La modifica dell’articolo 4 dello Statuto dei Lavoratori operata attraverso il Jobs Act è stata al centro di innumerevoli polemiche già in fase di formulazione. Da più parti si sono sollevati dubbi interpretativi, sia sistematici, data l’incoerenza del collocamento della sanzione (il richiamo all’articolo 4 dello Statuto dei lavoratori inserito nell’art. 171 del Codice della Privacy), sia in ordine agli aspetti sostanziali e procedurali: si è criticata, ad esempio, l’opportunità di eliminare in toto il primo comma del “vecchio” articolo 4, che sanciva un divieto assoluto di controllo; si sono sollevati dubbi sul coordinamento tra i nuovi commi 1 e 2, sull’infelice locuzione “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” impiegata nel comma 2 (per l’indeterminatezza dell’area di eccezione e perché non specifica se tali strumenti siano solo quelli aziendali), sulla portata del comma 3 che, letteralmente, pare riferire l’applicazione del Codice Privacy al solo uso successivo “a tutti i fini connessi al rapporto di lavoro” dei dati raccolti (e alla loro inutilizzabilità); ci si è interrogati sull’ambito di operatività degli strumenti (indipendentemente dalla proprietà) e della tipizzazione dei controlli difensivi, ai quali, secondo alcuni commentatori, non residuerebbe più spazio al di fuori delle ipotesi delineate dal legislatore.
Le perplessità avanzate da più parti non hanno convinto il legislatore a riformulare l’articolo, seppure lo avevano indotto a intervenire con una nota (che però non ha valore di interpretazione autentica) e la norma è stata pubblicata così come era stata originariamente abbozzata, lasciando a imprese, legali e amministrazioni il compito di riordinare la matassa in attesa che la giurisprudenza faccia chiarezza.
Solo il tempo ci dirà quali saranno gli argomenti che le Corti accoglieranno, anche se c’è da attendersi che, probabilmente, non si compirà una rivoluzione, dato l’orientamento che si è andato consolidando negli ultimi anni, e dato che buona parte della tutela della riservatezza del lavoratore, storicamente, affonda le radici nelle elaborazioni giurisprudenziali.
Mi pare che gli aspetti più interessanti -oltre, ovviamente, al rapporto con la disciplina posta a tutela dei dati personali- siano proprio quelli riferiti ai controlli difensivi (che sono il portato più importante proprio della giurisprudenza), soprattutto in riferimento allo spazio che possa residuare al di fuori della norma e delle procedure ivi definite. Sotto l’aspetto più pratico e frequente, invece, è necessario individuare l’ambito di operatività delle norme sulla privacy, dato che anche il Garante ha mantenuto sempre una linea granitica, intervenendo non solo a valle, a sancire la legittimità o meno dei controlli effettuati nei casi specifici che era chiamato a valutare, ma anche, soprattutto, a monte, contemperando con regole generali i diritti di datori e lavoratori.
Informative e D. Lgs 196/03
Se teniamo a mente l’assetto precedente alla riforma intervenuta con il Jobs Act (rinvio anche a un mio post sul rapporto tra controllo del lavoratore e privacy ante riforma) vediamo che l’interazione tra le due discipline operava principalmente attraverso il richiamo all’articolo 4 dello Statuto dei lavoratori inserito nell’articolo 114 del Codice della Privacy.
Il Codice della Privacy, peraltro, ha anche un’intera sezione dedicata alla privacy nei rapporti di lavoro, e l’integrazione tra le due discipline non è stata del tutto fluida, anche se le scelte operate dal Garante hanno infine trovato l’avallo della giurisprudenza.
Il Codice della Privacy non è stato toccato dal Jobs Act, che è intervenuto chirurgicamente, (seppure, a detta di molti, con un bisturi semantico non troppo affilato) solo sull’articolo 4 dello Statuto dei Lavoratori.
L’intervento è avvenuto su un organismo consolidato: il controllo dei lavoratori, quando il legislatore ha operato la modifica, non era un frammento isolato dal corpo normativo che tutela la riservatezza, al contrario: era come un legamento, un ponte che consentiva alla normativa privacy di armonizzarsi alla tutela giuslavoristica.
Incidere l’articolo 4 con una terminologia che non collima con quella impiegata nel Codice della Privacy potrebbe avere riflessi importanti: se, infatti, il linguaggio riflette una scelta precisa del legislatore, le parole che utilizza si caricano di significati che non possono essere trascurati. Diversamente, si ha un problema di degradazione della tecnica legislativa: se il legislatore mostra di ignorare il linguaggio tecnico, l’interprete è di fronte a una mera “svista” che va valutata per quello che è, e non incide significativamente sull’impianto normativo. Escluderei questa possibilità, tuttavia, dato che durante la gestazione della novella sono pervenute al legislatore innumerevoli pareri, critiche e osservazioni, che egli, scientemente, ha deciso di non accogliere.
