Il saggio prende spunto dalle recenti sentenze della Corte di Cassazione in materia di controlli difensivi, ed in particolare dalla sentenza n. 25732/2021, per analizzare la portata innovativa dell’affermazione a mente della quale il giudice di merito è chiamato a verificare se, in concreto, il datore di lavoro (titolare del trattamento dei dati personali) abbia effettuato correttamente il bilanciamento tra gli interessi contrapposti, nel rispetto del principio di proporzionalità. L’A., rilevando come la Corte abbia sostanzialmente aperto la strada all’interpretazione convenzionalmente orientata del diritto interno, propone un esame dei criteri da prendere a riferimento per l’effettuazione del “test di proporzionalità”, richiamando la giurisprudenza della Corte europea dei diritti dell’uomo e gli orientamenti del Garante privacy.
The essay takes its cue from the recent judgments of the Supreme Court concerning the subject of “defensive monitoring”, and in particular from judgment no. 25732/2021, in order to analyse the innovative scope of the statement according to which the judge is asked to verify whether, in practice, the employer (the controller of personal data) has correctly balanced the opposing interests, in compliance with the principle of proportionality. The Author, noting that the Court has essentially paved the way for the conventionally oriented interpretation of domestic law, proposes an examination of the criteria to be taken as reference for the implementation of the “proportionality test”, referring to the case law of the European Court of Human Rights and the orientations of the Data Protection Authority.
Articoli Correlati: privacy - controlli difensivi - test di proporzionalità
1. Premessa: sezione lavoro e bilanciamento nella prospettiva del controllo a distanza - 2. Privacy, lavoro e potere di controllo (difensivo, occulto, semi-occulto, difensivo, in senso lato e in senso stretto): Sezione lavoro e Garante privacy. Le fattispecie - 2.1. Tre sentenze della Sezione lavoro - 2.2. E quattro ordinanze ingiunzione del Garante privacy - 3. Sezione lavoro e Garante: quale filo conduttore? - 4. Garante privacy, Sezione lavoro e bilanciamento - 4.1. Bilanciamento e proporzionalità delle interferenze rispetto ai diritti convenzionali non assoluti - 4.2. Il ruolo del giudice di merito - 4.3. Il browser Internet tra gli strumenti di lavoro - 4.4. Ancora sul bilanciamento: chi e come può/deve realizzarlo? - 4.5. Quali criteri per il test di proporzionalità/bilanciamento? - 4.6. Aspetti del “reasonable expectation test” - NOTE
Il 22 settembre 2021 è stata depositata una sentenza della Sezione lavoro della Corte di Cassazione, a firma del Presidente Raimondi, che reca il seguente principio di diritto: «sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto». La pubblicistica specializzata non ha tardato a sottolineare l’importanza di questa sentenza, letta nella prospettiva dell’annosa questione relativa ai controlli difensivi occulti [1]. Nelle pieghe della massima, peraltro, si annida una affermazione di principio che va ben oltre lo specifico tema del controllo difensivo, introducendo nel ragionamento giuslavoristico un primo riscontro della «potente propensione conformativa» [2] di cui è dotato il diritto dell’Unione europea, che era fino ad oggi rimasta nell’ombra. La Corte sottolinea, nella propria critica alla sentenza d’appello, che «è pure mancata ogni valutazione circa il corretto bilanciamento» tra interessi contrapposti. Il giudice del rinvio sarà ora chiamato a verificare nel concreto se tale bilanciamento sia stato operato in termini proporzionati o no. In questo modo la Sezione lavoro richiede espressamente al giudice di merito di fare puntuale applicazione del criterio di proporzionalità, che costituisce il principio cardine del “poderoso apparato normativo” del regolamento 2016/679/UE (come, peraltro, anche della previgente direttiva 95/46/CE). Si tratta di una operazione che si rende necessaria, nel caso di specie, al fine di valutare in concreto se il trattamento dei dati personali relativi alla lavoratrice oggetto del controllo possa dirsi conforme al sistema di garanzie previsto da regolamento UE ed introiettato nel diritto del lavoro per il tramite del comma 3 del novellato art. 4 St. lav. Il principio affermato dalla Corte ha una portata che supera il caso di specie. In effetti, [continua ..]
