Il potere del datore di lavoro
Nel tessuto delle relazioni di lavoro subordinato, il datore di lavoro detiene un potere intrinseco di direzione, vigilanza e controllo sull’attività dei propri dipendenti.
Questo potere, radicato nell’articolo 2104 del codice civile, è una manifestazione dell’eterodirezione caratteristica del rapporto di lavoro subordinato.
Tuttavia, l’esercizio di tale autorità non è illimitato, ma è vincolato da un corpus normativo e giurisprudenziale che mira a bilanciare l’efficienza produttiva con il rispetto dei diritti fondamentali dei lavoratori
La legge fondamentale in questo contesto è lo Statuto dei Lavoratori, in particolare l’articolo 4, che vieta l’uso di impianti audiovisivi o altri strumenti per il controllo a distanza delle attività lavorative senza il consenso del dipendente.
Questo divieto si pone come un baluardo contro l’intrusione indiscriminata nella vita privata dei lavoratori, delineando chiaramente i confini entro i quali il datore di lavoro può legittimamente esercitare il proprio potere di sorveglianza
Nonostante ciò, la giurisprudenza ha riconosciuto certe eccezioni in cui, per esempio, il controllo può essere effettuato in maniera occulta per prevenire o accertare comportamenti illeciti che potrebbero danneggiare l’azienda o i suoi clienti.
Queste eccezioni sono tuttavia oggetto di un’analisi caso per caso, al fine di garantire che la privacy dei dipendenti non venga compromessa senza giustificato motivo
Inoltre, l’avvento del GDPR ha imposto un ulteriore strato di protezione dei dati personali, ribadendo la necessità di trasparenza e limitazione dello scopo nella raccolta e nel trattamento dei dati personali.
Il diritto di accesso ai propri dati personali da parte dei dipendenti si configura quindi come uno strumento essenziale per la tutela della privacy nel contesto lavorativo
In questo scenario giuridico complesso, il datore di lavoro deve navigare con cautela tra le esigenze di controllo dell’attività lavorativa e il rispetto dei diritti dei propri dipendenti.
La sfida attuale è quella di trovare un equilibrio equo che consenta la tutela degli interessi aziendali senza infrangere i principi di riservatezza e dignità dei lavoratori che trovano fondamento nelle normative nazionali e sovranazionali.
L’articolo si propone quindi di esplorare le dinamiche e le sfide legali che i datori di lavoro devono affrontare nell’esercizio del loro potere direttivo e di controllo, alla luce delle recenti evoluzioni normative e giurisprudenziali.
I soggetti preposti alla vigilanza e al controllo
Il datore di lavoro ha il potere di controllo sulle prestazioni dei lavoratori.
Questo potere può essere esercitato direttamente dal datore di lavoro o tramite l’organizzazione gerarchica a cui i dipendenti fanno riferimento.
Inoltre, il datore di lavoro può nominare personale di vigilanza appositamente incaricato di svolgere questa funzione.
Il datore di lavoro deve comunicare ai dipendenti i nomi e le funzioni degli addetti alla vigilanza.
In questo modo, il datore di lavoro può verificare se i lavoratori stanno adempiendo alle loro prestazioni e individuare eventuali mancanze specifiche che sono già state commesse o sono in corso di esecuzione
La normativa vigente e la giurisprudenza hanno delineato i contorni entro cui il datore di lavoro può esercitare il proprio potere di vigilanza. In linea generale, il controllo deve essere esercitato in maniera trasparente e nota ai lavoratori.
le guardie giurate
Per quanto riguarda l’impiego delle guardie particolari giurate, la loro funzione è strettamente circoscritta alla tutela del patrimonio aziendale. Ulteriori figure di controllo sono, poi, le guardie particolari giurate , il cui impiego da parte del datore di lavoro è ammissibile, però, per sole finalità di tutela del patrimonio aziendale.
La legge impedisce l’uso delle guardie particolari giurate per monitorare il lavoro dei dipendenti e restringe il loro accesso ai luoghi di lavoro, ammettendolo solo in situazioni eccezionali e giustificate per la sicurezza del patrimonio aziendale.
