È lecito controllare la posta del dipendente, anche per scopi difensivi? Prendiamo spunto da una recente sentenza del Giudice del lavoro Genova, del 14 dicembre 2021, in merito alla legittimità di eventuali tali controlli da parte del datore di lavoro.
Il caso in questione, riguarda una dipendente che era stata licenziata a seguito di controlli eseguiti dal datore di lavoro che avevano rilevato l’invio verso terzi, tramite la casella di posta aziendale, di dati riservati relativi all’azienda.
Informative compliant al GDPR: le indicazioni pratiche per le imprese
Indice degli argomenti
Cosa dicono le normative attuali
Facciamo un percorso un po’ a ritroso partendo dall’ormai famosa, per non dire “famigerato”, Art. 4 della Legge 300 del 1970 conosciuta anche come Statuto del Lavoratore e recentemente modificata dall’Art.23 del D.lgs. 151/2015 o Jobs Act.
In sintesi, l’Art. 4 L300/1970 vieta l’utilizzo di strumenti sul luogo di lavoro, che possano controllare il lavoratore, anche a distanza. Il recente Jobs Act ha, diciamo un po’ “ammorbidito” questa stringente disposizione , introducendo il concetto di “strumento idoneo alla resa della prestazione lavorativa” in base al quale, semplificando, strumenti come il PC, il telefono, Internet o la posta elettronica non possono essere considerati strumenti di controllo in quanto necessari per rendere la prestazione lavorativa.
Detto questo va anche da se che non si può abusare di questa definizione utilizzando questi strumenti, in mano ai lavoratori, come mezzi di controllo, a meno che questi controlli non servano per garantire la sicurezza della rete, come ad esempio nel caso di abuso dell’utilizzo di Internet per visitare siti o aprire messaggi di posta potenzialmente pericolosi.
Il caso della dipendente licenziata per il controllo della posta
Considerando il caso specifico citato inizialmente, premettiamo che, un controllo di questo tipo sarebbe ammesso, anche se in contrasto con l’Art.4 dello Statuto del Lavoratore, solo se effettuato sulla base di un fondato sospetto ed a scopo difensivo.
Vuol dire che il controllo ci può essere, ma non può essere sistematico e a prescindere su tutti i lavoratori o anche solo su uno di essi, e comunque deve essere conseguente ad uno o a reiterati eventi che dimostrino l’uso illegittimo o non allineato alle policy di sicurezza aziendali dello strumento, in questo caso la mail, ma potrebbe essere il controllo della navigazione Internet o l’uso dello smartphone aziendale a scopo privato.
La sentenza del Tribunale di Genova
Il Giudice del Lavoro, non è entrato neanche nel merito della illegittimità o meno di tale controllo, limitandosi a rilevare alcune irregolarità formali in merito alle normative Privacy che hanno poi prodotto una sentenza di illegittimità del provvedimento di licenziamento con conseguente reintegro della dipendente nel posto di lavoro.
In particolare, queste irregolarità a livello privacy e GDPR riguardavano il fatto che, al lavoratore non era stata fornita, preventivamente, alcuna informativa riguardante la raccolta dei dati che indicasse la possibilità di controllo da parte del datore di lavoro, con indicazione della finalità (difesa in giudizio o scopo difensivo) e in che modalità sarebbero avvenuti tali controlli.
Inoltre, il controllo difensivo non era stato eseguito a seguito di un fondato e concreto sospetto del datore di lavoro su anomalie riferibili al dipendente.
Queste mancanze, alcune formali altre meno, hanno reso quindi illegittime le prove che sono state presentate a giudizio causando la sentenza di licenziamento illegittimo e il reintegro della dipendente.
Conclusioni
La sentenza del Tribunale di Genova andrà sicuramente a rinforzare uno scenario normativo, quello che si riferisce al mondo del lavoro, che non presenta molti punti fermi cui far riferimento lasciando spazio a dubbi interpretativi. Quello che si deve imparare da questa sentenza è che, se ci si vuole aggrappare ai pochi appigli che lasciano le normative per fare controlli sui dipendenti, bisogna non trovarsi impreparati e scoperti per quanto riguarda le normative sul trattamento dei dati personali, quindi GDPR, D.lgs. 96/2003 e suo novellato D.lgs. 101/2018.
Grande attenzione quindi a fornire, prima e non dopo, un’informativa il più possibile completa, chiara e precisa, plasmata in funzione dei reali trattamenti dati che si mettono in atto o si potrebbero mettere in atto riguardo i dipendenti ed i collaboratori della propria azienda.
Non si può quindi pensare all’informativa dopo che si è messo in atto un trattamento perché sarebbe tardivo e illegittimo, oppure fornire un’informativa generica e vaga come le classiche “copia e incolla” che si vedono ancora troppo spesso anche nei siti internet.
All’informativa deve poi anche corrispondere un regolamento aziendale, dove vengono bene indicate tutte le policy e le best practices che l’azienda definisce, a seguito di un’accurata Analisi dei Rischi, ed a cui gli autorizzati al trattamento devono attenersi al fine di proteggere i dati.
Infine, le nomine agli autorizzati al trattamento dati, che devono essere completate di tutte le istruzioni necessarie affinché eseguano i trattamenti in conformità alle disposizioni legislative ed alle regole di sicurezza che stabilisce l’azienda contenute nel Regolamento Aziendale.
