Le limitazioni ai controlli datoriali derivano dal diritto del lavoro (Statuto dei lavoratori, legge n. 300/1970), dalle norme a tutela dei dati personali (Regolamento UE 2016/679, “GDPR”) e dalle Linee guida del Garante per la privacy concernenti la posta elettronica e internet. La normativa è integrata dal provvedimento del Garante per la privacy n. 9086480/2019, sui controlli esterni sul dipendente. In ambito giuslavoristico, i controlli si suddividono in interni ed esterni, mentre gli strumenti di controllo in tecnici e personali e sono disciplinati dallo Statuto dei lavoratori. Controlli interni I nomi e le mansioni del personale addetto alla sorveglianza dell’attività lavorativa devono essere comunicati ai lavoratori; questi soggetti non possono accedere ai locali frequentati dai lavoratori per altre ragioni. Controlli esterni Il datore di lavoro può assumere delle guardie giurate, ma solo per la tutela del patrimonio aziendale. Le guardie giurate hanno il divieto assoluto di vigilare sull’attività lavorativa. La giurisprudenza ha riconosciuto legittimo il licenziamento basato sul mancato o inadeguato svolgimento delle mansioni, scoperto dall’investigatore privato assunto dal datore di lavoro (Cass., 9167/2003; Cass., 8373/2018). responsabilità penale del datore di lavoro (art. 38 dello Statuto dei lavoratori). Strumenti tecnici di controllo (telecamere) Le modifiche apportate dal Jobs Act allo Statuto dei lavoratori prevedono che il datore di lavoro possa installare impianti audiovisivi ed altri strumenti per controllare da remoto l’attività dei lavoratori, “per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”, purché, prima dell’installazione (Cass. pen., 4331/2014), vi sia un accordo con le rappresentanze sindacali o un’autorizzazione dell’Ispettorato Nazionale del Lavoro (art. 5, comma 6, d.lgs. 185/2016). Tali adempimenti non sono necessari per gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze” (es. badges). È autorizzato l’uso, da parte del datore di lavoro, delle informazioni raccolte attraverso tali impianti per qualunque ragione connessa al rapporto di lavoro, purché sia assicurato il rispetto delle disposizioni del GDPR. L’art. 169 del “nuovo codice privacy”, aggiornato dal D.Lgs. n. 101/2018, prevede la responsabilità penale del datore di lavoro per la violazione di queste disposizioni. La giurisprudenza ha sancito il divieto, per il datore di lavoro, di riprendere i lavoratori durante lo svolgimento dell’attività lavorativa (Cass. pen., 38882/2018). Tuttavia, si registrano due orientamenti giurisprudenziali in merito: secondo un’opinione, è legittimo il licenziamento basato su registrazioni video effettuate da telecamere nascoste, in presenza di equo bilanciamento per i principi di ragionevolezza e di proporzionalità (Cass., 10636/2017), un’altra opinione nega la legittimità dell’uso di tali strumenti, mancando l’accordo con le rappresentanze sindacali o l’autorizzazione amministrativa, e afferma la responsabilità penale del datore di lavoro (Cass., 22148/2017). La violazione di questa disposizione non è fonte di responsabilità penale. Strumenti personali di controllo Le visite personali di controllo sono vietate se non necessarie per la tutela del patrimonio aziendale o “in relazione alla qualità degli strumenti di lavoro o delle materie prime o dei prodotti”, in presenza del consenso del lavoratore e delle rappresentanze sindacali. Il requisito della necessità è stato valutato restrittivamente dalla giurisprudenza. Il Ministero del Lavoro ha affermato che l’ispezione degli oggetti personali dei dipendenti è uno strumento di controllo personale da sottoporre ad accordo con le rappresentanze sindacali o ad autorizzazione amministrativa (parere n. 20542 dell’8 novembre 2016). La violazione di questa disposizione dà luogo a responsabilità penale. Controllo della posta elettronica Passando ad analizzare le limitazioni secondo le norme a tutela dei dati personali, occorre rilevare che la violazione del diritto alla riservatezza della corrispondenza, incluse le e-mail (art. 5 L. 547/1993), dà luogo a responsabilità penale (art. 616 del codice penale). Secondo il Garante della privacy, il datore di lavoro non ha il diritto di controllare le e-mail o la navigazione internet dei dipendenti (Risoluzione n. 13 del Garante della privacy, 01-03-2007). La giurisprudenza ha mutato orientamento, stabilendo che il datore di lavoro che acceda alla e-mail con password del dipendente commette il reato di accesso abusivo ad un sistema informatico o telematico (art. 615 del codice penale) (Cass., 13057/2016), ma se il contratto prevede che il datore di lavoro conosca la password del dipendente, il reato non si configura (Cass., 47096/2007). La fattispecie ricadrebbe comunque nelle limitazioni riguardanti l’utilizzo di strumenti per controllare a distanza il lavoratore (Corte d’appello di Milano, 30-09-2005). L’orientamento è condiviso anche dalla Corte europea dei diritti dell’uomo (Bărbulescu c. Romania, sentenza del 5-09-2017). Secondo le norme sulla privacy, i datori di lavoro devono rispettare il principio di proporzionalità della misura investigativa e sono obbligati a informare i lavoratori sull’utilizzo degli strumenti di lavoro, anche attraverso una politica di sicurezza interna (Linee guida del Garante della privacy per la posta elettronica e internet). L’uso di un software per risalire all’utilizzo dati dell’utente si pone in contrasto con il principio di legalità e con la disciplina del rapporto di lavoro (Garante della privacy, provvedimento 13 luglio 2016). Il GDPR non ha apportato modifiche sostanziali alla disciplina, che si trova nelle Linee guida. Sull’ammissibilità delle prove raccolte in violazione delle norme sulla privacy, l’art. 160 bis del D. Lgs. 196/2003 prevede un rinvio alle norme processuali. Il codice di rito non prevede l’inutilizzabilità delle prove illegittimamente acquisite e, dunque, spetta al giudice valutare l’utilizzabilità di prove di dubbia liceità. Secondo la giurisprudenza, ciò vale anche nel rito del lavoro (si veda Cass., Sez. Lav., n. 15327/2009). L’utilizzo delle informazioni raccolte attraverso gli impianti audiovisivi per provare l’illecito del dipendente, che ne giustificherebbe il licenziamento, deve avvenire nel rispetto delle norme in materia di privacy. Nel provvedimento n. 9086480/2019, citato in apertura, il Garante chiariva la liceità delle investigazioni svolte dall’agenzia e finalizzate all’accertamento dell’insussistenza della malattia e, dunque, l’utilizzabilità dei dati raccolti, non disponendo dunque la limitazione del trattamento dei dati personali del lavoratore.