Privacy sul lavoro
Capitolo 1
Tutela della dignità del lavoratore
1. I provvedimenti del Garante per la protezione dei dati personali
Il diritto alla privacy della persona bilanciato con il diritto alla dignità è diventato una materia delicatissima, sulla quale il Garante per la protezione dei dati personali[1] si è più volte cimentato in questi anni di attività.
Il Garante ha avviato una serie di operazioni per chiarire e regolare i rapporti tra due diritti fortemente legati, ma, a volte, risultati in opposizione. L’obiettivo dell’Autorità è sempre stato quello di trovare un punto di equilibrio tra il diritto alla privacy e il diritto di ogni persona ad essere rispettata, nella sua dignità, nella sua identità, nella sua intimità.
Tenendo presente la gerarchia delle fonti normative esaminiamo i provvedimenti emessi dal Garante della privacy in materia lavoristica andando ad evidenziarne i caratteri principali e le linee di intervento[2].
Il Garante per la protezione dei dati personali[3] ha emanato provvedimenti rivolti ai datori di lavoro per il trattamento dei dati personali di lavoratori, in conseguenza della gestione del rapporto di lavoro[4].
I provvedimenti hanno la finalità di assicurare maggiori garanzie ai lavoratori per la tutela della propria privacy nel posto di lavoro. A questo scopo sono state definite diverse disposizioni sulla raccolta e sull’uso dei dati personali dei lavoratori da parte dei datori di lavoro[5].
Il provvedimento era stato d’altronde richiesto in numerose occasioni da lavoratori, organizzazioni sindacali, ed anche imprese.
Il primo principio enunciato dal Garante è la possibilità da parte del datore di lavoro di trattare le informazioni di carattere personale dei lavoratori solo nella misura in cui siano necessarie per dare corretta esecuzione al rapporto di lavoro, o per attuare previsioni di leggi, regolamenti, contratti collettivi[6].
Per esempio, al fine di verificare l’esatto adempimento della prestazione lavorativa, e di quantificare l’importo della retribuzione, è lecito che il datore di lavoro raccolga dati sulle presenze dei dipendenti nel posto di lavoro[7]. Tra l’altro questi dati sono utili anche per il calcolo delle ore di lavoro straordinario, e per il calcolo delle ferie e dei permessi restanti.
Con riferimento ai permessi richiesti per motivi di salute, il datore di lavoro è legittimato a richiedere i certificati medici che comprovano le ragioni di salute che giustificano l’utilizzo di permessi retribuiti (es. per l’effettuazione di analisi mediche)[8].
Parimenti, al fine della fruizione di permessi per motivi sindacali, il datore di lavoro è autorizzato a conoscere il sindacato di appartenenza del dipendente (il quale ha richiesto l’utilizzo di permessi retribuiti e non), sebbene l’appartenenza a sindacati (così come a forze politiche) rientri nella categoria dei dati sensibili (art. 4 del Codice)[9].
Anche l’inquadramento dei lavoratori per tipologie contrattuali è una informazione che va trattata, in quanto sia leggi che Ccnl possono prevedere dei limiti percentuali per l’assunzione dei lavoratori con particolari tipologie di contratto (es. con lavoro interinale). In ogni caso, deve sempre trattarsi di informazioni pertinenti, e non eccedenti le finalità per le quali sono state raccolte, e devono essere osservate tutte le disposizioni della disciplina in materia di protezione dei dati personali.
In particolare, il Garante ricorda che il Codice in materia di protezione dei dati personali, contenuto nel D.Lgs. n. 196/2003[10], prescrive che il trattamento di dati personali avvenga:
1) nel rispetto di principi di necessità e liceità (artt. 3 e 11 del Codice);
2) informando preventivamente e adeguatamente gli interessati, ossia le persone a cui si riferiscono i dati (art. 13);
3) chiedendo preventivamente il consenso quando richiesto dalle norme (artt. 23, 24, 26 e 43);
4) rispettando, se si trattano dati sensibili o giudiziari, le prescrizioni impartite dal Garante nelle autorizzazioni anche di carattere generale (artt. 26 e 27);
5) adottando le misure di sicurezza idonee a preservare i dati da alcuni eventi inopportuni, quali accessi ed utilizzazioni indebite, rispetto ai quali il datore di lavoro, titolare del trattamento, può essere chiamato a rispondere anche civilmente e penalmente (artt. 15, 31 e ss., 167 e 169)[11].
2. I profili di “illiceità” del provvedimento
Fra i vari provvedimenti adottati dall’Autorità Garante della privacy, è interessante considerare, per esempio, quanto stabilito dalla stessa con il provvedimento del 2 febbraio 2006, in materia di navigazione sul web[12].
Il Garante ha ritenuto di condividere la pretesa del lavoratore di ottenere il blocco e la cancellazione dei dati relativi alla navigazione sul web[13] effettuata durante il periodo in cui era stato adibito alla reception di una casa di cura, che li aveva utilizzati per provare il suo legittimo licenziamento[14].
Secondo il Garante, la società, per dimostrare un comportamento illecito del lavoratore, ha provveduto a dettagliati accertamenti in difetto di una previa informativa all’interessato riguardo al trattamento dei dati personali, violando peraltro il disposto dell’art. 11 Codice Privacy, ove stabilisce che i dati devono essere trattati in modo lecito e secondo correttezza, nel rispetto dei principi di pertinenza e non eccedenza rispetto alle finalità perseguite[15].
La raccolta da parte del datore di lavoro dei dati relativi alla navigazione è avvenuta mediante accesso al terminale in uso all’interessato, e precisamente mediante copia della cartella relativa a tutte le operazioni poste in essere su tale computer durante le sessioni di lavoro avviate con la sua password, anzichè mediante l’accesso a file di backup della cui esistenza il personale della società è, invece, informato grazie al “manuale della qualità” accessibile agli stessi direttamente sul proprio terminale[16].
Si nota che l’interessato non era stato informato previamente dell’eventualità di tali controlli e del tipo di trattamento poi effettuato, e che, peraltro, egli non aveva necessità di accedere ad Internet per svolgere la propria prestazione cui era obbligato secondo contratto[17].
Sicchè l’interesse del datore al controllo sugli accessi del lavoratore al web doveva considerarsi limitato all’interesse alla prova aliunde della sussistenza di accessi indebiti alla rete e dei relativi tempi di collegamento[18].
La società, invece, aveva provveduto a un trattamento diffuso di numerose altre informazioni indicative anche degli specifici “contenuti” degli accessi dei singoli siti web visitati, operando, in modo peraltro non trasparente, un trattamento di dati eccedente rispetto alle finalità perseguite[19].
La raccolta di tali informazioni, in virtù dell’elevato numero di informazioni valutate in rapporto ad un lungo arco di tempo, agli specifici contenuti risultanti da alcuni indirizzi web e al contesto complessivamente unitario, aveva comportato il trattamento di alcuni dati sensibili idonei a rivelare convinzioni religiose, opinioni sindacali, e gusti attinenti alla vita sessuale, così parzialmente violando alcune garanzie previste dall’ordinamento a tutela della privacy[20].
Va infatti tenuto conto, come sottolinea l’Autorità Garante, che, sebbene i dati personali acquisiti sono il frutto di controlli informatici volti ad accertare la condotta del lavoratore, le informazioni di natura sensibile possono essere trattate dal datore di lavoro senza il consenso solo quando il trattamento risulti “indispensabile per far valere o difendere un diritto in sede giudiziaria”[21].
Tale requisito di indispensabilità, anche alla luce di quanto già notato, non pare configurabile nel caso concreto.
Inoltre, secondo il Garante, poiché tali dati sono in parte “idonei a rivelare lo stato di salute e la vita sessuale”, il loro trattamento può considerarsi lecito solo per far valere o difendere in giudizio un diritto di rango pari a quello dell’interessato, ossia consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile, mentre, nel caso di specie, tuttavia, erano stati fatti valere solo diritti nascenti dal rapporto di lavoro e a questo collegati[22].
L’Autorità Garante ha così, condivisibilmente, deciso di applicare il divieto inibitorio per la società-datore di lavoro di trattare ulteriormente i dati personali raccolti[23].
Il Garante successivamente ha definito, per la prima volta con un provvedimento generale a carattere unitario[24], tecniche e misure finalizzate a disciplinare la raccolta e l’uso dei dati personali nella gestione del rapporto di lavoro, e, con altro distinto provvedimento[25], ha affrontato le questioni del rapporto fra privacy del lavoratore, da un lato, uso delle e-mail e navigazione in Internet, dall’altro[26].
I punti fondamentali del provvedimento in materia di dati personali del lavoratore, cui si adeguano le norme dettate per disciplinare i dati personali dei lavoratori pubblici[27], possono sintetizzarsi e individuarsi nei seguenti.
Il datore di lavoro può trattare informazioni di carattere personale qualora e nella misura in cui esse risultino strettamente indispensabili per dare esecuzione al rapporto di lavoro. Deve, a tal fine, individuare il personale che può trattare tali dati e assicurare idonee misure di sicurezza per proteggerli da indebite intrusioni o illecite divulgazioni.
Il lavoratore deve essere informato in modo puntuale sull’uso che verrà fatto dei suoi dati e deve essergli consentito di esercitare agevolmente i diritti che la normativa sulla privacy gli riconosce (accesso ai dati, aggiornamento, rettifica, cancellazione etc)[28]. Entro 15 giorni dalla richiesta il datore di lavoro è tenuto a comunicare in modo chiaro tutte le informazioni in suo possesso.
Il Garante introduce altresì una disciplina dei cartellini identificativi dei lavoratori, limitando l’uso dei dati personali (e in particolare di quelli anagrafici), e così stabilendo che, a seconda dei casi, può bastare un codice identificativo o il solo nome o solo il ruolo professionale[29].
Il consenso del lavoratore acquista un ruolo fondamentale nell’ambito della gestione dei dati del lavoratore, dato che, per il Garante della privacy, è necessario:
– sia per pubblicare informazioni personali (foto, curricula) sulla Intranet aziendale e tanto più su Internet, cioè su siti aperti e quindi accessibili dall’esterno;
– sia per comunicare informazioni personali ad associazioni di datori di lavoro, di ex dipendenti, ma anche a conoscenti e familiari[30].
Inoltre, nella bacheca aziendale possono essere affissi solo ordini di servizio, turni lavorativi o feriali, mentre non si possono diffondere informazioni su compensi percepiti, sanzioni disciplinari inflitte, assenze per malattia, adesione ad associazioni[31].
Una particolare attenzione viene rivolta anche al trattamento dei dati sanitari della persona-lavoratore, per i quali si dispone la conservazione in appositi fascicoli, separati dalla restante documentazione.
Detto trattamento deve rispettare i seguenti criteri fondamentali:
– il lavoratore assente per malattia è tenuto a consegnare al proprio ufficio un certificato senza menzione della diagnosi, ma con la sola indicazione dell’inizio e della durata presunta dell’infermità;
– il datore di lavoro non può accedere alle cartelle sanitarie dei dipendenti sottoposti ad accertamenti dal medico del lavoro;
– nel caso di denuncia di infortuni o malattie professionali all’Inail, il datore di lavoro deve limitarsi a comunicare solo le informazioni connesse alla patologia denunciata.
Non è lecito l’uso generalizzato e incontrollato di dati biometrici, specie se ricavati dalle impronte digitali, se non in casi particolari, come quello dell’accesso ad “aree sensibili”[32], che si intenda proteggere[33].
Tuttavia, anche quando l’uso è consentito, non è invece ammessa la costituzione di banche dati centralizzate, potendo e dovendo bastare la creazione di una smart card contenente i dati del lavoratore e affidata all’uso esclusivo di quest’ultimo.
Va peraltro considerato, per esigenza di coerenza sistematica, quanto previsto dall’art. 111 del Codice privacy in base al quale il Garante promuove ai sensi dell’art. 12, la sottoscrizione di un codice di deontologia e di buona condotta per i soggetti pubblici e privati interessati al trattamento dei dati personali effettuato per finalità previdenziali o per la gestione del rapporto di lavoro, prevedendo anche specifiche modalità per l’informativa all’interessato e per l’eventuale prestazione del consenso relativamente alla pubblicazione degli annunci per finalità di occupazione di cui all’art. 113, comma 3 e alla ricezione di curricula contenenti dati personali anche sensibili[34].
3. Il divieto di utilizzo di strumenti di controllo a distanza
Gli artt. 4 e 8 dello statuto dei lavoratori vietano, rispettivamente, i controlli a distanza dei lavoratori e l’acquisizione di informazioni su dati personali.
L’art. 4 (la cui vigenza è stata confermata dall’art. 114 del Codice della privacy) prevede il divieto dell'”uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori”.
Il divieto di controllo del lavoratore opera anche nel caso in cui il lavoratore sia stato previamente informato di detta attività di controllo oppure qualora il controllo sia discontinuo perché esercitato in locali dove il lavoratore può trovarsi solo saltuariamente[35]. Come il lavoratore deve poter riconoscere il soggetto che sta vigilando sulla sua attività lavorativa nel momento in cui la svolge, così non è possibile eludere tale immediata riconoscibilità mediante accorgimenti di qualsiasi natura che rendono non immediato e, quindi, a distanza, il controllo stesso.
La distanza meramente spaziale non è, quindi, indefettibile, come anche può non essere sufficiente: quindi, può essere “a distanza” il controllo mediante computer (c.d. controllo informatico) i cui dati vengono elaborati successivamente o mediante l’installazione di un software che consenta il tracciamento della navigazione in rete, mentre non è tale (ed è invece immediato) il controllo dell’ingresso in azienda (e, quindi, della presenza del lavoratore) effettuato mediante cartellino magnetico inserito in apposita apparecchiatura.
Concorrendo, peraltro, assai frequentemente oltre che la necessità di tutelare la dignità e la riservatezza del lavoratore anche l’esigenza di organizzare efficientemente i metodi di lavoro e di proteggere i sistemi produttivi nonché i dipendenti da eventi pregiudizievoli, il legislatore ha demandato alle parti sociali il compito di bilanciare tali contrapposti interessi.
Pertanto, ai sensi del c. 1 dell’art. 4, i controlli a distanza non sono legittimi se diretti alla esclusiva verifica dell’attività di lavoro, mentre il c. 2 dello stesso articolo consente l’installazione di apparecchiature di controllo a distanza che, pur riflettendosi indirettamente anche sui lavoratori, non siano esclusivamente finalizzate al loro controllo, ma ad un monitoraggio ambientale per ragioni di sicurezza o, più in generale, organizzative: per questi casi, tuttavia, è necessario un preventivo accordo sindacale o, in mancanza, l’intervento dell’ispettorato del lavoro. I controlli c.d. difensivi, ossia diretti ad accertare condotte illecite del lavoratore, dovrebbero, peraltro, sottrarsi ai limiti posti dalla legislazione[36].
La tutela approntata dall’art. 8 della legge n. 300 del 1970 riguarda due specie di dati personali: le opinioni politiche, religiose o sindacali del lavoratore e i fatti rilevanti al fine della valutazione dell’attitudine professionale. I primi rientrano nella più ampia categoria dei c.d. dati personali sensibili[37]; i secondi sono i dati personali non sensibili e sono liberamente acquisibili dal datore di lavoro purché attengano alla prestazione lavorativa e alla professionalità del lavoratore, mentre, in caso contrario, sono parificati ai dati sensibili.
Il Codice della privacy considera “dato personale” qualunque informazione relativa a persona fisica o persona giuridica, ente od associazione, identificati o identificabili e “dati sensibili” i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale (art. 4). L’interessato deve essere preventivamente informato della raccolta dei suoi dati personali (art. 13) e deve rilasciare il proprio consenso per il relativo trattamento, in forma scritta nel caso si tratti di dati sensibili (art. 23). Il consenso non è richiesto quando il trattamento è necessario, in particolare, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all’attività di gruppi bancari e di società controllate o collegate, ovvero riguarda dati relativi allo svolgimento di attività economiche (art. 24).
Il Garante della privacy ha recentemente adottato delle linee guida per posta elettronica ed Internet con lo scopo specifico di regolare il trattamento dei dati personali in occasione delle verifiche, da parte dei datori di lavoro, del corretto uso degli strumenti informatici assegnati ai dipendenti (delibera n. 13 del 1° marzo 2007[38]). In sintesi, i controlli della posta elettronica e della navigazione in Internet dei dipendenti sono possibili ma: 1) tali controlli devono essere necessari e proporzionati; 2) debbono essere rispettati i principi di pertinenza e non eccedenza; 3) il datore di lavoro deve definire le modalità dei controlli, tenendo conto dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali (accordo con le r.s.u. o in assenza con l’Ispettorato).
Progressivamente sui luoghi di lavoro sono comparsi e si sono diffusi mezzi sempre più nuovi ed efficaci[39], che hanno rivoluzionato il mondo della scrittura e soprattutto della comunicazione, ma che al contempo aumentano il rischio di controllo, anche eccessivamente “invadente”, sul lavoratore[40].
Anche nell’evoluzione normativa, lo Statuto dei lavoratori è rimasto il parametro fondamentale dal quale non è possibile prescindere. Infatti il Codice della privacy “sgombra immediatamente il campo da qualunque possibile fraintendimento” grazie all’art. 113 (Raccolta di dati e pertinenza) in base al quale: “Resta fermo quanto disposto dall’art. 8 della legge 20 maggio 1970, n. 300”[41].
A questo fa immediato seguito l’art. 114 (Controllo a distanza): “Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300”[42].
Il datore di lavoro, titolare del trattamento dei dati personali, sensibili e non, del lavoratore dipendente, pertanto, non ha alternative: o si astiene dall’adottare strumenti atti a “controllare a distanza” il lavoratore o, se tiene a farlo, deve acquisire il consenso preventivo, e affatto scontato, dei sindacati[43].
Tanto per esemplificare, sono considerati strumenti di controllo a distanza le telecamere[44], nonché qualsiasi apparecchiatura che consenta un controllo occulto del dipendente.
Fra essi possono menzionarsi i software che effettuano il tracciamento della navigazione in rete dei dipendenti oppure i controlli mediante computer (controlli informatici) che consentono un’elaborazione successiva dei dati[45].
Gli strumenti di controllo a distanza costituiscono una categoria di tipo “aperto” nella quale è possibile ricomprendere qualsiasi strumento che consente di effettuare controlli occulti, offensivi e vessatori ovvero lesivi della dignità della persona[46].
È interessante notare come la Suprema Corte[47] sia intervenuta su una controversia che contrapponeva un informatore medico scientifico al proprio datore di lavoro, confermando la sentenza che affermava la legittimità del licenziamento di un informatore scientifico, per aver indicato, nel rapportino giornaliero, visite a medici in realtà mai effettuate e per aver richiesto rimborsi chilometrici per attività non svolte[48].
La peculiarità del caso consiste nel fatto che il datore di lavoro aveva provato le contestazioni mediante gli accertamenti effettuati da investigatori privati, a fronte delle quali il lavoratore aveva opposto vari principi dell’ordinamento, tra cui la possibilità di utilizzare guardie giurate solo al fine di tutelare il patrimonio aziendale; l’obbligo di comunicare al personale i nominativi e le mansioni specifiche del personale addetto alla vigilanza della loro attività; il divieto di utilizzare impianti audiovisivi e altre apparecchiature per controllare a distanza l’attività dei lavoratori; la regolamentazione delle visite personali di controllo[49].
La giurisprudenza e la dottrina, peraltro, hanno ampliato il concetto di “distanza” ritenendo che per essa debba intendersi non solo la distanza fisica ma anche la distanza temporale[50].
Ne consegue che i controlli informatici possono essere configurati come controlli a distanza, potendosi considerare superato l’orientamento giurisprudenziale, più datato, secondo cui non sarebbe tale il controllo effettuato tramite software installato sul computer in dotazione del dipendente in quanto non sarebbe individuabile un’apparecchiatura distinta dallo strumento di lavoro[51]. Sul concetto di distanza, come sopra inteso, giurisprudenza e dottrina paiono ormai concordi[52].
Con riguardo al principio secondo cui occorre perseguire finalità determinate, esplicite e legittime[53], il datore di lavoro può riservarsi di controllare (direttamente o attraverso la propria struttura) l’effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (artt. 2086, 2087 e 2104 c.c.)[54].
Nell’esercizio di tale prerogativa occorre rispettare la libertà e la dignità dei lavoratori, in particolare per ciò che attiene al divieto di installare “apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori” (art. 4, 1 co., L. n. 300/1970), tra cui sono certamente comprese strumentazioni hardware e software mirate al controllo dell’utente di un sistema di comunicazione elettronica[55].
Il trattamento dei dati che ne consegue è illecito, a prescindere dall’illiceità dell’installazione stessa. Ciò, anche quando i singoli lavoratori ne siano consapevoli[56].
In particolare non può ritenersi consentito il trattamento effettuato mediante sistemi hardware e software preordinati al controllo a distanza, grazie ai quali sia possibile ricostruire l’attività di lavoratori[57]. É il caso, ad esempio, della lettura e della registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail; della riproduzione ed eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore, della lettura e della registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo e dell’analisi occulta di computer portatili affidati in uso[58].
Il controllo a distanza vietato dalla legge riguarda l’attività lavorativa in senso stretto e altre condotte personali poste in essere nel luogo di lavoro[59]. A parte eventuali responsabilità civili e penali, i dati trattati illecitamente non sono utilizzabili (art. 11, comma 2, del Codice)[60].
4. Il bilanciamento degli interessi
In base al richiamato principio di correttezza, l’eventuale trattamento dei dati deve essere ispirato ad un canone di trasparenza, come prevede anche la disciplina di settore[61].
Grava quindi sul datore di lavoro l’onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli. Ciò, tenendo conto della pertinente disciplina applicabile in tema di informazione, concertazione e consultazione delle organizzazioni sindacali[62].
Per la predetta indicazione il datore ha a disposizione vari mezzi, a seconda del genere e della complessità delle attività svolte, e informando il personale con modalità diverse anche a seconda delle dimensioni della struttura, tenendo conto, ad esempio, di piccole realtà dove vi è una continua condivisione interpersonale di risorse informative[63].
I datori di lavoro privati e gli enti pubblici economici, se ricorrono i presupposti sopra indicati (art. 4, 2 co., dello Stat. Lav.), possono effettuare lecitamente il trattamento dei dati personali diversi da quelli sensibili[64].
Ciò, può avvenire:
- a) se ricorrono gli estremi del legittimo esercizio di un diritto in sede giudiziaria (art. 24, co. 1, lett. f) del Codice);
b) in caso di valida manifestazione di un libero consenso;
c) anche in assenza del consenso, ma per effetto del presente provvedimento che individua un legittimo interesse al trattamento in applicazione della disciplina sul c.d. bilanciamento di interessi (art. 24, co. 1, lett. g), del Codice )[65].
Per tale bilanciamento si è tenuto conto delle garanzie che lo Statuto prevede per il controllo “indiretto” a distanza presupponendo non il consenso degli interessati, ma un accordo con le rappresentanze sindacali (o, in difetto, l’autorizzazione di un organo periferico dell’amministrazione del lavoro)[66].
L’eventuale trattamento di dati sensibili è consentito con il consenso degli interessati o, senza il consenso, nei casi previsti dal Codice[67].
Per quanto riguarda i soggetti pubblici restano fermi i differenti presupposti previsti dal Codice a seconda della natura dei dati, sensibili o meno (artt. 18-22 e 112 ).
In tutti i casi predetti resta impregiudicata la facoltà del lavoratore di opporsi al trattamento per motivi legittimi (art. 7, co. 4, lett. a), del Codice)[68].
5. Il delitto di violazione della corrispondenza
In tema di violazioni della corrispondenza è opportuno partire dalla recente sentenza Cass., 11 dicembre 2007, n. 47096, subito diffusasi nel web e nelle home pages di vari siti giuridici[69].
La Cassazione[70] conferma la pronuncia del Tribunale di Torino, sez. Chivasso, che proscioglieva l’imputato, perché il fatto non sussiste, dall’imputazione di aver abusivamente preso cognizione della corrispondenza informatica aziendale di una dipendente, licenziata poi sulla base delle informazioni acquisite, così disattendendo il rilievo posto dal pubblico ministero, secondo cui la sentenza di primo grado violava l’art. 616 c.p., fondandosi sull’erroneo presupposto della rilevanza della proprietà aziendale del mezzo di comunicazione violato, senza considerare il profilo funzionale della destinazione del mezzo telematico non solo al lavoro ma anche alla comunicazione, tutelata dall’art. 15 Cost[71].
La fattispecie penale in rilievo è quella dell’art. 616 comma 1 c.p., la quale punisce la condotta di “chiunque prenda cognizione del contenuto di una corrispondenza chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da altri prendere cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero, in tutto o in parte, la distrugge o sopprime”.
