Strumenti di lavoro utilizzati illecitamente, licenziamento valido se è rispettata la normativa privacy
Il licenziamento del lavoratore che utilizza gli strumenti di lavoro per finalità estranee alla prestazione lavorativa è legittimo se è rispettata la normativa privacy. È quanto stabilito dal Giudice del Lavoro del Tribunale di Cassino che, con ordinanza del 23 novembre 2020, ha respinto il ricorso promosso da un lavoratore, accogliendo le tesi difensive del datore di lavoro.
(Nella foto: Matteo Maria Perlini, avvocato cassazionista e Delegato Federprivacy nella provincia di Frosinone)
In particolare, l’azienda aveva licenziato il dipendente dopo aver scoperto che lo stesso aveva fatto accesso non autorizzato a file riservati ed utilizzava in modo illecito gli strumenti di lavoro necessari per rendere la prestazione lavorativa.
Il Giudice del Lavoro ha rigettato il ricorso del lavoratore e dichiarato legittimo il suo licenziamento dando, quindi, ragione all’azienda con la motivazione che la stessa aveva rispettato la disposizione di cui al comma 3 dell’art. 4 legge n. 300/1970 (Statuto dei Lavoratori) che condiziona l’utilizzabilità delle informazioni raccolte ai sensi dei commi 1 e 2 al rispetto della normativa in materia di protezione dei dati personali.
La vicenda - Il lavoratore, addetto all’ufficio acquisti, aveva in dotazione un pc aziendale collegato ad una rete, in particolare ad un server aziendale sul quale sono conservati in cartelle separate i dati relativi alle diverse funzioni aziendali; a suo favore era stato creato un account Amministratore (Administrator), in forza del quale poteva, come utente locale, utilizzare l’elaboratore elettronico nonché i softwares preinstallati ovvero successivamente installati per lo svolgimento dell’attività lavorativa e poteva anche collegarsi alla rete aziendale utilizzando esclusivamente la cartella di sua pertinenza o, meglio, di pertinenza dell’ufficio presso il quale svolgeva l’attività lavorativa.
Lo stesso non aveva mai ricevuto, durante tutto l’intercorso rapporto di lavoro, credenziali ovvero autorizzazioni anche temporanee per consultare cartelle diverse da quelle relative allo svolgimento della specifica attività cui era addetto.
Ebbene, a seguito di una segnalazione dell’ufficio HR nella quale si rappresentava la temporanea indisponibilità di un file contenente dati personali dei dipendenti perché utilizzato dal predetto lavoratore, l’azienda avviava un’indagine sul computer affidato allo stesso.
I controlli successivamente effettuati sul computer assegnatogli evidenziavano:
- la presenza di softwares di accesso remoto, utilizzati per connettersi alla rete aziendale da computer remoti esterni all’azienda, come anche l’accesso da remoto al computer stesso fuori dagli orari di ufficio;
- la presenza di software di trasferimento file configurati verso indirizzi esterni all’azienda e software di accesso VPN sia per mascherare il traffico internet della macchina che permettere di eludere i controlli aziendali; una serie di siti web nella navigazione, da verificare; la presenza di file contenenti istruzioni per modificare DNS ed accedere a link di IPTV (siti di streaming video).
L’azienda avviava il procedimento disciplinare nei confronti del lavoratore, il quale si giustificava:
1) confermando di aver utilizzato softwares diversi rispetto a quelli necessari come strumenti di lavoro per rendere la prestazione lavorativa:
- Teamwiever per un miglior svolgimento delle proprie mansioni, precisando inoltre che tale programma non nocivo era stato utilizzato per svolgere del lavoro da casa;
- WinSCP, precisando che l’installazione era servita per il trasferimento di file, che egli valutava sicuro, da un computer locale ed uno remoto;
- Open Source OpenVPN, utilizzato per creare tunnel sicuri crittografati punto-punto tra due computer, attraverso una rete non sicura (internet);
2) osservando che la navigazione sui siti web (anch’essa contestata) non lo aveva mai distolto dalle proprie incombenze lavorative, mentre nulla riferiva in merito alla presenza di file contenenti istruzioni per modificare DNS ed accedere a link di IPTV (siti di streaming video).
L’azienda, disattese le giustificazioni, irrogava il licenziamento per giusta causa del lavoratore.
Il lavoratore proponeva ricorso contestando la legittimità del licenziamento per violazione dell’art. 4 legge 300/1970 e della normativa privacy.