Il 2021 si segnala come un anno di intensa e feconda elaborazione ermeneutica relativamente al delicatissimo tema del controllo tecnologico (difensivo) posto in essere dal datore di lavoro sui propri dipendenti. Meritano, a questo riguardo, di essere valorizzate congiuntamente almeno tre fondamentali sentenze della Sezione lavoro (le nn. 25731, 25732, e 34092) e quattro ordinanze ingiunzione emesse dal “Garante privacy” (provvedimenti nn. 190, 137, 234 e 384, rispettivamente catalogati e disponibili nella pagina web istituzionale dell’Autorità ai docc. web 9670738, 9669974, 9675440 e 9722661), tutte rese note tra aprile e novembre.
Procedendo in ordine diacronico, e partendo dal contributo della Sezione lavoro, è possibile sintetizzare le fattispecie affrontate, tutte riconducibili all’applicazione del testo novellato dell’art. 4 St. lav., e riferibili a quello che la Corte espressamente definisce «controllo difensivo in senso stretto», nei termini che seguono: i) La sentenza del 22 settembre 2021, n. 25731, ha ad oggetto un licenziamento intimato per giusta causa conseguente all’accertamento, da parte della datrice di lavoro, dell’esistenza di una corrispondenza su di una “chat aziendale” tra la lavoratrice poi licenziata ed un’altra collega, avente contenuto «pesantemente offensivo nei confronti di una superiore gerarchica e di qualche altra collega». La società aveva appreso l’esistenza e il contenuto della “chat” in esito ad un controllo effettuato dal personale tecnico informatico che, in occasione della chiusura della “chat” e del suo progressivo conseguente abbandono, aveva dovuto verificare se vi fossero dati aziendali da conservare. Particolare rilevanza è stata attribuita ad una serie di circostanze di fatto tra le quali emerge in particolare: a) che per l’accesso alla “chat” era necessario utilizzare una password personale (il che induce la Corte a considerare la corrispondenza scambiata tramite la “chat” come corrispondenza privata); b) esistenza di un regolamento aziendale ai sensi del quale l’accesso alla “chat” sarebbe stato consentito in occasione di «interventi di manutenzione, aggiornamento o per ricavare dati utili per la programmazione dei costi»; c) l’aver omesso, la società, di fornire tempestiva e adeguata informazione ai dipendenti circa l’effettuazione dei controlli. ii) La sentenza del 22 settembre 2021, n. 25732, ha per oggetto un licenziamento per giusta causa conseguente alla diffusione di un virus nella rete aziendale del sistema informatico in esito alla quale l’amministratore del sistema informatico aveva appurato che nella cartella di download del disco fisso era presente un file scaricato che aveva propagato il virus, e che tale virus era partito dal computer aziendale in uso alla lavoratrice. La fattispecie era stata oggetto di un ricorso al Garante privacy da parte della lavoratrice, conclusosi con l’ordine alla datrice di lavoro di [continua ..]