Sicchè, rileva la S.C., quando non vi sia sottrazione o distrazione, la condotta che si limita a “prendere cognizione” è punibile solo se riguarda “corrispondenza chiusa”, mentre chi “prende cognizione” di “corrispondenza aperta” è punito solo se l’abbia a tale scopo sottratta al destinatario ovvero distratta dalla sua destinazione[72].
Il punto fondamentale è il seguente. È indiscussa l’estensione della tutela anche alla corrispondenza informatica o telematica (art. 616 co. 4 c.p.). Da qui deve tuttavia ritenersi che tale corrispondenza possa essere qualificata come “chiusa” solo nei confronti dei soggetti che non siano legittimati all’accesso ai sistemi informatici di invio o di ricezione dei singoli messaggi[73].
Infatti, diversamente da quanto avviene per la corrispondenza cartacea, di regola accessibile al solo destinatario, nel caso della corrispondenza informatica è invece la legittimazione all’uso del sistema informatico o telematico che abilita alla conoscenza delle informazioni in esso custodite. Sicchè tale legittimazione può dipendere non solo dalla proprietà, ma soprattutto dalle norme che regolano l’uso degli impianti.
E quando in particolare il sistema telematico sia protetto da una password, deve ritenersi, secondo la Suprema Corte, che la corrispondenza in esso custodita sia lecitamente conoscibile da parte di tutti coloro che legittimamente dispongano della chiave informatica di accesso[74].
Il Giudice di legittimità prosegue statuendo che, anche quando la legittimazione all’accesso sia condizionata, l’eventuale violazione di tali condizioni può rilevare sotto altri profili, ma non può valere a qualificare la corrispondenza come “chiusa” anche nei confronti di chi sin dall’origine abbia un ordinario titolo di accesso[75].
Nel caso in esame è indiscusso, e ne dà atto lo stesso ricorrente, che le password poste a protezione dei computer e della corrispondenza di ciascun dipendente dovevano essere a conoscenza anche dell’organizzazione aziendale, essendone prescritta la comunicazione, sia pure in busta chiusa, al superiore gerarchico, legittimato a utilizzarla per accedere al computer anche per la mera assenza dell’utilizzatore abituale[76].
Ne consegue, secondo la Cassazione, che lecitamente l’imputato ha letto la corrispondenza informatica aziendale della sua dipendente, utilizzando proprio la chiave di accesso di cui legittimamente disponeva, come noto alla stessa dipendente[77].
Come rileva il Giudice di legittimità, ciò peraltro è coerente con le recenti prescrizioni impartite dal Garante per la protezione dei dati personali[78], in base alle quali i dirigenti dell’azienda accedono legittimamente ai computer in dotazione ai propri dipendenti, quando delle condizioni di tale accesso sia stata loro data piena informazione.
Ebbene, quest’ultima pronuncia costituisce una, ma non sicuramente l’ultima, delle tappe del percorso evolutivo della tutela del diritto alla privacy, sia a livello normativo, sia a livello giurisprudenziale, e si pone necessariamente in un contesto ove le nuove tecnologie hanno modificato sostanzialmente la vita di tutti i giorni e quindi, nello specifico, anche il modo di lavorare.
L’avvento di nuovi strumenti tecnologici sul luogo di lavoro ha sollevato e tuttora solleva interrogativi particolarmente rilevanti sotto l’aspetto giuridico. In particolare sempre più spesso ci si chiede come sia possibile far conciliare il potere del datore del lavoro, e più in generale, la libertà organizzativa dell’impresa, con il diritto alla privacy[79].
In particolare, si contrappongono l’esigenza da parte del datore di lavoro di utilizzare gli strumenti che ritiene più opportuni per la gestione dell’azienda e delle sue risorse, e che gli offrono maggiori possibilità di profitto, e la contestuale e contrapposta esigenza di proteggere i diritti dei lavoratori, alcuni dei quali hanno rango incontestabilmente fondamentale[80].
E fra questi certamente vi sono il diritto alla privacy, o alla “riservatezza”[81] e quello alla remunerazione tutelato dall’art. 36 Cost., che, peraltro, appare strettamente condizionato al primo in questione, dato che spesso nella casistica si registrano varie ipotesi, come quello della recente sentenza esaminata, di licenziamento del lavoratore da parte del datore anche a esito del controllo della corrispondenza operato dal secondo sul primo, sicchè nel ricorso del lavoratore, teso a impugnare il provvedimento di licenziamento, spesso si evidenzia la lesione del diritto alla propria privacy[82].
È interessante osservare come già nel 1970 il legislatore, con apposita norma dello Statuto dei lavoratori, aveva preso atto del potere invasivo di strumenti tecnologici come le telecamere sulla tranquillità del lavoratore nello svolgimento delle proprie mansioni.
In particolare l’articolo 4 Stat. lav. stabilisce che “è vietato l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dei lavoratori. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con al commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’ispettorato del lavoro, dettando ove occorra, le modalità per l’uso di tali impianti”[83]. Non può poi trascurarsi l’art. 8 dello Statuto, che vieta le indagini da parte del datore di lavoro sulle convinzioni del lavoratore e su tutti i fatti non rilevanti ai fini della sua valutazione professionale[84].
Capitolo 2
La normativa sui dati personali
1. Introduzione
Il Codice concernente la protezione dei dati personali e della riservatezza[85] si pone come il primo modello di codificazione organica e completa (e finora unico in ambito europeo) della materia considerata. Esso non solo vale a dare un rigoroso inquadramento di sistema a tutta la disciplina della privacy, ma soprattutto introduce una molteplicità di profili innovativi, direttamente connessi al quadro comunitario e internazionale, sia completando il recepimento della direttiva 95/46/CE, sia ispirandosi ai più recenti elementi propulsivi rivolti a realizzare la nuova formula costitutiva dell’Ue[86].
L’ordinamento giuridico italiano e in particolar modo quello comunitario hanno plasmato, accanto alle potestà tradizionali, i poteri garanti.
In altri termini il sistema ha dato rilievo alla necessità di configurare, per alcuni diritti fondamentali della persona, una forma rafforzata di salvaguardia e di vigilanza, affidata a organismi autonomi sottratti al circuito parlamentare e governativo[87].
E vi è, inoltre, un fattore coessenziale al “diritto alla riservatezza”[88], che ne ha contribuito fortemente alla rapida espansione[89]. La privacy (da alcuni definita come “costellazione di diritti”)[90] è non solo, in se stessa, un valore essenziale della persona, ma è spesso strumentale per la fruizione di altri diritti fondamentali. Sicché, di frequente, si pone come punto di equilibrio e di raccordo con altri diritti fondamentali[91].
In tali evenienze viene in rilievo il delicato problema del bilanciamento, del contemperamento fra i vari valori tra loro concorrenti. E qui “le esigenze da conciliare, equilibrare, tutelare, hanno ciascuna la stessa dignità e non possono essere ordinate in una scala gerarchica fissa”. Tali considerazioni fanno risaltare con grande efficacia il compito affidato alle autorità indipendenti, di trovare di volta in volta, attraverso una guida illuminata, il punto di equilibrio[92].
Nel delineare i profili maggiormente innovativi, va rilevato che anzitutto il codice introduce nel nostro ordinamento il “diritto alla protezione dei dati personali”, quale diritto fondamentale della persona, parallelo (e integrantesi) col più generale diritto alla riservatezza, già richiamato dall’art. 1 della legge-base 675/1996[93]. In tal modo il legislatore italiano si adegua al quadro normativo comunitario, che nella carta dei diritti del cittadino europeo garantisce già tale diritto fondamentale[94].
Ma sicuramente assume sempre più consistenza lo sviluppo di tutte le libertà fondamentali, attraverso la Carta fondamentale dei cittadini della Ue (anno 2000), in cui prende risalto la protezione dei dati personali, quale momento di libertà conferendone la tutela alle autorità indipendenti[95]. E dopo aver attraversato il processo della unificazione monetaria, la Ue ha aperto il grande cantiere giuridico dell’elaborazione del progetto costituzionale per l’attuazione di un’Europa dei valori, nella sua configurazione di soggetto non più soltanto economico, ma di soggetto politico dotato di una somma di poteri costituzionali.
Con la nuova normativa viene introdotto il “principio di necessità”[96], in base al quale i sistemi informativi e i programmi informatici devono essere predisposti in modo da assicurare che i dati personali o identificativi siano utilizzati solo se indispensabili per il raggiungimento delle finalità consentite[97].
In realtà il Codice, attraverso l’accurata opera di ricognizione della numerosa serie di leggi accumulatesi nel tempo, ha posto in essere un pieno adeguamento anche alla normativa comunitaria, da ultimo intervenuta in materia, ossia alla direttiva 2002/58/CE[98].
Essa è stata recepita nel nostro ordinamento con la l. 14/2003, recante disposizioni per l’adempimento di obblighi derivanti dall’appartenenza dell’Italia alla comunità europea. In piena rispondenza col forte transito in atto, dall’Europa del mercato all’Europa dei diritti, il nostro codice ha riplasmato, quasi integralmente, in una chiave di piena tutela di tutti i soggetti interessati (particolarmente, gli utenti, i consumatori), la disciplina dei servizi di comunicazione elettronica (titolo decimo) sia con riguardo al trattamento dei dati relativi al traffico, sia con specificazione degli obblighi dei fornitori dei servizi di comunicazione elettronica, sia valorizzando la salvaguardia dei diritti degli utenti.
E inoltre prevede la promozione, da parte del Garante, di un codice deontologico e di buona condotta, concernente il trattamento di dati personali effettuato da fornitori di servizi di comunicazione e informazione, offerti mediante reti di comunicazione elettronica[99].
Nel quadro di misure più efficaci e più moderne a tutela dei trattamenti dei dati personali il codice assicura nuove garanzie.
È da rilevare che in ambito europeo si segnala una sempre maggiore sensibilità al problema della sicurezza informatica, anche a causa di paventati attacchi terroristici ad alta tecnologia. In particolare, si segnala un recente documento dell’OCSE contenente le linee di guida per la sicurezza informatica delle reti.
Le istituzioni comunitarie hanno tenuto conto di tale documento, mediante una risoluzione del Consiglio europeo del 18 febbraio 2003, che prevede anche la creazione di una Cybersecurity task force. E in sintonia con tali orientamenti, il codice elabora, nel titolo quinto, un efficiente serie di regole concernenti le misure di sicurezza dei dati e dei sistemi, con particolare riguardo alle misure minime di sicurezza, con specifica rilevanza delle modalità inerenti sia ai trattamenti con strumenti elettronici, sia a quelli senza l’ausilio di tali strumenti[100].
Nel novero dei profili fortemente innovativi recati dal Codice assume particolare rilievo il riconoscimento delle nuove fonti normative rappresentate dai codici di deontologia e di buona condotta.
Questi ultimi[101] si sono affermati come strumenti necessari per una tutela dei trattamenti dati personali e della riservatezza che risulti sistematica ed efficace[102]. Il riconoscimento di tali fonti comporta un notevole innalzamento del livello di protezione dei diritti in parola[103]. È da rilevare che nell’ordinamento italiano l’inquadramento dei codici deontologici in un rinnovato sistema delle fonti del diritto è risultato particolarmente efficace.
Attualmente, presso il Garante italiano sono in cantiere sette codici[104]. Ed è da notare che essi ormai costituiscono non più una fonte atipica, ma anzi pienamente tipizzata e minuziosamente procedimentalizzata. Tali codici (detti di seconda e terza generazione) rappresentano una nuova tipologia, poiché viene in rilievo l’autoproduzione di regole da parte delle categorie interessate (giornalisti, provider, i soggetti partecipi del lavoro e della previdenza etc.)[105].
Un elemento, caratterizzante in maniera del tutto peculiare tali fonti, è dato dalla triangolarità degli elementi costitutivi che in essa convergono: e cioè le “raccomandazioni” provenienti dal Consiglio europeo, l’elaborazione delle regole da parte dei soggetti rappresentativi delle categorie interessate, i principi e le regole generali dell’ordinamento inerenti alla privacy (alla cui salvaguardia è preposto il Garante)[106].
Un ulteriore fattore di garanzia di forte rilevanza è costituito dalla disciplina dei soggetti pubblici, rivolta ad apprestare la tutela dei diritti dei cittadini nei confronti dei corpi amministrativi che procedono a trattamenti di dati personali[107].
Il quadro normativo tracciato dalla legge-base del 1996 conteneva un esiguo numero di norme concernenti la pubblica amministrazione, limitandosi a enunciare i seguenti principi:
a) i soggetti pubblici possono trattare dati personali comuni solo per lo svolgimento delle funzioni istituzionali e nei limiti stabiliti dalle leggi e dai regolamenti vigenti nei settori di riferimento
b) quando i dati sono di carattere particolare la disciplina richiede maggiori garanzie[108].
I soggetti pubblici, per poter effettuare trattamenti inerenti ai dati sensibili, hanno bisogno di essere autorizzati da una dettagliata disposizione di legge, che preveda quali dati possono essere trattati, le operazioni che possono essere eseguite, le rilevanti finalità di interesse pubblico perseguite.
Il nuovo codice nel suo titolo decimo amplia notevolmente la normativa inerente ai trattamenti dei dati in ambito pubblico e costituisce un momento di forte avanzamento e innovazione della disciplina giuridica[109].
Esso rafforza tutto il sistema della garanzia e rielabora i contenuti del D.Lgs. 135/1999, integrando congruamente la legge-base. Tale decreto aveva un duplice obiettivo: a) definire i principi generali in base ai quali i soggetti pubblici sono autorizzati a trattare dati sensibili; b) individuare alcune rilevanti finalità di interesse pubblico per cui il cui perseguimento è consentito tale trattamento, nonché le operazioni eseguibili e i tipi di dati che possono essere trattati[110].
Al fine di comprendere il particolare significato di tale normativa (che è stata trasfusa, con alcuni ritocchi nella codificazione), va ricordato come la nozione di “diritto alla riservatezza”[111] sia molto ampia, sì da presentarsi come un diritto a consistenza concentrica, al cui centro si colloca la categoria dei dati sensibili, che costituiscono il nocciolo duro del diritto alla privacy[112].
Tale figura geometrica comporta una variabilità della tutela offerta a seconda del contenuto dei dati; per cui un regime di assoluta riservatezza è configurato solo con riferimento ai dati sensibili, mentre è graduale negli altri casi in cui non sussistano dati di tale natura[113].
Recenti orientamenti dottrinali hanno rilevato che il fenomeno di dilatazione oggettiva e soggettiva dei confini della privacy ha contribuito allo sviluppo della “teoria”, secondo la quale i dati personali occuperebbero tre diverse aree: nella prima, assolutamente inviolabile, sarebbero contenti i dati sensibili; nella seconda sarebbe garantito il controllo sulla veridicità dei dati; nell’ultima sfera dominerebbe, invece, la libertà di accesso ai dati personali (ad. es. i registri pubblici)[114]. È da ricordare come la Sphärentheorie, che distingue le tre aree entro le quali si collocano i dati personali, è stata enunciata, per la prima volta, dalla Corte costituzionale tedesca nella sentenza 16 luglio 1969[115].
Il decreto delegato, nel capo primo, aveva indicato la serie dei principi generali e degli obblighi che i soggetti pubblici devono rispettare in materia di trattamento di dati particolari e nel capo secondo delineava la tipologia di alcune rilevanti finalità di interesse pubblico[116].
E ora nel nuovo codice viene delineata la serie di gestioni pubbliche di dati caratterizzate da un interesse pubblico di grado particolare, in quanto qualificato come rilevante[117].
Si tratta di funzioni essenziali dello Stato, come quelle attinenti all’applicazione della disciplina in materia di elettorato e di esercizio di diritti politici; o attinenti all’instaurazione e gestione di rapporti di lavoro di qualunque tipo; o concernenti le attività di istruzione e formazione in ogni ambito scolastico; o inerenti alla disciplina in materia di concessione di benefici economici, elargizioni, emolumenti; o relativi alla tutela della salute o ai rapporti con enti di culto[118].
Tale nucleo di regole incide sulla trama fondamentale di rapporti fra il potere pubblico e la collettività, in un complesso contesto di reciproche esigenze e di reciproci limiti e in una necessaria rispondenza fra l’azione pubblica e la sfera della libertà e dei diritti dei cittadini[119].
L’attuazione di tale nucleo normativo è un banco di prova dei valori custoditi e tutelati dallo Stato moderno[120].
Incompleti sarebbero i profili della normativa se non si ponesse in risalto un altro punto di forte innovatività[121]. Cioè è consentito il trattamento dei dati da parte di soggetti pubblici, solo se autorizzato da disposizioni di legge, nelle quali siano specificate, tra l’altro, le rilevanti finalità di interesse pubblico[122].
Ma ove manchi tale esplicita regola, il Garante può (nelle more della specificazione legislativa) determinare, su richiesta dei soggetti pubblici, l’individuazione di quelle specifiche attività di interesse pubblico, che valgono ad autorizzare i trattamenti[123].
Viene in rilievo l’attribuzione al Garante di un potere sostitutivo delle norme mancanti, introducendo, in tal modo, una innovazione rispetto al sistema di regole disciplinanti la varie autorità indipendenti, la cui potestà normativa era limitata alle fonti secondarie[124].
Merita di essere richiamato l’evolvere del rapporto tra pubblica amministrazione e diritti del cittadino[125] che è uno degli indicatori del progresso storico. Si delinea ora la nuova frontiera dei diritti fondamentali dell’individuo e del cittadino, rapportati all’operato della pubblica amministrazione[126].
In effetti va registrato un rapporto interattivo tra i due termini del tema pubblica amministrazione-diritti del cittadino[127]. Tra queste due entità (la pubblica amministrazione e il complesso delle posizioni soggettive) intercorre una relazione di reciproca influenza, di modifica e di rinnovamento[128].
Per poter naturalmente corrispondere alla nuova serie di diritti generati dalla normativa europea e dalla recente legislazione nazionale, la pubblica amministrazione modifica il proprio ruolo, il proprio comportamento, il proprio modo di agire, sicché si sostituisce all’amministrazione monologante la nuova formula dell’amministrazione dialogante, che apre un dialogo pieno, aperto con i cittadini[129].
2. Aspetti di carattere generale della privacy nella gestione del rapporto di lavoro
In un periodo, come quello attuale, in cui l’attenzione è rivolta più al “mercato”, che al “rapporto” di lavoro in quanto, di fronte ai problemi sempre più pressanti della disoccupazione, ci si pone l’obiettivo primario di incrementare o almeno mantenere i livelli occupazionali, attraverso la creazione e l’incentivazione di nuove forme di lavoro, spesso non subordinato, caratterizzate da varie, ma sempre cospicue, dosi di flessibilità, e talvolta di vera e propria precarietà[130], diventa a maggior ragione importante non mettere da parte l’aspetto della tutela dei diritti attinenti alla “persona” del lavoratore, come appunto quelli relativi al dominio sulle proprie informazioni, inevitabilmente più a rischio di essere sacrificati, quando prevale il bisogno di trovare lavoro, e quando il prestatore non ha un lavoro “stabile”[131].
La necessità di protezione del lavoratore si fa, infatti, sentire, in questi casi, in modo ancora più rilevante, in quanto l’incertezza e la provvisorietà dell’occupazione accentuano la disparità di forza contrattuale tra le parti e rendono il lavoratore più debole e vulnerabile, e quindi più disposto a rinunciare appunto ai diritti relativi alla “persona”, facendo aumentare il pericolo di indebita intrusione del datore in ambiti estranei all’obbligazione di lavoro[132].
Tanto più che la tutela della “sfera privata” del lavoratore non è fine a sé stessa, bensì costituisce presupposto, ed insieme strumento, per il raggiungimento dell’obiettivo più generale, e delicatissimo, della tutela della dignità e della libertà del lavoratore, e della protezione dalle discriminazioni, con il quale s’intreccia fortemente e che trova riconoscimento nella stessa Costituzione, nel combinato disposto dei commi 1 e 2 dell’art. 41, espressione del compromesso costituzionale tra istanze “protettive” ed esigenze “produttive”[133].
Posta l’inevitabile rilevanza di alcune condizioni personali e di aspetti della vita privata del lavoratore ai fini dell’esecuzione della obbligazione lavorativa, dato il carattere “personale” della prestazione, il fine ultimo è quello di evitare che il datore di lavoro, appunto per la sua situazione di detentore delle possibilità di lavoro, abusi della sua enorme capacità di condizionamento del lavoratore, incidendo anche su aspetti della sua personalità che nulla hanno a che vedere con l’attività lavorativa ed esercitando su di esso un potere eccessivo e debordante[134].
Considerata l’importanza della materia, che investe direttamente i diritti fondamentali della “persona” costituzionalmente tutelati, la disciplina del diritto del lavoratore alla protezione della propria “sfera privata” dovrebbe dunque essere inserita all’interno del nucleo delle tutele generali, valide nei confronti di tutti i lavoratori che svolgono prestazioni a favore di terzi, indipendentemente dalla natura, autonoma, coordinata o subordinata, pubblica o privata, del rapporto[135].
Del resto, la tutela della “sfera privata” può ormai considerarsi componente essenziale del nuovissimo diritto alla protezione dei dati personali del lavoratore[136]: in quanto l’ordinamento, distinguendo le informazioni sul lavoratore rilevanti ai fini dell’adempimento dell’obbligazione lavorativa, e che quindi possono legittimamente essere oggetto di conoscenza e di utilizzo da parte del datore di lavoro[137] da tutte le altre, da considerarsi invece estranee alla prestazione stessa, circoscrive in realtà il potere del datore di lavoro (o committente, o formatore, o tutore, o selezionatore) di raccolta e di “trattamento” dei dati personali del lavoratore[138].
Prima, però, di concentrarsi su questo profilo, pare opportuna almeno una precisazione, relativa ad una questione molto delicata, ma che non può essere considerata di fondamentale importanza per la trattazione dell’argomento[139].
La precarizzazione e la frammentazione dei rapporti di lavoro, con l’aumento della mobilità dei lavoratori tra vari lavori e datori di lavoro (o committenti), rendono altrettanto pressante il problema speculare della tutela della c.d. “privacy”[140] del datore di lavoro, abbassando inevitabilmente il grado di fedeltà e di identificazione del lavoratore nei confronti del datore di lavoro.
Si tratta di un problema sentito anche dal legislatore più recente[141].
L’art. 64 del D.Lgs. n. 276/03 ha, infatti, disciplinato l’obbligo di riservatezza del lavoratore a progetto[142], riconoscendo al collaboratore a progetto la possibilità di svolgere la sua attività a favore di più committenti, salvo diverso accordo tra le parti, ma disponendo il divieto per il collaboratore di svolgere attività in concorrenza con i committenti, nonché di diffondere notizie e apprezzamenti attinenti ai programmi e alla organizzazione di essi, e di compiere, in qualsiasi modo, atti in pregiudizio della attività dei committenti medesimi[143].
Una riflessione sul regime giuridico delle informazioni del lavoratore, invece, non può che partire dallo Statuto dei lavoratori (Legge 20 maggio 1970, n. 300)[144].
Ma contemporaneamente, deve tener conto della moderna legislazione “generale” sulla protezione dei dati personali, introdotta anche in Italia, su impulso comunitario, ad opera della Legge 31 dicembre 1996, n. 675, e riordinata e risistemata con l’emanazione del D.Lgs. n. 196/03[145].
La norma, allora, prima di tutto sancisce espressamente il criterio della “rilevanza” delle informazioni ai fini dello svolgimento dell’attività lavorativa, come condizione per la legittimità non solo della raccolta, ma del trattamento stesso dei dati personali del lavoratore[146], specificando che tale criterio vale per qualsiasi tipo di trattamento, effettuato con o senza l’ausilio di strumenti informatici e telematici, ed arginando in tal modo anche il “potere informatico” del datore di lavoro.
Quello della “rilevanza” è, ovviamente, un criterio “elastico”, la cui maggiore o minore ampiezza varia in dipendenza prima di tutto dell’attività in concreto svolta dal lavoratore.
Del resto, il principio della “rilevanza” risulta già affermato in maniera espressa[147] dai DD.Lgs. nn. 215 e 216 del 9 luglio 2003 in materia di tutela antidiscriminatoria: che, recependo il dettato comunitario[148], riconoscono la legittimità di quelle differenze di trattamento dovute a caratteristiche connesse alla razza o all’origine etnica, alla religione, alle convinzioni personali, all’handicap, all’età o all’orientamento sessuale della persona, “qualora, per la natura dell’attività lavorativa, o per il contesto in cui essa viene espletata, si tratti di caratteristiche che costituiscono un requisito essenziale e determinante ai fini dello svolgimento dell’attività medesima”[149].