Datore di lavoro e superiori gerarchici
Si ritiene che l’obbligo di pubblicità relativo al personale di vigilanza sia estraneo allo svolgimento dei controlli da parte del datore di lavoro o dei superiori gerarchici, normalmente rientranti nei poteri dell’imprenditore ex art. 2104 c.c.
In diverse sentenze, è stato riconosciuto che il controllo esercitato da tali soggetti (datore di lavoro o superiori gerarchici), data la loro particolare posizione, può avvenire anche in modo nascosto.
I controlli tramite agenzia investigativa e il rispetto della privacy
In termini generali, si considera legittimo il ricorso da parte del datore di lavoro all’agenzia investigativa allorquando intenda verificare l’avvenuta perpetrazione di illeciti da parte dei dipendenti e ciò anche in ragione del solo sospetto o della mera ipotesi che degli illeciti siano in corso di esecuzione.
Altre sentenze hanno ritenuto ammissibili controlli a mezzo investigatori finalizzati a verificare comportamenti che possono configurare ipotesi penalmente rilevanti o integrare attività fraudolente.
È in ogni caso escluso che i controlli tramite agenzia investigativa possano riguardare l’esecuzione dell’attività lavorativa.
il rispetto del GDPR
Dato che i controlli di questo tipo possono avere un impatto significativo sulla privacy dei lavoratori, il rispetto delle normative sulla protezione dei dati personali diventa un requisito legittimo per tali controlli.
La Corte di Cassazione si è recentemente pronunciata in merito a questa questione, con la sentenza n. 28378 del 11 ottobre 2023, riguardante il licenziamento di un dipendente a seguito di un procedimento disciplinare in cui erano state mosse varie accuse, accertate tramite un’agenzia investigativa.
Nella pronuncia in questione, la Corte di Cassazione ha ritenuto che i dati raccolti attraverso l’indagine investigativa – ancorché condotta in presenza delle condizioni di ammissibilità enucleate dalla giurisprudenza – non potessero essere utilizzati nel caso di specie e in ciò ragione di una riscontrata violazione della normativa sulla privacy.
Nello specifico, era emerso che il mandato conferito dal datore di lavoro all’agenzia investigativa fosse privo dei nominativi degli investigatori delegati all’esecuzione delle indagini, tale circostanza integrando violazione dell’art. 8, comma 4, del provvedimento del Garante n. 60 del 6 novembre 2008, Allegato A.6, contenente le “Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria pubblicate”, del d.lgs. 30 giugno 2003, n. 196 (“Codice Privacy”).
Al riguardo, la Corte ha chiarito che: le prescrizioni contenute nei codici deontologici hanno valenza normativa e inderogabile; in osservanza del principio iura novit curia, il giudice deve individuare i codici deontologici e farne applicazione a prescindere dalla loro invocazione dalla parte interessata;
l’inutilizzabilità dei dati discende dall’art. 11 Codice Privacy, vigente ratione temporis e per il quale
“I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati” e dalla funzione che tale disposizione assolve, ovverosia quella di scoraggiare la ricerca, l’acquisizione e più in generale i trattamenti abusivi di dati personali.
Ne emerge, dunque, un risonante avvertimento per i datori di lavoro a concordare con le agenzie investigative “regole di ingaggio” trasparenti e, più in generale, ad adottare politiche del lavoro, anche in fase di esercizio del potere di vigilanza, rispettose della normativa sulla privacy, atteso che la relativa inosservanza si traduce, all’atto pratico, nell’impossibilità per l’imprenditore di far valere le proprie ragioni nel processo, anche laddove fondate.
L’inutilizzabilità dei dati nel nuovo Codice Privacy
Il quadro normativo preso in considerazione dalla Corte di Cassazione nella sentenza sopra richiamata è mutato a seguito dell’entrata in vigore del d.lgs. 10 agosto 2018, n. 101 che ha abrogato l’art. 11 Codice Privacy e introdotto due nuove disposizioni sul punto: si tratta, nello specifico, dell’art. 2-decies, che sancisce che
“I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati, salvo quanto previsto dall’articolo 160-bis”, e dell’art. 160-bis che prevede che “La validità, l’efficacia e l’utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali”.
