività lavorativa in senso lato ma sia rivolto unicamente ad accertare e sanzionare illeciti del singolo lavoratore.
Lo Studio legale FCLEX opera in tutta Italia, con possibilità di offrire consulenza su qualsiasi tipologia di problematica in tema privacy. Qualora aveste bisogno di supporto, non esitate a rivolgervi a noi, contattandoci agli indirizzi sottoindicati.