Al criterio della “rilevanza” andrebbero, inoltre, collegati il divieto, per il datore di lavoro, di raccolta e di “trattamento” delle informazioni che non siano appunto “rilevanti”, e la conseguente nullità degli atti e dei provvedimenti datoriali fondati su tale trattamento illecito.
Del resto, il divieto di utilizzo dei dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali risulta già sancito in via generale dal D.Lgs. n. 196/03 (art. 11, 2 co.).
Una regola del genere è stata, inoltre, introdotta dal D.Lgs. n. 276/03 nei confronti delle agenzie per il lavoro (e degli altri soggetti pubblici e privati autorizzati o accreditati)[150].
L’art. 10 del decreto dispone, infatti, il divieto (sanzionato penalmente ai sensi dell’art. 38 St. lav.), per tali agenzie, di effettuare qualsivoglia indagine o comunque trattamento di dati ovvero di preselezione di lavoratori, anche nonostante il loro consenso, in base alle convinzioni personali, alla affiliazione sindacale o politica, al credo religioso, al sesso, all’orientamento sessuale, allo stato matrimoniale o di famiglia o di gravidanza, alla età, all’handicap, alla razza, all’origine etnica, al colore, alla ascendenza, all’origine nazionale, al gruppo linguistico, allo stato di salute, nonché ad eventuali controversie con i precedenti datori di lavoro, a meno che non si tratti di caratteristiche che incidono sulle modalità di svolgimento dell’attività lavorativa o che costituiscono un requisito essenziale e determinante ai fini dello svolgimento dell’attività lavorativa[151]; ed inoltre, è fatto divieto di trattare dati personali dei lavoratori che non siano strettamente attinenti alle loro attitudini professionali e al loro inserimento lavorativo[152].
È necessaria, inoltre, una puntualizzazione: non è detto che le informazioni appartenenti alla “sfera privata” del lavoratore, in quanto appunto irrilevanti ai fini dell’adempimento dell’obbligazione lavorativa, non possano mai essere legittimamente oggetto di conoscenza e di trattamento da parte del datore di lavoro[153].
Tale concetto potrebbe essere chiarito prevedendo, ad esempio, la salvezza espressa delle disposizioni che permettono l’utilizzo, da parte del datore di lavoro, di dati relativi alle condizioni personali o allo stato di salute del lavoratore, e anche dei suoi congiunti, allo scopo di far godere al lavoratore stesso dei vantaggi o delle agevolazioni; fermo restando, ovviamente, il divieto per il datore di lavoro di utilizzare questi dati per finalità diverse rispetto a quelle consentite dall’ordinamento[154].
3. I poteri del datore di lavoro: potere di controllo
Tra i poteri del datore di lavoro rientra anche quello di controllare cotidie et singulis momentis[155], a differenza di quanto accade nel lavoro autonomo, l’esatta esecuzione della prestazione lavorativa dedotta in contratto, verificando se il dipendente usa la prescritta diligenza (art. 2104, 1 co., c.c.) e osserva le disposizioni impartitegli (art. 2104, 2 co., c.c.), anche al fine dell’eventuale esercizio del potere disciplinare (art. 2106 c.c.; art. 7 St. Lav.)[156].
L’esercizio del potere di controllo, per essere considerato legittimo, deve essere necessariamente contemperato con le libertà fondamentali del lavoratore, aventi dignità giuridica pari alle contrapposte esigenze datoriali[157].
Il datore di lavoro può disporre, oggi, di molte forme di vigilanza, ciascuna delle quali presenta specifici problemi di carattere pratico giuridico[158].
Le forme più attuali di vigilanza, in ordine alle quali si impone una riflessione sulle problematiche coinvolte dall’interazione della normativa sulla privacy e dalla legislazione giuslavoristica in tema di potere di controllo, sono, indubbiamente, il controllo della posta elettronica e la sorveglianza dell’accesso ad Internet[159].
Ogni moderna realtà aziendale è caratterizzata dall’elevato uso delle tecnologie informatiche le quali, se da un lato hanno reso e rendono possibile l’introduzione di tecniche gestionali innovative e particolarmente efficienti, dall’altro lato determinano numerose problematiche relative all’utilizzo degli strumenti informatici forniti dall’azienda al personale[160] per lo svolgimento delle proprie mansioni.
Il datore di lavoro, pertanto, avverte l’esigenza di porre in essere adeguati sistemi di controllo sull’impiego di tali strumenti e di sanzionare quegli usi scorretti che, oltre ad integrare comportamenti contrari ai doveri di diligenza e fedeltà propri del rapporto di lavoro, possono esporre l’azienda stessa a responsabilità anche gravi ed onerose[161].
I controlli preventivi e continui sull’uso degli strumenti informatici devono garantire, dunque, tanto il diritto del datore di lavoro alla protezione della propria organizzazione, quanto il diritto del lavoratore a non vedere invasa la propria sfera personale, e quindi il diritto alla riservatezza ed alla dignità[162].
In termini generali, con riferimento particolare all’uso dei collegamenti Internet da parte dei lavoratori, si deve evidenziare come la moderna tecnologia permetta di bloccare l’accesso, via Internet, a siti non autorizzati o non ritenuti utili a fini lavorativi.
L’adozione di accorgimenti tecnici di cosiddetto “filtraggio” consentono il venir meno della stessa esigenza di effettuare controlli con riferimento a quei comportamenti indesiderati che vengano conseguentemente resi a priori irrealizzabili[163].
Residua, peraltro, un ambito in cui il controllo da parte del datore di lavoro resta ancorato all’esigenza di accertare condotte illecite del lavoratore, attraverso il monitoraggio realizzato dal provider[164].
Per quanto concerne, invece, la posta elettronica, occorre tenere nella massima considerazione che essa, come Internet, rappresenta spesso uno strumento indispensabile di lavoro, di cui il datore di lavoro può avere la necessità di verificare il contenuto da un lato per accertare che i dipendenti svolgano correttamente le proprie mansioni, dall’altro per prendere conoscenza del contenuto di comunicazioni indirizzate all’azienda, soprattutto in caso di assenza del lavoratore[165].
Al riguardo, non può omettersi di rilevare che le e-mail ricevute nella casella di posta aziendale sono messaggi indirizzati all’impresa e posti all’attenzione del singolo lavoratore e non già comunicazioni personali inviate al lavoratore presso la sede aziendale[166].
4. I limiti imposti dallo Statuto dei lavoratori ai poteri del datore di lavoro
La legge n. 300 del 1970, contiene alcune disposizioni suscettibili di disciplinare il fenomeno dell’uso della posta elettronica e di Internet in azienda, nonostante l’elaborazione risalga ad un periodo in cui tali strumenti non erano certamente diffusi nei posti di lavoro[167].
A tali disposizioni vanno, inoltre, affiancate alcune previsioni contenute nel D.Lgs. 30 giugno 2003, n. 196, c.d. Codice della privacy, concernenti la legittima acquisizione ed il trattamento di dati personali. Pur tenendo presente la gerarchia delle fonti normative va, inoltre, considerata la recente delibera del Garante per la protezione dei dati personali[168].
Gli artt. 4 e 8 dello statuto dei lavoratori vietano, rispettivamente, i controlli a distanza dei lavoratori e l’acquisizione di informazioni su dati personali[169].
Adempiuto l’onere di redigere un’informativa sufficientemente completa e comprensiva delle regole aziendali sull’uso della posta aziendale e sul suo controllo da parte del datore e dei soggetti dallo stesso preposti (c.d. policy aziendale[170]), il datore non subisce altri limiti al potere di controllo sulle e – mail se non quelli più restrittivi già stabiliti dal diritto del lavoro[171], applicabili in ragione del criterio di specialità e comunque richiamati dall’art. 184, 3 co., dal Codice sulla Privacy, che fa salve le disposizioni che stabiliscono divieti o limiti più restrittivi in materia di trattamento di taluni dati personali e dagli articoli 113 e 114, che espressamente richiamano gli artt. 4 ed 8 dello Statuto dei Lavoratori.
L’art. 4[172] prevede il divieto dell’“uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori”[173].
Il divieto di controllo del lavoratore opera anche nel caso in cui il lavoratore sia stato previamente informato di detta attività di controllo oppure qualora il controllo sia discontinuo perché esercitato in locali dove il lavoratore può trovarsi solo saltuariamente[174].
Come il lavoratore deve poter riconoscere il soggetto che sta vigilando sulla sua attività lavorativa nel momento in cui la svolge, così non è possibile eludere tale immediata riconoscibilità mediante accorgimenti di qualsiasi natura che rendono non immediato e, quindi, a distanza, il controllo stesso.
La distanza meramente spaziale non è, quindi, indefettibile, come anche può non essere sufficiente: quindi, può essere “a distanza” il controllo mediante computer (c.d. controllo informatico)[175] i cui dati vengono elaborati successivamente o mediante l’installazione di un software che consenta il tracciamento della navigazione in rete, mentre non è tale (ed è invece immediato) il controllo dell’ingresso in azienda (e, quindi, della presenza del lavoratore) effettuato mediante cartellino magnetico inserito in apposita apparecchiatura.
Resta, lo spazio per l’installazione, previa effettuazione della procedura di cui al 2 co., dell’art. 4, Stat. Lav., di software o hardware che, sebbene finalizzato a soddisfare esigenze produttive od organizzative diverse dal mero controllo dei lavoratori, possa comportare la possibilità di controllo a distanza della corrispondenza elettronica.
A dire il vero tali diverse esigenze appaiono difficilmente ipotizzabili, salvo che si accolga la tesi[176] che propone una rilettura aggiornata dell’art 4, sostenendo che il controllo a distanza sull’esecuzione della prestazione lavorativa è ammesso, come extrema ratio e previo espletamento della procedura sindacale, quando, come nel caso dell’uso del computer, non vi sono altri strumenti utilizzabili. Tale circostanza costituirebbe essa stessa una delle esigenze organizzative e produttive contemplate dall’art. 4, secondo comma[177].
È consentito invece il controllo diretto del datore di lavoro, dei superiori gerarchici e del personale di vigilanza sulla postazione del lavoratore finalizzato alla lettura della posta elettronica, anche in assenza dello stesso.
Non è vietato, infatti il controllo occulto effettuato dal datore di lavoro o dai soggetti dallo stesso preposti senza l’ausilio di apparecchiature a distanza[178], purché non divenga vessatorio in violazione dell’art. 2087 c.c.[179].
Concorrendo, peraltro, assai frequentemente oltre che la necessità di tutelare la dignità e la riservatezza del lavoratore anche l’esigenza di organizzare efficientemente i metodi di lavoro e di proteggere i sistemi produttivi nonché i dipendenti da eventi pregiudizievoli, il legislatore ha demandato alle parti sociali il compito di bilanciare tali contrapposti interessi[180].
Risulta quindi confermato il divieto di installazione di sistemi di controllo a distanza della posta elettronica[181].
L’art. 4, 2 co., prevede, infatti, che “gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti”.
Pertanto, ai sensi dell’art. 4, 1 co., i controlli a distanza non sono legittimi se diretti alla esclusiva verifica dell’attività di lavoro, mentre il 2 co. dello stesso articolo consente l’installazione di apparecchiature di controllo a distanza che, pur riflettendosi indirettamente anche sui lavoratori, non siano esclusivamente finalizzate al loro controllo, ma ad un monitoraggio ambientale per ragioni di sicurezza o, più in generale, organizzative[182]: per questi casi, tuttavia, è necessario un preventivo accordo sindacale o, in mancanza, l’intervento dell’ispettorato del lavoro.
I controlli c.d. difensivi, ossia diretti ad accertare condotte illecite del lavoratore, dovrebbero, peraltro, sottrarsi ai limiti posti dalla legislazione[183].
La questione investe il dibattuto tema dei controlli difensivi, categoria elaborata prevalentemente in ambito giurisprudenziale[184], per tentare di superare alcune rigidità degli articoli 2, 3 e 4 dello Statuto[185], che sembrano limitare eccessivamente il potere di controllo del datore sui comportamenti extra – solutori civilmente o penalmente illeciti.
In questo caso, definito icasticamente di controllo preterintenzionale per differenziarlo da quello intenzionale di cui al primo comma della norma statutaria, l’altro requisito indispensabile per la legittimità dell’installazione, oltre alle indicate esigenze aziendali, è che l’imprenditore raggiunga un accordo con le rappresentanze sindacali aziendali costituite nell’unità produttiva interessata oppure, in difetto di accordo, ottenga l’autorizzazione del servizio ispettivo della Direzione provinciale del lavoro competente per territorio.
Il problema dell’operatività dell’art. 4 St. lav. nel nuovo contesto tecnologico è di estrema importanza, avendo un’immediata ricaduta sul piano pratico-operativo: sul piano processuale civilistico è stata infatti ritenuta inutilizzabile, sia a fini disciplinari che a fini risarcitori, la prova di eventuali inadempimenti del lavoratore raccolta in violazione del divieto in esame.
Sul punto non si è ancora formata una ricostruzione unitaria, parendo la dottrina[186] e la giurisprudenza[187] attestate su posizioni contrastanti.
La dottrina maggioritaria[188], ritiene che per la legislazione italiana gli strumenti che consentono il monitoraggio delle e-mail così come degli accessi a Internet siano in primo luogo strumenti di controllo a distanza, consentendo al datore di lavoro di controllare e ricostruire l’attività dei lavoratori, potremmo dire in modo nemmeno troppo metaforico, minuto per minuto; a fronte di tale premessa si sostiene che i controlli tecnologici andrebbero attivati rispettando la procedura codeterminativa (accordo con le r.s.a. o autorizzazione amministrativa) di cui all’art. 4 St. lav.[189]
Rimane allo stato minoritaria[190] la pur autorevole dottrina di segno opposto, secondo cui l’art. 4 St. lav. è una norma dettata in riferimento a sistemi di controllo estrinseci ed eventuali rispetto alla prestazione di lavoro, con conseguente inapplicabilità alla strumentazione informatica e telematica, essendo quest’ultima, prima ancora che sistema di controllo della prestazione, uno strumento essenziale di produzione.
La giurisprudenza[191] sembra attestarsi sulle posizioni espresse dalla dottrina minoritaria da ultimo richiamata, in quanto in alcune recenti decisioni ha per così dire finto di non accorgersi della presenza dell’ingombrante norma penale di cui all’art. 4 St. lav., ritenendo che la verifica della legittimità del controllo tecnologico compiuto dal datore di lavoro non debba passare per l’indicata norma statutaria.
In particolare, la giurisprudenza[192] si dimostra particolarmente aperta nel sancire la legittimità dei c.d. controlli difensivi, ossia i controlli a distanza mirati non sull’attività lavorativa, ma su possibili attività illecite del lavoratore, di cui gli strumenti informatici possono essere portentosi vettori[193].
5. Il procedimento di trattamento dei dati personali:
5.1. Selezione e ricerca del personale.
La legge definisce il trattamento di dati personali come qualunque operazione o complesso di operazioni svolti con o senza l’ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dati[194].
La raccolta dei dati può essere effettuata o direttamente presso l’interessato o presso terzi, che conferiscono dati relativi a interessati diversi dalla propria persona. Al momento della raccolta dei dati occorre fornire all’interessato, o al terzo, presso il quale i dati sono raccolti, una informativa, secondo quanto previsto dall’art. 13 del Testo Unico in materia di trattamento di dati personali di cui al D.Lgs. n. 196/2003 che specifica, infatti, che “’interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa le finalità e le modalità del trattamento cui sono destinati i dati”[195].
L’attività di monitoraggio è finalizzata a verificare “chi fa che cosa”[196], quindi ad ottenere una completa panoramica d’insieme di tutti gli elementi e le fasi caratterizzanti l’intero Trattamento tenendo ben presente che i soggetti pubblici, per poter trattare i dati personali, non necessitano di ottenere il previo consenso da parte degli interessati[197].
La legge sulla privacy a tal proposito prevede due regimi di legittimazione diversi a seconda della natura dei soggetti titolari del Trattamento: se a procedere al Trattamento è un soggetto privato (cui sono equiparati gli enti pubblici economici), questo deve chiedere preliminarmente il consenso all’interessato, salvo i casi di esclusione espressamente previsti dal legislatore; per i soggetti pubblici, al contrario, vige il principio di finalità istituzionale (o secondo altri di competenza): essi possono trattare solo i dati che siano necessari per lo svolgimento di funzioni istituzionali[198].
Questa scelta è una conseguenza del principio di legalità, che caratterizza l’attività amministrativa, per cui si è voluto evitare di condizionare l’azione al consenso degli interessati. Peraltro questa scelta, fatta dal nostro legislatore, appare pienamente compatibile con quanto previsto, in sede comunitaria, dall’art. 7 della direttiva 95/46/CE.
Ritornando però al processo di trattamento dei dati personali, sono tre le fasi che lo caratterizzano[199].
Per quanto riguarda l’input non ci sono particolari problemi, salvo dover verificare se la raccolta di dati, da parte del privato o del terzo, sia necessaria per lo svolgimento di funzioni istituzionali, nel rispetto dei limiti di legge o di regolamento[200].
Per quanto riguarda la black-box sono due le specie di operazioni, che interessano il trattamento interno: quelle cd. statiche (registrazione, conservazione, organizzazione, blocco, cancellazione, distruzione) e quelle cd. dinamiche (elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione)[201].
La differenza consiste nel fatto che le operazioni cd. statiche non alterano il dato, in quanto si ha a che fare con un sistema che può essere definito isomorfo, in quanto ciò che entra rimane inalterato.
Le operazioni cd. dinamiche, invece, comportano un intervento sulle informazioni, che perdono la loro originaria forma e vengono trasformate, così da ottenere un sistema cd. eteromorfo. Ciò che entra viene trasformato, dando vita ad informazioni cd. di secondo livello, che possono essere profondamente diverse da quelle raccolte[202].
È in tale ultima fattispecie che si corrono i maggiori rischi e che proprio in questa ottica si spiegano i diritti che la legge riconosce in capo all’interessato (ai sensi degli articoli 7, 8 e 9 del D.Lgs. 196/2003) e che proprio per tale ragione sono finalizzati al controllo sul trattamento avente ad oggetto i dati personali[203].
Infine le operazioni di output, che costituiscono nella comunicazione, che riguarda il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione, e nella diffusione, ossia il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione[204].
La differenza fra queste due operazioni è data dalla determinatezza o meno del soggetto destinatario delle informazioni. Come è facile intuire, infatti, queste due operazioni comportano i rischi maggiori per gli interessati tanto è vero che la legge prevede che l’interessato debba essere informato sulle categorie di soggetti ai quali i dati potranno essere comunicati e sull’ambito di diffusione dei dati medesimi[205].
Inoltre, se i dati (di natura comune) sono trattati da un soggetto privato o da un Ente pubblico economico per poter essere trasferiti ad un terzo occorre il consenso dell’interessato, salvo i casi di esclusione, previsti dalla legge. Se i dati, invece, sono trattati da un soggetto pubblico per essere comunicati o diffusi a soggetti privati (come destinatari) occorre una previsione specifica di legge o di regolamento[206].
Più nello specifico, se i dati trattati sono di natura sensibile per poter essere trasferiti a terzi non previsti istituzionalmente occorre rispettivamente il consenso scritto dell’interessato, quando il titolare sia un soggetto privato, una espressa autorizzazione di legge, nel caso dei soggetti pubblici[207].
Il Garante ha avviato procedimenti sanzionatori verso società di selezione o ricerca di personale, società di lavoro temporaneo e società di intermediazione per carenza di trasparenza e correttezza nei confronti dei candidati[208].
Le società non hanno infatti informato gli interessati, che hanno inviato i loro curricula, dell’uso che esse avrebbero fatto dei dati personali raccolti, violando in tal modo norme specifiche della legge sulla privacy.
Non è la prima volta che il Garante si occupa del settore della selezione e ricerca del personale e del trattamento dei dati raccolti tramite coupon, annunci ed offerte di lavoro pubblicati su quotidiani e periodici[209].
Già nel 1998, infatti, aveva riscontrato la mancanza delle necessarie informative previste dalla legge sulla privacy e l’invalidità del consenso al trattamento dei dati che veniva richiesto di esprimere contestualmente all’invio dei curricula[210].
Gli annunci di lavoro che violano la legge sulla privacy non recano anzitutto una idonea informativa. Infatti, oltre a non essere spesso indicata l’identità del titolare della banca dati, mancano informazioni sulle modalità con le quali vengono utilizzati i dati e gli eventuali scopi ulteriori per i quali vengono raccolti e non viene chiarito se il conferimento dei dati è obbligatorio o facoltativo.
Inoltre, non viene specificato se i dati vengono divulgati a terzi[211] e mancano indicazioni sui diritti di accesso ai dati, al loro aggiornamento, rettifica, cancellazione e opposizione al loro successivo utilizzo per altri scopi, così come non viene indicata la persona cui rivolgersi per esercitare tali diritti.
Gli annunci esaminati dal Garante, nella maggioranza dei casi, contenevano solo un mero invito nei confronti dei candidati interessati a rilasciare, nel curriculum o nei documenti che intendono inviare, un generico consenso al trattamento dei dati personali, oltretutto con formule improprie (come “autorizzazione ai sensi della legge n. 675/1996”)[212].
Consenso che, peraltro, non è affatto necessario se le società trattano dati personali comuni, e non li mettono a disposizione di terzi (per scopi diversi dall’esecuzione di obblighi contrattuali). Il consenso è, invece, obbligatorio se nei curricula sono contenute informazioni a carattere sensibile (ad esempio, appartenenza a particolare categorie protette)[213].
Queste prassi, come osservato dal Garante, non sono conformi al Codice della privacy perché il rispetto dei principi di lealtà e correttezza del trattamento impongono che i candidati siano chiaramente informati, al momento della pubblicazione degli annunci, sulle modalità e sull’uso che verrà fatto dei dati personali richiesti[214].
Le società devono, in sostanza, consentire una scelta libera e consapevole da parte dei candidati e acquisire, quando necessario, un consenso specifico[215].
5.2. Gestione del rapporto di lavoro
La conoscenza dei dati personali relativi ad un lavoratore da parte di terzi è ammessa se l’interessato vi acconsente (ciò significa informativa e consenso).
Se il datore di lavoro non può avvalersi correttamente di uno degli altri presupposti del trattamento equipollenti al consenso[216], non può prescindersi dal consenso stesso per comunicare dati personali[217] a terzi quali associazioni (anche di categoria) di datori di lavoro, o di ex dipendenti (anche della medesima istituzione), conoscenti, familiari e parenti.
Quindi sono sottoposti al Codice sulla Privacy tutti i dati riferibili al lavoratore acquisiti dal datore di lavoro, nella fase delle trattative pre – contrattuali e della stipulazione del contratto di lavoro così come nella fase di gestione del rapporto mediante l’esercizio dei poteri direttivo, di controllo e disciplinare, a prescindere dall’inerenza delle stesse allo svolgimento della prestazione ovvero alle c.d. “licenze comportamentali”[218].
Fermo restando il rispetto dei principi generali in materia di trattamento di dati personali, rimane impregiudicata la facoltà del datore di lavoro di disciplinare le modalità del proprio trattamento designando i soggetti, interni o esterni, incaricati o responsabili del trattamento, che possono acquisire conoscenza dei dati inerenti alla gestione del rapporto di lavoro, in relazione alle funzioni svolte e a idonee istruzioni scritte alle quali attenersi[219]. Ciò, ove necessario, anche mediante consegna di copia di documenti all’uopo predisposti.
È altresì impregiudicata la facoltà del datore di lavoro di comunicare a terzi in forma realmente anonima (in genere mediante dati aggregati e non individualizzati) dati ricavati dalle informazioni relative a singoli o gruppi di lavoratori[220].
Allo stesso modo, il consenso del lavoratore è necessario per pubblicare informazioni personali allo stesso riferite (quali fotografia, informazioni anagrafiche o curricula) nell’intranet aziendale (e a maggior ragione in internet), non risultando tale ampia circolazione di dati personali di regola “necessaria per eseguire obblighi derivanti dal contratto di lavoro “[221].
Tali obblighi possono trovare esecuzione indipendentemente da tale particolare forma di divulgazione che comunque, potendo a volte risultare pertinente (specie in realtà produttive di grandi dimensioni o ramificate sul territorio), richiede il preventivo consenso del singolo dipendente, salva specifica disposizione di legge.
In assenza di specifiche disposizioni normative che impongano al datore di lavoro la diffusione di dati personali riferiti ai lavoratori (art. 24, comma 1, lett. a) del Codice) o la autorizzino, o comunque di altro presupposto ai sensi dell’art. 24 dello stesso Codice, la diffusione stessa può avvenire solo se necessaria per dare esecuzione a obblighi derivanti dal contratto di lavoro (art. 24, comma 1, lett. b) del Codice).
È il caso, ad esempio, dell’affissione nella bacheca aziendale di ordini di servizio, di turni lavorativi o feriali, oltre che di disposizioni riguardanti l’organizzazione del lavoro e l’individuazione delle mansioni cui sono deputati i singoli dipendenti.