Tenuto conto della clausola di salvezza – i.e., il rinvio alle “pertinenti disposizioni processuali” – di cui all’art. 160-bis, pare che la conseguenza dell’inutilizzabilità dei dati trattati in violazione della disciplina sulla privacy abbia perso il carattere di assolutezza che le era stato conferito in sede di interpretazione dell’art. 11 Codice Privacy.
Senonché, per quel che riguarda il processo civile, non solo manca nel codice di rito una norma pertinente al trattamento dei dati personali ma non v’è neppure una disposizione che regola l’istituto dell’utilizzabilità della prova in termini più generali.
In caso di controversia, sarà rimesso sostanzialmente al potere discrezionale del giudice decidere, a seconda della fattispecie concreta, se i dati eventualmente acquisiti in maniera illecita siano utilizzabili o meno e se il relativo mezzo di prova sia ammissibile.
In altre parole, fintantoché la portata delle nuove disposizioni del Codice Privacy non verrà chiarita dal legislatore (es. attraverso una norma di interpretazione autentica), il dibattito sull’argomento potrà considerarsi tutt’altro che chiuso.
Il diritto di accesso
Connesso al tema dei controlli datoriali è il diritto di accesso da parte del dipendente ai dati personali acquisiti attraverso tali controlli, garantito dal GDPR e oggetto del recente provvedimento del Garante del 6 luglio 2023 (il “Provvedimento”)
L’interessato ha diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano (an del trattamento) e, in caso positivo, di ottenere l’accesso ai dati personali (quantum del diritto) “e alle seguenti informazioni” di cui all’art. 15 GDPR.
In relazione al diritto di accesso come delineato nel GDPR e declinato dal Provvedimento, si fa presente che:
la rilevanza costituzionale del diritto si basa principalmente sulla Carta dei diritti fondamentali dell’Unione europea (10);
il diritto di accesso deve essere circoscritto in un perimetro definito (per quanto ampio).
Ciò in quanto tutti i diritti soggettivi sono per definizione soggetti a limiti; un limite “esogeno” al diritto di accesso è stabilito dall’art. 12 GDPR, in caso di richieste “manifestamente infondate o eccessive” (con particolare riferimento a quelle ripetitive), in presenza delle quali il titolare del trattamento (con onere della prova a suo carico) può, alternativamente, imporre costi amministrativi (generalmente vietati), oppure rifiutarsi di soddisfare la richiesta.
Formulando un esempio specificamente relativo all’irrogazione di sanzioni disciplinari, il Garante europeo stabilisce che, in linea di principio, il datore di lavoro, in caso di richiesta di accesso del dipendente licenziato poco tempo prima, non ha il potere di verificare la finalità (es., probatoria) della richiesta di accesso, né il dipendente è tenuto a fornire le ragioni della richiesta; tuttavia, questo non comporta automaticamente che l’accesso ai “dati personali” e alle “informazioni” elencate dall’art. 15 GDPR debba avvenire in una forma predefinita o soggetta ad una scelta discrezionale del dipendente.
Si potrebbe considerare eseguita la richiesta di accesso documentale agli atti condivisi da un’agenzia investigativa senza con ciò stabilire un obbligo di ostensione della relazione stessa a carico del datore di lavoro titolare del trattamento.
La fattispecie oggetto del Provvedimento
Il Provvedimento trae origine da un reclamo presentato al Garante con cui un dipendente ha lamentato il mancato riscontro, ad opera del datore di lavoro, ad una richiesta di accesso ex art. 15 GDPR ai propri dati personali, trattati dal datore di lavoro per l’irrogazione di una sanzione disciplinare.
Più in dettaglio, il dipendente ha richiesto al datore di lavoro “l’accesso ai propri dati aventi ad oggetto i fatti e i comportamenti asseritamente irregolari indicati nella lettera di contestazione di addebito”; precisando altresì che sarebbe stato sufficiente “estrapol[are] dalla documentazione dati e nomi, se pregiudizievoli del diritto alla riservatezza di terzi”.
Con successiva memoria, il reclamante ha rappresentato di aver appreso, nel corso del giudizio avviato con ricorso per l’impugnazione del licenziamento, che la società datrice di lavoro “si è rivolta a una agenza investigativa alla quale ha affidato lo svolgimento di complesse indagini che hanno rilevato il comportamento illegittimo oggetto di contestazione”.
