NEWS

Controlli in azienda, necessario identificare la corretta e pertinente finalità che giustifichi i tempi di conservazione dei dati

Se la riforma dell’articolo 4 dello Statuto dei lavoratori e il GDPR sembravano aver reso meno tortuosa la strada dei controlli preventivi ed investigativi per le aziende, alcuni interventi e provvedimenti del Garante rischiano, se non interpretati correttamente, di diffondere incertezze o paralisi. Ma andiamo per ordine.

Come si ricorderà nel 2015 il D. Lgs. n. 151, attuativo del “Jobs Act”, riformava radicalmente la materia dei controlli c.d. preterintenzionali, riscrivendo l’art.4 dello Statuto dei Lavoratori.

Infatti, da un lato si introduceva il concetto di strumenti di lavoro, esentati dall’obbligo di accordo con le rappresentanze sindacali (art.4 co.2), dall’altra si inseriva tra le finalità di ricorso a tecnologie atte al controllo a distanza dei lavoratori, anche quella di tutela del patrimonio aziendale. (art.4 co.1)

Il comma 3, infine – forse la vera rivoluzione – rendeva possibile, l’utilizzo delle informazioni – leggi dati -  generate dai sistemi aziendali e dall’uso degli strumenti di lavoro, per tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.

La condizione di utilizzo di tali dati per fini, ad esempio disciplinari, è legata  non tanto dalle norme primarie in materia di “privacy”, quanto alla loro interpretazione contenuta nei molteplici provvedimenti del Garante.

Come si ricorderà, la giurisprudenza giuslavorista e penale nel corso degli anni aveva elaborato, frattanto il concetto di controlli di natura protettiva o difensiva.

I giudici, in particolare, avevano più volte  ritenuto fuori dall’ambito di applicazione dell’articolo 4 SL quei controlli intenzionali del datore di lavoro, quando non riguardassero l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, bensì la tutela di beni estranei al rapporto stesso come nel caso in cui il datore abbia posto in essere verifiche dirette ad accertare comportamenti del prestatore illeciti e lesivi del patrimonio e dell’immagine aziendale, e per tale ragione definiti “difensivi” (vds ad es. Cass. 17.07.07 n. 15982; e  Cass. Sez. Lav. 23/2/2012, n. 2722)

Tale concetto, lungi dall’essere stato superato dalla riforma dell’articolo 4, come alcuni dei primi commentatori avevano ritenuto, è stato al contrario rimarcato anche da pronunce più recenti. Ricorre infatti tale fattispecie ogniqualvolta sia necessario prevenire condotte illecite suscettibili di mettere in pericolo la sicurezza del patrimonio aziendale (Cass. sez. lav. n.10636 del 2 maggio 2017).

Allora qual è il momento di saldatura tra questi controlli e la norma statutaria? In concreto il controllo difensivo (o investigativo) può i) essere di natura autonoma, come nel caso si collochi una telecamera occulta per riscontrare un whistleblower che segnala una serie di ammanchi di cassa ad opera di un dipendente infedele o può ii) avvalersi di dati ricavati dai sistemi aziendali o strumenti di lavoro, regolamentati ai sensi dell’articolo 4 SL. La base giuridica o finalità del trattamento, in entrambi i casi, è senza dubbio quella di far valere o difendere un diritto in sede giudiziaria.

Nel secondo caso, tuttavia, è ancor più stringente il richiamo alle regole derivanti dalla normativa privacy. Cosa accadrebbe infatti se si utilizzasse un dato (es. file di log di accesso al sistema aziendale) del dipendente destinatario della verifica, conservato oltre i termini di retention indicati dai provvedimenti del Garante?

Nel Provv. 53/2018, l’Autorità ha peraltro ribadito che il trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni di precontenzioso, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti, che altrimenti risulterebbe elusivo delle disposizioni sui criteri di legittimazione del trattamento (v. es. art.9 GDPR).

Mentre proprio con riferimento allo spinoso problema dei tempi di conservazione per finalità di sicurezza dei sistemi e di gestione dei servizi di posta aziendale, nel   Provv. 303/2016 l’Autorità evidenziava che "i sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, devono essere conservati per un periodo non superiore comunque ai sette giorni"  e disponeva il divieto di ulteriore trattamento dei tali dati, fatta salva la conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria, nei limiti posti dall´articolo 160, comma 6, del Codice, che rinvia alle norme di utilizzabilità in sede processuale civile e penale.

E’ evidente tuttavia che un dato eliminato allo scadere di tempi di conservazione così severi, ben difficilmente potrà essere utilizzato all’occorrenza, per far valere o difendere un diritto in sede giudiziaria.

Come se ne esce da questo labirinto?

Una via sembra suggerita proprio dal Garante nello stesso richiamato provvedimento: “diversa valutazione riguarda invece la prevista messa a disposizione del dipendente dell´intero archivio delle email scambiate tramite il proprio account aziendale”, che dovrà essere oggetto di specifiche istruzioni operative.

La conservazione, in definitiva, quale forma di trattamento, non potrà mai essere legittimata dalla finalità di far valere o difendere un diritto in sede giudiziaria.

In sintesi è necessario in primo luogo identificare la corretta e pertinente finalità che giustifichi i correlati tempi di conservazione.

Formalizzata la scelta in una data retention policy e fornita ai lavoratori un’adeguata informativa ex art.13 GDPR, si è nel pieno rispetto dell’art.4 comma 3.

Il controllo difensivo per accertare un illecito aziendale, si riconduce, dunque, nella ratio della norma richiamata: per far valere  o difendere un diritto in sede giudiziaria, gli stessi dati  così disponibili possono essere utilizzati trattando di un fine connesso al rapporto di lavoro.   

Note Autore

Angelo Jannone Angelo Jannone

Membro del Comitato Scientifico di Federprivacy e Group Chief Audit Executive e DPO Althea Group Spa. Commissario d'esame per TÜV Italia per la certificazione di Privacy Officer e Consulente della Privacy. Twitter: @angelojannone

Prev La sottile linea tra il consenso genitoriale e la tutela del diritto all’immagine
Next Google e Facebook "una minaccia per privacy e diritti umani". Il rapporto di Amnesty International

Il presidente di Federprivacy a Rai Parlamento

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy