CASSAZIONE: Mail conservate con l’informativa (Il Sole 24 Ore)

IL SOLE 24 ORE

Privacy. La Cassazione sottolinea la necessità di autorizzazione preventiva, consenso individuale e informazioni per i controlli
Mail conservate con l’informativa

È illegittima l’installazione di apparecchi e software che consentono controlli approfonditi sulla posta elettronica, sulle telefonate e sulla navigazione internet del lavoratore, se non sono preventivamente esperite le procedure di autorizzazione (sindacale o amministrativa) previste dall’articolo 4 dello statuto dei lavoratori e se non sono rispettati gli ulteriori adempimenti previsti dal codice della privacy.
La Corte di cassazione (sentenza 18302/2016, depositata ieri), ricostruisce le procedure che devono essere applicate per poter validamente utilizzare strumenti informatici di controllo a distanza sull’attività dei lavoratori. La decisione riguarda la versione dell’articolo 4 dello statuto vigente prima delle modifiche introdotte dal Dlgs 151/2015 (che ha sottratto gli “strumenti di lavoro” alle procedure di autorizzazione, con una formulazione che lascia aperti alcuni interrogativi applicativi), ma in larga misura è valida anche alla nuova versione della norma.
La vicenda interessa l’Istituto poligrafico zecca dello Stato, destinatario di un provvedimento del Garante della privacy con il quale è stato vietato il trattamento dei dati personali dei dipendenti, relativi alla navigazione internet, all’utilizzo della posta elettronica e alle utenze telefoniche chiamate dai dipendenti.
Il sistema informatico utilizzato dal datore di lavoro, infatti, non si limitava a vietare la navigazione su alcuni specifici siti internet (quelli non inerenti all’attività istituzionale dell’ente) ma memorizzava ogni accesso o tentativo di accesso alla rete, e conservava queste informazioni per un periodo variabile (da 6 a 12 mesi). Quanto alla posta elettronica, il software conservava sul server aziendale tutti i messaggi spediti e ricevuti dal dipendente, consentendo la loro visualizzazione agli amministratori del sistema. Anche le telefonate erano oggetto di registrazione e conservazione, quanto meno con riferimento ai numeri chiamati.
Il Garante non ha contestato questi sistemi nella loro interezza ma, piuttosto, ha censurato il fatto che fossero stati installati e utilizzati senza il rispetto delle procedure previste dalla legge: quindi, senza l’accordo sindacale (o, in mancanza, l’autorizzazione amministrativa) previsto dallo statuto dei lavoratori, senza l’acquisizione del consenso individuale e senza il rilascio delle informative previste dal codice della privacy.
La Cassazione rigetta l’impugnazione proposta contro tale provvedimento. La Corte ricorda, innanzitutto, che l’articolo 4 dello statuto dei lavoratori, per costante giurisprudenza, trova applicazione ogni volta che un apparecchio consente il controllo a distanza dell’attività dei dipendenti, anche quando il datore di lavoro deve attuare i cosiddetti controlli difensivi.
Spetta al datore di lavoro, osserva la Corte, organizzarsi in modo tale da prevenire comportamenti illeciti dei dipendenti mediante l’utilizzo di strumenti leciti, evitando di svolgere un controllo diretto della prestazione lavorativa.
Se questo controllo non può essere evitato, anche solo come effetto indiretto, gli impianti sono utilizzabili solo previo accordo con le rappresentanze sindacali o, in mancanza, previa autorizzazione amministrativa.
Queste autorizzazioni, prosegue la sentenza, costituiscono lo strumento indispensabile individuato dal legislatore per bilanciare i diritti del lavoratore (in primo luogo, quello alla riservatezza) e il diritto del datore di lavoro a proteggere i beni aziendali.
La violazione di tale principio comporta, secondo la Corte, anche la violazione dell’articolo 8 dello statuto, che vieta lo svolgimento di indagini sulle opinioni e sulla vita personale del lavoratore, anche se i dati raccolti non sono in concreto utilizzati.
La sentenza ribadisce inoltre l’importanza dell’informativa prevista dall’articolo 13 del codice della privacy: la mancata consegna di tale documento, infatti, rende illegittimo il trattamento e la conservazione dei messaggi di posta elettronica sul server aziendale. Giampiero Falasca

Foto del profilo di Andrea Gentile

andrea-gentile