Salvo che ricorra una delle ipotesi sopra citate, non è invece di regola lecita dare diffusione a informazioni personali riferite a singoli lavoratori, anche attraverso la loro pubblicazione in bacheche aziendali o in comunicazioni interne destinate alla collettività dei lavoratori, specie se non correlate all’esecuzione di obblighi lavorativi.
In tali casi la diffusione si pone anche in violazione dei principi di finalità e pertinenza (art. 11 del Codice), come nelle ipotesi di affissione relativa ad emolumenti percepiti o che fanno riferimento a particolari condizioni personali, di sanzioni disciplinari irrogate o informazioni relative a controversie giudiziarie, di assenze dal lavoro per malattia, di iscrizione e di adesione dei singoli lavoratori ad associazioni.
Analogamente, si possono determinare altre forme di diffusione di dati personali quando dette informazioni debbano essere riportate ed esibite su cartellini identificativi appuntati ad esempio sull’abito o sulla divisa del lavoratore.
Al riguardo, il Garante ha già rilevato, in relazione allo svolgimento del rapporto di lavoro alle dipendenze di soggetti privati, che l’obbligo di portare in modo visibile un cartellino identificativo può trovare fondamento in alcune prescrizioni contenute in accordi sindacali aziendali, il cui rispetto può essere ricondotto alle prescrizioni del contratto di lavoro[222].
Tuttavia, in relazione al rapporto con il pubblico, si è ravvisata la sproporzione dell’indicazione sul cartellino di dati personali identificativi (generalità o dati anagrafici), ben potendo spesso risultare sufficienti altre informazioni (quali codici identificativi, il solo nome o il ruolo professionale svolto), per sé sole in grado di essere d’ausilio all’utenza.
Salvi i casi in cui forme e modalità di divulgazione di dati personali discendano da specifiche previsioni[223], il datore di lavoro deve utilizzare forme di comunicazione individualizzata con il lavoratore, adottando le misure più opportune per prevenire un’indebita comunicazione di dati personali, in particolare se sensibili, a soggetti diversi dal destinatario, ancorché incaricati di talune operazioni di trattamento[224].
Analoghe cautele, tenendo conto delle circostanze di fatto, devono essere adottate in relazione ad altre forme di comunicazione indirizzate al lavoratore dalle quali possano desumersi vicende personali[225].
5.3. Accessi ispettivi
La tutela approntata dall’art. 8 della legge n. 300 del 1970 riguarda due specie di dati personali: le opinioni politiche, religiose o sindacali del lavoratore e i fatti rilevanti al fine della valutazione dell’attitudine professionale. I primi rientrano nella più ampia categoria dei c.d. dati personali sensibili[226]; i secondi sono i dati personali non sensibili e sono liberamente acquisibili dal datore di lavoro purché attengano alla prestazione lavorativa e alla professionalità del lavoratore, mentre, in caso contrario, sono parificati ai dati sensibili.
La riflessione non può non prendere le mosse dallo Statuto dei lavoratori, e in particolare dall’art. 8, senza dubbio “norma – cardine” in materia, fondamentalmente per due ragioni.
In primo luogo, allo Statuto dei lavoratori si deve senza dubbio la precoce intuizione, secondo cui è la fase della “conoscenza” delle informazioni del lavoratore quella più delicata, in quanto essa crea i presupposti per eventuali successivi abusi datoriali.
Da qui, la scelta di eliminare all’origine la fonte di rischio per il lavoratore[227] e di svolgere dunque una funzione di tutela “preventiva”, attraverso il duplice divieto di indagini datoriali[228], conseguentemente circoscrivendo la legittimità del potere datoriale d’indagine solo ai fatti rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.
Inoltre, non si può non riconoscere la modernità della tecnica di tutela adottata dallo Statuto dei lavoratori. Una tecnica di tutela forte, tipica del diritto del lavoro, consistente nel garantire l’intangibilità della “sfera privata” del lavoratore, sottraendola alla disponibilità delle parti, anche dello stesso interessato, e limitando in via eteronoma la gestione del flusso delle informazioni, addirittura con norme dotate di sanzione penale.
Questa consistente restrizione dell’autonomia privata è giustificata dall’esigenza di tutela del soggetto più debole, e dall’obiettivo di correggere lo squilibrio tra le parti, restringendo l’oggetto del potere datoriale alla sola prestazione, alle ragioni organizzative e produttive dell’impresa, al fine di evitare che questo si manifesti in maniera lesiva della persona, della libertà e degli interessi del lavoratore[229].
Va rilevato, inoltre, che, in parte pure per motivi di ordine storico, l’ambito di applicazione dell’art. 8 risulta limitato, concentrandosi solo sulle “indagini” datoriali. A ciò si aggiunge l’eccessiva rigidità della disposizione, anche perché norma penale, in ragione dell’esistenza del principio di tassatività della fattispecie legale e del divieto di interpretazione analogica.
Non a caso, solo a fatica, e non senza perplessità, si è cercato di estendere in via interpretativa il significato della disposizione, sostenendo che essa sia espressione di un principio generale: appunto quello dell’irrilevanza, ai fini della costituzione e dello svolgimento del rapporto di lavoro, di tutte le informazioni che, non influendo sulla valutazione dell’attitudine professionale del lavoratore, in quanto prive di alcuna correlazione con l’attività lavorativa, riguardano la sua “sfera privata”[230]. E con ancora maggiori difficoltà, da questo principio si è fatto discendere il divieto di utilizzo, da parte del datore di lavoro, delle informazioni acquisite in violazione del criterio della “rilevanza” dettato dall’art. 8[231].
In più, senza dubbio la disposizione non è adatta a fronteggiare le enormi potenzialità delle nuove tecnologie informatiche, che consentono di compiere innumerevoli operazioni di trattamento “automatizzato” dei dati dei lavoratori[232] e quindi offrono nuovi strumenti all’intrusione datoriale (il c.d. “potere informatico” del datore di lavoro)[233].
Per cui, la semplice estensione dell’applicazione dell’art. 8 a tutti i “lavori”[234] non pare una soluzione soddisfacente, in quanto non garantirebbe un adeguato livello di tutela.
5.4. Diritto del lavoratore di accesso ai dati personali
Al Titolo II del D.Lgs. 196/2003 sono disciplinati i diritti dell’interessato, che può ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. L’interessato può inoltre ottenere le seguenti indicazioni:
– origine dei dati personali e finalità e modalità del trattamento;
– logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
– estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’art. 5, 2 co.;
– i soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. Quest’ultima circostanza rappresenta una novità: in base alla D.Lgs. 196/2003, infatti, l’interessato aveva unicamente il diritto di essere previamente informato circa i soggetti “destinatari” dei dati[235].
L’interessato può richiedere l’aggiornamento, la rettificazione ovvero, nel caso in cui vi sia un interesse, l’integrazione dei dati. Nell’ipotesi in cui non sia necessaria la conservazione dei dati in relazione alle finalità per cui questi sono stati raccolti, inoltre, l’interessato può pretendere la cancellazione, la trasformazione in forma anonima o il blocco dei dati stessi[236].
In base al nuovo codice, l’interessato ha diritto di opporsi, in tutto o in parte, al trattamento dei dati personali che lo riguardano, non dovendo addurre alcuna motivazione nel caso di trattamento finalizzato all’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale[237].
Tra le limitazioni all’esercizio dei diritti menzionati si ricorda quella relativa ai dati personali di tipo valutativo contenuta all’art. 8, 4 co., che stabilisce “l’esercizio dei diritti di cui all’art. 7, quando non riguarda dati di carattere oggettivo, può avere luogo salvo che concerna la rettificazione o l’integrazione di dati personali di tipo valutativo, relativi a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo, nonché l’indicazione di condotte da tenersi o di decisioni in via di assunzione da parte del titolare del trattamento”[238].
In questo modo il codice chiarisce le problematiche, presenti fin dall’entrata in vigore della legge sulla privacy, collegate all’accesso da parte del lavoratore ai dati personali oggetto di valutazione da parte del datore di lavoro (ad esempio quelli contenuti nella cartella personale e collegati alla retribuzione). I diritti di cui all’art. 7 (tra i quali il diritto di accesso ai dati personali), pertanto, restano esclusi in caso di opinioni e valutazioni preliminari alle scelte definitive prese dal datore di lavoro[239].
Il codice (art. 10) fornisce importanti precisazioni in termini di riscontro alle richieste dell’interessato da parte del titolare.
Nel caso in cui l’estrazione dei dati risulti particolarmente difficoltosa, il riscontro alla richiesta dell’interessato può avvenire anche mediante l’esibizione o la consegna in copia di atti e documenti contenenti i dati personali richiesti[240].
Il diritto di ottenere la comunicazione (in forma intelligibile) dei dati non riguarda dati personali relativi a terzi, salvo che la scomposizione dei dati trattati o la privazione di alcuni elementi renda incomprensibili i dati personali relativi all’interessato[241].
Non mancano le regole relative alla chiarezza del riscontro: “La comunicazione dei dati è effettuata in forma intelligibile anche attraverso l’utilizzo di una grafia comprensibile. In caso di comunicazione di codici o sigle sono forniti, anche mediante gli incaricati, i parametri per la comprensione del relativo significato”[242].
Il codice introduce la possibilità in capo al titolare di richiedere all’interessato un contributo spese quando, a seguito dell’esercizio del diritto di accesso ai dati personali, non risulti confermata l’esistenza di dati riguardanti il richiedente.
6. L’inutilizzabilità dei dati
In ordine al trattamento dei dati l’art. 3 introduce il “principio di necessità” secondo il quale il controllo è legittimo se ed in quanto indispensabile, a fronte di un interesse datoriale meritevole di apprezzamento[243].
Secondo quanto previsto dal Codice all’art. 11, il trattamento dei dati personali deve avvenire nel rispetto di alcuni fondamentali principi così sintetizzabili:
- a) i dati devono venir trattati in modo lecito e secondo correttezza;
- b) i dati devono essere raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
- c) i dati raccolti devono essere esatti e, se necessario, aggiornati;
- d) i dati raccolti devono essere pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
- e) i dati devono essere conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati[244].
L’art. 11, 1 co., lett. a) afferma il principio di correttezza di tal che le caratteristiche dei trattamenti devono essere rese note ai lavoratori[245].
Lo stesso articolo alla lettera b) afferma il principio di “pertinenza e non eccedenza” in forza del quale il trattamento deve avvenire in modo lecito e secondo correttezza, in modo pertinente, nella maniera meno invasiva possibile, ed i dati raccolti non devono essere eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati[246].
Secondo questi principi il controllo, in sostanza, è l’ultima risorsa utilizzabile al fine di evitare danni o pregiudizi all’interesse dell’azienda, di terzi o degli stessi lavoratori.
La sanzione per la violazione di questi principi è la inutilizzabilità dei dati stessi[247].
L’art. 13, 5 co., lett. b) precisa che nel caso di controllo occulto e legittimo, in quanto giustificato dal perseguimento di interessi meritevoli e non tutelabili altrimenti, non sussiste obbligo di informativa, quando i dati sono trattati per far valere o difendere un diritto in sede giudiziaria[248].
Dal predetto sistema se interpretato in modo rigido può ricavarsi una diretta conseguenza con riferimento ai controlli difensivi.
Se il controllo deve svolgersi nel rispetto dei predetti principi, la valutazione in concreto della legittimità/illegittimità dei controlli difensivi, deve tener conto delle modalità concrete di esercizio di tale facoltà che non può più essere effettuata in modo “ libero” (è cioè non è più vero che qualsiasi tipologia di controlli difensivi è astrattamente lecita purché non si tratti di modo occulto di controllo a distanza dell’attività lavorativa e purché venga svolta secondo correttezza e buona fede)[249].
L’attività di controllo difensivo deve essere svolta nel modo procedimentalizzato previsto dal Codice, nel rispetto dei predetti principi e degli ulteriori “ distinguo “ elaborati dal Garante della privacy[250].
Va dunque affermato che per i controlli difensivi sembrerebbe prevalere un orientamento ulteriormente restrittivo dei già ristretti spazi lasciati aperti dalla giurisprudenza.
Deve essere, inoltre, ricordato che il principio di necessità costituisce un presupposto di liceità del trattamento dei dati personali ed il mancato rispetto di questo e degli altri presupposti comporta conseguenze rilevanti per l’amministrazione[251]. Infatti il Codice, nel dettare le regole per tutti i trattamenti ha sancito l’inutilizzabilità dei dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali (art. 11, 2 co.).
Il diritto alla protezione dei dati personali potrà, pertanto, essere garantito solo se le amministrazioni titolari dei trattamenti ispireranno la loro attività ai principi sanciti dal Codice e conseguentemente, oltre ad ottemperare agli obblighi espressamente previsti, adotteranno una serie di comportamenti concreti, azioni e provvedimenti organizzativi coerenti con i principi che regolano la materia[252].
Ai sensi dell’art. 167 del codice della privacy il Trattamento illecito di dati in violazione di quanto disposto dall’art. 11, al fine di trarne per sé o per altri profitto e/o di recare ad altri un danno, salvo che il fatto non costituisca più grave reato, è punito con la reclusione da uno a tre anni.
La condanna per uno dei delitti previsti dal codice importa la pubblicazione della sentenza[253].
Anche in assenza di una espressa richiesta in tal senso da parte dell’interessato, i dati personali trattati in violazione della disciplina in materia di privacy “non possono essere utilizzati”.
L’inutilizzabilità dei dati comporta che essi possano essere conservati dal titolare ma non possono essere oggetto di alcun altra operazione[254].
7. La designazione del Fiduciario.
La diffusione della telematica e la sua applicazione generalizzata ai processi produttivi richiamano l’attenzione dell’operatore del diritto su quegli interventi del datore di lavoro diretti a determinare le modalità di utilizzo di beni di sua pertinenza e del cui cattivo o non esatto utilizzo egli assume le responsabilità[255].
In tale chiave prospettica appare fondamentale l’introduzione, da parte del datore di lavoro, di regole per i lavoratori che utilizzino strumenti informatici volte ad evitare possibili abusi da parte dei medesimi[256].
A tale scopo occorre valorizzare lo strumento, peraltro obbligatorio ai sensi del nuovo Codice in materia di Privacy, della designazione degli “incaricati del trattamento”, e, nella medesima ottica operativa, quello dell’introduzione di un regolamento aziendale sull’utilizzo degli strumenti informatici (ovvero l’implementazione all’uopo del regolamento esistente)[257].
Sia le lettere di incarico che il regolamento aziendale appaiono strumenti indubbiamente efficaci al fine di regolamentare in modo analitico l’uso degli strumenti di lavoro, disciplinando nel dettaglio ciò che il lavoratore può fare e ciò che è vietato, attraverso interventi non invasivi sulla posizione soggettiva individuale, rispondenti alla logica della preventiva chiara informazione dei lavoratori, il che consiste, nella sostanza, nell’adozione di una chiara “policy” aziendale, finalizzata ad illustrare al personale le modalità per il corretto utilizzo dei sistemi informatici aziendali messi a disposizione del lavoratore[258].
L’art. 30 del Codice sulla Privacy (D.Lgs. n. 196/2003) impone all’azienda titolare del trattamento di designare gli “incaricati del trattamento” e di fornire a questi ultimi delle istruzioni scritte[259].
La finalità di queste istruzioni scritte è quella di individuare gli specifici trattamenti che l’incaricato può legittimamente effettuare conformemente alle proprie mansioni[260].
Le istruzioni devono contenere l’individuazione delle banche dati cui l’incaricato può accedere, la definizione delle finalità per le quali si effettuano i trattamenti e l’eventuale ambito di comunicazione e/o diffusione dei dati all’esterno dell’azienda; inoltre, anche in considerazione degli obblighi gravanti sull’azienda in forza del Codice sulla Privacy e del Disciplinare tecnico allegato al Codice medesimo, è necessario ed opportuno dettare, in sede di istruzioni agli incaricati, prescrizioni puntuali sulle misure di sicurezza adottate a tutela dei dati, misure che dovranno essere osservate da ogni singolo incaricato[261].
Nell’ambito delle istruzioni fornite agli incaricati l’azienda potrà esplicitare le regole relative all’utilizzo degli strumenti informatici aziendali di cui il lavoratore viene dotato al fine di svolgere le proprie mansioni.
Inoltre, sempre in sede di istruzioni, il datore di lavoro (titolare del trattamento) potrà impartire le disposizioni di cui al punto 10, Allegato B, del nuovo Codice sulla Privacy[262]. Questa norma in particolare prevede che, quando l’accesso ai dati e agli altri strumenti elettronici sia consentito esclusivamente mediante uso della credenziale per l’autenticazione, sono impartite idonee e preventive disposizioni scritte volte ad individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema[263].
Una tale disposizione si iscrive nel contesto delle aperture giurisprudenziali sopra evidenziate circa il riconoscimento del fatto che l’uso della e-mail costituisce un semplice strumento a disposizione dell’utente-lavoratore al solo fine di consentire al medesimo di svolgere la propria funzione aziendale e che, come tutti gli altri strumenti di lavoro forniti, rimane nella completa disponibilità del datore di lavoro[264].
Il citato punto 10 assume una valenza positiva di sicuro rilievo e conferma la liceità di interventi da parte del datore di lavoro sia sui dati che sugli strumenti elettronici in presenza di “indispensabili ed indifferibili necessità di operatività e di sicurezza del sistema”, tra cui rientra, ad esempio, l’accesso alla casella di posta elettronica aziendale di un dipendente assente per malattia, purché, nuovamente, il singolo utente-lavoratore sia preventivamente informato della procedura[265].
Così v’é chi sostiene[266] che le e-mail ricevute nella casella di posta aziendale sono messaggi indirizzati all’impresa e posti all’attenzione del singolo lavoratore e non già comunicazioni personali inviate allo stesso e pertanto il lavoratore, usando la casella aziendale, accetta automaticamente il rischio che il datore od altri colleghi accedano alla casella e leggano i messaggi[267]. Altra dottrina, anche autorevole, ha sostenuto che l’imprenditore potrebbe sempre accedere liberamente ai messaggi inviati o ricevuti da un computer dell’azienda in quanto proprietario dello stesso[268].
Le istruzioni impartite agli incaricati in sede di designazione consentono dunque al datore di lavoro di riaffermare che gli strumenti informatici, compresa la posta elettronica, sono di proprietà e pertinenza dell’azienda, che li utilizza e ne concede l’utilizzo in funzione dello svolgimento della finalità propria dell’attività aziendale[269].
Capitolo 3
La semplificazione del trattamento dei dati
1. La tendenza espansiva della regolamentazione del Garante
Le linee guida deliberate il 1° marzo 2007 sembrano esprimere una contraddizione regolativa dovuta ad una sostanziale dualità di principi ispiratori.
Da una parte ci sono quelle prescrizioni che prendendo atto dell’avvenuta metabolizzazione da parte del diritto del lavoro dei problemi connessi alle nuove tecnologie informatiche rappresentate da internet e posta elettronica suggeriscono accorgimenti pratici per l’effettivo contemperamento delle esigenze di riservatezza dei lavoratori con quelle organizzative dell’impresa, nel rispetto del principio contenuto nel codice della privacy che fa salve le disposizioni speciali giuslavoristiche. Di questo gruppo di norme fanno parte tutte quelle che raccomandano la pubblicità e trasparenza dei meccanismi di controllo telematico, anche a fini disciplinari, adottati dal datore di lavoro e, più in generale, tutte quelle prescrizioni in ordine alla procedimentalizzazione dell’utilizzo di internet e della posta elettronica da parte dei lavoratori. Particolarmente innovativi ed efficaci sembrano, in questa prospettiva, gli strumenti volti a prevenire comportamenti illeciti o, comunque, disciplinarmente rilevanti dei lavoratori nel momento in cui utilizzano gli strumenti informatici messi loro a disposizione dal datore di lavoro. Si pensi, per quanto specificamente riguarda l’utilizzo di internet, alla individuazione preventiva di categorie di siti considerati correlati o non correlati con la prestazione lavorativa o alla configurazione di sistemi di filtro che prevengano determinate operazioni non consentite.
Con specifico riferimento alla posta elettronica possono ritenersi guidate dalla stessa metodologia normativa le regole relative alla posta elettronica che sollecitano il datore di lavoro a mettere a disposizione anche indirizzi condivisi tra più lavoratori, rendendo così chiara la natura non privata della corrispondenza; a valutare la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale; a prevedere, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi; a mettere in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l’ufficio, in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all’attività lavorativa.
Per contro, le disposizioni che vietano radicalmente l’utilizzo dei mezzi informatici per finalità di controllo sembrano ispirarsi ad una logica di sovrapposizione, se non di vero e proprio superamento, delle regole giuslavoristiche che determinano i limiti ai poteri del datore di lavoro ed ai corrispondenti obblighi del lavoratore nell’ambito del sinallagma contrattuale.
Si è cercato di dimostrare come questo secondo gruppo di disposizioni contenute nel provvedimento del 1° marzo 2007 presenti incongruenze sia di ordine sistematico che interpretativo.
Ciò che, in ogni caso, sembra emergere da questo provvedimento è una vera e propria svolta “interventista”, rispetto al passato, dell’Autorità Garante, che viene così ad assumere una sostanziale funzione di supplenza legislativa.
2. La necessità di un intervento del legislatore.
La questione assume un particolare rilievo pratico in quanto, se è vero che, sotto il profilo formale del conflitto fra norme, la legge dello Stato prevale sulla regolamentazione della autorità di garanzia, è anche vero che le imprese si trovano immediatamente esposte alle prescrizioni del Garante e, almeno fino ad una eventuale risoluzione per via giudiziaria del conflitto tra le fonti, sono tenute a rispettarle.
A questo punto resta da chiedersi se si andrà consolidando la appena inaugurata tendenza espansiva della regolazione di aspetti cruciali del rapporto di lavoro da parte del Garante, con il simmetrico arretramento del ruolo del legislatore.
Non può non osservarsi con qualche preoccupazione che, se così dovesse essere, si produrrebbe il singolare risultato che proprio uno dei settori dell’ordinamento più sensibili alle dinamiche sociali e politiche finirebbe per essere progressivamente regolato da una fonte che, per definizione, soffre di un evidente deficit di rappresentanza democratica rispetto alla legge. Meglio sarebbe, allora, che intervenisse il legislatore, non abdicando alla sua insostituibile funzione di presidio delle regole che governano il lavoro, l’impresa e i diritti fondamentali dei cittadini lavoratori.
Il legislatore ha iniziato un’opera di razionalizzazione per una disciplina più organica dei flussi di dati nell’ambito del Sistema Informativo Lavoro (c.d. SIL) già con il D.Lgs.n. 297/2002[270], opera proseguita con la legge delega n. 30/2003[271].
La legge delega, per quanto ci riguarda in questa sede, all’art. 1, comma 2, lett. g) ha previsto la ridefinizione del regime di trattamento dei dati relativi all’incontro tra domanda ed offerta di lavoro nel rispetto della l.n. 675/96[272].
Il legislatore delegato ha cercato di dare attuazione alle direttive sopra ricordate nel D.Lgs. n.276/2003 ed in particolare nel Titolo II (Organizzazione e disciplina del mercato del lavoro)[273].
All’interno di esso vi sono tre norme specifiche relative alla diffusione e raccolta dei dati nell’incontro tra domanda ed offerta di lavoro: gli artt. da 8 (Ambito di diffusione dei dati relativi all’incontro domanda-offerta di lavoro) a 10 (Divieto di indagini sulle opinioni e trattamenti discriminatori)[274].
Tra queste l’art. 9 (Comunicazioni a mezzo stampa, internet, televisione o altri mezzi di informazione) si occupa in modo specifico di cercare di regolamentare la diffusione dell’informazione relativa alla ricerca e selezione di personale, offrendo, in supporto alla legislazione protettiva dei dati (che nel frattempo ha razionalizzato la materia con la compilazione ed emanazione di un Testo Unico o più esattamente un Codice, nel D.Lgs. 196/2003, che entra in vigore, tranne alcune previsioni, dal primo gennaio 2004[275], senza tuttavia intervenire nel settore specialistico con una scelta ragionevole di rispetto delle competenze e rimettendo in parte alla regolamentazione con codici di deontologia e di buona condotta[276] a dettare una disciplina specifica ed organica sul punto[277], regole determinate volte a delineare i vincoli essenziali di una corretta informativa all’utenza.
La norma è strettamente vincolata e trova la propria ratio all’interno del sistema di organizzazione del mercato del lavoro che il decreto legislativo istituisce, e specificamente nel complesso regime di requisiti ed autorizzazioni per gli attori del mercato stesso[278].
