Grande fratello: controlli sui lavoratori e informativa d’impresa.

Per utilizzare a fini disciplinari i dati ottenuti effettuando controlli sul personale, l’azienda deve dare un’adeguata informazione ai dipendenti.

Maria Novella Bettini e Kevin Puntillo

In seguito alla riforma dell’art. 4 dello Statuto dei lavoratori, l’impresa può legittimamente attuare due categorie di controlli: a) la prima (finalizzata ad esigenze organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale ed assoggettata al previo accordo sindacale o all’autorizzazione della Direzione territoriale. [Sull’installazione illecita senza tale accordo, v. Min. Lav., Parere 1.06.2016, n. 11241, che riguarda l’installazione di dispositivi dai quali derivi la possibilità di controllo a distanza dell’attività di lavoro]; b) la seconda, liberamente applicabile, concerne gli strumenti utilizzati dal dipendente per rendere la prestazione e quelli di registrazione degli accessi e delle presenze.

E’ importante notare che le informazioni raccolte dall’impresa, mediante i suddetti controlli, sono utilizzabili “a tutti i fini connessi al rapporto di lavoro” e, quindi, anche a fini disciplinari.

Tuttavia, per procedere alla contestazione disciplinare di un illecito, rilevato a seguito del controllo svolto dal datore sullo strumento assegnato al dipendente, l’azienda (nel rispetto, di quanto previsto dal D.Lgs. n. 196 del 2003 (c.d. Codice della privacy ed in conformità con Linee Guida del Garante della privacy) deve dare al lavoratore una adeguata informativa circa il tipo ed il modo di utilizzo degli strumenti di controllo.

Tale informativa deve essere chiara, precisa, trasparente e, possibilmente, scritta (potrebbe essere sufficiente fornire l’informativa tramite una comunicazione generalizzata, sebbene sia più prudente per il datore di lavoro che il lavoratore dia conferma individuale dell’avvenuta ricezione dell’informativa stessa).

Occorre, infatti, che il lavoratore sia previamente e pienamente informato tanto sul modo di utilizzo dello strumento assegnato, quanto sulle modalità e sulle finalità del controllo datoriale (ad esempio, controllo per aggiornamento dati di sistemi o back up dati).

Quanto al contenuto delle informazioni, esse devono indicare sia le funzionalità essenziali dei dispositivi usati sia l’esistenza del tracciamento di dati che il datore di lavoro si riserva di utilizzare a fini disciplinari (art. 4, co. 3). Si pensi, ad esempio, per gli strumenti di controllo, agli orari e agli angoli di visualizzazione dell’impianto di video sorveglianza e, per quelli di lavoro, all’attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti in assenza del lavoratore; ai sistemi di geolocalizzazione della prestazione).

Più specificamente, per una corretta policy informativa, vi è una serie di misure che l’impresa è tenuta ad osservare nella predisposizione di controlli (conformi alla legge). In particolare, occorre indicare:

1. in ossequio al principio di trasparenza, quali comportamenti del lavoratore siano da considerarsi “non tollerati”, come, ad esempio, rispetto alla tenuta di file nella rete interna o alla “navigazione” sul web, il download di software o di file musicali;
2. l’eventuale divieto di utilizzo della mail aziendale per attività personali, o, per converso, la possibilità, le modalità e l’arco temporale di utilizzo, a scopo personale, dei servizi di posta elettronica o di rete (ad esempio, fuori o nel corso dell’orario di lavoro o soltanto durante le pause);
3. quali informazioni vengono memorizzate temporaneamente (si pensi alle componenti di file di log eventualmente registrati) e quali soggetti (anche esterni all’azienda) possono accedervi legittimamente;
4. relativamente alla conservazione delle informazioni, il periodo e la forma (centralizzata o meno anche per effetto di copie di back up), della gestione tecnica della rete o di file di log;
5. se ed in quale misura (ad es., per verifiche sulla funzionalità e sicurezza del sistema), il datore di lavoro si riserva di effettuare controlli collettivi o individuali, anche saltuari o occasionali, su singoli dispositivi e postazioni;
6. le modalità di uso personale degli strumenti informatici;
7. eventuali misure adottate per garantire il segreto professionale;
8. le prescrizioni interne sulla sicurezza dei dati e dei sistemi;
9. le conseguenze di tipo disciplinare alle quali va incontro il dipendente, ad esempio nel caso in cui vi sia un utilizzo indebito della posta elettronica e della rete internet.