La decisione - Per valutare la legittimità del licenziamento il giudice ha ritenuto necessario verificare se i controlli effettuati dalla società sul computer del ricorrente siano legittimi ai sensi dell'art. 4 L. 300/1970, come modificato dal d. lgs. 151/2015 e dal d.lgs. 185/2016.
Il magistrato richiama preliminarmente la ratio dell’art. 4, che consiste nel trovare un giusto bilanciamento tra il potere di controllo riconosciuto al datore di lavoro dal nostro ordinamento ed il diritto alla dignità e riservatezza del dipendente che non può essere annullato.
Quindi, l’ordinanza esamina il concetto di “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” previsto dal comma 2 dell’art. 4 per distinguerlo da quello degli strumenti di controllo previsti dal comma 1, la cui legittimità è legata alla sussistenza di una delle esigenze indicate (organizzative e produttive, sicurezza del lavoro e tutela del patrimonio aziendale) ed al rispetto delle garanzie procedurali (accordo sindacale o autorizzazione amministrativa).
Punto di partenza di tale disamina del Tribunale di Cassino è la considerazione che, non esistendo “una nozione unitaria di strumento di lavoro, bisognerà verificare caso per caso, a seconda del tipo di mansione e a seconda della organizzazione aziendale, se lo strumento affidato al lavoratore dal datore di lavoro sia oggettivamente necessario all'esecuzione della prestazione lavorativa e cioè se sia il mezzo utilizzato dal lavoratore per svolgere le sue mansioni”.
Sul punto, il provvedimento richiama una sentenza del Tribunale di Milano (la n. 2757/2017) per affermare che “pur non potendosi revocare in dubbio che il computer sia uno strumento di lavoro, è innegabile che al suo interno vi siano componenti hardware e componenti software e che, pertanto, in relazione a ciascuna di esse, da considerarsi quale distinto strumento di lavoro e di potenziale controllo, sia necessario verificare la presenza del nesso di funzionalizzazione allo svolgimento della prestazione lavorativa”.
Orbene, nel caso di specie il giudice ha rilevato:
- che la verifica aziendale è stata effettuata sull’hardware del computer, rilevando la presenza (id est: installazione) di software di accesso e di trasferimento file e la presenza di file contenenti istruzioni per modificare DNS ed accedere a link di IPTV, operando quindi mediante una diretta verifica sullo strumento di lavoro in uso al ricorrente;
- che non sono stati utilizzati programmi di controllo per la verifica del corretto utilizzo del computer, quali, a mero titolo esemplificativo, i programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi internet;
- che solo questi ultimi casi (che, giova ribadirlo esulano dalla presente fattispecie), consentendo operazioni automatiche di monitoraggio e di tracciatura degli accessi a Internet (o anche al servizio di posta elettronica) non possano essere considerati “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” ai sensi dell'articolo 4 comma 2, essendo invece riconducibili alla fattispecie degli strumenti di controllo, legittimi ai sensi del comma 1 solo se finalizzati a realizzare una delle esigenze ivi previste (ad esempio, la maggiore sicurezza della rete aziendale) e solo se vi è il previo accordo con le OO.SS. o l'autorizzazione amministrativa.
Il giudice, inoltre, dopo aver menzionato il tema dei c.d. “controlli difensivi” e dell’esistenza di due opposti orientamenti circa la loro collocazione o meno nell’alveo di operatività dell’art. 4, afferma che, indipendentemente dalla adesione all’una o all’altra interpretazione, “risulta soddisfatto nel caso che ci occupa anche il disposto del successivo comma 3, il quale sancisce che: “Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”.
Questo passaggio del provvedimento è molto importante.
Il comma 3 dell’art. 4 costituisce, infatti, il fondamentale elemento di raccordo tra la disciplina giuslavoristica e quella in materia di protezione dei dati personali costituita dal GDPR e dal Codice Privacy.
Il rispetto della normativa privacy è necessario in ogni caso e indipendentemente dalla collocazione dei controlli “difensivi” nell’ambito di applicazione dell’art. 4.
Come osserva il Tribunale di Cassino, la norma prevede innanzitutto che “dev'essere fornita al lavoratore una informazione adeguata, nel senso che lo stesso deve essere portato a conoscenza della possibilità di essere assoggettato ai controlli, anche tecnologici, da parte del datore di lavoro.
