LE NUOVE FRONTIERE DEI PROVVEDIMENTI DISCIPLINARI
E se, una mattina, scopriste che un vostro dipendente durante l’orario di lavoro si è collegato, con il computer aziendale, per oltre quaranta minuti a Facebook e per oltre tre ore a Youtube, (ovviamente) per seguire attività non istituzionali… cosa fareste??
La risposta di buon senso sembra scontata, ma non altrettanto la risposta giuridica.
Ed invero, in un recentissimo provvedimento, il Garante per la protezione dei dati personali ha dovuto affrontare proprio il caso sopra menzionato, addivenendo però — a dispetto del buon senso – a sanzionare il Comune di Bolzano.
L’atto propulsivo, che ha dato origine all’avvio del procedimento da parte deIl’Autorità Garante, è stato il reclamo presentato dall’interessato — dipendente della pubblica amministrazione — che eccepiva la violazione. non solo delle norme in materia di controllo del lavoratore (art. 4 della 1.300/70), ma anche dei principi di liceità. correttezza e minimizzazione nel trattamento dei propri dati personal.
Se ora, pensando che il Comune (a differenza vostra) sia stata destinataria di sanzioni perché — al contrario di Voi — inerte agli adempimenti normativi, avete tirato un sospiro di sollievo…
ATTENZIONE!
Dall’istruttoria del Garante è emerso che l’Ente impiegava, proprio a tutela della privacy e del divieto di controllo del dipendente con sistemi automatizzati, un sistema di monitoraggio e filtraggio della navigazione internet dei dipendenti, con la conservazione dei dati per trenta giorni e la creazione di una reportistica, giustificando tale verifica quale presidio della sicurezza informatica e della rete comunale in esecuzione dei propri compiti di interesse pubblico.
Diligente il Comune anche rispetto ai combinati disposti in materia di diritto del lavoro e privacy, avendo:
- Siglato un accordo sindacale decentrato per l’utilizzo di internet e l’uso della posta elettronica — curandone la comunicazione sulla pagina intranet aziendale;
- Adottato un codice di comportamento per i dipendenti, nel quale, fra le altre, il dipendente veniva edotto della possibilità del Comune di tener traccia dei siti visitati — anch’esso pubblicato sulla pagina intranet-;
- Redatto l’informativa privacy rivolta al trattamento dei dati dei dipendenti — interessati- visionabile e accessibile sul portale
Ma non è stato sufficiente per evitare la sanzione!
Dalla pronuncia, infatti, emerge, non solo la necessità di tutelare la riservatezza ed i diritti dei lavoratori, individuando anche sul posto di lavoro la linea di confine tra vita lavorativa e vita privata e, conseguentemente la necessità che l’applicazione del GDPR e del Codice Privacy, non si esplichi attraverso ”astratti documenti formali”, ma rappresenti la concreta applicazione alla realtà aziendale.
Infatti, nel caso di specie, le informative fornite ai dipendenti risultavano essere generiche e contenenti rinvii a ulteriori documenti (anch‘essi sommari), i quali non spiegavano — in concreto — la procedura di monitoraggio, la sua finalità e le modalità di trattamento.
Per tali motivi, non sono stati ritenuti sufficienti né l’accordo di secondo livello né tanto meno il codice di comportamento relativo all’utilizzo della rete internet.
Cosa fare quindi?
Ricordiamo che il tema privacy, net caso che ci occupa, è strettamente connesso con il diritto del lavoro, atteso che un’attività di monitoraggio non conforme alle discipline privacy potrebbe inficiare la legittima di una contestazione e della correlata sanzione disciplinare. La materia infatti è storicamente regolata daII’art. 4 della L. 300/70 (“Statuto dei Lavoratori”); la riforma del 2015 ha rimosso, “per gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” il divieto (non dimentichiamolo, sanzionato penalmente) di utilizzo di “strumenti dai quali derivi … la possibilità di controllo a distanza” dei lavoratori (divieto che è possibile rimuovere solo con accordo sindacale o autorizzazione deIl’Ispettorato del Lavoro); ma questa apparente “liberalizzazione” da parte del diritto del lavoro deve fare i conti, come abbiamo visto, con la normativa privacy, la cui violazione può condurre comunque alla inutilizzabilità disciplinare degli elementi raccolti. L’eccezione è rappresentata soltanto (secondo la giurisprudenza italiana, a partire dalla “storica” Cass. 4746 del 2002, ma anche secondo la giurisprudenza deII’Unione europea: si è pronunciata la CEDU nel 2019 sui ricorsi 1874/13 e 8567/13) dai controlli cosiddetti “difensivi”, cioè non tesi a verificare la correttezza della prestazione lavorativa, ma a tutelare il patrimonio aziendale.
Per svolgere un legittimo controllo c.d. a distanza del lavoratore è, quindi, necessario che:
- Le modalità di controllo non devono essere eccessivamente invasive (onorando i principi di adeguatezza e proporzionalità), dovendo essere rispettose delle garanzie di libertà e dignità dei dipendenti.
- II terzo comma dell’art.4 dello Statuto dei Lavoratori, stabilisce che le informazioni raccolte attraverso l’esercizio del potere di controllo sono utilizzabili per tutti i fini connessi al rapporto di lavoro (ivi incluso il procedimento disciplinare), purché sia stata effettuata, in favore dei lavoratori, una adeguata informazione delle modalità d’uso degli strumenti e delle modalità di effettuazione dei controlli.Non è MAI possibile monitorare la navigazione internet dei lavoratori in modo indiscriminato, integrando tale ipotesi una modalità di controllo a distanza. II lavoratore deve essere adeguatamente informato (attraverso accordo sindacale, regolamento aziendale, informativa ad hoc) e comunque il controllo sulla navigazione non può avere quale unico scopo quello di verificare l’attività lavorativa del dipendente.
- Non potendosi prescindere dal rispetto delle normative privacy, il Titolare del trattamento (datore di lavoro), nel rispetto dei principi di “liceità, correttezza e trasparenza” deve adottare misure appropriate per fornire al lavoratore – interessato- tutte le informazioni sui diritti del dipendente ai sensi degli artt. 13 e 14 del GDPR. II trattamento, inoltre, deve essere “necessario” rispetto alla finalità perseguita ed avere ad oggetto solo i dati pertinenti e adeguati e per un area di tempo non superiore al conseguimento di tale finalità.
Concretizzando i principi sopra esposti, una finalità legittima del monitoraggio potrà sicuramente essere la sicurezza del sistema informatico, ma funzionale a tale necessità è solo una procedura “generalizzata” e “anonimizzata” su tutto il sistema e, solo nel caso di alert di “anomalie”, il monitoraggio potrà assumere contorni più specifici (ad esempio focalizzato su aree aziendali) e, solo successivamente, se infruttuoso ogni ulteriore verifica, potrà direttamente ricadere sull’accesso diretto ai collegamenti dei singoli dipendenti.
Concludendo, tutto si puà fare, ma si deve fare bene!
Qualora, infine, gli esiti del controllo legittimo volessero essere utilizzati per l’applicazione di sanzioni disciplinari, il consueto richiamo ai CCNL di riferimento potrebbe non essere d’aiuto, stante la persistente assenza di fattispecie relative all’innovazione tecnologica. Sempre più spesso si rivolgono a noi i clienti che vogliono licenziare dipendenti dedicati allo shopping on-line o ai social. Per poter procedere sarà necessario avviare trattative con i dipendenti e — se del caso — le rappresentanze sindacali, per concordare le nuove frontiere disciplinari dell’innovata inadempienza.
Avv. Vera Daniele
(Partners LS Lexjus Sinacta Avvocati e Commercialisti Associati Milano Bologna)
Avv. Renzo Cristiani
(of Counsel LS Lexjus Sinacta Avvocati e Commercialisti Associati Milano Bologna)