Passando ai provvedimenti del Garante, si può innanzitutto porre in evidenza la particolare cura e approfondimento dedicati dall’Autorità nel ricostruire il percorso motivazionale relativo alle singole fattispecie affrontate. Nel complesso, i quattro provvedimenti in esame presentano uno schema simile. Tutti pongono l’accento sull’esigenza di fornire agli interessati (i lavoratori soggetti alle investigazioni interne) informazioni preventive e chiare circa le finalità e le specifiche modalità dei prospettati controlli, e dunque le concrete ipotesi nelle quali il datore di lavoro «si riserva di effettuare controlli in conformità alla legge, indicando le ragioni legittime, specifiche e non generiche per cui verrebbero effettuati e le relative modalità» (in questo senso il Garante richiama espressamente le “Linee guida per posta elettronica e internet” dettate con proprio provvedimento del 1° marzo 2007, n. 13). Le fattispecie concrete, in sintesi, possono riassumersi nei termini che seguono: i) L’ordinanza del 15 aprile 2021, n. 137 (caso “Clear Channel”) riguarda un trattamento di dati personali effettuato su dati contenuti negli strumenti aziendali consegnati ai lavoratori (smartphone e pc), realizzato mediante l’acquisizione della copia di tutti i contenuti presenti nei dispositivi a seguito della momentanea restituzione dei medesimi richiesta dalla società ad un gruppo di dipendenti a causa del rappresentato sospetto circa la commissione da parte dei medesimi di illeciti anche di natura penale. Sarebbe stata, in particolare, ricevuta dalla società una «segnalazione interna (whistleblowing) da parte di fonti attendibili, congiuntamente a prove indiziarie, di presunte condotte illecite» e, successivamente, all’esito di una prima fase di investigazione che aveva evidenziato alcuni sospetti, la società aveva incaricato un soggetto esterno di svolgere attività di investigazione forense. L’indagine risulta essere stata svolta “a ritroso”. Il passaggio chiave della motivazione è quello relativo alla critica mossa rispetto alle formulazioni utilizzate nei vari documenti aziendali (informative e “policies” di vario genere) che, nel fare riferimento in termini generali ad attività di “monitoraggio”, non sono ritenute idonee a rappresentare con [continua ..]
Il rapporto concettuale che può essere instaurato tra le sentenze e i provvedimenti qui in esame attiene ad un almeno duplice elemento di affinità, relativo, da un lato, al costante richiamo, operato sia dalla Sezione lavoro sia dal Garante, alla giurisprudenza della Corte europea dei diritti dell’uomo (ed in particolare al filone Barbŭlescu-López), e, dall’altro lato, al tentativo di fornire una interpretazione degli artt. 4 e 8 dello Statuto dei lavoratori, coerente e coordinata con la disciplina generale in materia di protezione dei dati personali. Un approccio di questo tipo pare essere mancato, ad oggi, soprattutto nella giurisprudenza del lavoro, che non sempre ha colto e governato le interferenze che in materia di controlli sull’attività del lavoratore derivano dall’incrocio di norme nazionali e sovranazionali, “eurounitarie” o convenzionali, come applicate da Corti nazionali e sovranazionali. Le tre sentenze della Sezione lavoro di cui si è detto fanno convergere, invece, espressamente e chiaramente, il duplice impianto normativo, risvegliando l’attenzione del giuslavorista sul legame esplicito tra diritto del lavoro e disciplina “privacy”. Questo legame viene declinato da tempo dal Garante privacy (oltre che da ampia parte della dottrina [4]): le quattro ordinanze del 2021 qui richiamate partono tutte dalla sottolineatura del rapporto di integrazione reciproca tra i due settori dell’ordinamento (lavoro e “privacy”), evidenziando come il rinvio espresso operato dagli artt. 114 e 113 del Codice privacy (d.lgs. n. 196/2003, come modificato, ma non sul punto, dal d.lgs. n. 101/2018) agli artt. 4 e 8 St. lav., imponga di affermare che le stesse rappresentano «nell’ordinamento interno quelle disposizioni più specifiche e di maggiore garanzia di cui all’art. 88 del Regolamento [...] la cui osservanza costituisce una condizione di liceità del trattamento» (così il provvedimento n. 190 al par. 3, il provvedimento n. 137 al par. 3.3, il provvedimento n. 234 al par. 3.3.9 e il provvedimento n. 384 al par. 3). Sulla rilevanza dell’art. 88 del regolamento europeo è recentemente intervenuta espressamente la stessa Vicepresidente dell’Autorità Garante, sottolineando che «anche il GDPR, che in quanto Regolamento europeo sarebbe direttamente applicabile negli [continua ..]