L’intervento del legislatore delegato appare coerente con le indicazioni del Garante della Privacy ed il quadro legale che risulta sia pure con qualche sforzo di coordinamento tra le preventive indicazioni del Garante stesso, il dettato normativo del Codice in materia di protezione dei dati personali, che segue in principio di indicazioni generali, e la specifica normativa di settore (L. 300/70 e D.Lgs. 276/2003), oltre all’intervento dei codici deontologici- pare sufficientemente dettagliato per assicurare una ragionevole conoscibilità degli obblighi e dei diritti da parte degli operatori e degli utenti, con una valutazione tutto sommato ragionevolmente positiva in termini di tendenza verso la certezza del diritto.
Certo non si deve trascurare il fatto che i problemi operativi emergeranno solo in fase applicativa e la difficile controllabilità e l’assenza di limiti geografici che molti dei mezzi di informazione di massa considerati presentano suscitano qualche perplessità sull’effettività dell’impianto di garanzia congegnato.
Tuttavia va considerato che, sino ad oggi, il Garante è sempre stato vigile nel segnalare e sanzionare i comportamenti più a rischio per gli utenti del sistema normativo di tutela dei dati personali, a favore della difesa di una frontiera di libertà che, ogni giorno, appare sempre più quella (e forse l’ultima veramente ed) effettivamente posta a garanzia della libera esplicazione della soggettività dell’individuo e delle sue potenzialità ed aspirazioni[279].
3. Misure di semplificazione contenute nella L. n. 133/08
La legge 133/08 prevede misure di semplificazione degli adempimenti in materia di privacy.
La riduzione degli oneri amministrativi e burocratici connessi alla tutela della riservatezza rappresenta un’esigenza fortemente sentita dalle imprese, come emerso anche dal Protocollo di intesa tra Ministro per la funzione pubblica e Confindustria del marzo 2006 e dal Piano d’azione per la semplificazione e la qualità della regolazione definitivamente approvato dal Consiglio dei ministri nel 2007.
L’art. 29 della L. n. 133/08, inserito nel Titolo II, Capo VII sulle “Semplificazioni”, modifica infatti il D.Lgs. n. 196/2003 (Codice in materia di protezione dei dati personali, di seguito “Codice”) con l’obiettivo di ridurre gli oneri delle imprese connessi agli obblighi di redazione del Documento Programmatico sulla Sicurezza (art. 34, co. 1, lett. g) Codice e punto 19, Allegato B) e di notificazione del trattamento.
Il citato art. 29 interviene innanzitutto sul testo dell’art. 34 del Codice, che individua le misure minime di sicurezza applicabili al trattamento di dati personali effettuato con strumenti elettronici, introducendo un nuovo comma 1-bis che esclude dall’ambito di applicazione dell’obbligo del DPS le imprese (e, in generale, tutti i soggetti) che trattano, oltre ai dati personali “comuni”, quale unico eventuale dato sensibile lo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi (es. certificato di assenza per malattia).
La norma in esame stabilisce opportunamente che la natura di tali dati sanitari non incida sull’obbligo di redazione del DPS a carico di tutte le imprese. Queste ultime, infatti, trattano il dato dell’assenza per malattia nell’ambito dell’ordinaria gestione del rapporto di lavoro con i propri dipendenti e collaboratori, sulla base di norme di legge e contrattuali. Per tale categoria di imprese l’obbligo di redazione del DPS viene quindi eliminato e sostituito da un’autocertificazione, resa ai sensi dell’art. 47 del DPR n. 445 del 28 dicembre 2000, con la quale il titolare dovrà attestare di trattare soltanto dati personali non sensibili (quindi, “comuni”) e che l’unico dato sensibile è costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi e che il trattamento del dato sensibile (i.e. sanitario) è stato eseguito in osservanza delle misure di sicurezza richieste dal presente Codice (artt. 33-35), nonché del disciplinare tecnico cd. Allegato B).
L’art. 29, 2 co., dispone inoltre la semplificazione delle modalità di redazione del DPS anche per tutte le altre imprese[280], allo scopo di adempiere alle correnti finalità amministrative e contabili.
3.1. L’obbligo di notificazione
Nell’attuale formulazione il modello per la notificazione predisposto dallo stesso Garante per la protezione dei dati personali richiede infatti numerose informazioni non previste dalla disciplina comunitaria.
Pertanto, il 2 co. dell’art. 38 del Codice è sostituito con una nuova disposizione che, da un lato, limita il novero delle informazioni da fornire in sede di notifica al Garante conformemente alle indicazioni della direttiva comunitaria, dall’altro lato non prevede più alcun riferimento alle modalità di sottoscrizione della notificazione con firma digitale. In sostituzione dell’obbligo di dotarsi della firma digitale per la notificazione, come chiarito nella Relazione al DDL di conversione del DL n. 112/08 (AC n. 1386), il Garante potrà stabilire, ai sensi del 5 co. dell’art. 38 del Codice, altre modalità semplificate di individuazione del mittente[281]. È stato infine disposto l’obbligo del Garante di adeguare il contenuto del modello predisposto per la notifica entro il termine di due mesi dall’entrata in vigore della Legge 133/08.
3.2. L’informativa
I titolari del trattamento in ambito privato e pubblico, tra cui soprattutto PMI, professionisti e artigiani, possano unificare l’informativa per il complesso dei trattamenti, al fine di evitare frammentazioni e inutili ripetizioni. Inoltre, possono utilizzare un linguaggio semplificato, che evidenzi le caratteristiche essenziali del trattamento e preveda, per quanto possibile, una prima informativa breve all’interessato (anche in forma orale), rinviando a un testo più articolato, accessibile anche attraverso strumenti informatici e telematici[282].
I titolari del trattamento possono omettere nell’informativa articolata gli elementi già noti all’interessato e i riferimenti puramente burocratici o le circostanze già note[283].
3.3. Il consenso
Per quanto attiene al consenso dell’interessato, la norma ribadisce l’esonero del titolare dalla richiesta quando il trattamento dei dati è svolto esclusivamente per correnti finalità amministrative e contabili, nonché quando i dati provengono da registri ed elenchi pubblici, conoscibili da chiunque, o sono relativi allo svolgimento di attività economiche, ovvero sono trattati da un soggetto pubblico[284].
La norma esonera, inoltre, il titolare dalla richiesta del consenso per l’utilizzazione di recapiti (oltre che di posta elettronica come già previsto per legge) di posta cartacea forniti dall’interessato cui sia stato precedente venduto un prodotto o prestato un servizio. In questi casi sarà possibile omettere il consenso, ai fini dell’invio di materiale pubblicitario, di vendita diretta o del compimento di ricerche di mercato e/o comunicazioni commerciali, nei limiti in cui ricorrano contestualmente le seguenti condizioni:
– l’attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita già avvenuta;
– l’interessato sia informato della possibilità di far cessare il trattamento manifestando la propria opposizione.
4. Il Provvedimento del Garante del 19 giugno 2008.
L’Autorità ha ritenuto opportuno “promuovere alcune misure di semplificazione per l’intero settore pubblico e privato in relazione alle correnti attività amministrative e contabili, in particolare nei riguardi di piccole e medie imprese, liberi professionisti e artigiani”. Inoltre ha condotto una approfondita istruttoria ed illustrato le “nuove linee guida-interpretative della normativa vigente”, mediante la individuazione di “soluzioni concrete”.
Per comprenderne la portata e la originalità, è necessario, come di consueto, partire dai requisiti giuridico-formali che caratterizzano l’impianto del Provvedimento del 19 giugno 2008, costruito su tre direttrici fondamentali:
– la “prescrizione di misure opportune o necessarie” impartite dall’Autorità nell’esercizio dei poteri di cui all’art. 154, 1 co., lett. c), e cioè a dire prescrizioni il cui mancato rispetto può comportare la “non conformità del trattamento alle disposizioni vigenti”, con ogni conseguenza in termini di inutilizzabilità dei dati (art. 11, 2 co.), di esposizione alle sanzioni amministrative ed a provvedimenti di divieto e/o blocco del trattamento (artt. 161 e ss. e 154, 1 co., lett. d) ed, in ipotesi limite (in presenza degli altri presupposti previsti dall’art. 167) anche a responsabilità penale;
– una nuova ipotesi di bilanciamento di interessi, e cioè l’individuazione da parte del Garante, ai sensi dell’art. 24, 1 co., lett. g), delle condizioni per la effettuazione di un legittimo trattamento anche in assenza del consenso dell’interessato;
– una serie di (utilizziamo la dizione adottata nel provvedimento) “richiami” dell’attenzione degli operatori circa le modalità di gestione di alcuni adempimenti.
Ora, è sufficiente leggere il documento per verificare come l’area certamente più ampia del medesimo sia occupata da indicazioni operative di natura squisitamente interpretativa.
Non diversamente si potrebbero definire ad esempio, i consigli relativi alla impostazione di una informativa caratterizzata da linguaggio semplice e corredata dalle sole notizie essenziali in un quadro adeguato di lealtà e correttezza; o ancora all’inserimento della informativa stessa negli spazi utili nel materiale cartaceo e nella corrispondenza che si impiegano già, ordinariamente, per finalità amministrative e contabili.
E natura non diversa, sembrerebbe potersi assegnare al puro e semplice richiamo del contenuto di alcune norme, come accade con riferimento alla designazione degli incaricati[285]; o con riguardo alla notificazione[286].
Nelle premesse del documento si specifica senza mezzi termini come nel dare applicazione alle disposizioni del Codice, ci si sia lasciati andare ad approcci prettamente burocratici e si sia dato seguito ad adempimenti superflui o ripetuti inutilmente, e ciò talvolta per effetto di erronee valutazioni fornite in sede di consulenza.
In altri termini, una certa quota della percezione di disinteresse e fastidio con cui vengono universalmente vissuti gli adempimenti per la privacy, è dovuta secondo l’Autorità a consulenti che non sanno fare il loro mestiere, che non hanno saputo interpretare o anche semplicemente leggere le norme del codice, ed hanno malconsigliato ai propri clienti soluzioni burocratiche e prive di valore aggiunto.
Certo, in giro si sono viste le cose più incredibili[287]. E certamente è a tali distorsioni che il Garante si riferisce, stimolando chiunque si occupi di questa materia ad atteggiamenti più professionali.
Se fosse solo questo il problema, ci si potrebbe fermare ad una semplice riflessione sulla opportunità che un’autorità, anche solo incidentalmente, spenda le sue energie per polemizzare sulle capacità degli interpreti. O ancora ci si potrebbe limitare ad interrogarsi sulla possibilità di ravvisare anche in altri fattori le problematiche culturali e pratiche che hanno condotto al senso di “fastidio e disinteresse” che ammanta gli adempimenti, compresi, forse, anche alcuni interventi non proprio chiari del Garante in alcune materie[288].
Ma il problema è un altro. Come già accennato, infatti, soltanto alcuni dei consigli impartiti dal Garante sono rimasti allo stato di “richiami all’attenzione”.
Di contro, tutte le importanti soluzioni operative relative alla informativa e al consenso (adottate in ossequio al principio di semplificazione nella elevata tutela di cui all’art. 2 comma 2), vengono espressamente formalizzate dal Garante come misure “opportune o necessarie” indicate ai titolari nell’esercizio dei poteri di cui all’art. 154, 1 co., lett. c).
Ecco allora che il quadro si complica, atteso che, non dando seguito ai consigli dell’’Autorità, non si cade semplicemente nel mancato recepimento di una good practice, ma si rischia di incappare nella violazione di una misura opportuna o necessaria, con tutte le conseguenze che ne possono derivare sulla liceità del trattamento.
Guardato sotto questo punto di vista, l’approccio al provvedimento diventa decisamente problematico. Quando infatti l’Autorità invita tutti i titolari del trattamento pubblici e privati a non chiedere il consenso degli interessati qualora sussista uno dei casi di esclusione previsti dall’art. 24 richiamati, e tanto fa espressamente, ai sensi degli artt. 2, comma 2, 24 e 154, comma 1, lett. c), l’Autorità non sta dispensando un semplice suggerimento illuminato, ma sta impartendo una prescrizione. Con il risultato, abbastanza originale, che l’acquisizione di un consenso laddove non sia richiesto, non solo è inutile, ma è potenzialmente tale da rendere il trattamento “non conforme alle disposizioni vigenti”.
Quando il Garante indica la strada della informativa semplificata seguita da una più articolata informativa reperibile ad esempio on line, e tanto fa richiamando, oltre all’art. 13 commi 3 e 5, anche l’art. 154 comma 1 lett. c), non sta soltanto indicando una via esegetica o una soluzione semplificata, ma sta dando una prescrizione almeno apparentemente vincolante. Il che, a stretto rigore dovrebbe condurre all’aberrante risultato che il titolare che sia riuscito a congegnare una informativa unica, snella e completa di tutti i suoi elementi, veda la sua virtuosa condotta messa a rischio dal fatto di aver con ciò violato la prescrizione di farla precedere da una informativa “breve” appiattita sul testo redatto dall’Autorità.
Fra le misure prescrittive, infatti, il Garante introduce un elemento del tutto nuovo, consistente nel fatto che il titolare sia tenuto, nella informativa “finale”, “a specificare la data dell’ultimo aggiornamento, elemento questo non previsto dall’art. 13, e che dunque appare abbastanza in controtendenza rispetto alla spirito di semplificazione che avrebbe dovuto caratterizzare il provvedimento.
In sintesi, dunque, è quantomeno dubbio che il target di semplificare gli adempimenti possa ritenersi realmente raggiunto, se è vero che: a) in parte il provvedimento non fa altro che richiamare il testo di alcune norme; b) nel dettare le indicazioni semplificatrici, si è scelta in larga parte la strada della prescrizione, con ciò rischiando di appesantire, invece che di risolvere, dubbi e criticità.
Diversamente, un reale e salutare effetto semplificativo, potrebbe forse ravvisarsi nel nuovo caso di bilanciamento di interessi individuato dal Garante, che garantisce, fermo il rispetto delle relative indicazioni impartite, la possibilità di trattare i dati dell’interessato anche in assenza di un suo specifico consenso.
Il caso, è quello dei titolari del trattamento in ambito privato che hanno venduto un prodotto o prestato un servizio, nel quadro del perseguimento di ordinarie finalità amministrative e contabili: costoro, per poter contattare i propri clienti e proporre nuovi prodotti, erano tenuti, secondo l’assetto del codice, ad acquisire o meno un consenso a seconda del tipo di strumento utilizzato.
A norma dell’art. 130, infatti, qualora fossero utilizzati sistemi automatizzati di chiamata, fax, e-mail, tale trattamento non poteva in nessun caso prescindere dal consenso. Per strumenti di diversa natura (telefono con operatore o posta cartacea) operavano invece i principi generali dettati dagli artt. 23 e 24, potendo dunque il titolare usufruire di uno dei casi di esclusione previsti dall’art. 24[289].
Tale assetto era temperato da due ambiti specifici: a) quello previsto dall’art. 130 co. 4, che abilitava al mailing elettronico anche senza il consenso dell’interessato, purché finalizzato alla promozione di prodotti o servizi analoghi; b) quello introdotto dall’art. 58 comma 2 del Codice del consumo (D.Lgs. 206/05), che di fatto, nei rapporti con i consumatori, ed ove fossero utilizzati strumenti diversi da quelli di cui all’art 58 comma 1, escludeva il trattamento dalla applicazione delle regole privacy, e dunque anche dalla necessarietà della acquisizione del consenso.
L’impianto che ne derivava era dunque decisamente variegato, e, con riguardo specifico all’utilizzo della posta cartacea, si poteva affermare che per vagliare la utilizzabilità di tale strumento a fini promozionali, si dovesse necessariamente far riferimento al profilo soggettivo dell’interessato coinvolto, atteso che se si fosse trattato di imprese e professionisti si sarebbe potuto applicare il citato caso di esclusione dell’ art. 24 comma 1 lett. d); se si fosse trattato di un rapporto soggettivamente riconducibile all’ambito di applicazione del codice del consumo, si sarebbe potuto fruire della esenzione prevista dal relativo art. 58 comma 2 (D.Lgs. 206/05).
Il provvedimento di bilanciamento di interessi interviene sulla materia, spostando l’asse della valutazione su un piano, invece, esclusivamente oggettivo, e mutuando la dinamica già regolata per il mailing elettronico dall’art. 130 comma 4: le condizioni per poter effettuare il mailing cartaceo nei confronti dei propri clienti, sono infatti: a) che i dati siano stati acquisiti in sede di vendita di un prodotto o servizio; b) che l’attività promozionale riguardi esclusivamente beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita.
In tal modo l’area di esenzione dalla acquisizione del consenso per finalità commerciali perseguite mediante la posta tradizionale, si emancipa dai vincoli di natura soggettiva, e ferma la sussistenza delle predette condizioni oggettive, assume caratteri generalizzati[290].
Anche se intervenendo su un piano (quello del mailing cartaceo) nel quale esistevano già notevoli spazi di esenzione, sotto questo punto di vista si può dunque affermare che il provvedimento del Garante possa perseguire gli scopi di semplificazione cui era preordinato.
Il provvedimento del Garante si chiude con una segnalazione al Governo, circa la “opportunità” di una modifica normativa dell’art. 33 del Codice, che rimetta al Garante il potere di prevedere modalità semplificate di adozione delle misure di sicurezza (primo fra tutti, il DPS) con riferimento ai trattamenti effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani. Vari comunicati stampa hanno annunciato, all’esito di ciò, una serie di incontri tra il Garante e alcuni membri dell’attuale governo, che però, almeno allo stato, non hanno condotto agli esiti normativi ipotizzati dallo stesso Garante.
5. Le verifiche ispettive
L’art. 154 del Codice consolida, in capo al Garante, il compito di controllare se i trattamenti siano effettuati nel rispetto della disciplina applicabile e in conformità alla notificazione. A tal fine, l’Autorità continua ad esercitare anche una funzione ispettiva per mezzo del Dipartimento vigilanza e controllo, il cui personale riveste, nell’esercizio dei poteri attribuiti dalla legge, la qualifica di ufficiale/agente di polizia giudiziaria.
Le attività ispettive sono costituite anzitutto da accertamenti effettuati nei luoghi dove si svolgono i trattamenti, utilizzando i poteri previsti dal Codice (artt. 157-160).
In generale, le ispezioni possono essere originate da segnalazioni o reclami ricevuti dall’Autorità, da esigenze di approfondimento emerse nell’ambito dell’esame di ricorsi, d’iniziativa dell’Autorità in relazione, ad esempio, alle verifiche degli adempimenti da parte di determinate categorie di titolari o, ancora, sulla base di notizie comunque acquisite direttamente dal Garante.
Anche nella vigenza del Codice, l’esercizio dell’attività di controllo resta informato ai principi di proporzionalità, adeguatezza e gradualità, tenendo presente, di volta in volta, il contesto operativo di riferimento (rischio di dispersione o di alterazione degli elementi di prova) e la disponibilità o meno del soggetto controllato ad una collaborazione per lo svolgimento delle verifiche.
I controlli possono essere effettuati pure mediante richieste, sul posto o meno, di informazioni o di esibizione di documenti; possono inoltre svolgersi anche mediante accessi a banche di dati o altre ispezioni e verifiche nei luoghi dove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo stesso.
Le ispezioni previste dall’art. 158 del Codice sono disposte quando, per acquisire gli elementi necessari alla definizione della vicenda, non sia idonea una mera richiesta di informazioni o di esibizione di documenti, nonché nei casi in cui non siano state fornite tempestivamente le informazioni o i documenti richiesti (o, se pervenuti, siano incompleti o non veritieri).
Si tratta di una potestà con caratteri inquisitori e i soggetti interessati agli accertamenti sono quindi tenuti a farli eseguire: l’accertamento è infatti eseguito anche in caso di rifiuto e in tale ultima ipotesi le eventuali spese sono poste a carico del titolare. Durante l’accertamento il titolare o il responsabile possono farsi assistere da persone di loro fiducia.
L’autorizzazione da parte dell’autorità giudiziaria, diversamente da quanto stabilito dalla previgente disciplina, che contemplava in ogni caso tale autorizzazione, è oggi opportunamente richiesta dal Codice solo nel caso di accessi “svolti in un’abitazione o in un altro luogo di privata dimora o nelle relative appartenenze” (art. 158).
All’autorizzazione è equiparato l’assenso informato, che viene anche documentato per iscritto[291].
Le attività effettuate durante l’ispezione sono riportate in un sommario verbale, nel quale sono registrati tutti gli elementi rilevanti occorsi durante le operazioni e menzionate le informazioni e la documentazione eventualmente acquisita.
Nel corso o al termine del procedimento nel cui ambito vengono svolte le ispezioni, l’Autorità:
- prescrive ai titolari o responsabili del trattamento dei dati le modificazioni necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti[292];
- adotta ove necessario uno dei provvedimenti di divieto o blocco del trattamento[293];
- contesta le violazioni amministrative eventualmente constatate;
- nei casi più gravi previsti dalla legge, procede alla comunicazione di notizia di reato all’autorità giudiziaria per l’accertamento delle violazioni costituenti reato.
Nello svolgimento dell’attività ispettiva, il Garante può avvalersi della collaborazione di altri organi dello Stato. Già da tempo si sono avute molteplici occasioni di collaborazione con le forze di polizia ed in particolare con la Guardia di finanza, in ragione delle peculiari competenze di quest’ultima nel campo delle attività di controllo in ambito amministrativo.
Nell’ottica del potenziamento dell’attività di vigilanza e controllo, pertanto, nel mese di ottobre 2002 il Garante e la Guardia di finanza hanno siglato un protocollo d’intesa in base al quale è stata potenziata l’attività di collaborazione tra le due istituzioni[294].
Successivamente al perfezionamento del protocollo di intesa, nel mese di gennaio del 2003 è stata effettuata un’intensa attività di formazione del personale del Corpo destinato a svolgere in via continuativa l’attività di collaborazione. Ciò ha consentito di avviare più rapidamente la collaborazione con la Guardia di finanza, che si è dimostrata estremamente proficua sia nella fase preparatoria degli interventi più delicati, grazie alle capacità investigative proprie del Corpo, sia nella fase realizzativa[295].
Assai significative sono risultate pure le collaborazioni con la Polizia di Stato (specie per accertamenti nelle reti telematiche) e l’Arma dei carabinieri.
La collaborazione con le forze di polizia si è quindi confermata come un elemento essenziale di incremento dell’efficacia dell’azione di tutela dei diritti dei cittadini, che passa anche attraverso una più intensa attività di vigilanza e controllo.
Conclusioni
Gli artt. 2 e 3 e 6, nel regolamentare il potere di controllo del datore di lavoro sui lavoratori attuano la garanzia della dignità del lavoratore che costituisce il limite della libertà di iniziativa economica di cui al comma 2 della Costituzione e, nel loro combinato disposto, distinguono la tutela del patrimonio aziendale dalla vigilanza sull’attività lavorativa. La finalità è quella di evitare per un verso forme di controllo occulto e, per altro verso, di escludere un controllo di tipo poliziesco, quale quello effettuabile dalle guardie giurate, che, nel tempo della emanazione dello Statuto, appariva vessatorio sia nella forma sia nella sostanza, e di limitare le ispezioni del lavoratore.
Già prima della entrata in vigore della legge 300/70 la Corte di Cassazione aveva ritenuto che il datore di lavoro non avesse il potere di affidare a guardie giurate mansioni attinenti alla diretta sorveglianza e vigilanza dell’attività dei suoi dipendenti.
Sul problema della utilizzabilità o meno degli esiti di controlli effettuati in modo illegittimo ed illecito, variamente risolto dalla giurisprudenza di merito e di legittimità, mi limito a considerare che la finalità di garanzia, sottesa alle norme in commento, della dignità e della sfera di riservatezza del lavoratore sarebbe frustrata se si ammettesse la utilizzabilità in sede disciplinare ovvero in giudizio dei risultati della attività di vigilanza effettuata oltre i limiti consentiti.
L’articolo 4, completando le garanzie nei confronti dei controlli occulti, vieta il controllo a distanza operato con impianti audiovisivi e con altre apparecchiature istallati allo scopo esclusivo del controllo a distanza dell’attività dei lavoratori, e, al contempo, operando una sorta di bilanciamento di interessi, al comma 2 ne ammette l’istallazione solo se finalizzati a soddisfare esigenze organizzative e produttive o di sicurezza del lavoro, peraltro previo accordo con le rappresentanze sindacali o, in mancanza, se autorizzata con provvedimento dell’Ispettorato del lavoro. Presupposto per la operatività del divieto posto dalla disposizione in commento è che il controllo riguardi l’attività lavorativa che è quella in atto, mentre è possibile il controllo, rectius la verifica, del risultato della attività del lavoratore. Si ritiene che esulano dall’ambito di applicazione della norma i controlli diretti ad accertare condotte illecite del lavoratore quali ad esempio i sistemi audiovisivi di controllo dell’accesso ad aree riservate o le apparecchiature di rilevazione di telefonate ingiustificate, precisandosi, però, che, se indirettamente ne risulti un controllo sull’attività lavorativa, sarebbe applicabile la garanzia della norma in commento.
