di Matteo Pira
L’art. 4 dello Statuto dei Lavoratori disciplina i controlli a distanza sui lavoratori, che costituiscono una particolare modalità di esercizio del potere di controllo, caratterizzato da uno sfasamento nello spazio o nel tempo. L’attuale formulazione della norma risale all’intervento realizzato con la cd. riforma Jobs Act (D. Lgs. 151/2015), che ha modificato la precedente formulazione risalente allo Statuto dei Lavoratori (l n. 300 del 1970).
Le modalità con cui le tecnologie permettono di esercitare il controllo a distanza sono numerose, a partire dalle tradizionali modalità di sorveglianza attraverso le telecamere fino agli strumenti più moderni di controllo realizzati tramite tecnologie indossabili, sistemi di geolocalizzazione, verifica dell’utilizzo di posta elettronica e internet, rilevatori biometrici. A fronte dei rischi sul piano della dignità e della riservatezza dei lavoratori, il legislatore ha predisposto un sistema normativo imperniato sull’art. 4 Statuto Lavoratori e sulla normativa della privacy.
L’art. 4, primo comma Statuto Lavoratori, richiede – per la legittimità dell’uso di strumenti di controllo a distanza – la presenza di una esigenza che può essere di natura organizzativa e produttiva oppure riguardante la sicurezza del lavoro o la tutela del patrimonio aziendale. Oltre alla presenza di una delle legittime esigenze di controllo individuate dalla legge, è necessaria l’autorizzazione allo svolgimento dei controlli a distanza tramite accordo collettivo con la rappresentanza sindacale unitaria (RSU) o con la rappresentanza sindacale aziendale (rsa). Qualora a seguito delle trattative sindacale non si riesca a raggiungere l’accordo sindacale, il datore di lavoro può proporre in alternativa istanza di autorizzazione amministrativa all’Ispettorato del lavoro. Il rispetto del primo comma dell’art. 4 Statuto Lavoratori è fondamentale, perché la sua violazione può comportare sanzioni penali ai sensi dell’art. 171 D. Lgs. 196/2003.
Il secondo comma dell’art. 4 Statuto Lavoratori prevede la deroga alla procedura prevista dal primo comma per gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (quali i computer) e per gli strumenti utilizzati per la registrazione degli accessi e delle presenze (cioè i badge).
In base all’art. 4, terzo comma Statuto Lavoratori, le informazioni raccolte tramite i controlli a distanza – legittimamente effettuati nel rispetto di ciò che prevedono il primo e il secondo comma – sono utilizzabili a tutti i fini connessi al rapporto di lavoro, purché sia stata garantita al lavoratore un’informazione adeguata sui controlli e sia stata rispettata la normativa in materia di privacy. La necessità di una previa informativa al lavoratore è volta ad evitare controlli occulti, cioè effettuati a insaputa del lavoratore.
Il richiamo alla disciplina sulla tutela della riservatezza rende necessario il rispetto del D. Lgs. 196/2003 (Codice della privacy) e del Regolamento UE n. 2016/679 (GDPR), in modo da uniformare la protezione dei dati personali del lavoratore alla disciplina generale. Questo apparato normativo include numerosi principi in materia di trattamento dei dati personali, tra cui i principi di legittimità, trasparenza, minimizzazione dei dati, limitazione delle finalità. Inoltre, il GDPR prevede che il rispetto di tali principi debba essere garantito attraverso una serie di adempimenti formali volti alla responsabilizzazione del titolare del trattamento (che nell’ambito lavorativo coincide con il datore di lavoro). La complessità della materia e la presenza di innumerevoli casi pratici rende necessario verificare la conformità degli strumenti di controllo non solo alle norme di legge, ma anche all’interpretazione che viene fornita dal Garante della privacy e dalla giurisprudenza.