Il passaggio più importante e innovativo del filone giurisprudenziale aperto dalla sentenza n. 25732 [6] si collega, concettualmente, all’art. 88 del regolamento e all’art. 8 della Convenzione EDU, come interpretato, quest’ultimo, dalla giurisprudenza della Corte europea dei diritti dell’uomo. Quest’ultima norma impone un bilanciamento.
Il diritto al rispetto della vita privata e familiare è un diritto convenzionale c.d. “non assoluto”, suscettibile di “ingerenza”, che gli Stati membri sono abilitati a consentire in presenza di tre specifici presupposti: 1. l’interferenza deve trovare fondamento nella legge; 2. dev’essere necessaria in una società democratica e 3. dev’essere giustificata dalla necessità di perseguire almeno una delle finalità legittime tassativamente elencate dalla norma, tra le quali è ricompresa la protezione dei diritti e delle libertà altrui. Il giudizio di bilanciamento si riconnette al principio di proporzione che deve intercorrere tra ogni restrizione al diritto (il rispetto della vita privata e familiare) ed il fine concretamente perseguito (che, naturalmente, come detto, deve essere legittimo) [7]. Nel caso dei controlli difensivi il bilanciamento è da realizzare tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica (o meglio, più precisamente, nella prospettiva convenzionale, alla protezione della proprietà, garantita dall’art. 1 del Protocollo addizionale alla Convenzione, firmato a Parigi il 20 marzo 1952), rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore. La Cassazione, su questo punto, rinvia espressamente al giudice di merito il compito di effettuare la valutazione giudiziale «circa il concreto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore». Questo passaggio, affermato in relazione alla problematica dei controlli difensivi “occulti”, pone la giurisprudenza in dialogo diretto con il Garante in quanto la Corte assegna al giudizio di bilanciamento un ruolo preponderante anche rispetto alla preventiva informazione. In termini più espliciti, si può dire che gli artt. 8 e 4 St. lav. sono norme che (quali disposizioni più specifiche e di maggiore garanzia ex art. 88 del regolamento 2016/679/UE) integrano la disciplina di protezione dei dati personali; nel rispetto dei principi di liceità, correttezza e trasparenza (art. 5 del regolamento) il datore di lavoro-titolare del trattamento deve adottare misure appropriate [continua ..]
È il giudice di merito, dunque, che, relativamente all’ipotesi del controllo difensivo occulto, è chiamato a verificare se il giudizio di proporzionalità realizzato dal titolare del trattamento possa dirsi conforme al criterio di bilanciamento imposto dall’art. 8, par. 2, Conv. EDU rispetto alla disciplina esistente nell’ordinamento domestico. In questa affermazione è implicito il riconoscimento dell’effetto conformativo del diritto dell’UE sul diritto del lavoro; il principio del primato del diritto dell’UE impone agli Stati membri di garantire l’effettivo raggiungimento dei fini dell’Unione. Nell’ambito di questo principio, «l’obbligo di interpretazione conforme rappresenta uno strumento interpretativo-applicativo il quale consente, e al contempo impone, ai giudici nazionali di adottare ogni “misura particolare” a loro disposizione utile ad assicurare l’effetto conformativo rispetto al diritto dell’Unione» [8]. C’è da dire, a questo riguardo, che la sentenza López, richiamata dalla Sezione lavoro, si riferisce all’ordinamento spagnolo. L’art. 20.3 dello «Estatuto de los Trabajadores» è un po’ diverso dal nostro art. 4 St. lav. [9], e prevede che “Il datore di lavoro può adottare le misure che ritiene più appropriate per il monitoraggio e il controllo al fine di verificare il rispetto da parte del lavoratore dei propri obblighi e doveri lavorativi, mantenendo l’adozione e applicazione dovuta alla loro dignità e tenendo conto, se del caso, della reale capacità dei lavoratori con disabilità” [10]. Questa norma sembra lasciare espressamente aperto alla discrezionalità del datore di lavoro il compito di determinare le modalità di effettuazione dei controlli sul lavoratore, attraverso una valutazione di bilanciamento degli interessi contrapposti da operare alla stregua dei principi elaborati dalla giurisprudenza sovranazionale. Nel nostro ordinamento, diversamente, il legislatore, con l’art. 4 St. lav. (e soprattutto con il testo novellato) ha scelto un punto di bilanciamento tra i vari interessi contrapposti, anche tenendo conto della normativa di matrice europea. Questo bilanciamento non esclude i controlli difensivi, ma, anzi, espressamente li considera e li procedimentalizza (comma [continua ..]