La finalità è, ancora una volta, quella di rendere riconoscibili i controlli sull’attività lavorativa, con la conseguenza che da taluno è stato ritenuto che perché operi il divieto la distanza meramente spaziale non è indefettibile, così come può non essere sufficiente e quindi il controllo mediante computer rientrerebbe tra i controlli a distanza. Alla nozione di distanza temporale è stato fatto riferimento per affermarne la sussumibilità entro il divieto posto dall’art. 4 con riguardo alla elaborazione a mezzo di computer di dati storici e ciò sul rilievo della estrema pervasività di un sistema che raccoglie dati diversi e consente verifiche incrociate. Il dato testuale costituito dal riferimento alla apparecchiatura è valorizzato dalla giurisprudenza per escludere l’operatività del divieto nel caso che il controllo sia effettuato da una agenzia investigativa sul personale addetto alla cassa. La previsione di una procedura garantista ai fini della individuazione delle esigenze tecnico produttive che legittimerebbero il potere datoriale del controllo a distanza, procedura che si realizza mediante la negoziazione con le rappresentanze sindacali aziendali o, in caso di mancato accordo, attraverso l’autorizzazione dell’Ispettorato del lavoro, evidenzia che per il legislatore del 1970 le ragioni giustificatrici del controllo a distanza non sono cogenti ex se ma devono essere verificate con i rappresentanti dei lavoratori ovvero dalla pubblica autorità.
Nel successivo provvedimento di carattere generale adottato il 29/11/2000 il Garante, nell’ambito delle prescrizioni dettate per conformare il trattamento dei dati realizzato attraverso l’utilizzo degli impianti di videosorveglianza alla normativa di tutela, ha ribadito la necessità dello scrupoloso rispetto del divieto e delle garanzie previsti dall’art. 4 della legge n. 300/1970.
La necessità di integrare ed aggiornare questo provvedimento, anche in relazione alle novità normative introdotte dal Codice entrato in vigore il 1/1/2004, ha, infine, trovato recente espressione nel “Provvedimento generale sulla videosorveglianza” del 29/4/2004 (doc. 24), che racchiude sia precetti validi per tutti i trattamenti operati per mezzo di sistemi audiovisivi, sia prescrizioni specifiche per il settore pubblico e per quello privato.
Il provvedimento prende in esame anche specifici settori nei quali possono trovare utilizzazione i sistemi audiovisivi; in questo ambito, e con particolare riferimento al settore dei rapporti di lavoro, il Garante ribadisce la necessità dell’osservanza delle garanzie poste dall’art. 4 dello Statuto, rileva l’inammissibilità dell’istallazione dei sistemi in questione in spazi non destinati all’attività lavorativa, e precisa che, in caso di riprese televisive effettuate a soli fini divulgativi o di comunicazione aziendale, al relativo trattamento dei dati dei dipendenti eventualmente coinvolti va applicato il regime previsto nel Codice in materia di attività giornalistica, fermo quindi il rispetto dei limiti posti al diritto di cronaca dalla tutela del diritto alla riservatezza e delle disposizioni poste in materia dal codice deontologico del settore.
La analiticità e puntualità di questi provvedimenti regolativi probabilmente renderà più facile l’accordo tra il datore di lavoro e le rappresentanze dei lavoratori e, ad un tempo, farà del provvedimento autorizzatorio generale del Garante un riferimento utile per gli uffici dell’Ispettorato del lavoro, che, in caso di mancato accordo tra datore di lavoro e RSA, sono chiamati, ai sensi dell’art. 4 comma 2° dello Statuto, a dettare le modalità per l’uso degli impianti audiovisivi.
Sicchè l’adozione di queste cautele potrebbe evitare il controllo successivo inevitabilmente invasivo della sfera personale del dipendente. Con la conseguenza che il controllo consentito e, perciò lecito e legittimo, dovrebbe essere considerato solo quello che costituisce estrema ratio.
Correlata alla questione della navigazione in Internet è quella, molto delicata perché la riservatezza della corrispondenza trova anche tutela penale, relativa all’utilizzo della posta elettronica.
Certo anche qui la possibilità offerta dalle moderne tecnologie di evitare ab origine violazioni del dovere di correttezza e di lealtà da parte del lavoratore dovrebbe essere adeguatamente valutata dal datore di lavoro.
Anche l’articolo 5, nel vietare al primo comma gli accertamenti da parte del datore di lavoro sulla idoneità fisica e sulla infermità per malattia o infortunio del lavoratore dipendente, persegue la finalità di tutela della persona della dignità e della riservatezza; il datore di lavoro conserva la facoltà di controllo ma, a differenza di quanto previsto dagli artt. 3 e 4, non può esercitarla direttamente ma, ai sensi del comma 3°, solo avvalendosi di enti pubblici o istituti specializzati di diritto pubblico; ove, poi, oggetto del controllo sia l’infermità che determina assenza dal servizio il controllo può essere richiesto soltanto agli istituti previdenziali competenti ad erogare il trattamento di malattia e può essere effettuato solo dai servizi ispettivi di servizi stessi.
La prescrizione contenuta nell’art. 5 trova applicazione secondo un orientamento giurisprudenziale che mi sembra ormai consolidato anche nella fase preassuntiva. Con riferimento alla fase preassuntiva è opportuno segnalare che i test genetici effettuati al momento della assunzione sono vietati ai sensi dell’art. 5 dello Statuto e dalle norme del Codice che disciplinano l’acquisizione ed il trattamento dei dati sensibili offrendo una tutela rafforzata a differenza di quanto accade in altri paesi.
Il diritto alla riservatezza del lavoratore trova tutela nell’articolo 8 dello Statuto che vieta al datore di lavoro, ai fini dell’assunzione e nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore: il primo divieto posto dalla norma è di carattere assoluto; il secondo divieto, quello relativo ai fatti non rilevanti ha evidentemente confini mobili, troppo generico , a mio modo di vedere, il riferimento alla valutazione dell’attitudine professionale del lavoratore. È evidente che anche la correlazione alle mansioni ed alla attitudine professionale è in grado di aprire lo sguardo su fatti personalissimi ed intimi del lavoratore.
[1] D.Lgs. 30 giugno 2003, n° 196
[2] Barraco E., Sitzia A., La tutela della privacy nei rapporti di lavoro, Milano, 2008; Buffa F., Comunicazioni elettroniche su rete aziendale e prerogative sindacali, in Dir. Int., 2005, p. 349; Mannaccio G., Uso di internet in azienda e tutela della privacy, in Dir. prat. Lav., 2006, 10, p. 566.
[3] Deliberazione n. 53/2006, 23 novembre 2006. Dui P., La tutela della privacy del lavoratore, in Terzo sett., 2007, 11, p. 57.
[4] Petrilli S., Privacy, trasparenza e rapporto di lavoro: le nuove indicazioni per gli Enti nelle linee guida del Garante, in Aziendaitalia. Il personale, 2007, 4, p. 3.
[5] Nunin R., Il garante della privacy vieta l’uso delle impronte digitali per il controllo delle presenze, in LG, 2005, 11, p. 1051.
[6] Petrilli S., op. cit., p. 3.
[7] Mannaccio G., op. cit.; Nunin R., op. cit., p. 1051.
[8] Manna A., Codice della privacy: Nuove garanzie per i cittadini nel Testo unico in materia di protezione dei dati personali, in Dir. Pen. Proc., 2004, p. 15.
[9] Borghi P., Guida alla privacy nel rapporto di lavoro: il Codice sulla protezione dei dati personali, policy aziendali e tutele dei lavoratori, Roma, 2005; Buffa F., op. cit., p. 349; Frediani M., Tutela della privacy nei rapporti di lavoro e D.lgs. 196/2003, in LG, 2003, 10, p. 941.
[10] Attuativo delle direttive 95/46/Ce e 2002/58/Ce. Dui P., op. cit., p. 57; Elli G., Zallone R., Il nuovo codice della Privacy (commento al d.lgs 196/2003), Torino, 2004.
[11] Petrilli S., op. cit., p. 3; Borghi P., op. cit., p. 123; Nunin R., op. cit., p. 1051.
[12] Per il riferimento al detto Provvedimento del Garante Privacy e relative considerazioni, v. ancora Arnò G., Lensi Orlandi A., La tutela della privacy nella rete Internet, Torino, 2002.
[13] In base al disposto dell’art. 7 Codice Privacy. Mannaccio G., op. cit., p. 566.
[14] Il ricorrente affermava l’esigenza di garantire la riservatezza sui dati inerenti alla sua attività di navigazione, evidenziandone la natura di dati sensibili, in quanto idonei a rivelare le sue convinzioni religiose, politiche, sindacali, nonché le proprie abitudini sessuali, tanto più che molti siti da lui ‘‘frequentati’’ avevano carattere chiaramente pornografico. Atelli M., Riservatezza (diritto alla), III) diritto costituzionale, in Enc. Giu. Treccani, 2001; Fiore S., Riservatezza (diritto alla), IV) diritto penale, in Enc. Giu. Treccani, Roma, 1998.
[15] Borghi P., op. cit., p. 123; Elli G., Zallone R., op. cit..
[16] Buganza C., Dati personali: diritto d’accesso del lavoratore e del datore, in Dir. Prat. Lav., 2005, p. 1706.
[17] Barraco E., Sitzia A., op. cit..
[18] Arnò G., Lensi Orlandi A., op. cit.; Bellavista A., Sorveglianza, privacy e rapporto di lavoro, in Dir. Internet, 2006, 5, p. 437; Cassano G., Abusivi collegamenti Internet del lavoratore in azienda e abusivo controllo elettronico dell’azienda sull’attività del lavoratore, in GM, 2003, p. 27.
[19] Manna A., op. cit., p. 15.
[20] V. art. 26 Codice Privacy (Borghi P., op. cit., p. 123); Aut. gen. Garante n. 1/2004. Buffa F., op. cit., p. 349; Mannaccio G., op. cit., p. 566.
[21] V. art. 26, comma 4, lett. c), Codice Privacy; autorizzazione n. 1/2004 del Garante). Dui P., op. cit., p. 57. Inoltre, in materia di controlli sull’uso degli strumenti informatici da parte dei lavoratori si rinvia, con riguardo ai più recenti commenti e rassegne pubblicate, a: Santini F., La corrispondenza elettronica aziendale tra diritto alla riservatezza e potere di controllo del datore di lavoro, in Arg. dir. lav., 2007, p. 749; Del Conte M., Internet, posta elettronica e oltre: il Garante della privacy rimodula i poteri del datore di lavoro , in Dir. informaz. informat., 2007, p. 497; Fracchia D., I controlli sull’accesso non autorizzato ad Internet sul posto di lavoro, in Lav. giur., 2007, p. 17; Policella E.O., Il monitoraggio elettronico dei dipendenti per scopi difensivi, in Dir. Internet, 2007, p. 83; Monea A., Posta elettronica, Internet, controlli e “privacy” secondo il garante, in Azienditalia-Il personale, 2007, p. 275; Di Pace M., Controllo della posta elettronica e navigazione Internet dei dipendenti-Indicazioni del Garante, in Dir. prat. lav., 2007, p. 1837; Vasta A., Lonigo A., Se il datore “spia” i dipendenti in rete. Controlli a rischio su Internet e e-mail. Si ai codici di condotta per l’uso degli strumenti informatici, in Dir. giust., 2006, p. 107; Sorgato A., La posta elettronica sul luogo di lavoro, in Merito, 2006, p. 61; Riccio G.M., Caselle di posta elettronica aziendali e tutela della riservatezza dei giornalisti, in Dir. Internet, 2005, p. 573.
[22] Cfr. art. 26, comma 4, lett. c), del Codice; punto 3, lett. d), della detta autorizzazione; v. Provv. Garante 9 luglio 2003. Borghi P., op. cit., p. 123.
[23] Petrilli S., op. cit., p. 3; Nunin R., op. cit., p. 1051.
[24] V. precisamente Deliberazione 23 novembre 2006 n. 53, contenente “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati”, adottata anche in seguito alle pressioni costanti di organizzazioni sindacali di lavoratori e imprese.
[25] Buffa F., op. cit., p. 349.
[26] Frediani M., op. cit., p. 941.
[27] Il riferimento è alle Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico, adottate con Deliberazione 14 giugno 2007 n. 23, che considerano un’ulteriore esigenza fondamentale, ossia quella di contemperare la riservatezza del lavoratore con il principio di trasparenza della P.A., e si contraddistinguono per la finalità protettiva dei dati sanitari dei lavoratori pubblici (Callea A., “Privacy” e amministrazione pubblica: il trattamento dei dati personali dei dipendenti, in Amm., 2008, fasc. 1-2, p. 229); per la limitazione della raccolta delle impronte digitali per l’accesso al luogo di lavoro solo a casi eccezionali; per la restrizione del controllo ai soli dati indispensabili. Atelli M., op. cit.; Fiore S., op. cit..
[28] Buganza C., op. cit., p. 1706.
[29] Frediani M., op. cit., p. 941; Mannaccio G., op. cit., p. 566.
[30] Petrilli S., op. cit., p. 3.
[31] Manna A., op. cit., p. 15.
[32] Processi produttivi pericolosi, locali destinati a custodia di beni, documenti riservati. Dui P., op. cit., p. 57.
[33] Buganza C., op. cit., p. 1706.
[34] Barraco E., Sitzia A., op. cit.; Elli G., Zallone R., op. cit..
[35] Cfr. Cass. 6 marzo 1996, n. 490, inedita a quel che consta, e Cass. 16 settembre 1997, n. 9211, in Mass. Giur. Lav., 1997, p. 804.
[36] Con riguardo all’art. 4 della legge n. 300 del 1970 è utile indicare le più recenti pronunce della Suprema Corte: sentenza 17 luglio 2007, n. 15892, in GM, 2007, p. 868, con nota critica di Ranieri M., Controllo sull’attività lavorativa e badge aziendale, la quale ha statuito che “la rilevazione dei dati di entrata ed uscita dall’azienda mediante un’apparecchiatura di controllo predisposta dal datore di lavoro per il vantaggio dei dipendenti -nella specie, un congegno di sicurezza predisposto nel locale garage ove posteggiare le autovetture dei dipendenti durante l’orario di lavoro, attivabile mediante un tesserino personale assegnato a ciascun dipendente con il quale venivano attivati anche gli ingressi agli uffici- ma utilizzabile anche in funzione di controllo dell’osservanza dei doveri di diligenza nel rispetto dell’orario di lavoro e della correttezza dell’esecuzione della prestazione lavorativa, non concordata con le rappresentanze sindacali, né autorizzata dall’Ispettorato del lavoro, si risolve in un controllo sull’orario di lavoro e in un accertamento sul quantum della prestazione, rientrante nella fattispecie prevista dal c. 2 dell’art. 4 della legge n. 300 del 1970; né l’esigenza di evitare condotte illecite da parte dei dipendenti può assumere portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore”; sentenza 12 giugno 2002, n. 8388, inedita a quel che consta, che ha precisato come “Le norme poste dagli artt. 2 e 3 della legge 20 maggio 1970 n. 300 a tutela della libertà e dignità del lavoratore delimitano la sfera di intervento di persone preposte dal datore di lavoro a difesa dei suoi interessi, con specifiche attribuzioni nell’ambito dell’azienda (rispettivamente con poteri di polizia giudiziaria a tutela del patrimonio aziendale e di controllo della prestazione lavorativa), ma non escludono il potere dell’imprenditore, ai sensi degli artt. 2086 e 2104 c.c., di controllare direttamente o mediante la propria organizzazione gerarchica l’adempimento delle prestazioni lavorative e quindi di accertare mancanze specifiche dei dipendenti, già commesse o in corso di esecuzione, e ciò indipendentemente dalle modalità del controllo, che può legittimamente avvenire anche occultamente, senza che vi ostino né il principio di correttezza e buona fede nell’esecuzione dei rapporti, né il divieto di cui all’art. 4 della stessa legge n. 300 del 1970 riferito esclusivamente all’uso di apparecchiature per il controllo a distanza (non applicabile analogicamente, siccome penalmente sanzionato). Sono pertanto legittimi, in quanto estranei alle previsioni delle suddette norme, gli accertamenti operati dall’imprenditore attraverso agenti investigatori incaricati di controllare, durante l’orario di lavoro, se il dipendente aveva omesso di registrare gli acquisti fatti dai clienti di un supermercato e di rilasciare lo scontrino fiscale”; sentenza 3 aprile 2002, n. 4746, in Riv. giur. lav. prev. soc., 2003, p. 71, con nota di D’Arcangelo L., Uso privato del telefono, riservatezza e poteri di controllo del datore di lavoro , e in Or. giur. lav., 2002, p. 221, che ha specificato come “Ai fini dell’operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dell’attività dei lavoratori previsto dall’art. 4 legge n. 300 del 1970 è necessario che il controllo riguardi (direttamente o indirettamente) l’attività lavorativa, mentre devono ritenersi certamente fuori dell’ambito di applicazione della norma sopra citata i controlli diretti ad accertare condotte illecite del lavoratore (cosiddetti controlli difensivi), quali, ad esempio, i sistemi di controllo dell’accesso ad aule riservate o, come nella specie, gli apparecchi di rilevazione di telefonate ingiustificate”.
[37] Sono quelli idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose o filosofiche, le opinioni politiche, l’adesione ai partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati relativi allo stato di salute ed alla vita sessuale, e per i quali l’art. 26 del Codice della privacy, richiede il consenso scritto dell’interessato e l’autorizzazione del Garante.
[38] Pubblicata in “Gazz. Uff.” 10 marzo 2007, n. 58.
[39] In particolare le c.d. “nuove tecnologie”, fra le quali i computers, Internet, l’email e la posta elettronica.
[40] Bellavista A., op. cit., p. 437; Cassano G., op. cit., p. 27.
[41] Mannaccio G., op. cit., p. 566.
[42] Così Policella E.O., Il monitoraggio elettronico dei dipendenti per scopi difensivi, in Dir. Internet, 2007, p. 83.
[43] Bellavista A., op. cit., p. 437; Buffa F., op. cit., p. 349.
[44] V. Cass. n. 8250/2000, Cass. n. 12715/1998 e Cass. n. 1862/1996. Cassano G., op. cit., p. 27.
[45] Fava G., Internet come strumento aziendale e come mezzo di controllo a distanza dei lavoratori: cosa dice la legge, all’Url http://contenuto.monster.it/5044_it_p1.asp; Bellavista A., op. cit., p. 437.
[46] Cass. n. 3837/1997, in Giust. civ. mass. 1997, 676; Pret. Milano 4 ottobre 1988 in Notiziario gur. lav., 1989, 436. Si ricorda anche l’orientamento più favorevole al datore di lavoro (Tribunale di Campobasso 23 gennaio 2003) che ha escluso la ravvisabilità del divieto del controllo del lavoratore nell’obbligo imposto dal datore di lavoro nei confronti dei suoi dipendenti in servizio notturno di effettuare, ogni trenta minuti, prove di collegamento radio con l’operatore addetto alla centrale. Dui P., op. cit., p. 57.
[47] V. Cass., 13 ottobre 1998, n. 10313 e relative considerazioni, in http://www.italiainvestigazioni.com/assenteismodipendenti.htmove si considera anche la questione dei furti commessi dai dipendenti di grandi magazzini, rispetto a cui la Corte talvolta ha ritenuto che il controllo effettuato dall’investigatore in nulla differisce da quello teoricamente esercitabile da qualsiasi cliente. Infatti, la sorveglianza finalizzata alla tutela del patrimonio aziendale, contemplata dalla norma in questione, riguarda non solo l’attività lavorativa, ma anche le eventuali irregolarità del comportamento dei lavoratori (Bellavista A., op. cit., p. 437). La Corte ha poi ricordato il potere dell’imprenditore di controllare, direttamente o mediante l’organizzazione gerarchica della sua impresa, l’adempimento delle prestazioni dei lavoratori, quindi accertando eventuali mancanze; tale accertamento può avvenire anche in maniera occulta, sempre che tale modalità di controllo sia giustificata dal comportamento illegittimo del lavoratore (Bellavista A., op. cit., p. 437).
[48] Frediani M., op. cit., p. 941.
[49] Cassano G., op. cit., p. 27.
[50] Bellavista A., op. cit., p. 437.
[51] V. Pret. Milano, 12 luglio 1988, in Or. giur. lav., 1988, 936. V. in argomento Maresca A., Monticelli S.L., Tutela della riservatezza nei rapporti di lavoro e divieto di controllo, in La protezione dei dati personali, a cura di Santaniello, Padova, 2005, p. 537. Riguardo il concetto di distanza si ribadisce che la stessa non vada intesa unicamente in termini spaziali ma come qualsiasi forma di controllo occulto del lavoratore che sia reso possibile tramite l’utilizzo di impianti audiovisivi o qualsiasi strumento che, per sua natura, sia idoneo a registrare i dati ed a conservarli. Atelli M., op. cit.; Fiore S., op. cit..
[52] Cassano G., op. cit., p. 27; Mannaccio G., op. cit., p. 566.
[53] Art. 11, comma 1, lett. b), del Codice della Privacy.
[54] Manna A., op. cit., p. 15.
[55] L’installazione di apparecchiature che consentono la possibilità di controllo a distanza dell’attività dei lavoratori, quali un dispositivo che rilevi l’orario di attraversamento dei dipendenti di una sbarra di passaggio del garage aziendale, è illegittimo, in assenza di un accordo sindacale o dell’assenso dell’Ispettorato del lavoro, in quanto solo questi ultimi danno ai dipendenti la possibilità di avere piena conoscenza e con i quali è possibile eventualmente stabilire in maniera trasparente misure di tutela della loro dignità e riservatezza (Atelli M., op. cit.; Fiore S., op. cit.). Così ha stabilito la Corte di Cassazione, sezione lavoro, nella sentenza 17 luglio 2007, n. 15892. La Corte, esaminando la questione sottopostale, ha ricordato come il primo comma dell’art. 4, dello Statuto dei lavoratori (legge 300/70) sancisce il divieto di utilizzazione di mezzi di controllo a distanza, tra i quali, in primo luogo, gli impianti audiovisivi, “sul presupposto che la vigilanza sul lavoro, ancorché necessaria nell’organizzazione produttiva, vada mantenuta in una dimensione “umana”, e cioè non esasperata dall’uso di tecnologie che possono rendere la vigilanza stessa continua e anelastica, eliminando ogni zona di riservatezza e di autonomia nello svolgimento del lavoro” (Bellavista A., op. cit., p. 437). Ha sottolineato, tuttavia, come lo stesso articolo, al secondo comma, prevede che esigenze organizzative, produttive ovvero di sicurezza del lavoro possano richiedere l’eventuale installazione di impianti ed apparecchiature di controllo, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori. In tale ultimo caso, continua il collegio, è però prevista una garanzia procedurale a vari livelli, essendo l’installazione condizionata all’accordo con le rappresentanze sindacali aziendali o con la commissione interna, ovvero, in difetto, all’autorizzazione dell’Ispettorato del lavoro. In tal modo il legislatore ha inteso contemperare l’esigenza di tutela del diritto dei lavoratori a non essere controllati a distanza e quello del datore di lavoro, o, se si vuole, della stessa collettività, relativamente alla organizzazione, produzione e sicurezza del lavoro, individuando una precisa procedura esecutiva e gli stessi soggetti ad essa partecipi. Cassano G., op. cit., p. 27.
[56] Cass. 18 febbraio 1983, n. 1236 e 16 settembre 1997, n. 9211.
[57] Cassano G., op. cit., p. 27.
[58] Arnò G., Lensi Orlandi A., op. cit..
[59] Cfr. Cass. 11 marzo 1986, n. 1490. Bellavista A., op. cit., p. 437.
[60] Cfr. anche Cass., 17 giugno 2000, n. 8250 rispetto all’uso probatorio. Elli G., Zallone R., op. cit..
[61] Art. 4, secondo comma, Statuto dei lavoratori; D.Lgs. n. 81/2008 in materia di “uso di attrezzature munite di videoterminali”, il quale esclude la possibilità del controllo informatico “all’insaputa dei lavoratori”. V. altresì la Raccomandazione n. R (89) 2, del Consiglio d’Europa in materia di protezione dei dati personali nel contesto del rapporto di lavoro, in http://cm.coe.int/…doc; Parere n. 8/2001, sul trattamento dei dati personali nel contesto dell’occupazione, 13 settembre 2001, punto 9.1 e Wp 55, 29 maggio 2002, p. 4, in http://ec.europa.eu/…pdf, punto 3.1.3. Dui P., op. cit., p. 57.
[62] Buffa F., op. cit., p. 349; Mannaccio G., op. cit., p. 566.
[63] Barraco E., Sitzia A., op. cit..
[64] Frediani M., op. cit., p. 941.
[65] Elli G., Zallone R., op. cit.
[66] Buffa F., op. cit., p. 349; Cassano G., op. cit., p. 27.
[67] In particolare, esercizio di un diritto in sede giudiziaria, salvaguardia della vita o incolumità fisica; specifici obblighi di legge anche in caso di indagine giudiziaria: art. 26. Dui P., op. cit., p. 57; Elli G., Zallone R., op. cit..
[68] Manna A., op. cit., p. 15.
[69] Arnò G., Lensi Orlandi A., op. cit..
[70] Allineandosi all’orientamento inaugurato da Trib. Milano 10 maggio 2002, in Mass. Giur. Lav., 2002, p. 555. La sentenza del Tribunale di Torino-Sezione di Chivasso 15 settembre 2006, n. 143 si può leggere in Dir. Internet, 2007, p. 275 con commento critico di M. Violante.
[71] Il dipendente che utilizza la casella di posta elettronica aziendale si espone al rischio che anche altri della medesima azienda – unica titolare del predetto indirizzo – possano lecitamente accedere alla casella in suo uso non esclusivo e leggerne i relativi messaggi in entrata e in uscita ivi contenuti, previa acquisizione della relativa password la cui finalità non risulta essere allora quella di proteggere la segretezza dei dati personali custoditi negli strumenti posti a disposizione del singolo lavoratore, bensì solo quella di impedire che ai suddetti strumenti possano accedere anche persone estranee alla società (come anche si evince dal tenore della stessa guida sulla sicurezza informatica e nell’ultimo parere del Garante della privacy: Manna A., op. cit., p. 15). Ne deriva quindi che, in caso di accesso alla posta elettronica aziendale del dipendente, non sembra dunque potersi ravvisare un elemento essenziale della fattispecie delittuosa di cui all’articolo 616 del c.p. rappresentato, sotto il profilo oggettivo, dalla alienità della corrispondenza medesima, apparendo infatti corretto ritenere che i messaggi inviati tramite l’e-mail aziendale del lavoratore (anche se nell’estensione dell’indirizzo compare il nome dello stesso dipendente) rientrino nel normale scambio di corrispondenza che l’impresa intrattiene nello svolgimento della propria attività organizzativa e produttiva e, pertanto, devono ritenersi relativi a quest’ultima, materialmente immedesimata nelle persone che sono preposte alle singole funzioni: le attrezzature, comprese quelle informatiche, devono allora reputarsi direttamente correlate alla funzione del soggetto che nel frangente rappresenta l’impresa e, solo in via mediata, assegnate alla singola persona comunque fungibile nel rapporto col mezzo medesimo (Tribunale Torino Penale, Sentenza del 15 settembre 2006, n. 143).
[72] I messaggi inviati tramite l’indirizzo di posta elettronica aziendale del lavoratore rientrano nel normale scambio di corrispondenza che l’impresa intrattiene nello svolgimento della propria attività organizzativa e produttiva e devono ritenersi relativi a quest’ultima, materialmente immedesimata nelle persone che sono preposte alle singole funzioni (Mannaccio G., op. cit., p. 566). La personalità dell’indirizzo di posta elettronica attribuito ad un dipendente dal suo datore di lavoro non comporta la segretezza dei messaggi dallo stesso inviati e non configura pertanto il reato di violazione della corrispondenza la condotta del datore di lavoro che li legga, accedendo alla relativa casella, ponendo lo stesso in essere, nella fattispecie, solo un uso di beni aziendali affidati ai dipendenti esclusivamente per ragioni di servizio. (Tribunale Torino Penale, Sentenza del 20 giugno 2006)
[73] Buganza C., op. cit., p. 1706.
[74] Buganza C., op. cit., p. 1706.
[75] Frediani M., op. cit., p. 941.
[76] Barraco E., Sitzia A., op. cit..
[77] Buganza C., op. cit., p. 1706; Mannaccio G., op. cit., p. 566.
[78] In particolare con il provvedimento n. 13 dell’1 marzo 2007.
[79] Dui P., op. cit., p. 57.
[80] Manna A., op. cit., p. 15.
[81] Atelli M., op. cit.; Fiore S., op. cit..
[82] Cassano G., op. cit., p. 27.
[83] Manna A., op. cit., p. 15.
[84] Barraco E., Sitzia A., op. cit.; Buffa F., op. cit., p. 349; Frediani M., op. cit., p. 941.
[85] Decreto Legislativo, 30 giugno 2003, n. 196, pubblicato sulla Gazzetta Ufficiale del 29 luglio ed entrato in vigore il 1° gennaio 2004. Torrice A., Il diritto alla riservatezza del lavoratore e la disciplina contenuta nel codice sulla protezione dei dati personali, in D & L Rivista critica di diritto del lavoro, 2005; Atelli M., op. cit., 2001; Meo B., Privacy e lavoro: lo statuto della riservatezza per dipendenti, sindacati e imprese, Roma, 2001; Scalisi A., Il diritto alla riservatezza, Milano, 2002.
[86] Barraco E., Sitzia A., op. cit.; Buffa F., op. cit., p. 349; Frediani M., op. cit., p. 941; Martines F., La protezione degli individui rispetto al trattamento automatizzato dei dati nel diritto dell’Unione europea, in Riv. Italiana di Diritto Pubblico Comunitario, 2000, p. 719.
[87] Manna A., op. cit., p. 15; Vallebona V., Il controllo sulle comunicazioni telefoniche del lavoratore, in Diritto lavoro, 2001.
[88] Torrice A., op. cit.; Scalisi A., op. cit.; Atelli M., op. cit., 2001; Meo B., op. cit., 2001.
[89] Atelli M., op. cit.; Fiore S., op. cit..
[90] Cassano G., op. cit., p. 27.
[91] Quali il diritto di cronaca, di iniziativa economica, al lavoro, alla salute, ecc. Vallebona V., op. cit..
[92] Dui P., op. cit., p. 57.
[93] Manna A., op. cit., p. 15; Meo B., op. cit., 2001; Scalisi A., op. cit.; Torrice A., op. cit..
[94] Il quale si accinge ad assumere quanto prima una connotazione ancor più solenne nel quadro dei lavori della Convenzione europea.
[95] Buganza C., op. cit., p. 1706; Mannaccio G., op. cit., p. 566; Martines F., op. cit, p. 719.
[96] Già enunciato più volte nelle sedi dei dibattiti europei e già operante nella legislazione tedesca. Barraco E., Sitzia A., op. cit..
[97] Frediani M., op. cit., p. 941.
[98] Buganza C., op. cit., p. 1706.
[99] Trojsi A., Gli interventi del Garante per la Protezione dei Dati Personali in materia di lavoro, in La tutela della privacy del lavoratore, Torino, 2000, p. 268; Mannaccio G., op. cit., p. 566; Vallebona V., op. cit..
[100] Manna A., op. cit., p. 15
[101] Trovano la loro radice in quelle “norme sulla normazione” costituite dagli articoli della direttiva-madre (la 95/46/CE).
[102] Torrice A., op. cit.; Atelli M., op. cit., 2001; Meo B., op. cit., 2001; Scalisi A., op. cit..
[103] Arnò G., Lensi Orlandi A., op. cit..
[104] Trojsi A., op. cit, p. 268; Manna A., op. cit., p. 15.
[105] Dui P., op. cit., p. 57; Elli G., Zallone R., op. cit..
[106] Trojsi A., op. cit, p. 268; Buffa F., op. cit., p. 349; Cassano G., op. cit., p. 27.
[107] Elli G., Zallone R., op. cit.
[108] Frediani M., op. cit., p. 941.
[109] Buffa F., op. cit., p. 349; Mannaccio G., op. cit., p. 566.
[110] Barraco E., Sitzia A., op. cit..
[111] Torrice A., op. cit.; Atelli M., op. cit., 2001; Meo B., op. cit., 2001; Scalisi A., op. cit..
[112] Elli G., Zallone R., op. cit..
[113] Bellavista A., op. cit., p. 437; Atelli M., op. cit., 2001; Meo B., op. cit., 2001; Scalisi A., op. cit..
[114] Arnò G., Lensi Orlandi A., op. cit..
[115] Cassano G., op. cit., p. 27.
[116] Atelli M., op. cit.; Fiore S., op. cit.
[117] Manna A., op. cit., p. 15.
[118] Cassano G., op. cit., p. 27; Mannaccio G., op. cit., p. 566.
[119] V. in argomento Maresca A., Monticelli S.L., Tutela della riservatezza nei rapporti di lavoro e divieto di controllo, in La protezione dei dati personali, a cura di Santaniello, Padova, 2005, p. 537.
[120] Atelli M., op. cit.; Fiore S., op. cit..
[121] Bellavista A., op. cit., p. 437; Vallebona V., op. cit..
[122] Cassano G., op. cit., p. 27.
[123] Trojsi A., op. cit, p. 268; Frediani M., op. cit., p. 941.
[124] Bellavista A., op. cit., p. 437; Trojsi A., op. cit, p. 268.
[125] Un pensiero di Bobbio N., L’età dei diritti, Torino, 1990.
[126] Dui P., op. cit., p. 57.
[127] Fava G., op. cit.; Bellavista A., op. cit., p. 437.
[128] Cassano G., op. cit., p. 27.
[129] Bellavista A., op. cit., p. 437; Buffa F., op. cit., p. 349.
[130] Si veda, da ultimo, il D.Lgs. 10 settembre 2003, n. 276.
[131] Policella E.O., op. cit., p. 83
[132] Mannaccio G., op. cit., p. 566.
[133] Bellavista A., op. cit., p. 437; Cassano G., op. cit., p. 27.
[134] D’Arcangelo L., op. cit., p. 221
[135] Barraco E., Sitzia A., op. cit.; Elli G., Zallone R., op. cit..
[136] Sancito in via generale dall’art. 8 della Carta di Nizza e dall’art. 1 del D.Lgs. 30 giugno 2003, n. 196.
[137] Vale a dire, quelle relative proprio alla esecuzione della prestazione, nonché quelle attinenti alla sfera personale extralavorativa, ma direttamente incidenti sullo svolgimento del lavoro. Buganza C., op. cit., p. 1706.
[138] Dui P., op. cit., p. 57.
[139] Manna A., op. cit., p. 15.
[140] Petrilli S., op. cit., p. 3; Vallebona V., op. cit..
[141] Per la verità, molto più di quello della privacy del lavoratore.
[142] Torrice A., op. cit.; Scalisi A., op. cit.; Atelli M., op. cit., 2001; Meo B., op. cit., 2001.
[143] Frediani M., op. cit., p. 941; Mannaccio G., op. cit., p. 566.
[144] Buganza C., op. cit., p. 1706.
[145] Nonostante le apparenze, non crea tanti problemi al giuslavorista, anzi gli offre implicitamente qualche conferma: in particolare, conferma l’opportunità di discipline speciali differenziate di settore del trattamento dei dati, in quanto riescono a soddisfare meglio le peculiari esigenze di tutela nei vari ambiti, riconoscendo anzi ad esse il ruolo di componenti centrali del diritto alla protezione dei dati personali nei vari settori, e dando vita ad una sorta di complementarità tra i due sistemi normativi, quello generale e quello speciale. Atelli M., op. cit.; Fiore S., op. cit..
[146] Secondo l’ampia definizione di trattamento contenuta nell’art. 4, co. 1, lett. a), del D.Lgs. n. 196/03, che comprende qualunque operazione, o complesso di operazioni, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati, anche se registrati in una banca di dati. Callea A., op. cit., p. 229
[147] Pur se con un campo di applicazione non generale, ma limitato ai dati oggetto di disciplina. Frediani M., op. cit., p. 941.
[148] Cfr. art. 4, par. 1, della direttiva 2000/78/CE; e art. 4, direttiva 2000/43/CE.
[149] Art. 3, co. 3, D.Lgs. n. 215/03; art. 3, co. 3, D.Lgs. n. 216/03.
[150] Buffa F., op. cit., p. 349.
[151] Petrilli S., op. cit., p. 3; Nunin R., op. cit., p. 1051.
[152] Borghi P., op. cit., p. 123.
[153] Cfr., Di Pace M., op. cit., p. 1837; Vasta A., Lonigo A., op. cit., p. 107; Sorgato A., op. cit, p. 61; Riccio G.M., op. cit.t, p. 573.
[154] Monea A., op. cit., p. 275.
[155] Policella E.O., op. cit., p. 83.
[156] Fracchia D., op. cit., p. 17.
[157] Del Conte M., op. cit., p. 497; Santini F., op. cit., p. 749
[158] Dui P., op. cit., p. 57; Vallebona V., op. cit..
[159] Il controllo della posta elettronica del dipendente comporta sempre il “trattamento” di “dati personali” ed è quindi sottoposto alla disciplina normativa a tutela della “riservatezza” contenuta nel c.d. Codice sulla Privacy (D.Lgs. n. 196 del 2003) che, almeno nelle intenzioni del legislatore, è presidio generale a tutela dei dati personali, come chiarisce l’art. 1, secondo cui “chiunque ha diritto alla protezione dei dati personali”. (Cfr. Sitzia A., in Barraco E., Sitzia A., op. cit, p. 5, Chieco P., Privacy e lavoro. La disciplina del trattamento dei dati personali del lavoratore, Bari, 2004, p. 14; Del Punta R., Diritti della persona e contratto di lavoro, in Dir. Lav. Rel .Ind., 2006, p. 194).
[160] Non solo subordinato, considerato che l’organizzazione tecnologica interessa tutti coloro che operano all’interno della struttura aziendale, dagli amministratori ai consulenti esterni.
[161] Buffa F., op. cit., p. 349; Mannaccio G., op. cit., p. 566.
[162] Torrice A., op. cit.; Scalisi A., op. cit.; Atelli M., op. cit., 2001; Meo B., op. cit., 2001.
[163] Borghi P., op. cit., p. 123
[164] In secondo luogo, sotto il profilo lavoristico, si è ritenuto che l’abuso di Internet da parte di un dipendente costituisca un rilevante inadempimento degli obblighi contrattuali integrante una giusta causa di licenziamento, con possibilità, per il datore di lavoro, di provare l’utilizzo vietato attraverso i dati registrati dal provider, ossia l’impresa informatica che fornisce l’accesso a Internet e si occupa della gestione dei servizi per il cliente, senza che tale controllo necessiti della procedura codeterminativa di cui all’art. 4 St. lav. (Stanchi A., Privacy, rapporto di lavoro, monitoraggio degli accessi ad Internet, monitoraggio delle e-mail e normative di tutela contro il controllo a distanza. Alcuni spunti per una riflessione interpretativa, in DL rivista tematica di diritto del lavoro, 2002). Il comportamento del lavoratore, consistito in un collegamento quotidiano alla rete Internet per più ore al giorno in assenza di effettive necessità lavorative, costituisce un rilevante inadempimento degli obblighi di diligenza e integra una giusta causa di licenziamento; il datore di lavoro può fornire la prova dei collegamenti contestati, oltre che mediante testimoni, anche attraverso l’allegazione dei dati forniti dal provider circa gli accessi alla rete provenienti da ogni singola postazione di lavoro. (Tribunale di Milano 8 giugno 2001).
[165] Manna A., op. cit., p. 15.
[166] Arnò G., Lensi Orlandi A., op. cit.; Bellavista A., op. cit., p. 437; Cassano G., op. cit., p. 27.
[167] Barraco E., Sitzia A., op. cit..
[168] Trojsi A., op. cit, p. 268; Buganza C., op. cit., p. 1706.
[169] Borghi P., op. cit., p. 123; Elli G., Zallone R., op. cit..
[170] Tuttavia il datore di lavoro che appronti un’informativa contenente una policy aziendale in cui siano indicati i nominativi del personale addetto alla vigilanza sull’uso della corrispondenza elettronica adempie ad un tempo agli obblighi imposti dall’art. 3 dello Statuto e dall’art. 13 del Codice sulla Privacy. Non v’è invece obbligo di comunicare i nominativi dei superiori gerarchici (L’inesistenza di un obbligo di comunicazione dei nominativi dei superiori gerarchici è ormai pacifica, in quanto l’art. 3 dello Statuto non ha abrogato l’art. 2104 c.c. e pertanto la pubblicità dei nominativi è insita nella struttura dei rapporti gerarchici aziendali (in tal senso cfr., fra gli altri, Mattarolo M.G., in Cester C., Mattarolo M.G., Art. 2104: Diligenza ed obbedienza del prestatore di lavoro, in Il codice civile. Commentario diretto da Busnelli F.D., Milano, 2007 p. 571, Freni A., Giugni G., Lo statuto dei lavoratori, Milano, 1971, p. 8; Romagnoli U., Commento agli artt. 2 e 3, in Ghezzi, Mancini, Montuschi, Romagnoli, Statuto dei diritti dei lavoratori, Padova, 1972, p. 21), il cui potere di controllo, anche sulla posta elettronica, è insito nel potere gerarchico delegato dal datore e dovrà soltanto muoversi nell’ambito delle regole stabilite dal datore stesso nell’informativa sulla privacy. Vè da chiedersi poi se sia vietata ex art. 4 dello Statuto dei Lavoratori l’installazione di hardware e/o software che consentano il controllo a distanza della corrispondenza elettronica del lavoratore.
[171] In tal senso anche Bellavista A. La disciplina della protezione dei dati personali e i rapporti di lavoro, in AA. VV., Diritto del Lavoro, Commentario diretto da Franco Carinci, Vol. II, Il rapporto di lavoro di lavoro subordinato: costituzione e svogimento, tomo II, a cura ci Cester C., 2007, Milano, p. 467
[172] La cui vigenza è stata confermata dall’art. 114 del Codice della privacy.
[173] L’art. 4 St. lav. individua, a dire il vero, due differenti fattispecie. Il primo comma, infatti, prevede un divieto assoluto ed inderogabile, assistito da sanzione penale (art. 38 St. lav.), di installazione ed uso di impianti audiovisivi e di altre apparecchiature esclusivamente destinate al controllo dell’attività dei lavoratori, mentre il secondo un divieto flessibile nel senso che consente espressamente l’installazione di apparecchiature di controllo e di impianti “che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro”, anche quando possa derivarne – al di là delle intenzioni del datore di lavoro – una possibilità di controllo a distanza dell’attività dei lavoratori.
[174] Cfr. Cass. 6 marzo 1996, n. 490, inedita a quel che consta, e Cass. 16 settembre 1997, n. 9211, in questa rivista 1997, 804.
[175] Il dibattito dottrinale vede contrapposta la tesi (In tal senso, da ultimo, Mattarolo M.G., op. cit., p. 576; ma anche Perone G., Lo statuto dei lavoratori, in Trattato di diritto privato, diretto da Rescigno P., vol. 15, II; Gentile G., Innovazioni tecnologiche e art. 4 dello statuto dei lavoratori, in Dir. Lav., 1996, I, p. 473; Chieco P., Poteri dell’imprenditore e decentramento produttivo, Torino, 1996, p. 94) secondo cui l’art. 4 vieta il controllo a distanza su qualsiasi attività del lavoratore, e quella (Pisani C., op. cit., p. 46; Ghezzi G, Liso F., Computer e controllo dei lavoratori, in Giorn. dir. rel. ind., 1986, p. 369) secondo cui, invece, il divieto dell’art. 4 riguarda soltanto il controllo sui comportamenti “extrasolutori” e non il controllo a distanza sull’esecuzione della prestazione. Infatti, anche accettando la tesi più restrittiva, appare difficilmente negabile che il controllo a distanza della corrispondenza e – mail è idoneo a controllare inscindibilmente l’esecuzione della prestazione ed i comportamenti extra – solutori (c.d. “licenze comportamentali”) consistenti nell’invio e nella lettura di corrispondenza elettronica a carattere non lavorativo durante l’orario di lavoro (Sulla riconducibilità al divieto di cui all’art. 4 dei controlli a distanza anche solo potenzialmente idonei a controllare le “licenze comportamentali” vedasi Pisani C., op. cit., p. 56). Non possono essere condivise, invece, quelle posizioni dottrinali (Ichino P. op. cit., Stanchi A., Privacy, rapporto di lavoro, monitoraggio degli accessi ad internet, in DL on line, 2002), anche autorevoli, che ritengono inapplicabile tout court l’art. 4 agli apparecchi informatici e alla loro connessione in rete in quanto non potrebbero considerarsi “apparecchiature di controllo” perché essenziali all’esecuzione della prestazione.
[176] Bellavista A., Controlli elettronici e art. 4 dello Statuto dei Lavoratori, in Riv. Giur. Lav., 2005, II, p. 776.
[177] Per una lettura aggiornata e meno rigida della norma Mattarolo M. G., , op. cit., p. 580; Ichino P., Il contratto di lavoro, III, in Trattato di diritto civile e commerciale, Milano, 2003, p. 233; D’Antona M., Intervento alla tavola rotonda su “Art. 4 dello statuto dei lavoratori ed elaboratori elettronici, in De Luca Tamajo, Imperiali D’Afflitto, Pisani, Romei, op. cit., p. 203.
[178] Carnielli C., Statuto dei lavoratori e controllo sui lavoratori: alcuni casi pratici e qualche riflessione, in Dir. rel . ind., 2002, p. 29; Cass. 12.6.2002 n. 8388 e Cass. 2.3.2002 n. 3039 in Riv. It. Dir. Lav., 2002, II, p. 873; Cass. 9.6.1990 n. 5599 in Giust. Civ., 1991, I, 1, p. 952
[179] In tal senso Mattarolo M.G., op. cit., p. 577; Santoro Passarelli G., Osservazioni in tema di art. 3 e 4 Stat. Lav., in Dir. Lav., 1986, I, p. 491
[180] Torrice A., op. cit.; Scalisi A., op. cit.; Atelli M., op. cit., 2001; Meo B., op. cit., 2001.
[181] In tal senso C. Appello Milano, 30.9.2005, in Not. Giur. Lav., 2006 , p. 100; Trib. Milano 31.3.2004, in Orient. Giur. Lav., 2004, p. 108; Trib. Roma 4.6.2005 e Trib. Milano, 11.4.2005, in Riv. Giur. Lav., 2005, II, 763. In generale, sull’applicabilità del divieto di cui al primo comma dell’art. 4, ai sistemi che consentono il controllo a distanza dell’attività informatica del lavoratore vedasi Bellavista A., op. cit., p. 475; Perone G., Lo statuto dei lavoratori, in Trattato di diritto privato, diretto da Rescigno P., Vol. 15, II, Torino, 1991, p. 84.
[182] Stanchi A., op. cit.
[183] Con riguardo all’art. 4 della legge n. 300 del 1970 è utile indicare le più recenti pronunce della Suprema Corte: sentenza 17 luglio 2007, n. 15892, in questa rivista 2007, 868, con nota critica di Ranieri M., Controllo sull’attività lavorativa e badge aziendale, Milano, 2004, la quale ha statuito che “la rilevazione dei dati di entrata ed uscita dall’azienda mediante un’apparecchiatura di controllo predisposta dal datore di lavoro per il vantaggio dei dipendenti – nella specie, un congegno di sicurezza predisposto nel locale garage ove posteggiare le autovetture dei dipendenti durante l’orario di lavoro, attivabile mediante un tesserino personale assegnato a ciascun dipendente con il quale venivano attivati anche gli ingressi agli uffici – ma utilizzabile anche in funzione di controllo dell’osservanza dei doveri di diligenza nel rispetto dell’orario di lavoro e della correttezza dell’esecuzione della prestazione lavorativa, non concordata con le rappresentanze sindacali, né autorizzata dall’Ispettorato del lavoro, si risolve in un controllo sull’orario di lavoro e in un accertamento sul quantum della prestazione, rientrante nella fattispecie prevista dal 2 co. dell’art. 4 della legge n. 300 del 1970; né l’esigenza di evitare condotte illecite da parte dei dipendenti può assumere portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore”; sentenza 12 giugno 2002, n. 8388, inedita a quel che consta, che ha precisato come “Le norme poste dagli artt. 2 e 3 della legge 20 maggio 1970 n. 300 a tutela della libertà e dignità del lavoratore delimitano la sfera di intervento di persone preposte dal datore di lavoro a difesa dei suoi interessi, con specifiche attribuzioni nell’ambito dell’azienda (rispettivamente con poteri di polizia giudiziaria a tutela del patrimonio aziendale e di controllo della prestazione lavorativa), ma non escludono il potere dell’imprenditore, ai sensi degli artt. 2086 e 2104 c.c., di controllare direttamente o mediante la propria organizzazione gerarchica l’adempimento delle prestazioni lavorative e quindi di accertare mancanze specifiche dei dipendenti, già commesse o in corso di esecuzione, e ciò indipendentemente dalle modalità del controllo, che può legittimamente avvenire anche occultamente, senza che vi ostino né il principio di correttezza e buona fede nell’esecuzione dei rapporti, né il divieto di cui all’art. 4 della stessa legge n. 300 del 1970 riferito esclusivamente all’uso di apparecchiature per il controllo a distanza (non applicabile analogicamente, siccome penalmente sanzionato). Sono pertanto legittimi, in quanto estranei alle previsioni delle suddette norme, gli accertamenti operati dall’imprenditore attraverso agenti investigatori incaricati di controllare, durante l’orario di lavoro, se il dipendente aveva omesso di registrare gli acquisti fatti dai clienti di un supermercato e di rilasciare lo scontrino fiscale”; sentenza 3 aprile 2002, n. 4746, in Riv. giur. lav. prev. soc., 2003, p. 71, con nota di D’Arcangelo L., Uso privato del telefono, riservatezza e poteri di controllo del datore di lavoro, e in Or. giur. lav., 2002, p. 2, che ha specificato come “ai fini dell’operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dell’attività dei lavoratori previsto dall’art. 4 legge n. 300 del 1970 è necessario che il controllo riguardi (direttamente o indirettamente) l’attività lavorativa, mentre devono ritenersi certamente fuori dell’ambito di applicazione della norma sopra citata i controlli diretti ad accertare condotte illecite del lavoratore (cosiddetti controlli difensivi), quali, ad esempio, i sistemi di controllo dell’accesso ad aule riservate o, come nella specie, gli apparecchi di rilevazione di telefonate ingiustificate”.
[184] Cfr., fra le altre, Cass. 7.6.2003 n. 9167, Cass. 14.7.2001, n. 9576, in Not. Giur. Lav., 2002, p. 34; Cass. 3.4.2002 n. 4746 in Riv. Giur. Lav., 2003, II, p. 71; Cass. 24.3.1983 n. 2042 in Mass. Giur. Lav., 1983, p. 135; Cass. 5.7.1991, n. 7455 in Dir. Prat. Lav. , 1991, p. 71.
[185] Cass. 12.6.2002 n. 8388; Cass. 7.6.2003 n. 9167 ; Cass. 5.5.2000 n. 5629, Cass. 3.11.2000 n. 14383, in Dir. Rel. Ind., 2002, I, p. 27, Cass. 25.1.1992 n. 829 in Riv. Giur. Lav., 1992, II, p. 461. Cass. 3.11.1997 n. 10761 in Not. Giur. Lav., 1997, p. 681; Cass. 23.8.1996 n. 7776 in Mass. Giur. Lav., 1996, p. 80.
[186] Vallebona A., Il controllo delle comunicazioni telefoniche del lavoratore, in Dir. lav., 2001, I, p. 357; Pera G., Il licenziamento per abuso del telefono aziendale, in Riv. it. dir. lav., 1998, II, p. 651; Ichino P., Il contratto di lavoro, III, Tratt. dir. civile e commerciale, (diretto da) Schlesinger P., 2003, p. 234; Calcaterra L., Controllo sul lavoratore e agenzie investigative: compatibilità sullo statuto dei lavoratori e la tutela della privacy, in Mass. giur. lav., 1999, p. 404; Aimo M., I “lavoratori di vetro”: regole di trattamento e meccanismi di tutela dei dati personali, in Riv. giur. lav., 2002, I, p. 45.
[187] L’esame della sia pur esigua giurisprudenza intervenuta sul tema dei controlli aziendali sull’utilizzo degli strumenti informatici da parte dei lavoratori, consente di evidenziare una certa distanza fra la posizione della giurisprudenza e le elaborazioni della dottrina in materia. La giurisprudenza più recente tende, infatti, ad ammettere la legittimità di un certo tipo di controlli, sia in termini di accesso ai messaggi di posta elettronica aziendali, sia in termini di monitoraggio degli accessi ad Internet. Il percorso motivazionale seguito dalla giurisprudenza, peraltro, tende a “glissare”, in certo qual modo, su quello che, invece, appare il perno delle elaborazioni dottrinali, ovvero il profilo dell’applicazione in materia di quanto previsto dall’art. 4 dello Statuto dei lavoratori sul controllo a distanza dell’attività lavorativa. Al riguardo, la dottrina appare divisa, ritenendosi da un lato che l’organizzazione informatico-telematica del lavoro sfugga alla previsione dell’art. 4, non potendo essere sussunta nella nozione di “apparecchiatura di controllo”. In senso contrario, la dottrina allo stato maggioritaria ritiene che la norma da ultimo richiamata sia pienamente applicabile a tutte le forme di controllo tecnologico. Zilli A., Licenziamento in tronco per abuso del telefono aziendale, in Il lavoro nella giurisprudenza, n. 12/2005.
[188] Vallebona A., op. cit., p. 357; Pera G., op. cit., p. 651; Ichino P., op. cit., p. 234.
[189] Stanchi A., op. cit.
[190] Bellavista A., Poteri dell’imprenditore e privacy del lavoratore, in I poteri del datore di lavoro nell’impresa, 2002, p. 41; Bernardo P., Vigilanza e controllo sull’attività lavorativa, in Diritto del lavoro, Commentario dir. da CArinci F., II, Il rapporto di lavoro subordinato: costituzione e svolgimento, (a cura di) Cester C., 1998, p. 674; Chieco P., Il diritto alla riservatezza del lavoratore, in Giorn. dir. lav. rel. ind., 1998, p. 1; Stanchi A., Privacy, rapporto di lavoro, monitoraggio degli accessi ad Internet, monitoraggio delle e-mail e normative di tutela contro il controllo a distanza. Alcuni spunti per una riflessione interpretativa, in I poteri del datore di lavoro nell’impresa, 2002.
[191] L’uso di una telecamera a circuito chiuso o di altre apparecchiature finalizzate al controllo a distanza dell’attività dei lavoratori è illegittimo ai sensi dell’art. 4 St. lav.; ne consegue, sul piano processuale, che non può attribuirsi alcun valore probatorio ai risultati dei controlli illegittimamente eseguiti, né a fini disciplinari né a fini risarcitori. (Cassazione civ., Sez. lav., 16 luglio 2000, n. 8250). In primo luogo, infatti, si tende ad escludere che la condotta datoriale volta al controllo della posta elettronica del lavoratore all’insaputa del medesimo integri gli estremi del reato di violazione della corrispondenza di cui all’ art. 616 c. p., con la motivazione che il lavoratore non è titolare di un diritto all’utilizzo esclusivo della posta elettronica aziendale: per effettuare un parallelo con la posta tradizionale si potrebbe affermare che le e-mail ricevute nella casella di posta aziendale sono messaggi indirizzati all’impresa posti all’attenzione del singolo lavoratore e non comunicazioni personali inviate al lavoratore presso la società. La condotta del datore di lavoro che all’insaputa del lavoratore controlla la sua posta elettronica non integra gli estremi del reato di violazione della corrispondenza di cui all’ art. 616, comma 1, c. p. poiché il lavoratore non è titolare di un diritto all’utilizzo esclusivo della posta elettronica aziendale e quindi si espone al rischio che altri lavoratori o il datore di lavoro possano lecitamente entrare nella sua casella e leggere i messaggi. (Tribunale di Milano 10 maggio 2002)
[192] Ai fini dell’operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dei lavoratori ex art. 4 St. lav., è necessario che il controllo riguardi (direttamente o indirettamente) l’attività lavorativa, mentre devono ritenersi certamente fuori dall’ambito di applicazione della norma i controlli diretti ad accertare condotte illecite del lavoratore (c.d. controlli difensivi), quali, ad esempio, i sistemi di controllo dell’accesso ad aree riservate o, appunto, gli apparecchi di rilevazione di telefonate ingiustificate; l’abuso del telefono aziendale può costituire giustificato motivo soggettivo di licenziamento indipendentemente dall’entità del danno creato al datore di lavoro. (Cassazione civ., Sez. lav., 3 aprile 2002, n. 4746). Nella materia del controllo delle comunicazioni telefoniche del lavoratore, poi, sembra affermarsi un orientamento giurisprudenziale del tutto analogo a quello formatosi in ordine all’art. 3 St. lav., nel senso della legittimità dell’installazione di impianti per il controllo a distanza mirato non sull’attività lavorativa, ma su possibili attività illecite del lavoratore: sono questi i c.d. controlli difensivi, che si attuano ad esempio con l’installazione di apparecchi che consentano la rilevazione di conversazioni telefoniche non autorizzate. È interessante notare come la giurisprudenza volta a sancire la legittimità dei controlli difensivi, così come quella sopra citata relativa al controllo degli accessi ad Internet, nemmeno affronti la questione della doverosità della procedura prevista nel secondo comma dell’art. 4 St. lav., evidentemente ritenendo i controlli difensivi sganciati dalla necessità di ottenere il consenso delle r.s.a. o l’autorizzazione del servizio ispettivo della Direzione provinciale del lavoro competente per territorio. Il pubblico impiegato che usa la linea telefonica dell’ufficio per effettuare chiamate personali commette il delitto di peculato ordinario, e non di peculato d’uso, in quanto gli impulsi elettronici utilizzati per la chiamata costituiscono una res, e non sono restituibili. (Cassazione pen., Sez. VI, 13 settembre 2002, n. 30751). Il controllo vietato ai sensi dell’art. 4 St. lav. deve riguardare l’attività lavorativa, restando al di fuori della previsione della norma il controllo cosiddetto difensivo al fine di verificare condotte illecite dei lavoratori, quali sono le telefonate ingiustificate. (Tribunale di Torino 9 gennaio 2004).
[193] Vallebona V., op. cit..
[194] Atelli M., op. cit.; Fiore S., op. cit., 1998.
[195] Mannaccio G., op. cit., p. 566.
[196] Stanchi A., op. cit.
[197] Arnò G., Lensi Orlandi A., op. cit., 2002.
[198] Petrilli S., op. cit., p. 3; Borghi P., op. cit., p. 123; Nunin R., op. cit., p. 1051.
[199] Dui P., op. cit., p. 57; Elli G., Zallone R., op. cit..
[200] Sul punto v., Borghi P., op. cit.; Buffa F., op. cit., p. 349; Frediani M., op. cit., p. 941.
[201] Manna A., op. cit., p. 15.
[202] Mannaccio G., op. cit.; Nunin R., op. cit., p. 1051.
[203] Petrilli S., op. cit., p. 3.
[204] Nunin R., op. cit., p. 1051.
[205] Dui P., op. cit., p. 57.
[206] Petrilli S., op. cit., p. 3.
[207] Barraco E., Sitzia A., op. cit.; Buffa F., op. cit., p. 349; Mannaccio G., op. cit., p. 566.
[208] Trojsi A., op. cit, p. 268;
[209] Trojsi A., op. cit, p. 268;
[210] Questo intervento è stato determinato, oltre che da un successivo monitoraggio effettuato su recenti annunci pubblicati su quotidiani e periodici, anche da segnalazioni di cittadini che lamentavano l’assenza negli annunci di idonee indicazioni sulle modalità con le quali venivano utilizzati i dati contenuti nei curricula e sui tempi della loro conservazione. I cittadini hanno anche espresso la loro preoccupazione sulla possibile divulgazione a terzi dei dati e il loro eventuale utilizzo per scopi ulteriori o diversi rispetto alla sola selezione del personale (ad esempio, per promuovere corsi di formazione a pagamento). Vallebona V., Istituzioni di diritto del lavoro, Padova, 2008.
[211] Non è quindi indicato nemmeno l’eventuale società per conto della quale viene svolta la selezione o la ricerca del personale.
[212] Trojsi A., op. cit, p. 268; Petrucci C., Taddei S., Solo un adeguata “policy” aziendale può tutelare imprenditore e lavoratori, in Guida al Diritto, 2008, fasc. 3, p. 77.
[213] Vallebona V., op. cit..
[214] Trojsi A., op. cit, p. 268;
[215] Per quanto riguarda i curricula inviati spontaneamente da soggetti in cerca di lavoro, il problema dell’informativa potrà essere risolto adeguatamente anche attraverso le disposizioni che saranno contenute nel codice di deontologia relativo alla gestione del rapporto di lavoro. Il Garante ha invitato, comunque, le società a fornire l’informativa e a richiedere l’eventuale consenso in caso di successivo utilizzo dei dati contenuti nei curricula ricevuti.
[216] art. 24 del “Codice in materia di Protezione dei dati personali” approvato con D.Lgs. n. 196/2003
[217] ad esempio, inerenti alla circostanza di un’avvenuta assunzione, allo status o alla qualifica ricoperta, all’irrogazione di sanzioni disciplinari o a trasferimenti del lavoratore
[218] Per la definizione delle c.d. “licenze comportamentali”. Cfr. Pisani C., Il computer e l’art. 4 dello Statuto dei Lavoratori, in De Luca Tamajo R., Imperiali D’Afflitto R., Pisani C., Romei P., Nuove tecnologie e tutela della riservatezza dei lavoratori, Milano, 1988, p. 46; Saresella W., L’art. 4 Stat. Lav. e l’impiego di elaboratori elettronici, in Lavoro ’80, 1986, p. 340. É tuttavia del tutto infondato il timore che l’applicazione del Codice sulla Privacy possa di fatto elidere il potere di controllo del datore sull’uso del computer da parte del lavoratore, in quanto la tutela ivi contenuta si limita ad una semplice procedimentalizzazione del trattamento dei dati (Cfr. Sitzia A., in Barraco E., Sitzia A., op. cit., p. 82; Chieco P., op. cit., p. 25) e non crea nessuna area “segreta”.
[219] art. 4, comma 1, lett. g) e h), art. 29 e art. 30 del D.Lgs. n. 196/2003
[220] si pensi al numero complessivo di ore di lavoro straordinario prestate o di ore non lavorate a livello aziendale o all’interno di singole unità produttive, oppure agli importi di premi aziendali di risultato individuati per fasce, o qualifiche/livelli professionali, anche nell’ambito di singole funzioni o unità organizzative
[221] art. 24, comma 1, lett. b), del “Codice in materia di Protezione dei dati personali”
[222] Trojsi A., op. cit, p. 268.
[223] Cfr. art. 174, comma 12, del Codice.
[224] Ad esempio, inoltrando le comunicazioni in plico chiuso o spillato; invitando l’interessato a ritirare personalmente la documentazione presso l’ufficio competente; ricorrendo a comunicazioni telematiche individuali. Torrice A., op. cit.; Atelli M., op. cit., 2001; Meo B., op. cit.; Scalisi A., Il diritto alla riservatezza, Milano, 2002.
[225] V. dizioni riportate sui “cedolini” dello stipendio, o su documenti aventi la medesima funzione.
[226] Sono quelli idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose o filosofiche, le opinioni politiche, l’adesione ai partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati relativi allo stato di salute ed alla vita sessuale, e per i quali l’art. 26 del Codice della privacy, richiede il consenso scritto dell’interessato e l’autorizzazione del Garante. Barraco E., Sitzia A., op. cit.; Buffa F., op. cit., p. 349; Frediani M., op. cit., p. 941; Martines F., op. cit., p. 719.
[227] La possibilità, cioè, che il datore di lavoro, venendo a conoscenza di informazioni private del lavoratore, sia tentato di approfittarne impropriamente. Manna A., op. cit., p. 15; Vallebona V., op. cit..
[228] Sulle opinioni politiche, religiose o sindacali, e su fatti non rilevanti ai fini della valutazione dell’attitudine professionale.
[229] Torrice A., op. cit.; Scalisi A., op. cit.; Atelli M., op. cit., 2001; Meo B., op. cit., 2001.
[230] Cassano G., op. cit., p. 27.
[231] Vallebona V., op. cit..
[232] Come appunto quelle di organizzazione, elaborazione, selezione, raffronto, incrocio o interconnessione dei dati.
[233] Dui P., op. cit., p. 57.
[234] Come risulta proposto in vari disegni di legge in materia di tutela dei “lavori”, e come è stato fatto per i soci di cooperativa dall’art. 2, co. 1, della L. 3 aprile 2001, n. 142.
[235] Buganza C., op. cit., p. 1706; Mannaccio G., op. cit., p. 566; Martines F., op. cit, p. 719.
[236] Cassazione penale, sez. III, sentenza 09.10.2008 n° 38406.
[237] Frediani M., op. cit., p. 941.
[238] Buganza C., op. cit., p. 1706.
[239] Cfr. sul punto la circolare Confindustria n. 17586
[240] Mannaccio G., op. cit., p. 566; Vallebona V., op. cit..
[241] Manna A., op. cit., p. 15.
[242] Arnò G., Lensi Orlandi A., op. cit..
[243] Trojsi A., op. cit, p. 268; Manna A., op. cit., p. 15.
[244] Dui P., op. cit., p. 57; Elli G., Zallone R., op. cit..
[245] Vallebona V., op. cit..
[246] Trojsi A., op. cit, p. 268; Buffa F., op. cit., p. 349; Cassano G., op. cit., p. 27.
[247] Elli G., Zallone R., op. cit.
[248] Nei limiti in cui ciò sia eseguito esclusivamente per tale finalità e per il periodo strettamente necessario al loro perseguimento. Buffa F., op. cit., p. 349; Mannaccio G., op. cit., p. 566.
[249] Frediani M., op. cit., p. 941.
[250] Trojsi A., op. cit, p. 268;
[251] Barraco E., Sitzia A., op. cit..
[252] Torrice A., op. cit.; Atelli M., op. cit., 2001; Meo B., op. cit., 2001; Scalisi A., op. cit..
[253] Elli G., Zallone R., op. cit..
[254] Arnò G., Lensi Orlandi A., op. cit..
[255] Cassano G., op. cit., p. 27.
[256] Bellavista A., op. cit., p. 437; Atelli M., op. cit., 2001; Meo B., op. cit., 2001; Scalisi A., op. cit..
[257] Vallebona V., op. cit..
[258] V. in argomento Maresca A., Monticelli S.L., op. cit., p. 537.
[259] Bellavista A., op. cit., p. 437; Vallebona V., op. cit..
[260] Cassano G., op. cit., p. 27.
[261] Trojsi A., op. cit, p. 268; Frediani M., op. cit., p. 941.
[262] Bellavista A., op. cit., p. 437; Trojsi A., op. cit, p. 268.
[263] Fava G., op. cit.; Bellavista A., op. cit., p. 437.
[264] Mannaccio G., op. cit., p. 566.
[265] Policella E.O., op. cit., p. 83.
[266] Cfr. Barraco E., in Barraco E., Sitzia A., op. cit., p. 221.
[267] Bellavista A., op. cit., p. 437; Cassano G., op. cit., p. 27.
[268] Cfr. Ichino P., Il contratto di lavoro, III, Milano, 2003, p. 245; Stanchi A., Privacy, rapporto di lavoro, monitoraggio degli accessi ad internet, monitoraggio delle e-mail e normative di tutela contro il controllo a distanza. Alcuni spunti per una riflessione interpretativa, in AA.VV., I poteri del datore di lavoro nell’impresa, Padova, 2002, p. 121 e, di recente, anche Barraco E., op. cit., p. 251
[269] Vallebona V., op. cit..
[270] Cfr. approfonditamente sul punto La riforma del Collocamento e i nuovi servizi per l’impiego, a cura di Tiraboschi, Milano 2003.
[271] Cfr. per un analisi più approfondita delle linee tracciate al legislatore delegato per la riordinazione del mercato del lavoro La legge delega in materia di occupazione e mercato del lavoro a cura di Maria Teresa Carinci, Milano, 2003.
[272] Cfr. sul punto Filì, Servizi per l’impiego e collocamento, in La legge delega… sopra citato, a cura di Carinci, pag. 30 e sgg., spec. 39 e sgg..
[273] Cfr. per una panoramica generale delle problematiche AA.VV. La Riforma Biagi Commento al decreto legislativo 10 settembre 2003 n.276, a cura di Favalli e Stanchi, CELT, Piacenza, 2003, in particolare, ivi, L. e D. Carbone Organizzazione e disciplina del mercato del lavoro, 19 e sgg.
[274] Cfr. anche Tiraboschi, Circolazione delle informazioni sul mercato e tutela della privacy, in La riforma Biagi, supplemento di Guida al Lavoro, Il sole 24Ore/Pirola, n.4/2003, pagg. 62 e sgg.
[275] Cfr. le previsioni dell’art. 186, D.Lgs. n. 196/2003, in www.garanteprivacy.it.
[276] Cfr. in particolare le previsioni dell’art. 111, che rispondono alle osservazioni espresse nei pareri delle Commissioni giustizia della Camera e del Senato.
[277] L’art. 113 che si occupa degli Annunci di lavoro e dati riguardanti prestatori di lavoro, richiama solo le disposizioni dell’art. 8 della l.n. 300/70 e la disciplina quindi va necessariamente integrata con il coordinamento con la giurisprudenza del Garante e con le previsioni, ricordate nel testo, del D.Lgs. n. 276/2003. Cfr. la Relazione parlamentare di accompagnamento al testo del Codice in materia di protezione dei dati personali, www.garanteprivacy.it.
[278] Un esame completo richiederebbe ambiti che questa sintesi illustrativa della norma specifica non consente, perciò, per l’approfondimenti, si rinvia oltre a Carbone, Organizzazione e …., in La riforma Biagi. Commentario …, sopra citato, a La riforma del lavoro, con supervisione scientifica di Tiraboschi, in Le guide operative di Guida Normativa, Il Sole 24 Ore, settembre 2003, ed in particolare ivi Il nuovo mercato del lavoro, 40 e sgg.
[279] Cfr. D. Lyon, La società sorvegliata. Tecnologie di controllo della vita quotidiana. Feltrinelli, 2001, spec. 53 e sgg.
[280] Quelle che non rientrano nella possibilità di beneficiare dell’autocertificazione di cui al nuovo art. 34, co. 1-bis del Codice.
[281] Ad es. tramite procedure di autenticazione nel sito mediante password, secondo una prassi ormai corrente nella modulistica on-line di molte pubbliche amministrazioni.
[282] Ad es. tramite Internet o reti Intranet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili digitando un numero telefonico gratuito, etc.
[283] Se la raccolta di dati avviene presso terzi è anche possibile formulare una sola informativa per i dati forniti dall’interessato e per quelli che saranno acquisiti presso questi ultimi.
[284] Si tratta delle ipotesi disciplinate all’art. 24 del Codice.
[285] Semplice rimando operato dal Garante all’esistenza dell’art. 30 comma 2 in ordine alla cosiddetta designazione per classi omogenee di incarico in luogo degli incarichi individuali.
[286] Assenza dell’obbligo per i trattamenti effettuati con mere finalità attività amministrative e contabili, come agevolmente si arguisce dalla lettura dell’art. 37.
[287] dDl DPS venduto on line da qualche avvocato a 19 euro, a software cervellotici che avrebbero fatto incartare su se stesso anche il più solerte dei titolari.
[288] Un esempio su tutti: il provvedimento del 01.03.07, contenente le linee guida su posta elettronica ed internet che, a distanza di un anno e mezzo dalla sua pubblicazione, non ha ancora trovato una sua chiara collocazione, scatenando una ridda di voci dissonanti sulla necessarietà o meno di ricondurre i disciplinari interni redatti dalle aziende alla dinamica di cosiddetta co-detereminazione sindacale prevista dell’art. 4 dello statuto dei lavoratori.
[289] Ad es: quello previsto dall’art. 24 comma 1 lett. d, esercizio di attività economiche, che rendeva e rende certamente legittimo il mailing cartaceo nei confronti di professionisti o aziende anche in assenza del loro consenso preventivo.
[290] Controbilanciati dalla prescritta necessarietà della informativa all’interessato in ordine al suo diritto di opporsi comunque in qualsiasi momento a detti trattamenti, secondo dinamiche proprie di un sistema di opt-out.
[291] cfr. Provv. n. 2 del 30 gennaio 2001.
[292] La disciplina previgente contemplava un potere analogo in forma di segnalazione.
[293] v. artt. 143, 144 e 154 del Codice
[294] Cfr. Relazione 2002, p. 145.
[295] Sono stati eseguiti, in particolare, 33 interventi, di cui 7 congiuntamente a personale dell’Autorità. La collaborazione ha investito anche gli sviluppi investigativi dei casi oggetto di segnalazione all’autorità giudiziaria, i quali hanno comportato, nel 2003, l’esecuzione di 177 sommarie informazioni testimoniali, la ricezione di 12 querele e la segnalazione di 5 persone all’autorità giudiziaria. I risultati raggiunti e l’esigenza di rispondere in maniera sempre più adeguata alle istanze di tutela provenienti da cittadini hanno indotto l’Autorità a chiedere per il 2004 un ulteriore rafforzamento del rapporto di collaborazione con la Guardia di finanza, allo scopo di potersi avvalere anche di personale, adeguatamente formato, in ogni regione.