Intervenendo sull’articolo 4, pertanto, il legislatore ha fatto una scelta precisa, non inserendo alcun riferimento alla tutela dei dati personali nei commi 1 e 2 e relegando la questione del rapporto tra privacy e diritto del lavoro al solo comma 3.
Nel terzo comma, quindi, viene disposto che: “Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.”
Il comma, sprovvisto di sanzione (comminata dall’articolo 171 Codice Privacy solo per gli altri due), contiene un’apertura importante: i dati raccolti dal datore di lavoro nell’ambito dei controlli, infatti, prima non potevano essere utilizzati, ad esempio, per sollevare contestazioni in ordine al corretto adempimento della prestazione lavorativa.
Muovendo da questa premessa, pacifica, la norma presenta molteplici problemi, che cercherò di sintetizzare di seguito.
Utilizzabilità delle informazioni raccolte
Stando al comma 3 dell’articolo 4 dello Statuto dei lavoratori, le informazioni sono utilizzabili a tutti i fini connessi al rapporto di di lavoro solo all’avverarsi di due condizioni:
- al lavoratore è stata data “adeguata informazione” sulle modalità d’uso degli strumenti e di effettuazione dei controlli;
- è stato rispettato il Codice della Privacy;
Stando alla lettera della norma, dunque, non è la violazione dei primi due commi dell’articolo 4 (munita di autonoma sanzione ai sensi dell’articolo 171 del Codice della Privacy) a determinare l’inutilizzabillità delle informazioni: è la violazione del terzo comma.
Le condizioni sopra elencate devono essere entrambe presenti e pongono un primo problema: l’utilizzabilità a tutti i fini connessi al rapporto di lavoro, riguarda anche il processo? Cioè, se sorge controversia in ordine alla utilizzabilità dei dati raccolti in un processo civile, il Giudice dovrà valutare che entrambe le condizioni si siano avverate, e constatando la mancanza di una sola di esse, dovrà pronunciarsi sulla inutilizzablità dei dati nel giudizio?
Se il dipendente venisse incriminato, il giudizio del giudice penale sulla eventuale inutilizzabilità delle prove dovrebbe estendersi a tutti gli adempimenti privacy inerenti il rapporto di lavoro?
Se guardiamo alla giurisprudenza precedente alla riforma c’è stata una tendenza consolidata a dichiarare le prove raccolte utilizzabili nel giudizio penale, pur quando raccolte in violazione dell’articolo 4 dello Statuto dei Lavoratori. Si veda ad esempio il filone formatosi circa l’utilizzabilità delle videoriprese effettuate con telecamere installate nei luoghi di lavoro senza passare dalle procedure imposte dall’art. 4 L. 300/1970, per accertare comportamenti potenzialmente delittuosi. Venivano considerati utilizzabili nel processo penale, ancorché imputato fosse il lavoratore subordinato, i risultati delle videoriprese effettuate con telecamere installate all’interno dei luoghi di lavoro ad opera del datore di lavoro per esercitare un controllo a beneficio del patrimonio aziendale messo a rischio da possibili comportamenti infedeli dei lavoratori, perché, nella precedente formulazione, le norme dello Statuto dei lavoratori poste a presidio della loro riservatezza non facevano divieto dei cosiddetti controlli difensivi del patrimonio aziendale e non giustificavano pertanto l’esistenza di un divieto probatorio (cfr. ex multis Cass. Pen. 2890/2015).
Tuttavia la norma novellata, da una parte, pone essa stessa l’inutilizzabilità delle “informazioni” raccolte in caso di violazione delle disposizioni di cui al terzo comma dell’articolo 4 dello Statuto dei Lavoratori, per “tutti i fini” (il legislatore non usa il termine finalità, probabilmente per non confinarsi alla sola privacy) connessi al rapporto di lavoro, dall’altra inserisce la tutela del patrimonio aziendale nell’ambito di operatività della norma. Che succederà ora? La tutela del patrimonio aziendale contro i reati commessi dal dipendente verrà considerata al di fuori del perimetro delineato dall’articolo 4 dello Statuto dei Lavoratori (un fine non connesso al rapporto di lavoro) oppure prevarrà una lettura formalistica della utilizzabilità delle informazioni raccolte?