Le garanzie procedurali di cui al comma 1 dell’art. 4 St. lav. recedono anche, come noto, con riferimento ai controlli realizzati attraverso gli «strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa» (e attraverso gli strumenti di registrazione degli accessi e delle presenze). Su questo specifico aspetto il filone giurisprudenziale qui in esame non si sofferma perché l’attenzione è tutta concentrata sul comma 3 dell’art. 4 St. lav. A questo riguardo giova richiamare un precedente giurisprudenziale, confermato in passato dalla Sezione lavoro, a mente del quale non vi sarebbe violazione alcuna dell’art. 4 St. lav. (testo ante 2015) in relazione ad una fattispecie di licenziamento di una segretaria amministrativa, dipendente di uno studio medico, che aveva effettuato nell’arco di diciotto mesi 6.000 accessi a siti estranei allo svolgimento dell’attività lavorativa (pari circa a 16 al giorno). Nei gradi di merito i giudici avevano escluso che la controversia riguardasse la violazione della disciplina relativa al controllo a distanza sull’attività lavorativa e alla protezione dei dati personali in quanto «Il datore di lavoro si è limitato a stampare la cronologia ed il tipo di accesso ad internet dal computer della dipendente: questo non richiede l’installazione di alcun dispositivo di controllo né implica la violazione della privacy, trattandosi di dati che vengono registrati da qualsiasi computer e che sono stati stampati al solo fine di verificare l’utilizzo di uno strumento messo a disposizione dal datore di lavoro per l’esecuzione della prestazione. Né può ipotizzarsi una violazione dell’art. 4 St. lav., trattandosi di attività di controllo non della produttività ed efficienza nello svolgimento dell’attività lavorativa, ma attinenti a condotte estranee alla prestazione» [13]. Questa impostazione è stata confermata dalla Corte di legittimità con una sentenza che afferma la non applicabilità della disciplina sul controllo a distanza dell’attività lavorativa ex art. 4 St. lav. «quando il datore di lavoro si limiti a stampare la cronologia registrata sul browser di navigazione perché in tal caso i dati non sono raccolti attraverso un dispositivo di monitoraggio installato ad hoc e poiché l’art. 4 [continua ..]
La questione pratica più rilevante resta dunque quella relativa all’individuazione: a) di quale sia il soggetto chiamato ad operare tale bilanciamento e, b) di quali siano le modalità per effettuarlo correttamente, nel rispetto dei principi generali posti dal regolamento, e, sostanzialmente, riassunti dall’art. 5 dello stesso. La lettura congiunta della posizione della Corte di legittimità e dell’Autorità Garante consente di dire che il bilanciamento, che il giudice del merito deve valutare se sia stato operato correttamente, grava sul titolare-datore di lavoro, e che le modalità attraverso le quali detto bilanciamento debba essere operato richiedono innanzitutto una preliminare valutazione dell’impatto che i trattamenti che il titolare intende effettuare possano avere sulla protezione dei dati. L’art. 35 del regolamento, commentato dal considerando 84, sottolinea che l’esito della valutazione d’impatto «dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta» il regolamento. Tra queste misure rientra anche il registro delle attività di trattamento, che, pur non richiesto nelle ipotesi espressamente indicate dall’art. 30, par. 5, del regolamento, deve contenere una serie di rilevanti informazioni, tra cui le finalità del trattamento e una descrizione delle categorie di interessati e delle categorie di dati personali trattati. Ora, pare evidente che per potersi dimostrare al giudice che l’indagine difensiva (occulta) è stata posta in essere in conformità ai tre requisiti delineati dalla Sezione lavoro (fondato sospetto, raccolta ex post ed effettuazione del corretto bilanciamento tra esigenze contrapposte), il titolare del trattamento dovrà essere in grado di documentare il processo di valutazione e strutturazione del trattamento dimostrando di aver messo «in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al […] regolamento» (art. 24, che introduce il principio di responsabilità del titolare del trattamento). Anche in questo caso, il principio di responsabilità è sempre valido, che sussistano o meno fondati sospetti circa la commissione di atti illeciti.