Sul tema dei controlli a distanza è intervenuta in numerose occasioni la Corte Europea dei Diritti dell’Uomo, che si è pronunciata in merito alla compatibilità della tutela assicurata dalla disciplina nazionale dei vari Stati aderenti rispetto all’art. 8 CEDU, che riconosce il diritto al rispetto della vita privata e familiare. Nel caso Barbulescu c. Romania, la Grande Camera della Corte di Strasburgo è intervenuta nel 2017 sul ricorso di un lavoratore, che era stato licenziato a seguito del riscontro dell’utilizzo del computer aziendale e della rete internet per mandare messaggi personali sul luogo e nell’orario di lavoro. La sentenza ha riconosciuto la violazione dell’art. 8 CEDU dal momento che il lavoratore, pur essendo stato edotto in merito al divieto di utilizzo del computer aziendale e della rete internet a scopo personale, non era stato preventivamente informato sullo svolgimento dei controlli a distanza; inoltre, la Corte ha rilevato profili di criticità sull’applicazione dei principi di necessità e non eccedenza, poiché il controllo non si è limitato alla verifica degli indirizzi a cui i messaggi erano inviati, ma ha avuto ad oggetto anche il contenuto dei messaggi.
Nel 2019 la Corte EDU nella sentenza Lopez Ribalda c. Spagna si è pronunciata su un caso diverso di controllo a distanza, concernente l’installazione occulta di telecamere per riprendere alcuni cassieri sospettati di furti in un supermercato. In questo caso la Grande Camera – modificando la precedente impostazione della Camera Semplice – ha riscontrato il rispetto del principio di non eccedenza, dal momento che i controlli erano limitati nello spazio e nel tempo. Peraltro, le riprese venivano effettuate in un luogo pubblico, in cui secondo la Corte era già di per sé ragionevole aspettarsi una riduzione della privacy a causa del contatto continuo con i clienti. La Grande Camera ha affermato che la preventiva informazione al lavoratore è generalmente richiesta, ma non costituisce un elemento imprescindibile per il rispetto dell’art. 8 CEDU, essendo solo uno degli elementi da tenere in considerazione ai fini della verifica della proporzionalità del controllo.
Quest’ultima pronuncia è intervenuta sul tema dei cd. controlli difensivi, presenti anche nel nostro ordinamento e oggetto di un’oscillante evoluzione da parte della giurisprudenza degli ultimi due decenni. I controlli difensivi sono stati previsti dalla Cassazione sin dalla sentenza 4746/2002, in cui – nel vigore della versione originaria dell’art. 4 Statuto Lavoratori – è stata esclusa la necessità di osservare la procedura di autorizzazione sindacale/amministrativa per i controlli a distanza volti ad accertare condotte illecite del lavoratore. Successivamente, a partire dalla sentenza 15892/2007, la Cassazione ha circoscritto la possibilità di svolgere controlli a distanza di natura difensiva senza rispettare la procedura ex art. 4, limitandoli alla verifica di illeciti al di fuori dell’adempimento contrattuale (tra cui i furti effettuati dai dipendenti) e vietandoli invece per la verifica di meri inadempimenti contrattuali (ad esempio sull’orario di lavoro). Nella successiva sentenza 16622/2012 la Cassazione ha ripreso tale impostazione, affermando la necessità di applicare la procedura sindacale/amministrativa in caso di utilizzo di sistemi in grado di rilevare telefonate ingiustificate da parte dei dipendenti. I controlli difensivi godono attualmente di una previsione per legge, essendo stata espressamente prevista all’interno dell’attuale art. 4 St. Lav., a partire dal Jobs Act, l’esigenza della tutela del patrimonio aziendale. Talvolta persistono orientamenti differenti della Cassazione, che in alcune pronunce (Cass. civ. 26682/2017; Cass. pen. 3255/2020) continua a non ritenere necessario il previo esperimento della procedura sindacale/amministrativa, in particolare per i controlli difensivi volti ad accertare comportamenti lesivi del patrimonio aziendale.