Il regime di (in)utilizzabilità delle informazioni potrebbe ragionevolmente risolversi in un embrione di principio di inutilizzabilità della prova anche nel processo civile: la giurisprudenza, infatti, prima del Jobs Act traeva dalla necessità di garantire l’effettività del divieto di controllo a distanza dell’attività dei lavoratori gli argomenti per limitare gli utilizzi dei dati: se, per l’esigenza di evitare attività illecite o per motivi organizzativi o produttivi, il datore di lavoro poteva installare impianti e apparecchi di controllo che rilevassero anche dati relativi alla attività lavorativa dei dipendenti, tali dati non avrebbero potuto essere utilizzati per provare l’inadempimento contrattuale dei lavoratori medesimi. Ora è la norma stessa a dettare le regole dell’inutilizzabilità, e i parametri che il giudice dovrà valutare, non ultimo il “rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”. Anche qui, tuttavia, sarà determinante definire il perimetro dei fini connessi al rapporto di lavoro.
Informative e informazioni
Come dicevo sopra, il linguaggio è il bisturi del legislatore: la formulazione scelta potrebbe avere conseguenze rilevanti, quindi, non solo sul piano interno al rapporto di lavoro, ad esempio disciplinare, ma anche sotto il profilo processuale in ordine alla concreta possibilità di trarre utilità dalle informazioni raccolte nei confronti del lavoratore.
Per rimanere nell’ambito del terzo comma, un’altro termine che merita attenzione mi pare sia “informazione” riferito al passaggio nel quale si determina l’obbligo del datore di lavoro di dare “al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”.
Il legislatore non utilizza il termine informativa, dal che si può trarre la conclusione che non stiamo parlando dell’informativa normalmente data al lavoratore nell’ambito del Codice della Privacy (e dei provvedimenti successivi del Garante) che, infatti, viene richiamato successivamente.
Si è di fronte ad una “informazione” specifica, focalizzata sul singolo lavoratore interessato dal controllo, e su due aspetti ben determinati. Probabilmente, onde evitare una diluizione della sua efficacia in una documentazione troppo complessa e sovrabbondante, in quanto genericamente rivolta a tutti i lavoratori – anche a quelli non intaccati dai controlli – il legislatore separa questo adempimento anche terminologicamente dalle informative ex D. Lgs. 196/03: si tratta di una “informazione” del tutto peculiare, dunque, che pare occupare il il baricentro della norma.
In posizione più defilata si attesta, a chiusura del comma, il richiamo operato all’intero Codice della Privacy.
Se il datore di lavoro vuole utilizzare le informazioni raccolte anche “a tutti i fini connessi al rapporto di lavoro”, pertanto, dovrà prestare attenzione a fornire in maniera adeguata le informazioni specificamente individuate dall’articolo 4 dello Statuto dei lavoratori, nonché quelle derivanti dall’applicazione del Codice della Privacy.
Il richiamo al Codice della Privacy si estende anche all’obbligo di seguire i provvedimenti adottati dal Garante?
E’ chiaro che le indicazioni che si traggono dai provvedimenti dell’Autorità andranno seguite secondo la vincolatività che è loro propria, e tale dato sorge dall’applicazione del Codice della Privacy al rapporto di lavoro, che, come detto, non è stata intaccata dal Jobs Act.
L’attività provvedimentale del Garante
La portata dell’applicazione del Codice della Privacy in alcune materie sarebbe monca se non includesse anche i provvedimenti del Garante che, peraltro, si basano sul medesimo Codice e sono esternazione dei poteri conferiti sempre dal medesimo impianto normativo.
Se pensiamo al tema della videosorveglianza, che è certamente uno di quelli maggiormente e tradizionalmente tangenti all’articolo 4 dello Statuto dei lavoratori, come potremmo prescindere dal Provvedimento generale del Garante del 08 aprile 2010 (che, peraltro, ha una sezione dedicata proprio ai rapporti di lavoro)? Come potremmo valutare l’idoneità di un’informativa senza ricorrere al provvedimento generale?
Il richiamo all’applicazione del Codice Privacy non può non estendersi a tutto l’indotto che da esso deriva. È, peraltro, proprio nell’attività provvedimentale del Garante che la normativa sulla protezione dati personali nel rapporto di lavoro ha trovato compiuta attuazione ed è lì che risiede la maggior parte della tutela accordata alla riservatezza del lavoratore e al bilanciamento con i contrapposti interessi del datore, anche in tema di controlli.