Quello che si intende sottolineare è, dunque, si ribadisce, la chiosa, operata dalla Sezione lavoro, secondo la quale: «è pure mancata ogni valutazione circa il corretto bilanciamento tra» le contrapposte esigenze. Si ritiene che questa valutazione debba sempre essere operata, che il controllo sia difensivo, occulto, o no. Nell’un caso e nell’altro cambiano i parametri di valutazione della proporzionalità dell’ingerenza nella «vita privata o familiare» del collaboratore, ma non viene meno mai la necessità di operare un bilanciamento. Il giudice di merito, nell’integrare il giudizio di bilanciamento, dovrà attenersi alle linee interpretative offerte dalla giurisprudenza della Corte europea dei diritti dell’uomo, sinteticamente richiamata dalla Corte di legittimità, ed in particolare alla sentenza della Grande Camera del 17 ottobre 2019, resa nel caso López. Qui la Corte di Strasburgo fornisce un criterio di orientamento generale in ordine alla relazione tra riservatezza e libertà d’impresa e propone una sorta di sistemazione del test di proporzionalità.
Il test di bilanciamento tra riservatezza e proprietà, elaborato dalla giurisprudenza della Corte europea dei diritti dell’uomo, ed in particolare con le sentenze Köpke, Bărbulescu, Lόpez e Libert, non è stabilizzato. La Corte di Strasburgo è consapevole della variabilità dei fattori rilevanti in questa materia. Nel 2010 la Corte ha affermato che «The competing interests concerned might well be given a different weight in the future, having regard to the extent to wich intrusions into private life are made possibile by new, more and more sophisticated technologies» [18]. Questo significa che la Corte ha ben presente l’alto livello di intrusività che gli strumenti tecnologici possono realizzare. Da qui deriva il carattere non definitivo dei singoli arresti giurisprudenziali, che si collocano all’interno di un percorso che è tuttora in fase di elaborazione. Il bilanciamento, dunque, per essere “corretto” (usando le parole della Sezione lavoro) richiede di essere continuamente adeguato, «tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento, sia all’atto del trattamento stesso» (art. 25, par. 1, del regolamento 2016/679/UE). La sentenza López rappresenta ad oggi il punto più avanzato dell’elaborazione giurisprudenziale della Corte EDU in materia di controllo tecnologico a distanza. In Lόpez la Corte sviluppa un ragionamento che prende le mosse dalla sentenza Köpke. In Köpke si afferma, sostanzialmente, che: a) l’art. 8 della Convenzione implica non solamente obblighi di carattere negativo per gli Stati contraenti, ma anche l’obbligo positivo di adottare misure idonee a garantire il rispetto effettivo della vita familiare e della vita privata; b) l’effettivo rispetto dell’art. 8 della Convenzione impone allo Stato di adempiere ai propri obblighi positivi di protezione in favore di soggetti vulnerabili, ma la scelta delle misure specifiche da adottarsi rientra nel c.d. “margin of apprechiation” riservato agli [continua ..]
Iscrivendoti alla newsletter di Giappichelli non riceverai spam, ma bensì gli aggiornamenti sulle nuove uscite di tuo interesse, sconti e iniziative promozionali.
Copyright G. Giappichelli Editore - 2020
ISSN 0025-4959- Massimario di Giurisprudenza del Lavoro (Online)
Iscrizione al R.O.C. n. 25223
Per informazioni: ufficioabbonamenti@giappichelli.it