Dagli atti acquisiti in istruttoria emerge pertanto che, a fronte di una richiesta di accesso ai dati riferiti alle contestazioni disciplinari comminate dal datore di lavoro, quest’ultimo avrebbe dapprima “interpretato” la richiesta come di “accesso al personal computer aziendale” (ritenendola non accoglibile), chiedendo all’interessato di indicare specificamente la documentazione oggetto della richiesta.
Il datore di lavoro ha quindi contestato, inter alia:
a) l’eccessiva genericità della richiesta di accesso agli atti;
b) il mancato rispetto delle modalità specifiche (indirizzi e-mail ad hoc) messe a disposizione dei dipendenti per l’esercizio dei propri diritti inerenti al trattamento dei dati personali, peraltro nel corso dello svolgimento di un delicato procedimento disciplinare;
c) la legittimazione alla richiesta della “relazione investigativa” presentata dall’agenzia delegata per lo svolgimento dei controlli difensivi.
Il Garante ha chiarito che subordinare la richiesta di esercizio del diritto di accesso all’indicazione dettagliata della documentazione cui si chiede di accedere non è conforme al GDPR.
Più specificamente, stabilisce che:
a) salvo diversa richiesta contraria ed esplicita dell’interessato, il diritto di accesso deve intendersi esercitato in termini generali, comprendendo quindi tutti i dati personali che riguardano l’interessato;
b) nel caso di specie, peraltro, la richiesta non presentava caratteri di generalità, in quanto “limitata” a tutti i dati rilevanti ai fini dell’irrogazione della sanzione disciplinare (“tutta la documentazione utilizzata per elevare la contestazione disciplinare”);
c) correttamente, l’estensione del diritto di accesso alla “relazione investigativa” redatta in sede di controlli difensivi non riguarda necessariamente il documento in sé, ma i dati personali del dipendente che abbiano rilievo a tali fini.
Ciò posto, ulteriori interessanti elementi di riflessione si individuano in alcuni passaggi del provvedimento che – sia pure incidentali – presentano particolare rilievo:
a) pur essendo il procedimento in commento nei confronti del datore di lavoro a seguito di reclamo inoltrato al Garante dall’interessato, il Garante chiarisce di aver vagliato la liceità del trattamento posto in essere dalla stessa agenzia investigativa, svolgendo specifica attività istruttoria sul punto;
b) il Garante conferma l’astratta applicabilità a casi analoghi delle circostanze di limitazione (rectius: posticipazione) delle richieste di accesso degli interessati che derivino da investigazioni difensive; tuttavia, tale “sospensione” nel fornire riscontro all’interessato deve necessariamente risultare da un diniego motivato e “senza ritardo”, in conformità all’art. 15 GDPR;
c) quanto alle concrete modalità approntate dal titolare del trattamento per l’inoltro delle richieste, il Garante ha ritenuto non applicabili tali limitazioni (es., e-mail @privacy dedicate), laddove la richiesta sia stata inoltrata comunque in modo congruo nell’ambito dell’organizzazione del datore di lavoro (es., via PEC).
Conclusioni
Il provvedimento del Garante è senz’altro in linea con le più recenti linee guida tracciate dalle autorità europee competenti in materia di trattamento dei dati personali.
Sarà interessante verificarne, nel prossimo futuro, la portata estensiva rispetto all’esercizio di diritti alla protezione dei dati personali diversi da quello di accesso (es., in relazione ai trattamenti automatizzati che si fanno sempre più spazio nella gestione dei rapporti di lavoro di determinati settori industriali).
Altro punto evolutivo di interesse è quello relativo alla portata del diritto di limitazione dei diritti degli interessati nei casi previsti dall’art. 2-undecies del Codice Privacy e, in particolare, in caso di investigazioni difensive e/o tutela giudiziale di diritti.
Sulla base delle informazioni reperite, si può delineare una nuova prospettiva riguardo la tematica dei controlli datoriali effettuati attraverso agenzie investigative, l’ammissibilità delle prove in tale contesto e il diritto di accesso ai dati personali dei dipendenti, in conformità con il Regolamento UE 2016/679 (GDPR) e la giurisprudenza pertinente.