Pertanto, al fine di poter utilizzare i dati raccolti avvalendosi delle modalità disciplinate dai primi due commi dell’articolo 4 dello Statuto dei Lavoratori, il datore di lavoro dovrebbe garantire l’applicazione dell’intera disciplina richiamata dal Codice della Privacy, con gli adempimenti che, a seconda del trattamento, siano necessitati anche dai provvedimenti generali presi dal Garante (si pensi agli oneri informativi integrati dai provvedimenti generali, ma anche alla mole di adempimenti e cautele richiesti dal provvedimento sull’uso di internet e posta elettronica del 2007 o a quello sugli amministratori di sistema, che saranno rilevanti – ricorrendone le condizioni- ogni volta che il controllo si attui attraverso la strumentazione informatica, ad esempio).
A questo punto ci si potrebbe domandare se il richiamo del complesso della normativa a tutela della protezione dei dati personali operata dall’articolo 4 comma 3 dello Statuto dei Lavoratori potrebbe essere circoscritto alla sola utilizzabilità dei dati e non esteso all’intero rapporto di lavoro.
A chi scrive questa impostazione non pare plausibile. L’impianto del Codice della Privacy non consente di dividere un prima e un dopo nella liceità del trattamento: la conservazione è trattamento, la cancellazione è trattamento, come lo è la raccolta: ipotizzare che un trattamento che sorge in violazione del Codice possa tramutarsi in un trattamento lecito per effetto della sola applicazione delle norme che interessano la fase successiva alla raccolta non ha senso: se il trattamento nasce illecito, come si può ipotizzare che sia lecita l’utilizzazione di quei dati perché solo a questa fase successiva si applica il Codice? Quali norme dovrebbero applicarsi alla sola fase di utilizzazione?
Se si richiama l’applicazione del Codice della Privacy come condizione fondante l’utilizzabilità dei dati, questo effetto si spiegherà ben oltre la fase di utilizzazione, e inciderà su tutta la fase pregressa. Solo la corrispondenza agli adempimenti privacy imposti dalla normativa nel corso del rapporto di lavoro consentirà l’utilizzazione dei dati raccolti ai sensi dei primi due commi dell’articolo 4, e in tale ottica sarà bene che il titolare applichi scrupolosamente la disciplina cogente prima di raccogliere i dati.
Utilizzabilità e mancata concertazione
Questo aspetto ha importanti conseguenze sull’equilibrio interno all’articolo 4 dello Statuto dei Lavoratori. Dalla prima lettura della norma, infatti, si deduce che per il mancato rispetto del disposto del comma 3 (ad esempio, non vengono date le informazioni necessarie) non si rischierà la sanzione penale ma le informazioni raccolte saranno inutilizzabili (il discorso è più complesso se si ipotizza una violazione degli adempimenti privacy, perché potrebbero condurre a violazioni autonomamente sanzionabili a norma del Codice della Privacy). Invece, per la violazione dei primi due commi, il datore di lavoro andrebbe incontro a sanzione penale, ma non incorrerebbe nell’inutilizzabilità: cioè, il datore che non seguisse la procedura di concertazione o autorizzazione potrebbe incappare nella sanzione di cui all’articolo 171 del Codice Privacy, ma le informazioni raccolte potrebbero comunque essere utilizzate per tutti i fini connessi al rapporto di lavoro.
Seguendo questa impostazione potremmo concludere che, ad esempio, potrebbero essere utilizzabili a tutti i fini connessi al rapporto di lavoro, le informazioni reperite dal datore di lavoro che abbia sottoposto a controllo la strumentazione informatica in dotazione ai dipendenti senza passare dal meccanismo di concertazione o autorizzazione disciplinato dal primo comma dell’articolo 4 dello Statuto, per aver erroneamente ritenuto di rientrare nell’ambito di esenzione che incide sugli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, ma si sia attenuto scrupolosamente al rispetto della normativa privacy e degli oneri informativi previsti dal comma 3 dell’articolo 4 dello Statuto dei Lavoratori.
Una lettura superficiale della norma che non tenesse adeguatamente conto dell’impatto del richiamo operato al Codice della Privacy dal comma terzo dell’articolo 4 dello Statuto dei Lavoratori, potrebbe certamente condurre una simile conclusione, ma si giunge a conclusione diametralmente opposta se si valuta scrupolosamente il richiamo operato dal terzo comma dell’art. 4 L. 300/70 al D. Lgs. 196/03.
La prima pronuncia del Garante post Jobs Act
Ed è proprio sotto il fuoco incrociato di questi richiami che si inscrive il recente provvedimento dell’Autorità garante per la protezione dei dati personali [doc. web n. 5408460] “Trattamento di dati personali dei dipendenti mediante posta elettronica e altri strumenti di lavoro” – Registro dei provvedimenti n. 303 del 13 luglio 2016.
– tratto da Linkedin Pulse in data 2 ottobre 2016
– autore Avvocato Cristina Vicarelli