Una recente sentenza della Corte di Cassazione (la n. 25732 del 22 settembre u.s.) ha riproposto il tema dei controlli a distanza, in particolare quei “controlli tecnologici” messi in atto sugli strumenti di lavoro in possesso dei propri lavoratori dipendenti.
Prima di rivedere i principi cardine della materia andiamo ad individuare i punti che la suprema corte ha messo in evidenza.
Nel merito ha distinto due tipi di controlli difensivi:
- quelli messi in atto sull’intera popolazione dei dipendenti, che sottostanno all’articolo 4 dello Statuto dei Lavoratori (L. 300/1970);
- altri attuati in funzione della necessità di accertare e sanzionare gravi illeciti di un singolo lavoratore.
Secondo tale suddivisione quindi le azioni di controllo finalizzate ad accertare e sanzionare gravi illeciti del dipendente non rientrano nei limiti della disciplina prevista dalla L. 300/1970. Tradotto, il datore di lavoro che dovesse avere prova certa di un comportamento atto a commettere un illecito, può effettuare controlli a distanza senza dover preventivamente sottostare ad un accordo aziendale o ad un’autorizzazione da parte della ITL.
Tuttavia, ai fini della liceità dell’accertamento l’azienda dovrà rispettare due condizioni:
- il controllo dovrà essere effettuato ex post, ossia successivamente al momento a partire dal quale il datore di lavoro abbia avuto il fondato sospetto che sia stato compiuto un illecito;
- la finalità esclusiva di verificare l’esistenza di comportamenti illeciti lesivi del patrimonio e dell’immagine aziendale.
Ciò che permette quindi di poter agire “in deroga” all’ art. 4 L. 300/1970 sono i caratteri della straordinarietà ed eccezionalità della situazione che dovranno tuttavia bilanciarsi con quelli di liceità, correttezza e minimizzazione nel trattamento dei dati personali del lavoratore stesso. Al fine quindi di coniugare l’esigenza aziendale con la tutela della riservatezza della persona non sarà, ad esempio, ritenuto corretto tracciare e conservare i “log” di navigazione ad internet; si dovrà anonimizzare il dato ovvero cancellare i riferimenti personali non utili a provare il comportamento eventualmente fraudolento, del proprio collaboratore.
Il Garante, infatti, con il provvedimento 190/2021 pone in evidenza come il rischio di incorrere nella violazione dell’art. 8 della l. 300/70 possa essere molto concreto.
Quali sono quindi le misure che un’azienda può adottare al fine di tutelare il proprio patrimonio e la propria sicurezza senza incorrere in rischi sanzionatori? Sicuramente l’adozione di una specifica informativa inerente alla speciale tipologia del trattamento, contenente gli elementi essenziali delle operazioni che possono essere impiegate ai fini dei controlli medesimi. Contemporaneamente seguire una valutazione di impatto per analizzare se i trattamenti che verranno posti in essere possano rappresentare un rischio elevato per i diritti e le libertà degli individui.
Lo Studio rimane a disposizione.