Da pochi giorni è stata pubblicata la bozza del decreto attuativo della delega sulle semplificazioni che, tra l’altro, prevede all’art. 23 la proposta di modifica all’art. 4 dello “Statuto dei Lavoratori”. Proposta che da ieri ha scatenato moltissimi commenti e polemiche, alcuni anche fuorvianti, perché basati su informazioni non corrette.
Lo Statuto dei Lavoratori disciplina, da 45 anni, se e in quali termini i datori di lavoro possono usare impianti audiovisivi e altri strumenti di controllo sul posto di lavoro, e l’intervento normativo si sta rendendo necessario perché l’evoluzione tecnologica e le strumentazioni che i datori di lavoro oggi possono utilizzare determinano alcuni dubbi sull’applicabilità della disposizione stessa, e in particolare del comma II, che oggi obbliga le aziende a raggiungere un accordo sindacale quando utilizzano sistemi di controllo per esigenze produttive, organizzative o di sicurezza, ma da cui deriva anche la possibilità di controllo indiretto dell’attività lavorativa.
L’applicazione della norma al momento vigente, disegnata a suo tempo per regolamentare l’uso delle telecamere, è stata oggetto negli ultimi anni di alcune pronunce molto interessanti della Corte di Cassazione che l’ha estesa anche a più recenti impianti e apparecchiature di controllo.
La sentenza n° 15892/2007 per esempio ha sancito l’applicabilità dell’obbligo di accordo sindacale agli impianti automatici di controllo accessi a parcheggi aziendali (i log raccolti permettevano di valutare se un lavoratore usciva o meno legittimamente dal luogo di lavoro), mentre la sentenza n° 4375/2012 ha sancito l’applicabilità ai sistemi di content filtering.
Per la Corte di Cassazione infatti “i programmi informatici di monitoraggio della posta elettronica e degli accessi Internet sono necessariamente apparecchiature di controllo, in quanto consentono al datore di lavoro di controllare a distanza e in via continuativa durante la prestazione, l’attività lavorativa e se la stessa sia svolta in termini di diligenza e di corretto adempimento. Se non altro, nel caso specifico, sotto il profilo del rispetto delle direttive aziendali, e ciò “è evidente laddove nella lettera di licenziamento i fatti accertati mediante il programma Super Scout sono utilizzati per contestare alla lavoratrice la violazione dell’obbligo di diligenza sub specie di aver utilizzato tempo lavorativo per scopi personali (e non si motiva invece su una particolare pericolosità dell’attività di connessione in rete rispetto all’esigenza di protezione del patrimonio aziendale)”.
Le due condizioni: non lavoro, e “aggressione” a un bene aziendale
Di fatto, anche analizzando la successiva sentenza della Corte di Cassazione n° 2722/2012, sembra essere stato disegnato un regime in cui esistono controlli difensivi preventivi e reattivi nonché illeciti che si risolvono nel mero “non lavoro” e altri che pongono in essere anche una aggressione a un bene oggetto di tutela di titolarità dell’azienda.
Quando ricorrono tali due condizioni (controllo reattivo a fronte di evidenze e aggressione a un bene tutelato e non solo mero non lavoro) per la Corte di Cassazione si può adottare una interpretazione meno rigida dell’art. 4 comma II, ed evitare l’accordo sindacale.
Nell’ultimo caso citato infatti per la Corte “il datore di lavoro aveva compiuto un accertamento ex post quando erano emersi elementi di fatto tali da raccomandare l’avvio di una indagine retrospettiva” e “il controllo difensivo non riguardava l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro ma doveva accertare un comportamento che metteva in pericolo l’immagine del datore di lavoro” e quindi che “tale situazione è già esclusa dal campo di applicazione dell’Art. 4 comma II Statuto dei Lavoratori”.
In questo contesto normativo e giurisprudenziale sono state rese disponibili alcune nuove tecnologie che permettono, pur avendo quasi sempre una finalità di sicurezza, un controllo indiretto (preterintenzionale) del comportamento del lavoratore sul posto di lavoro. Si pensi in via esemplificativa ai sistemi di Data Loss Prevention o ai sistemi MAM (Mobile Application Management) per i device mobili per i quali non esistono ancora pronunce giurisprudenziali di Cassazione, ma rispetto ai quali occorre porsi la domanda della loro possibile installazione e della conseguente (o meno) applicabilità dell’obbligo di accordo sindacale che ad oggi, ad avviso di chi scrive, appare necessario.
I tre punti della proposta
Ebbene, la proposta di riforma in commento mira a fornire alcuni elementi di chiarezza. Nel dettaglio, relativamente ai sistemi in ambito di obbligo di accordo sindacale o no, prevede che:
1. “Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali”: l’elemento fondamentale della proposta di riforma è che viene inserita fra le finalità perseguite la “tutela del patrimonio aziendale”, non presente nell’attuale dizione normativa;
2. “La disposizione di cui al primo comma non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa, e agli strumenti di registrazione degli accessi e delle presenze”: questo passaggio della proposta di riforma è senz’altro quello destinato a creare più dubbi interpretativi. Infatti, se chiaramente vengono esclusi i sistemi di controllo accessi (dovendosi intendere gli accessi fisici ai locali e, interpretando in via estensiva la parola “accesso”, gli accessi logici ai sistemi informatici) e controllo presenze (così superando la sentenza della Corte di Cassazione n° 15892/2007 sopra richiamata) ad avviso di chi scrive restano in perimetro di accordo sindacale tutti i sistemi di controllo non nativi dello strumento messo nella disponibilità del lavoratore o che comunque raccolgano informazioni ulteriori rispetto al mero “accesso” ai locali fisici o ai sistemi.
Infatti la norma sembra applicarsi agli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, cioè un personal computer o un device mobile. Ma non invece ai sistemi o strumenti che, gestiti dal datore di lavoro e che rappresentano un elemento “aggiunto” allo strumento, non nativo e non utilizzato per l’attività lavorativa, permettono il controllo indiretto dell’attività del lavoratore (o di alcune operazioni come il cambio di SIM, lo scarico di APP o, elemento ancora più delicato, la spostamento geografico tramite sistemi di geolocalizzazione). In altre parole, ad avviso dello scrivente, un sistema di content filtering, un sistema di data loss prevention, un sistema MAM per device mobili continueranno, se la riforma passerà in questi termini, a essere oggetto di obbligo di accordo sindacale. E peraltro non avrebbe senso il contrario, considerando la portata del primo comma, visto che questi sistemi appaiono potenzialmente molto più invasivi rispetto a una telecamera.
3. “Le informazioni raccolte ai sensi del primo e secondo comma sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal d.lgs. 196/03”: occorre quindi rispettare, per poter utilizzare legittimamente le evidenze raccolte tramite i sistemi di controllo, l’obbligo informativo di cui all’art. 13 d.lgs 196/03 nonché quanto previsto dal Provvedimento dell’Autorità Garante per la protezione dei dati personali dell’1/3/2007 (adozione di un disciplinare interno redatto in forma non generica).
In conclusione quindi la portata della proposta di riforma, quindi, appare sicuramente rilevante in termini di chiarezza ma non rivoluzionaria in termini di contenuto anche considerando che, fermo il tema dell’art. 4 Statuto dei Lavoratori, resta comunque da applicare in modo completo la normativa di protezione dei dati personali che comunque pone vincoli non irrilevanti al potere datoriale di porre in essere attività di raccolta di dati personali tramite sistemi di controllo.
* Legale, Partners4Innovation, e Presidente Clusit – Associazione Italiana per la Sicurezza Informatica