Questa informazione deve inoltre riguardare anche le modalità e i limiti con cui essi vengono posti in essere l'informativa si considera adeguata se determina la consapevolezza in capo al lavoratore circa il fatto che gli strumenti che utilizza per svolgere la propria attività lavorativa producono delle informazioni che possono essere conosciute e utilizzate dal datore di lavoro a fini disciplinari: di conseguenza, è da considerarsi illecito un controllo posto in essere senza che il lavoratore sia stato preventivamente messo a conoscenza circa la possibilità e le modalità di questi controlli.”.
In sostanza, il lavoratore deve essere (preventivamente ed adeguatamente) informato non solo sul “se” ma anche e soprattutto sul “come” potrebbero essere effettuati i controlli datoriali.
In secondo luogo, prosegue l’ordinanza, il comma 3 prescrive il rispetto del d. lgs. n. 196/2003, c.d. codice della privacy (e del Regolamento UE 2016/679, c.d. GDPR, n.d.r.) in quanto “…il controllo, che rappresenta una fase del trattamento dei dati personali, deve rispettare i principi dettati dalla normativa specifica prevista in materia di protezione di quei dati, ossia i principi di liceità, di correttezza, di necessità, di determinatezza della finalità perseguita, di pertinenza, di completezza, di non eccedenza.”
Il giudice sottolinea come “la Grande Camera della Corte europea dei diritti dell'uomo si è pronunciata in materia di controllo nella sentenza n. 61496/08 del 05 settembre 2017 (caso Barbulescu, n.d.r.) e ha sostenuto che il lavoratore deve essere informato della possibilità del monitoraggio e dell'adozione di misure di controllo, che l'informazione deve essere chiara e fornita preventivamente, che deve essere verificato il grado di intrusione nella privacy del lavoratore, devono sussistere ragioni oggettive capaci di giustificare il monitoraggio, devono essere verificate le conseguenze del monitoraggio e devono, infine, essere predisposte garanzie adeguate affinché il datore di lavoro non possa accedere a dati che non siano stati preventivamente oggetto di informativa sulle modalità di acquisizione.”
Infine, il giudice rileva come la violazione del comma 3 art. 4 L. 300/1970 determina secondo la giurisprudenza costante l'inutilizzabilità della prova acquisita in questo modo (cfr. Cass. 4746/2002; Cass. 15892/2007; Cass. 4375/2010; Cass. 16622/2012).
Ebbene, nella vicenda in esame il giudice ha ritenuto che i controlli eseguiti dalla società non contrastino con il comma 3 dell'art. 4 Legge n. 300/1970, dal momento che “il lavoratore è stato adeguatamente informato sia sulla concreta possibilità che sulle modalità relative a eventuali controlli da parte del datore di lavoro sul proprio computer…, il tutto contenuto nel documento contenente le “istruzioni operative per il trattamento dei dati mediante utilizzo di strumenti informatici e non”, affisso alla bacheca dell’azienda, circostanza questa non contestata.” (oltre all’informativa ex art. 13 del GDPR che era stata regolarmente consegnata al dipendente, n.d.r.).
Pertanto, ha ritenuto “sussistente in capo al lavoratore quella preventiva consapevolezza di poter essere controllato, richiesta dalla legge, dal momento che è stata fornita prova di una adeguata informazione.”
Ha, quindi, dichiarato utilizzabili anche a fini disciplinari i dati acquisiti dall’azienda, in quanto era stata fornita una previa ed adeguata informativa ai dipendenti in ordine alle modalità d’uso degli strumenti e all’effettuazione dei controlli, nel pieno rispetto della libertà e della dignità dei lavoratori, nonché, con riferimento alla disciplina in materia di protezione dei dati personali, dei principi di correttezza, pertinenza e non eccedenza, poiché tali controlli possono determinare il trattamento di informazioni personali, anche non pertinenti, o di dati sensibili.
Il giudice ha, infine, osservato che il lavoratore non aveva formulato una specifica e circostanziata censura alla luce della quale esaminare concretamente in cosa sia consistita la lamentata violazione della privacy, confermando la legittimità dei controlli effettuati dalla società ai sensi dell’art. 4 Stat. Lav.
Solo per completezza redazionale va aggiunto che l’azienda, sotto la supervisione del DPO e con il coinvolgimento delle funzioni interessate (HR, Legale e IT), procedeva ad una valutazione dell’incidente all’esito della quale, rilevata la sussistenza di un rischio non elevato per i diritti e le libertà degli interessati, notificava tempestivamente la violazione solo al Garante della protezione dei dati personali ai sensi dell’art. 33 GDPR - ritenendo non necessaria la comunicazione agli interessati ai sensi dell’art. 34 GDPR - e riportava la stessa nel registro delle violazioni.