Sommario: 1. Il tema. - 2. I controlli aziendali da parte del datore di lavoro. - 3. Le indagini difensive da parte del datore di lavoro.
1. Il tema.
L'azienda può svolgere - in qualità di datore di lavoro e, ai sensi della normativa sulla protezione dei dati personali, anche in qualità di titolare del trattamento - controlli ed in-dagini sulle informazioni contenute all'interno degli stru-menti e dei dispositivi messi a disposizione del proprio per-sonale dipendente al fine di difendere o far valere un diritto ovvero tutelare e proteggere i propri beni ed il proprio busi-ness aziendale, a condizione che vengano rispettate le pre-scrizioni contenute all'interno sia dello Statuto dei Lavora-tori che della normativa (comunitaria e nazionale) sulla pro-tezione dei dati personali.
2. I controlli aziendali da parte del datore di lavoro.
Un tema di particolare rilevanza e, al contempo, delicato in materia di protezione dei dati personali riguarda i con-trolli che un'azienda può svolgere - agendo in qualità di datore di lavoro e, ai sensi della normativa vigente in mate-ria di protezione dei dati personali, anche in qualità di tito-lare del trattamento - per finalità di sicurezza e di tutela dei propri beni e della propria immagine, sugli strumenti ed i dispositivi messi a disposizione dei propri dipendenti.
L'art. 4 della Legge n. 300 del 20.5.1970 (cd. Statuto dei Lavoratori), così come modificato dal D.Lgs. n. 151/2015, definisce il perimetro entro il quale il datore di lavoro può agire, giacché stabilisce, al comma 1, che "Gli impianti au-diovisivi e gli altri strumenti dai quali derivi anche la possibi-lità di un controllo a distanza dell'attività dei lavoratori pos-sono essere impiegati esclusivamente per esigenze organizza-tive e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale", previo necessario accordo collettivo stipulato con la RSU o RSA ovvero, in mancanza di esse, previa autorizzazione della sede territoriale dell'Ispettorato Nazionale del Lavoro (o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, previa autorizzazione della sede centrale dell'Ispettorato Nazionale del Lavoro).
Il comma 2 del citato art. 4 dispone, all'opposto, che le procedure di autorizzazione sopra richiamate non si appli-cano agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa nonché agli strumenti di registrazione degli accessi e delle presenze (es. badge).
Il terzo ed ultimo comma della norma in esame stabilisce, infine, che le informazioni raccolte attraverso gli strumenti installati in conformità alle disposizioni prescritte dallo Sta-tuto dei Lavoratori possono essere utilizzate, da parte del datore di lavoro, per tutte le finalità connesse al rapporto di lavoro, a condizione che: a) sia data al lavoratore ade-guata informazione circa le loro modalità di utilizzo e di svolgimento degli eventuali controlli da parte del datore di lavoro; b) sia data piena attuazione ai vari obblighi pre-scritti dalla normativa (europea e nazionale) sulla prote-zione dei dati personali.
Infatti, la finalità della norma in questione è quella di por-re il lavoratore - in ossequio all'obbligo di trasparenza in capo al datore di lavoro - di essere in grado di assumere consapevolezza circa la propria sottoposizione ad un legit-timo controllo cd. tecnologico.
Nello specifico, il datore di lavoro (e/o il titolare del trat-tamento) dovrà mettere a disposizione dei lavoratori (e/o dei soggetti interessati) un regolamento aziendale (cd. poli-cy) volta a definire, con chiarezza e precisione, l'utilizzo le-cito degli strumenti forniti da parte dell'azienda, oltre che ogni informazione dettagliata circa i controlli (e le conse-guenze disciplinari, in caso di infrazioni) che può porre in essere.
Oltre a ciò, il datore di lavoro dovrà fornire, altresì, al proprio personale dipendente un'informativa ex art. 13 del GDPR (la quale può essere, peraltro, contenuta all'interno della medesima informativa che il datore di lavo-ro fornisce al dipendente al momento dell'assunzione) ri-guardante il trattamento dei loro dati connesso all'utilizzo degli strumenti aziendali nonché in riferimento ai potenziali controlli eseguibili.
Infine, si ricorda che, nell'ambito delle proprie attività di controllo, il datore di lavoro non può raccogliere dati che eccedano il principio di minimizzazione e proporzionalità dei trattamenti ex art. 5 del GDPR, previa, peraltro, neces-saria applicazione di misure e tecniche inidonee a determina-re una forma di controllo prolungata, costante ed indiscri-minata dell'attività lavorativa.
3. Le indagini difensive da parte del datore di lavoro.
Al fine di difendere o far valere, in sede giurisdizionale o stragiudiziale, un diritto ovvero tutelare e proteggere i pro-pri beni ed il proprio business aziendale, il datore di lavoro ha la facoltà, altresì, di accedere ai dati contenuti ed ar-chiviati all'interno degli strumenti aziendali messi a dispo-sizione del proprio personale.
Al riguardo, particolare focus deve essere posto nel caso in cui le indagini difensive hanno ad oggetto i contenuti delle comunicazioni elettroniche inviate e/o ricevute dal dipenden-te attraverso i dispositivi messi a disposizione dell'azienda: infatti, atteso il fatto che la segretezza delle comunicazioni elettroniche è oggetto di tutela di rango costituzionale, tali controlli devono possedere inderogabilmente le seguenti ca-ratteristiche:
a. Devono essere strettamente necessari ad accertare, far valere o difendere un diritto, nonché devono es-sere supportati da elementi di fatto e di diritto: nello specifico, deve sussistere un ragionevole fumus di ille-cito o di violazione, imputabile al lavoratore ovvero a soggetti terzi;
b. Devono essere minimi: in ossequio al principio di mi-nimizzazione, è vietato al datore di lavoro di accedere, in modo indiscriminato, a tutti i contenuti delle comu-nicazioni effettuate e/o ricevute dal dipendente, ma unicamente a quelle necessarie a consentire di valutare la sussistenza dei presupposti per procedere a tutelare i propri diritti e/o interessi;
c. Devono essere svolti nel rispetto delle normative in materia: nello specifico, le operazioni di accesso in parola possono avvenire, da un lato, previa acquisi-zione dello specifico consenso del lavoratore e, per al-tro verso, nominando un avvocato difensore.
Da ultimo, si osserva che le poc'anzi descritte caratteristi-che sono tese a rispettare i consolidati dettami espressi sia dalla giurisprudenza di legittimità (v. in tal senso, Corte di Cassazione n. 2722/2012, n. 10955/2015 e n. 13266/2018) che dall'art. 8 della Convenzione Europea dei Diritti dell'Uomo (cfr. sentenza CEDU del 12.1.2016, cd. Barbule-scu c. Romania), secondo cui l'esigenza, da parte del datore di lavoro, di evitare il compimento di condotte illecite da parte dei dipendenti non può assumere, nel rispetto dei principi di ragionevolezza e proporzionalità, una portata ta-le da giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e della riservatezza del lavoratore.