NEWS

Smart working, difficile equilibrio tra tutela della privacy e beni aziendali

Lo smart working è la “nuova” prassi. E nuovo è l’interesse per le disposizioni che riguardano le possibilità, e soprattutto i limiti, del controllo sull’attività dei dipendenti. Specialmente da remoto. La disciplina trova le proprie fonti nel diritto del lavoro e della privacy. Ma non va dimenticata la sua rilevanza per il diritto penale e, a determinate condizioni, anche per l’ente datore di lavoro, in virtù della responsabilità amministrativa da reato ai sensi del D.Lgs. 231/01.

Smart working, difficile equilibrio tra tutela della privacy

La materia è complicata dalla sovrapposizione di normative di diversa provenienza. Ciò che appare opportuno sottolineare in questa sede è l’odierna natura pervasiva del diritto penale, che giunge a presidiare anche la violazione civilistica, sanzionando imprenditori e manager i quali adottino modalità di controllo dei dipendenti senza rispettare i limiti e le procedure previste dalle normative del lavoro e della privacy.

Le imprese dovranno sempre dedicare le migliori energie alla compliance, sia al fine di evitare sanzioni e procedimenti penali, sia per garantire ai propri dipendenti un’organizzazione “sostenibile” e quindi attenta al loro benessere, dotandosi degli opportuni accorgimenti organizzativi per una compliance integrata (tecnologia, rispetto della privacy ed efficace modello 231).

Occorre partire dal dato giuslavoristico circa i limiti all’utilizzo di strumenti telematici di controllo: il datore di lavoro, in virtù dell'art. 2104 del codice civile, può verificare lo svolgimento dell’'attività lavorativa del dipendente, ma personalmente o attraverso la propria organizzazione gerarchica. I problemi sorgono con l’avvento delle tecnologie che consentono un controllo più invasivo, anche a distanza. Lo Statuto dei Lavoratori (art. 4) aveva previsto alcuni limiti per l’installazione di questi strumenti, imponendo le procedure della concertazione sindacale o quelle per l’autorizzazione amministrativa; la giurisprudenza aveva però ammesso determinate ipotesi di controllo occulto – escluso da tali procedure – attraverso la figura dei controlli “difensivi” (quelli, semplificando, rivolti alla tutela di beni aziendali – immagine, patrimonio – messi in pericolo da illeciti diversi da meri inadempimenti lavorativi).

Il Garante per la Privacy aveva, dal canto suo, sin dal 2007, emanato linee guida che richiedevano la conoscibilità, per i dipendenti, delle ipotesi di controllo che si potessero annidare nei loro strumenti di lavoro. Recentemente, tra il 2015 (nell’ambito del cosiddetto Jobs Act), e il 2018 (con l’attuazione del GDPR) sono intervenute alcune riforme in materia, che hanno complicato ulteriormente il quadro.

Da un lato, i controlli rivolti alla tutela del patrimonio sono risultati inclusi tra quelli oggetto di limiti e procedure (nuovo art. 4, comma 1, Statuto lavoratori), ma la giurisprudenza ha smentito questa interpretazione letterale, quanto meno con riferimento a strumenti utilizzati in maniera occasionale appositamente per l’accertamento degli illeciti (per l’illogicità di richiedere un’autorizzazione istituzionale o sindacale per strumenti rivolti ad accertare illeciti e dunque bisognosi di garantire segretezza e sorpresa sulla propria operatività).

Dall’altro, le recenti riforme hanno svincolato dalla più rigorosa normativa sui controlli tutte quelle modalità di monitoraggio che derivino dall’utilizzo di strumenti necessari per la prestazione lavorativa: per esempio, l’installazione di sistemi informatici di lavoro da cui possano trarsi informazioni sul lavoro. Questi ultimi continuano tuttavia a richiedere gli accorgimenti organizzativi e di privacy, nel tempo resisi necessari.

A questo frastagliato quadro normativo e interpretativo si affianca la dimensione penalistica. La giurisprudenza penale ha, infatti, affrontato da anni un profilo solo processuale, affermando l’utilizzabilità probatoria – nel processo a carico del dipendente imputato di eventuali illeciti – di quanto raccolto attraverso gli strumenti di controllo datoriali, anche in maniera occulta. Tale orientamento convive nel nostro ordinamento con la punibilità del datore che non abbia rispettato le regole civilistiche (lavoristiche, come anche di tutela della riservatezza e della privacy.

Siamo davanti a una singolare contraddizione interpretativa con possibili ricadute sul comportamento di imprenditori e manager i quali rischiano di venire sanzionati mentre cercano di tutelare l’azienda e il suo patrimonio da condotte lesive. Basti ricordare la recentissima sentenza della terza sezione penale della Cassazione (n. 3255/2021), proprio riguardante un’accusa rivolta a un imprenditore per essersi dotato di videosorveglianza, con cui la Corte ha ricordato la necessità – al fine di pervenire a un’assoluzione – della verifica circa la finalità (accertamento di illeciti) di tali controlli e circa il rispetto, nel loro utilizzo, dei diritti dei dipendenti.

Anche a livello sanzionatorio, si distinguono le violazioni relative alle due tipologie di strumenti di controllo (telecamere vs apparecchiature informatiche) la cui disciplina è divaricata a livello “sostanziale”. Le violazioni che riguardano l’adozione di strumenti di controllo che non siano anche strumenti di lavoro sono sanzionate penalmente già in seno allo Statuto dei Lavoratori (con la contravvenzione prevista dall’articolo 38, richiamato nell’ambito delle recenti riforme).

Diversamente, il ricorso a controlli mediante strumenti di lavoro (tra cui, se necessari per la prestazione, smartphone, tablet, laptop, software, app) parrebbe sguarnito dal presidio penalistico: la contravvenzione sopra menzionata non si estende alle violazioni organizzative inerenti a tali strumenti. D’altro canto, nell’utilizzo irregolare di eventuali modalità di controllo connesse agli strumenti telematici di lavoro, non si può escludere la ricorrenza dei reati informatici e di quelli relativi al trattamento illecito dei dati personali: è proprio per i reati informatici che è prevista anche la responsabilità dell’ente (articolo 24-bis d.lgs. 231/2001).

Naturalmente, occorrerà sempre la presenza dei criteri ascrittivi generali – l’interesse e vantaggio per l’impresa (art. 5, d.lgs. 231/2001) –, ma la prestazione da remoto e i controlli sulla stessa possono evidentemente essere forieri di rischi di commissione sia di reati inerenti alla violazione del domicilio digitale (articoli 615-ter, 615-quinquies del codice penale), sia di intercettazioni illecite di corrispondenza telematica (articoli 617-quater e quinquies del codice penale); sia, pur senza ricadute sull’ente, per la difficoltà di ricostruire un suo interesse, non sono da escludere neppure le ipotesi di diffusione abusiva di codici di accesso (articolo 615-quater del codice penale).

È evidente che (malgrado la scarsa casistica e nonostante l’inclusione dei reati informatici nel catalogo 231 risalga al 2008) ci si trova innanzi a un tema dirompente per la vita delle imprese, ancor più per l’esteso utilizzo della tecnologia nel lavoro. All’interprete l'arduo compito di trovare il più adeguato equilibrio tra tutela dei lavoratori e tutela dei beni aziendali.

Fonte: Il Sole 24 Ore

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Il diritto alla disconnessione va regolato nell’accordo
Next Chi diffonde una telefonata senza un interesse legittimo può violare la riservatezza

TV9, il presidente di Federprivacy alla trasmissione 9X5

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy