SCUOLA DOTTORALE INTERNAZIONALE “TULLIO ASCARELLI” DIRITTO – ECONOMIA – STORIA, SEZIONE DIRITTO PRIVATO PER L’EUROPA, AREA DIRITTO DEL LAVORO XXV° CICLO TESI DI DOTTORATO IN DIRITTO DEL LAVORO: PRIVACY E RAPPORTO DI LAVORO Dottorando: Francesco Maria Napolitano Docente guida: Chiar.mo Prof. Giampiero Proia Coordinatore: Chiar.mo Prof. Giuseppe Grisi INDICE CAPITOLO I Il fondamento della tutela della privacy nel rapporto di lavoro 1.La “riservatezza” dei lavoratori nel sistema costituzionale 4 2.Il sistema introdotto dallo Statuto dei lavoratori 13 3.Segue: il divieto di controlli “ignoti” o personali. I soggetti 19 4.Segue: il divieto di indagini sulle “opinioni” dei lavoratori. L’oggetto 24 5.Segue: il divieto di controlli a distanza. I mezzi 27 6.La legge n. 675 del 1996. Il codice della privacy, integrazione ed ibridazione della disciplina generale con la disciplina settoriale 30 CAPITOLO II L’applicazione della privacy al rapporto di lavoro nei provvedimenti del Garante 1.Le linee guida dettate dall’Autorità garante per la protezione dei dati personali 39 2.Segue: l’ampliamento delle tutele 44 3.Il controllo “indiretto” sull’attività lavorativa 46 4.L’inutilizzabilità dei dati raccolti in ragione del mancato rispetto della “forma” 57 5.La natura e gli effetti dei provvedimenti adottati dal Garante 61 1 CAPITOLO III Il diritto alla riservatezza nel contesto lavorativo secondo l’interpretazione giurisprudenziale 1.I controlli difensivi. Contenuti e limiti 2.I controlli “informatici” e 69 l’ingerenza nella privacy dei lavoratori 82 3.La teoria fondata sulla “proprietà” degli strumenti di lavoro 90 CAPITOLO IV Il possibile contemperamento dei contrapposti interessi 1.Il principio di correttezza alla privacy e la “decadenza” dal diritto 94 2.L’utilizzabilità delle prove raccolte in violazione della disciplina sulla privacy 101 3.L’incidenza dei provvedimenti adottati dall’Autorità garante nell’ambito del processo civile 108 BIBLIOGRAFIA 113 2 3 CAPITOLO I Il fondamento della tutela della privacy nel rapporto di lavoro 1. La “riservatezza” dei lavoratori nel sistema costituzionale Nel nostro ordinamento il più “alto” riconoscimento del diritto alla tutela della privacy, inteso come “diritto soggettivo di costruire liberamente e difendere la propria sfera privata”1, è rinvenibile nella stessa Carta costituzionale. Tale riconoscimento non deriva da una espressa ed esplicita norma, ma, in primo luogo, da alcune disposizioni di carattere generale presenti nella nostra Costituzione. E così, l’art. 2 della Costituzione, riconoscendo e garantendo i diritti inviolabili dell’uomo, sia come singolo, che nelle formazioni sociali in cui si esplica la sua personalità2, individua e delinea, anzitutto, una “priorità di valore della persona umana nella gerarchia dei valori giuridici”3. Priorità di valore che costituisce la base delle 1 S. RODOTÀ, Repertorio di fine secolo (la costruzione della sfera privata), Bari, Laterza, 1999, p. 202. 2 E l’impresa costituisce, senza dubbio, “una formazione sociale nel senso indicato dall’art. 2 della Costituzione”, cfr. U. NATOLI, Diritti fondamentali e categorie generali, Milano, Giuffrè, 1993, p. 439. 3 A. GHIRIBELLI, Il diritto alla privacy nella Costituzione italiana, in Teutas, 2007. 4 tutele e dei diritti non dettagliatamente ed espressamente richiamati dal testo costituzionale4. Riconoscendo a questo articolo il carattere di norma “aperta”, idonea a consentire l’adeguamento del diritto alle modifiche ed ai cambiamenti che si verificano nella società e la protezione di interessi “nuovi”5, non oggetto di specifiche tutele, è agevole farne discendere anche un riconoscimento, pur se indiretto, al diritto alla riservatezza. Ed infatti, la riservatezza “costituisce una necessità addirittura biologica dell’uomo” ed un “aspetto inalienabile della persona 4 A. BARBERA, Commento all’art. 2 della Costituzione, in G. BRANCA (a cura di), Commentario alla Costituzione, Bologna-Roma, Zanichelli, 1975 5 R. BIFULCO, A. CELOTTO, M. OLIVETTI, Commentario alla Costituzione, vol. I, Torino, UTET 2006, p. 46 ss., “l’altro aspetto, sul quale invece dottrina e giurisprudenza (non solo costituzionale) hanno più a lungo dibattuto, è dato dall’estensione della «categoria» diritti inviolabili oltre quelli (esplicitamente o implicitamente) riconosciuti dalla Costituzione: si tratta, in sostanza, di scegliere tra le due tesi contrapposte di chi, da un lato, ritiene che la formula in questione abbia un carattere riassuntivo dei diritti espressamente previsti e riconosciuti, e che quindi la norma in questione si debba configurare come «a fattispecie chiusa»; e chi, all’opposto, sostiene che la portata della disposizione consenta e anzi imponga interpretazioni di tipo estensivo, sì da far rientrare nella garanzia da essa apprestata anche diritti non enumerati nel testo costituzionale”. “Peraltro va segnalato come la giurisprudenza costituzionale abbia da orami qualche anno risolto la disputa, prendendo posizione a favore della teoria della «norma a fattispecie aperta». Ciò è avvenuto a partire dalla sentenza 561/1997, nella quale la Corte ha riconosciuto che essendo la sessualità uno degli essenziali modi di espressione della persona umana, «il diritto di disporne liberamente è senza dubbio un diritto soggettivo assoluto, che va ricompreso tra le posizioni soggettive direttamente tutelate dalla Costituzione e inquadrato tra i diritti inviolabili della persona umana che l’art. 2 Cost. impone di garantire». L’adesione alla impostazione «aperta», seguita ad una giurisprudenza più incline alla concezione opposta, sottolineata dalla stesso Presidente della Corte, è stata in modo costante seguita nella giurisprudenza successiva, che ha riconosciuto natura di diritto inviolabile ex art. 2 al «diritto sociale all’abitazione», al diritto di abbandonare il proprio Paese, al diritto alla propria formazione culturale, al diritto al nome inteso come primo e più immediato segno distintivo che caratterizza l’identità personale”. 5 umana”6. Ragion per cui la sua “difesa” risulta necessaria al fine di apprestare una effettiva tutela della persona e delle sue esigenze fondamentali. Del resto, oltre al rilievo autonomo che ricopre, la “riservatezza” riveste anche un non meno fondamentale ruolo strumentale. Il pieno e reale godimento dei diritti fondamentali sanciti dalla Costituzione, infatti, è possibile solo garantendo anche una sfera privata sottratta alle intrusioni di terzi, oltre che la sicurezza che determinate informazioni resteranno, a tutti gli effetti, “private”7. Pertanto, tale diritto assume una duplice valenza. Da un lato, infatti, esso rappresenta una libertà negativa, rappresentata dal divieto di illegittime intromissioni nella altrui sfera personale e privata. Dall’atro lato, rappresenta anche una liberà positiva, costituita dalla possibilità di controllare e vietare l’uso di dati, notizie e, più in generale, informazioni attinenti alla propria sfera personale8. Allo stesso modo, anche nel dettato dell’art. 3 della Costituzione è possibile rinvenire un altro, indiretto, riferimento alla tutela della riservatezza9. 6 A. CATAUDELLA, Scritti giuridici, Padova, Cedam, 1991, p.545. M. PROSPERI, Il diritto alla riservatezza nell’ordinamento costituzionale, in dirittoproarte. 8 Cfr. A. BALDASSARRE, Diritti della persona e valori costituzionali, Torino, Giappichelli, 1997. 9 In senso contrario S. FOIS, Questioni sul fondamento costituzionale del diritto all’«identità personale», in AA. VV., L’informazione e i diritti della persona, Napoli, Jovene, 1983, p. 167, secondo il quale “il richiamo al valore della persona umana rischia di diventare l’invocazione ad una specie di formula magica per dar forma a fantasmi normativi tali da implicare le conclusioni più diverse e più 7 6 Tale norma, infatti, riconoscendo la pari dignità sociale di tutti i cittadini, la loro uguaglianza davanti alla legge senza alcuna distinzione e, soprattutto, perseguendo lo scopo di rimuovere gli ostacoli che possono impedire il pieno sviluppo della persona, pone degli obiettivi che, per essere effettivamente raggiunti, richiedono necessariamente anche una particolare tutela della riservatezza personale. Ed infatti, solo garantendo l’inviolabilità della sfera privata e personale di tutti i cittadini è possibile ottenere il riconoscimento di una pari dignità sociale e, soprattutto, il pieno e libero sviluppo della persona umana. Oltre a queste norme, idonee a costituire una matrice generale di tutela del diritto alla privacy, nel dettato costituzionale è possibile rinvenire anche alcune esplicite disposizioni volte alla difesa della riservatezza in singoli e specifici contesti. E così, in primo luogo, l’art. 13 sancisce la inviolabilità della libertà personale e l’art. 14 l’inviolabilità del domicilio. L’art. 15, poi, dispone l’inviolabilità e la segretezza della corrispondenza e di ogni altra forma di comunicazione. Tutela quanto mai attuale e di primaria importanza alla luce delle nuove e mutate forme di comunicazione e di informazione presenti nella odierna società. opposte” e F. BRICOLA, Prospettive e limiti della tutela penale della riservatezza, in AA. VV., Il diritto alla riservatezza e la sua tutela penale. Atti del terzo simposio di studi di diritto e procedura penali, Milano, Giuffrè, 1970, p. 84, che ritiene non “provata la correlazione fra violazione della sfera privata e impedimento al pieno sviluppo della persona umana”. 7 Ed è in tale quadro che si inserisce e che va letto anche il disposto dell’art. 41 della Costituzione che, riconoscendo e garantendo la libertà dell’iniziativa economica privata ed imponendo all’imprenditore, allo stesso tempo, di non esercitare la sua posizione economicamente dominante in modo da ledere, oltre che la sicurezza, la libertà e la dignità del lavoratore, costituisce il fondamento primario del diritto alla riservatezza nell’ambito del rapporto di lavoro10. Tale norma, infatti, colloca la tutela della libertà e della dignità dei lavoratori “entro la stessa cornice normativa”11 ove è inserito anche il riconoscimento costituzionale della libertà d’impresa e, pertanto, nel riconoscere la libertà di iniziativa economica, ne individua subito un preciso ed invalicabile limite di pari rango costituzionale. Limite costituito anche dal rispetto e dalla tutela della riservatezza dei lavoratori. E’ stato osservato che tali disposizioni non potrebbero essere poste a fondamento di un riconoscimento costituzionale del diritto alla riservatezza e ciò proprio perché le norme in commento sarebbero riferite e riferibili solamente a specifici e “parziali”12 ambiti della vita di relazione (ovvero, la tutela della libertà personale, del domicilio e della segretezza della corrispondenza) e, pertanto, al fine di assolvere ad un ruolo di “clausole generali”, o, comunque, per poter generare un omnicomprensivo diritto alla riservatezza, dovrebbero essere oggetto 10 Cfr. E. BARRACO, A. SITZIA, La tutela della privacy nei rapporti di lavoro, in Monografie di diritto del lavoro, dirette da M. MISCIONE, Roma, Ipsoa, 2008. 11 P. CHIECO, Privacy e lavoro. La disciplina del trattamento dei dati personali del lavoratore, Bari, Cacucci, 2000, p. 14. 12 Cfr. A. BELVEDERE, Riservatezza e strumenti di informazione, in Dizionario del dir. priv., Milano, 1980, p. 750. 8 di operazioni ermeneutiche “eccessive” ed ingiustificate (in base al significato letterale delle norme stesse)13. Sembra, in tali considerazioni, di scorgere un raffronto tra le formulazioni adottate, per la tutela di questo diritto, in alcuni trattati internazionali o comunitari e quanto è stato previsto dalla nostra Carta costituzionale. E’ indubbio che la enunciazione contenuta nella Convenzione per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (adottata a Roma il 4 novembre 1950), in cui all’articolo 8 (rubricato: Diritto al rispetto della vita privata e familiare) si afferma che “ogni persona ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza” e che “non può esservi ingerenza della pubblica autorità nell’esercizio di tale diritto se non in quanto tale ingerenza sia prevista dalla legge e in quanto costituisca una misura che, in una società democratica, è necessaria per la sicurezza nazionale, l’ordine pubblico, il benessere economico del paese, la prevenzione dei reati, la protezione della salute o della morale, o la protezione dei diritti e delle libertà altrui”, ha una portata più generale ed organica. Lo stesso si può affermare per ciò che riguarda il Patto internazione sui diritti civili e politici (adottato a New York il 16 dicembre 1966), in cui all’art. 17 si prevede che “nessuno può essere sottoposto ad interferenze arbitrarie o illegittime nella sua vita 13 Cfr. G. U. RESCIGNO, Corso di diritto pubblico, Bologna, Zanichelli, 2010, secondo il quale non sembrerebbero esistere, nel dettato costituzionale, un generale diritto alla riservatezza “invocabile come tale davanti ai giudici”. L’autore, tuttavia, riconosce che è “possibile e prevedibile che questo valore venga invocato come limite interno di altri diritti costituzionali positivamente riconosciuti e quindi come fondamento di eventuali leggi che contengono tali limiti”. 9 privata, nella sua famiglia, nella sua casa o nella sua corrispondenza, né a illegittime offese al suo onore e alla sua reputazione” e che “ogni individuo ha diritto a essere tutelato dalla legge contro tali interferenze ed offese”. Anche nel diritto dell’unione europea la formulazione che si legge nell’art. 7 della c.d. Carta di Strasburgo, che è stata inserita come allegato al Trattato di Lisbona nella versione approvata il 12 dicembre 2007, e cioè che “ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni” ha una portata sicuramente più ampia e complessiva. Ciò non vuol dire, però, che, ai fini della tutela della riservatezza e dei dati personali del dipendente nei rapporti di lavoro, le disposizioni costituzionali innanzi indicate non forniscano un quadro esauriente di tutti gli aspetti che il legislatore e l’interprete debbono tenere presenti. Da un lato, infatti, il primo comma dell’art. 41 della Costituzione, superando la visione delle Carte di derivazione ottocentesca, in cui la previsione si limitava a tutelare il diritto di proprietà, legittima il potere del datore di lavoro ad adottare, anche nei confronti dei dipendenti, quelle misure che si rendano necessarie per il migliore svolgimento dell’attività imprenditoriale14, dall’altro il secondo comma fissa i limiti di questo potere a salvaguardia della dignità dei lavoratori stessi. 14 A. CERRI, Istituzioni di diritto pubblico, Milano, Giuffrè, 2006, p. 497, afferma che: “rientra nel concetto di iniziativa economica privata, garantita dall’art. 41 Cost., probabilmente, ogni attività volta alla produzione di beni o servizi per il mercato e, cioè, per lo scambio con chiunque vi sia interessato, assuma essa le dimensioni dell’impresa o coincida con il lavoro autonomo (piccolo commercio, artigianato, ad es.)” 10 Vi è poi da dire che ad un’interpretazione sempre più dinamica sia del primo comma dell’articolo 41 della Costituzione, relativo alla tutela dell’attività imprenditoriale, sia del secondo comma, che concerne, come si è detto, la salvaguardia della “dignità” dei lavoratori ed i limiti inviolabili che, a sua tutela, non possono essere superati, molto ha contribuito la disciplina comunitaria. Si deve a quest’ultima, infatti, sia l’enfatizzazione, per impedire misure che indirettamente vengano ad ostacolare l’apertura dei mercati e la libertà di stabilimento, della libertà di concorrenza, che ha portato, nella revisione del Titolo V della parte II della Costituzione, a riservare alla competenza esclusiva del legislatore statale la materia “tutela della concorrenza”, sia l’introduzione nell’ordinamento italiano di specifiche normative (quale la legge n. 675 del 1996) a tutela di fondamentali aspetti della vita privata, con importanti ricadute nei rapporti di lavoro. Occorre, quindi, tracciare un bilanciamento tra questi due diritti. Bilanciamento particolarmente significativo anche per ciò che riguarda le tutele apportate dall’articolo 15 della Costituzione. Non a caso, infatti, numerose controversie riguardano, nei rapporti di lavoro, proprio il confine tra ciò che in materia è lecito, considerando che, ai tempi attuali la comunicazione spesso avviene tramite strumenti informativi che, nei luoghi dove si svolge l’attività lavorativa, sono di proprietà dell’azienda, e ciò che invece non lo è, dato che la segretezza dell’oggetto e del contenuto della comunicazione è coperta addirittura da una norma di tutela costituzionale. Non può, quindi, ritenersi che il nostro ordinamento costituzionale accordi una più debole tutela a questi diritti. 11 Tra l’altro, è agevole rilevare come, a ben vedere, tali norme, volte indubbiamente a tutelare solamente singole e specifiche fattispecie, unitamente alle clausole a carattere “generale” presenti nella nostra Costituzione, dimostrano non solo una evidente rilevanza del diritto alla riservatezza all’interno del dettato costituzionale, ma anche una altrettanto chiara matrice costituzionale di quella che sarebbe stata la futura normativa in tema di privacy. Matrice che, più su una determinata norma scritta, è rinvenibile in un complesso di norme ed in un “complesso di argomenti interpretativi”15 idonei a dimostrare l’esistenza del diritto alla riservatezza quale principio non scritto, ma ben presente nella Costituzione italiana. Del resto, tali conclusioni sono state fatte proprie anche dalla giurisprudenza di legittimità, la quale, anche in tempi risalenti, precedenti alle formali codificazioni (con la legge n. 675 del 1996 e con il d.lgs. n. 196 del 2003) della specifica normativa in materia di privacy, ha avuto modo di affermare l’esistenza di un “autonomo” diritto alla riservatezza. Diritto che, come si è detto, trova un fondamento non solo “implicito” all’interno del sistema, ma che si ancora anche ai numerosi riferimenti “espliciti” presenti nelle norme costituzionali16. 15 Cfr. A. PIZZORUSSO, Sul diritto alla riservatezza nella Costituzione italiana, in Prassi e teoria, 1976, p. 39. 16 Cfr. Cass., 27 maggio 1975, n. 2129, in Mass. giur. it., 1975, p. 594. 12 2. Il sistema introdotto dallo Statuto dei lavoratori L’esigenza di offrire una tutela specifica e diretta a tutti i lavoratori subordinati è stata soddisfatta, compiutamente, con la legge n. 300 del 1970 (c.d. Statuto dei lavoratori)17. Con tale intervento normativo, il legislatore ha perseguito l’obiettivo di riaffermare, in una legge ordinaria, proprio i principi ed i diritti già previsti, in maniera “diffusa”, all’interno della nostra Costituzione18. In particolare, con il gruppo di norme definite “garantiste” (ovvero, quelle che definiscono i diritti dei lavoratori all’interno dei luoghi di lavoro)19, il legislatore ha tentato di sviluppare e di attuare i principi espressi proprio nell’art. 41 della Costituzione, con lo scopo di apprestare una effettiva tutela dei diritti individuali costituzionalmente garantiti del lavoratore20. E’ grazie alla legge n. 300 del 1970, infatti, che acquistano efficacia e protezione interessi 17 Si legge nella relazione al disegno di legge presentato al Senato dall’allora Ministro del lavoro Brodolin che il titolo I dello Statuto – che reca l’intestazione «della libertà e dignità dei lavoratori» - intende assicurare ai lavoratori “l’effettivo godimento di taluni diritti e libertà fondamentali che, pur trovando nella Costituzione una disciplina e una garanzia complete sul piano dei principi, si prestano tuttavia, in carenza di disposizioni precise di attuazione, ad essere compressi nel loro libero esercizio”. 18 E’ stato affermato che lo scopo perseguito dal legislatore non sarebbe stato quello di attribuire al lavoratore dei diritti ulteriori rispetto a quelli a lui già riconosciuti come cittadino, ma di “eliminare ogni ingiustificata disparità tra lo status di cittadino e quello di lavoratore”, cfr. L. GAETA, La dignità del lavoratore e i turbamenti dell’innovazione, in Lav. dir., 1990, p. 206. 19 L’altro gruppo di norme presenti nello Statuto, definite “promozionali”, sono, invece, volte a favorire ed a consolidare la presenza del sindacato all’interno dell’azienda. 20 Cfr. L. MENGONI, Diritto e valori, Bologna, Il Mulino, 1985; ma anche L. VENTURA, Lo statuto dei diritti dei lavoratori: appunti per una ricerca, in Riv. giur. lav., 1970, I, pp. 497 ss. 13 del lavoratore di carattere non solamente economico, ma volti alla tutela della dignità e della libertà nei luoghi di lavoro, e che si realizza, così, il passaggio da una semplice tutela del “contraente debole”, ad una tutela del lavoratore come “persona”21. Tuttavia, a ben vedere, l’obiettivo perseguito dallo Statuto non era tanto quello di apprestare una vera e propria tutela della privacy dei lavoratori. Almeno non nell’accezione che oggi assume questo termine. Il legislatore del 1970, infatti, perseguiva lo scopo, più generale, di introdurre nell’ordinamento dei limiti al potere del datore di lavoro, in modo da proibire condotte che potessero rivelarsi lesive della dignità dei propri dipendenti. L’attenzione del legislatore, in sostanza, più che sulla privacy dei lavoratori, era rivolta, tramite l’utilizzo di una tecnica oggettiva finalizzata alla salvaguardia della sfera privata dei lavoratori da possibili intrusioni “esterne”, ai comportamenti datoriali La protezione della riservatezza dei lavoratori come aspetto centrale della tutela, costituisce, in realtà, un fenomeno che emerge soprattutto grazie all’interpretazione giurisprudenziale elaborata su determinati aspetti del rapporto di lavoro e che diviene di strettissima attualità e di primaria importanza in ragione del progresso tecnologico e dell’evoluzione registrata nel campo informatico, ove si assiste alla 21 F. LISO, La mobilità del lavoratore in azienda: il quadro legale, Milano, Franco Angeli, 1982, p. 26, ma anche M. GRANDI, Persona e contratto di lavoro. Riflessioni storico critiche sul lavoro come oggetto del contratto di lavoro, in Arg. dir. lav., 1999, M. AIMO, Privacy, libertà di espressione e rapporto di lavoro, Napoli, Jovene, 2003, T. TREU, voce Statuto dei lavoratori, in Enc. dir., XLIII, 1990, pp. 1031 ss. e C. ZOLI, Subordinazione e poteri dell’imprenditore tra organizzazione, contratto e contropotere, in Lav. dir., 1997, pp. 241 ss. 14 creazione di strumenti capaci di controllare sistematicamente ed analiticamente ogni singola attività svolta dal lavoratore durante lo svolgimento della prestazione lavorativa. Strumenti, questi, (si pensi ai sistemi di posta elettronica, ai badge aziendali o, più semplicemente, ai personal computer) creati ed utilizzati non con lo scopo di controllare l’attività lavorativa, ma dove, comunque, la funzione di controllo può essere esercitata in maniera pressoché continua22. Ciò, tuttavia, non significa che l’impianto normativo presente nella legge n. 300 del 1970 non sia idoneo a tutelare ed a preservare, adeguatamente, la riservatezza del lavoratore. Nello Statuto dei lavoratori, infatti, è rinvenibile un nucleo centrale di garanzie rivolte alla persona del lavoratore basato, in primo luogo, proprio sulla “positivizzazione” di una serie di limiti posti al potere del datore di lavoro23. E, tra tali limiti, vi rientra senza dubbio anche il potere di controllo da questi esercitato nei confronti dei propri dipendenti. Tant’è vero che lo stesso Garante per la protezione di dati personali avrà modo di affermare che, nel nostro ordinamento, “la privacy arriva con lo Statuto dei lavoratori, si proietta al di là della richiesta 22 Cfr. L. PERINA, L’evoluzione della giurisprudenza e dei provvedimenti del garante in materia di protezione dei dati personali dei lavoratori subordinati, in Riv. it. dir. lav., 2010, II, p. 306. Come sostiene l’Autore, lo Statuto dei lavoratori, nel vietare certe condotte datoriali, esaurisce il proprio compito. “Per tutto quanto non vietato, lo Statuto nulla dice, non occupandosi di altre questioni come, per l’appunto, quella della privacy”. 23 Cfr. A. BELLAVISTA, Sorveglianza, privacy e rapporto di lavoro, in Dir. internet, 2006, pp. 437 ss. 15 d’essere lasciato solo e diviene uno strumento per opporsi alle discriminazioni”24. Quanto detto, pertanto, significa solamente che, nella originaria impostazione voluta con la legge n. 300 del 1970, la privacy dei lavoratori non costituiva il “punto di partenza” delle tutele da apprestare. E ciò, probabilmente, perché, nel contesto sociale e culturale in cui è maturata quella normativa, lontana anni luce dalla introduzione delle moderne tecnologie, non veniva avvertito il rischio di un continuo ed indiretto “attacco” alla riservatezza dei lavoratori, ora possibile, invece, grazie alla evoluzione degli attuali sistemi informatici presenti in azienda. Oppure, più semplicemente, perché, come è stato autorevolmente sostenuto, il legislatore del ’70 dava per presupposto che la riservatezza dei lavoratori all’interno dell’azienda sarebbe stata comunque “scarsamente conciliabile” con la necessaria convivenza di una pluralità di persone nel medesimo ambiente lavorativo. Ambiente dove la coabitazione e la interazione non solo sono “naturali”, ma si rendono anche necessari per poter raggiungere gli obiettivi aziendali25. 24 Intervento del Presidente dell’Autorità Garante per la protezione dei dati personali, prof. Stefano Rodotà, pubblicato sul quotidiano La Repubblica del 13 maggio 1997. Vedi anche S. RODOTÀ, Protezione dei dati e circolazione delle informazioni, in Riv. crit. dir. priv., 1984, pp.757 ss. 25 L. PERINA, L’evoluzione della giurisprudenza e dei provvedimenti del garante in materia di protezione dei dati personali dei lavoratori subordinati, cit., p. 307, ove l’Autore, efficacemente, paragona tale situazione con quella, “di comune esperienza”, della “persona ospitata in casa altrui, ove utilizza i beni (altrui) che ivi si trovano, vedrà in qualche modo «compressa» la propria privacy che non può essere tutelata in modo identico a quello esistente a casa propria: l’ospite è, nella natura delle cose, soggetto all’osservanza ed al controllo altrui ed al rispetto di 16 Ad ogni modo, le norme che, “direttamente” o “indirettamente”, si occupano della riservatezza dei lavoratori all’interno dell’azienda, vietano, in primo luogo, l’uso di guardie giurate per scopi diversi da quelli strettamente attinenti alla tutela del patrimonio aziendale26, prescrivendo, inoltre, l’obbligo di comunicare ai lavoratori i nominativi e le mansioni specifiche del personale addetto alla vigilanza dell’attività lavorativa27. Lo Statuto, poi, vieta l’uso “di impianti audiovisivi e di altre apparecchiature” per finalità di controllo a distanza dell’attività resa dai lavoratori28 e di disporre le visite personali di controllo29, con la sola eccezione delle ipotesi in cui, per l’uso delle prime, o per l’effettuazione delle seconde, vi siano effettive esigenze di tutela del patrimonio aziendale e, comunque, queste siano consentite da un accordo sindacale o, in mancanza, da una autorizzazione rilasciata dell’Ispettorato del lavoro. Infine, la legge n. 300 del 1970 pone il divieto di effettuare, in maniera “diretta”, gli accertamenti sanitari volti ad accertare la idoneità fisica del lavoratore o la veridicità delle assenze per malattia o infortunio30 , nonché di compiere indagini, ai fini dell' assunzione o nel corso dello svolgimento del rapporto di lavoro, sulle opinioni regole diverse da quelle di casa propria, di talchè egli non può pretendere di godere dello stesso livello di privacy, né di essere esentato dal rispetto dei beni altrui o delle regole di comune esperienza esistenti e riconosciute in quell’ambiente; d’altro canto, l’ospitante non ha diritto di intromettersi negli affari più riservati e personali dell’ospite”. 26 Art. 2, legge n. 300 del 1970. 27 Art. 3, legge n. 300 del 1970. 28 Art. 4, legge n. 300 del 1970. 29 Art. 6, legge n. 300 del 1970. 30 Art. 5, legge n. 300 del 1970. 17 politiche, religiose o sindacali dei lavoratori e su tutti i fatti non rilevanti ai fini della valutazione delle attitudini professionali31. 31 Art. 8, legge n. 300 del 1970. 18 3. Segue: il divieto di controlli “ignoti” o personali. I soggetti Come visto, la legge n. 300 del 1970 si preoccupa, in primo luogo, di individuare i soggetti legittimamente autorizzati a compiere l’attività di vigilanza sulla prestazione lavorativa resa dai dipendenti dell’azienda. E così, le norme dello Statuto dei lavoratori prevedono che l’attività di vigilanza sull’attività lavorativa possa essere legittimamente eseguita solamente dal personale il cui nominativo sia stato, preventivamente, comunicato ai lavoratori. Ciò, tuttavia, non significa che il datore di lavoro, o gli altri “superiori gerarchici” del lavoratore, non siano autorizzati ad effettuare attività di controllo in merito alle prestazioni rese dai dipendenti32. Lo scopo perseguito dalla norma (art. 3 della legge n. 300 del 1970), infatti, è quello di contrastare la pratica volta ad affidare i compiti di vigilanza disciplinare a personale non inserito nel ciclo produttivo aziendale e non conosciuto, come tale, dai lavoratori, ma 32 Come affermato dalla giurisprudenza di legittimità, la disciplina prevista dagli art. 2 e 3 della legge n. 300 del 1970 delimitano la sfera di intervento di persone preposte dal datore di lavoro a difesa dei suoi interessi, “ma non escludono il potere dell’imprenditore, ai sensi degli art. 2086 e 2104 c.c., di controllare direttamente o mediante la propria organizzazione gerarchica l’adempimento delle prestazioni lavorative e quindi di accertare mancanze specifiche dei dipendenti, già commesse o in corso di esecuzione, e ciò indipendentemente dalle modalità del controllo, che può legittimamente avvenire anche occultamente, senza che vi ostino né il principio di correttezza e buona fede nell’esecuzione dei rapporti, né il divieto di cui all’art. 4 stessa l. n. 300 del 1970, riferito esclusivamente all’uso di apparecchiature per il controllo a distanza (non applicabile analogicamente, siccome penalmente sanzionato)”, cfr. Cass., 3 luglio 2011, n. 8998, in Foro it. rep., 2001, voce Lavoro (rapporto), n. 867. Sugli orientamenti della giurisprudenza di legittimità sul tema, vedi A.M. D’ANGELO, Vigilanza, direzione e gerarchia nell’impresa, in Lav. nella giur., 2000, II, pp. 137 ss. 19 non quello di abrogare o di modificare il disposto dell’art. 2104 Cod. Civ.33. Pertanto, la norma contenuta nello Statuto dei lavoratori non ha fatto venir meno i generali poteri di controllo, di direzione e di sorveglianza riconosciuti in capo al datore di lavoro ed ai suoi collaboratori34. Ne deriva, quindi, che il controllo vietato dalle norme statutarie è solamente quello che può essere definito come “soggettivamente occulto”35, come tale lesivo della personalità e della dignità del lavoratore, che può essere legittimamente “rifiutato” dal lavoratore36. Allo stesso modo, l’art. 2 della legge n. 300 del 1970, vieta espressamente la possibilità di effettuare controlli sull’attività lavorativa alle guardie giurate occupate presso l’azienda. Queste, infatti, possono essere impiegate solamente “per scopi di tutela del patrimonio aziendale”37 con espresso divieto non solo di poter contestare ai lavoratori fatti diversi da quelli che attengono alla tutela del patrimonio aziendale38, ma anche di poter accedere, se non 33 Che impone al lavoratore di osservare le disposizioni impartite, per l’esecuzione della prestazione e per la disciplina del lavoro, dal datore di lavoro e dai suoi collaboratori dai quali gerarchicamente dipende. 34 Cfr. Cass., 17 giugno 1981 n. 3960, in Foro it. rep., 1981, voce Lavoro (rapporto), n. 1367. 35 A. VALLEBONA, Istituzioni di diritto del lavoro. Il rapporto di lavoro, Padova, Cedam, 2012. 36 E’ ritenuto, invece, a tutti gli effetti valido e legittimo il controllo “oggettivamente” occulto, ovvero quel tipo di controllo, posto in essere da soggetti a ciò abilitati, posto in essere “a sorpresa” o, comunque, in maniera non conosciuta dal lavoratore, cfr. Cass, 18 settembre 1995 n. 9836, in Foro it. rep., 1996, voce Lavoro (rapporto), n. 810 e Cass. 2 marzo 2002 n. 3039, in Riv. it. dir. lav., 2002, II, p. 873. 37 Art. 2, primo comma, della legge n. 300 del 1970. 38 La giurisprudenza ha, tuttavia, osservato che tale divieto non esclude che il datore di lavoro possa utilizzare come “fatti storici”, ai fini delle iniziative, anche 20 per esigenze eccezionali connesse alla predetta tutela, nei locali ove si svolge l’attività aziendale (con la conseguente inutilizzabilità, ai fini dell’applicazione di qualsiasi sanzione disciplinare, dell’esito di eventuali indagini svolte da tali guardie in violazione dei limiti predetti)39. Ne deriva che le uniche contestazioni che possono essere svolte dalle guardie giurate nei confronti dei lavoratori sono quelle attinenti a fatti o ad azioni relativi alla conservazione del patrimonio aziendale. Contestazione che, conseguentemente, non hanno una diretta funzione disciplinare40. Anche in questo caso, è evidente la ratio della norma. Ciò che il legislatore ha inteso evitare, infatti, è stata la possibilità di compiere controlli che potessero rivelarsi di carattere quasi “poliziesco”, anche in ragione del particolare valore probatorio riconosciuto agli accertamenti effettuati da tali guardie, e, quindi, tali da rivestire un carattere intimidatorio nei confronti dei lavoratori41. La medesima finalità di tutela della dignità e della riservatezza del lavoratore è rinvenibile anche nel divieto (contenuto negli artt. 5 e disciplinari, conseguenti, “situazioni oggettive coinvolgenti un lavoratore (come la presenza dello stesso nei locali della mensa o negli spogliatoi durante l’orario di lavoro) accertate da tali guardie fuori dei luoghi di svolgimento della prestazione lavorativa, non essendo in tal caso configurabile né una violazione della norma né un’offesa alla dignità del lavoratore tutelata dalla medesima norma”, cfr. Cass., 27 novembre 1992 n. 12675, in Riv. giur. lav., 1993, II, p. 324. 39 Le eventuali inosservanze di tali divieti sono punite sia in via amministrativa, con la sospensione o con la revoca della licenza da guardia giurata, sia penalmente, cfr. art. 38, legge n. 300 del 1970. 40 Pertanto, per tali “contestazioni”, non è neppure richiesto il rispetto della procedura prevista dall’art. 7 della legge n. 300 del 1970, cfr. Cass., 17 gennaio 1990 n. 205, in Dir. prat. lav., 1990, p. 838. 41 A. VALLEBONA, Istituzioni di diritto del lavoro. Il rapporto di lavoro, cit. 21 6 della legge n. 300 del 1970) di eseguire accertamenti, da parte del datore di lavoro, sulla idoneità e sulla infermità per malattia o infortunio dei propri dipendenti42 e di disporre delle visite personali di controllo (ovvero, delle perquisizioni). Con riguardo a queste ultime, la norma non ne prevede un divieto “assoluto”, ma le consente solamente quando rivestono il carattere della indispensabilità ai fini della tutela del patrimonio aziendale in relazione alla qualità degli strumenti di lavoro o delle materie prime o dei prodotti. In tali ipotesi, le visite personali possono essere effettuate soltanto a condizione che siano eseguite all' uscita dei luoghi di lavoro, che avvengano con l' applicazione di sistemi di selezione automatica riferiti alla collettività o, comunque, a gruppi di lavoratori e, soprattutto, che avvengano in maniera tale da salvaguardare “la dignità e la riservatezza del lavoratore”43. In relazione a quest’ultimo aspetto, è stato ritenuto che detti controlli, anche se indispensabili ai fini della tutela del patrimonio aziendale, non possano comunque essere tali da valicare i limiti della riservatezza personale. E, pertanto, sono state considerate inammissibili tutte quelle tipologie di ispezioni che, pur nell’adozione 42 il controllo delle assenze per infermità, può essere effettuato soltanto attraverso i servizi ispettivi degli istituti previdenziali competenti, mentre per ciò che concerne i controlli in merito all’idoneità fisica del lavoratore, il datore di lavoro ha la facoltà di farli eseguire da parte degli enti pubblici e degli istituti specializzati di diritto pubblico, cfr. art. 5, secondo e terzo comma, legge n. 300 del 1970. 43 Anche la violazione di tale disciplina è punita con sanzioni penali, cfr art. 38, legge n. 300 del 1970. 22 di determinate cautele oggettive, si risolvono in una ingerenza nell’intimità, anche fisica, del soggetto controllato44. Ad ogni modo, per apprestare una ulteriore garanzia contro i possibili “abusi” posti in essere dal lato datoriale, la legge stabilisce che la possibilità di effettuare qualsiasi tipo di controllo personale è condizionata alla conclusione di un accordo con le rappresentanze sindacali aziendali che, nel rispetto di tutte le prescrizioni ricordate, individui sia le ipotesi di indispensabilità delle visite stesse, che le relative modalità di svolgimento. In mancanza di accordo, è competente a disporre in materia il servizio ispettivo della direzione territoriale del lavoro. 44 Con la conseguenza che, l’eventuale rifiuto del lavoratore a sottoporsi a tali tipologie di “visite personali”, non legittima l’applicazione di alcuna sanzione disciplinare nei suoi confronti, cfr. Cass., 19 novembre 1984 n. 5902, in Foro it. rep., 1984, voce Lavoro (rapporto), n. 1745. 23 4. Segue: il divieto di indagini sulle “opinioni” dei lavoratori. L’oggetto Un’altra chiara ed evidente “applicazione” dei principi affermati dall’art. 41 della Costituzione è rinvenibile nel dettato dell’art. 8 dello Statuto dei lavoratori. Tale norma, come visto, pone il divieto per il datore di lavoro di compiere indagini sia sulle opinioni politiche, religiose o sindacali del lavoratore, che, più in generale, su qualsiasi fatto “privato” del lavoratore stesso45. Questa disposizione, pertanto, costituisce la “norma- principio”46 dell’impianto legislativo posto a tutela della riservatezza del lavoratore, contribuendo in maniera fondamentale a tracciare una zona di rispetto e di garanzia intorno alla sua persona, invalicabile da qualsiasi indagine posta in essere dal datore di lavoro. Come appare evidente, però, l’esercizio della libertà di opinione, tutelata dalla norma, non può comunque spingersi fino a divenire una valida giustificazione per non adempiere, o adempiere 45 Un altro specifico divieto, introdotto dalla legge n. 135 del 1990, riguarda lo svolgimento di indagini volte ad accertare nei dipendenti, o in persone prese in considerazione per l' instaurazione di un rapporto di lavoro, l' esistenza di uno stato di sieropositività. Rispetto a tele norma, la Corte costituzionale ha dichiarato l' illegittimità costituzionale dell' art. 5, terzo e quinto comma, nella parte in cui non prevedeva lo svolgimento di accertamenti sanitari per verificare l’assenza di sieropositività all' infezione da HIV come condizione per l’espletamento di attività che comportano rischi per la salute di terzi, cfr. Corte cost., in Riv. giur. lav., 1995, II, p. 840. Sul tema, M. AIMO, Privacy, libertà di espressione e rapporto di lavoro, cit., pp. 71 ss. 46 P. CHIECO, Il diritto alla riservatezza del lavoratore, in Dir. lav. rel. ind., 1998, p. 22. 24 non correttamente, all’obbligazione lavorativa47. Ed è per questo che qualsiasi manifestazione del pensiero deve, in ogni caso, svolgersi salvaguardando e preservando quello che è il normale svolgimento dell’attività aziendale48. Allo stesso modo, la tutela della vita privata e della riservatezza del lavoratore, in base allo stesso disposto dell’art. 8 della legge n. 300 del 1970, si arresta in presenza di fatti rilevanti ai fini della valutazione dell' attitudine professionale del lavoratore49. E così, il datore di lavoro non solo può pacificamente acquisire informazioni in merito ad eventuali inadempimenti posti in essere dal lavoratore, nel rispetto, ovviamente, delle tutele e dei “limiti” analizzati in precedenza, ma, in determinate circostanza, può anche acquistare il diritto ad “informarsi” su fatti formalmente estranei allo svolgimento dell’attività lavorativa e, ciononostante, idonei a poter far venir meno l’interesse ad instaurare, od a proseguire, un rapporto di collaborazione lavorativa. Ciò che può avvenire quando, per la loro “gravità e natura”50, questi siano tali da far ritenere il lavoratore professionalmente 47 Come è stato autorevolmente rilevato, lo scopo perseguito dalla norma, più che di attribuire un significato negativo alla possibile intrusione nella sfera privata altrui, è quello di impedire che il lavoratore possa essere oggetto di pregiudizi, discriminazioni o penalizzazioni di alcun tipo, cfr. P. CHIECO, Il diritto alla riservatezza del lavoratore, cit. 48 M. PERSIANI, G. PROIA, Contratto e rapporto di lavoro, Padova, Cedam, 2009. 49 In particolari circostanze, quando incidono sul corretto svolgimento della prestazione lavorativa, le indagini svolte dal datore di lavoro possono spingersi fino ad interessare anche le stesse opinioni espresse dal lavoratore in materia sindacale, politica e religiosa. Ciò che può avvenire, ad esempio, nell’ambito dei rapporti di lavoro alle dipendenze delle associazioni di tendenza, cfr. M. PERSIANI, G. PROIA, Contratto e rapporto di lavoro, cit. 50 Cfr. Cass., 10 luglio 1996 n. 6293, in Not. giur. lav., 1996, p. 906. 25 inidoneo alla prosecuzione, o alla instaurazione, del rapporto lavorativo. 26 5. Segue: il divieto di controlli a distanza. I mezzi L’altro limite introdotto dalla legge n. 300 del 1970 al potere di controllo esercitabile dal datore di lavoro, riguarda il divieto, assoluto ed inderogabile, di utilizzare impianti audiovisivi, o “altre apparecchiature”51, per scopi volti al controllo dell’attività lavorativa52. La norma (sulla quale, in ragione dello sviluppo tecnologico, si è maggiormente sviluppato il dibattito dottrinario e giurisprudenziale) persegue la finalità di preservare e tutelare la riservatezza dei lavoratori che, viceversa, risulterebbe gravemente compromessa e illegittimamente violata a causa della tendenziale continuatività53 dei possibili controlli effettuabili tramite tali apparecchiature54. Con questa disposizione, pertanto, si è voluto stabilire il principio per cui la vigilanza ed il controllo sul lavoro, pur se necessari nell’ambito della organizzazione produttiva, devono, 51 Sulla nozione di “apparecchiatura di controllo”, vedi E. STENICO, La tutela della riservatezza del lavoratore nell’esercizio della prestazione, in Quad. dir. lav. rel. ind., 2000, n. 24, pp. 117 ss. 52 Art. 4 della legge n. 300 del 1970. 53 La giurisprudenza ha avuto modo di rilevare che il divieto posto dall’art. 4 dello Statuto dei lavoratori opera anche nel caso in cui le apparecchiature adoperate dal datore di lavoro siano state solamente installate, ma non ancora rese operative, così come nel caso in cui i lavoratori siano stati avvertiti in merito al controllo o, ancora, nell’ipotesi in cui il controllo sia destinato ad essere di tipo discontinuo (perché, ad esempio, esercitato in locali dove i lavoratori possono trovarsi solo saltuariamente), cfr Cass., 16 settembre 1997 n. 9211, in Mass. giur. lav., 1997, p. 804. 54 La vigilanza sull’attività lavorativa, pur se necessaria ai fini dell’organizzazione produttiva, deve essere mantenuta “in una dimensione umana, cioè non esasperata dall’uso di tecnologie che possono rendere la vigilanza stessa continua e anelastica, eliminando ogni zona di riservatezza e di autonomia nello svolgimento del lavoro”, cfr. Cass., 17 giugno 2000 n. 8250, in Orient. Giur. lav., 2000, p. 1327. 27 comunque, essere mantenuti in una dimensione “umana” e non essere esasperati dall’utilizzazione di tecnologie idonee a tramutare la vigilanza in una attività di controllo continua ed anelastica, capace di erodere ogni zona di riservatezza e di autonomia nello svolgimento della prestazione lavorativa55. Per rafforzare ulteriormente questa tutela, il legislatore ha previsto espressamente che gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive, ovvero dalla sicurezza del lavoro, ma dai quali possa derivare anche un controllo a distanza sull' attività dei lavoratori (un tipo di controllo, quindi, non “intenzionale”, ma “preterintenzionale”), possano essere installati solamente previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna e prevedendo che, in mancanza di accordo, sia competente a provvedere il servizio ispettivo della direzione territoriale del lavoro56. In proposito, è bene aggiungere che i controlli a “distanza” a cui si riferisce il legislatore possono essere riferiti non solamente ad una dimensione “spaziale”, ma anche ad un concetto temporale, rilevando, ai fini della disciplina de qua, solamente la possibilità di osservare il comportamento del lavoratore tramite apparecchiature che si sostituiscono alla “contestuale presenza e percezione diretta del controllore, in sé lecita anche se continua”57. 55 Cfr. M. DEL CONTE, Internet, posta elettronica e oltre: il Garante della privacy rimodula i poteri del datore di lavoro, in Dir. inf., 2007, pp. 497 ss. 56 Sul tema, vedi G. PERA, in C. ASSANTI, G. PERA, Commento allo statuto dei diritti dei lavoratori, Padova, Cedam, 1972 e A. CATAUDELLA, Commento all’art. 4, in Commentario dello Statuto dei lavoratori, diretto da U. PROSPERETTI, Milano, Giuffrè, 1975. 28 Infine, va aggiunto che non rientrano nel novero dei “controlli vietati”, così come intesi e delineati dall’art. 4 della legge n. 300 del 1970, quelli effettuati mediante apparecchiature idonee a registrare solamente alcuni dati, di tipo “generale”, con esclusione del contenuto effettivo dell’attività e della prestazione lavorativa. Ciò che può avvenire, ad esempio, in caso di apparecchi idonei a registrare solamente il numero o la durata delle telefonate e delle comunicazioni effettuate tramite le apparecchiature aziendali. In questo caso, infatti, i dati che possono essere tratti da questo tipo di apparecchiature, proprio per la loro genericità, non sono, comunque, in grado di configurare un effettivo (e vietato) controllo sull’attività lavorativa svolta dai dipendenti dell’azienda58. 57 A. VALLEBONA, Istituzioni di diritto del lavoro. Il rapporto di lavoro, cit., p. 249. Vedi anche, sull’argomento, P. BERNARDO, Vigilanza e controllo sull’attività lavorativa, in C. CESTER (a cura di), Il rapporto di lavoro subordinato: costituzione e svolgimento, in Diritto del lavoro. Commentario, diretto da F. CARINCI, Torino, Utet, 2007. 58 Non rientrano in questa ipotesi, come è evidente, i controlli, analoghi a quelli descritti, ma eseguiti nei confronti di lavoratori impiegati proprio in attività di mero “contatto” (come, ad esempio, centralinisti o operatori telefonici). In queste ipotesi, infatti, anche un controllo “generico” si risolverebbe, inevitabilmente, in un controllo sull’attività lavorativa. Come tale vitato dalla norma. 29 6. La legge n. 675 del 1996. Il codice della privacy, integrazione ed ibridazione della disciplina generale con la disciplina settoriale L’introduzione in Italia di una specifica normativa che si prefiggesse la finalità di apprestare una tutela ai dati personali è stata tardiva. Si può anzi affermare che si è resa necessaria a seguito dell’entrata in vigore dell’Accordo di Schengen per la progressiva soppressione dei controlli sulle persone alle frontiere degli Stati firmatari, che, all’art. 117 della Convenzione di applicazione di tale accordo, prevedeva “per quanto riguarda il trattamento automatizzato di dati personali trasmessi in applicazione del presente titolo, ciascuna Parte contraente prenderà, al più tardi al momento dell’entrata in vigore della presente Convenzione, le disposizioni nazionali necessarie per raggiungere un livello di protezione dei dati di natura personale almeno uguale a quello derivante dai principi della Convenzione del Consiglio d’Europa del 28 gennaio 1981 sulla protezione delle persone nei riguardi del trattamento automatizzato dei dati di natura personale”. E’ stato, quindi, per adempiere a questo impegno, la cui mancata realizzazione avrebbe impedito l’applicazione dell’Accordo sulla libera circolazione, che il Parlamento italiano ha approvato nel 1996 la legge n. 675 relativa alla “tutela della persona e di altri soggetti rispetto al trattamento dei dati personali”. Tale legge trasferiva in Italia il contenuto della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Vi è da dire che uno dei principali 30 motivi che ha indotto all’adozione di tale direttiva è stato di carattere economico, attuare cioè una normativa unitaria che contemperasse la libertà di circolazione delle informazioni, anche quelle collegate alle libertà economiche contenute dei Trattati della Comunità, con i diritti fondamentali della persona, al fine di porre le migliori condizioni per la realizzazione di un mercato interno comune. E’, quindi, motivo di riflessione osservare che da una disciplina che, nelle intenzioni di coloro che l’avevano concepita, doveva essere di ancora maggiore stimolo allo sviluppo economico, derivino, soprattutto nell’applicazione che ne viene fatta, rigidità che, quanto meno, non agevolano l’economia italiana a sviluppare un suo spazio nel mercato comune. Non ci si sofferma oltre sul contenuto della legge del 1996 in quanto quasi tutte le disposizioni legislative che presentano interesse ai fini delle presenti valutazioni sono state riprodotte nel successivo testo legislativo che viene a disciplinare la materia e, quindi, è su di esse ci si soffermerà. Il primo gennaio 2004, infatti, è entrato in vigore il decreto legislativo n. 196 del 200359 (codice in materia di protezione dei dati personali60), emanato con l’intenzione di ricomporre, in maniera unitaria ed organica, le numerose disposizione relative al tema della privacy e che riunisce, in un unico testo, sia la legge n. 675 del 1996 59 Cfr. art. 186, legge n. 196 del 2003. Nella relazione diffusa, in data 30 dicembre 2003, dall’Autorità Garante per la protezione dei dati personali viene riferito che “il Testo Unico è ispirato all’introduzione di nuove garanzie per i cittadini, alla razionalizzazione delle norme esistenti e alla semplificazione degli adempimenti e sostituirà la legge «madre» sulla protezione dei dati, la legge n. 675 del 1996”. 60 31 (abrogata dalla norma del 200361), che gli altri decreti, regolamenti e codici succedutisi negli anni62. Il testo si apre con una chiara affermazione di principio, che riproduce l’art. II-8, comma primo, della Carta dei diritti fondamentali dell’Unione Europea, secondo cui “chiunque ha diritto alla protezione dei dati personali che lo riguardano”. Concetto ulteriormente rafforzato dal successivo articolo 2, che afferma, al primo comma, come il codice sulla privacy persegue l’obiettivo di garantire “che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali”. Tuttavia, il testo normativo, imperniato sulla regola della corretta e preventiva informativa63, sulla necessità del consenso dell’interessato, o dell’autorizzazione del Garante per la protezione dei dati personali, e corredato da rigorose disposizioni relative alla elaborazione, custodia e diffusione dei dati acquisiti, non contiene una 61 Cfr. art 183, legge n. 196 del 2003. Per una analisi organica della disciplina del 2003, vedi AA. VV., La nuova disciplina della privacy, commentario diretto da S. SICA E P. STANZIONE, Bologna, Zanichelli, 2004; P. BORGHI, G. MIELI, Giuda alla privacy nel rapporto di lavoro, Roma, Bancaria editrice, 2005; . BARRACO, A. SITZIA, La tutela della privacy nei rapporti di lavoro, in Monografie di diritto del lavoro, dirette da M. MISCIONE, Roma, Ipsoa, 2008; F. CARDARELLI, S. SICA, V. ZENO-ZENCOVICH, Il codice dei dati personali - temi e problemi, Milano, Giuffrè, 2004; AA. VV., Il Codice in materia di protezione dei dati personali, a cura di J. MONDUCCI e G. SARTOR, Padova, Cedam, 2004; G. ELLI, R. ZALLONE, Il nuovo codice della privacy. Commento del d. lgs. 30 giugno 2003, n. 196, Torino, Giappichelli, 2004. 63 Vedi C. TACCONE, Controlli a distanza e nuove tecnologie informatiche, in Arg. dir. lav., 2004, pp. 299 ss. 62 32 specifica e dettagliata regolamentazione dei trattamenti concernenti i rapporti di lavoro64. Ed infatti, le norme riguardanti espressamente lo svolgimento del rapporto di lavoro, contenute nel titolo ottavo del testo di legge (“lavoro e previdenza sociale”), hanno ad oggetto, oltre ad i codici di deontologia e di buona condotta, promossi dal Garante per la gestione dei rapporti di lavoro e previdenziali (art. 111), la individuazione dei trattamenti ritenuti di “rilevante interesse pubblico” (art. 112)65, la 64 Sul carattere composito della disciplina posta a tutela della riservatezza dei lavoratori e sulla interazione tra la disciplina di “settore” contenuta nella legge n. 300 del 1970 e la disciplina “generale” in tema di privacy, vedi A. BELLAVISTA, La disciplina della protezione dei dati personali e i rapporti di lavoro, in Diritto del lavoro, Commentario diretto da F. CARINCI, tomo II, Il rapporto di lavoro subordinato: costituzione e svolgimento, a cura di C. CESTER, Torino, 2007 e M. AIMO, Privacy, libertà di espressione e rapporto di lavoro, cit. 65 Tale norma afferma che “si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità di instaurazione e gestione da parte di soggetti pubblici di rapporti di lavoro di qualunque tipo, dipendente o autonomo, anche non retribuito o onorario o a tempo parziale o temporaneo, e di altre forme di impiego che non comportano la costituzione di un rapporto di lavoro subordinato. Tra i trattamenti effettuati per le finalità di cui al comma 1, si intendono ricompresi, in particolare, quelli effettuati al fine di: a) applicare la normativa in materia di collocamento obbligatorio e assumere personale anche appartenente a categorie protette; b) garantire le pari opportunità; c) accertare il possesso di particolari requisiti previsti per l' accesso a specifici impieghi, anche in materia di tutela delle minoranze linguistiche, ovvero la sussistenza dei presupposti per la sospensione o la cessazione dall' impiego o dal servizio, il trasferimento di sede per incompatibilità e il conferimento di speciali abilitazioni; d) adempiere ad obblighi connessi alla definizione dello stato giuridico ed economico, ivi compreso il riconoscimento della causa di servizio o dell' equo indennizzo, nonché ad obblighi retributivi, fiscali o contabili, relativamente al personale in servizio o in quiescenza, ivi compresa la corresponsione di premi e benefici assistenziali; e) adempiere a specifici obblighi o svolgere compiti previsti dalla normativa in materia di igiene e sicurezza del lavoro o di sicurezza o salute della popolazione, nonché in materia sindacale; f) applicare, anche da parte di enti previdenziali ed assistenziali, la normativa in materia di previdenza ed assistenza ivi compresa quella integrativa, anche in 33 tutela del rapporto di lavoro domestico e del telelavoro (art. 115)66 e, soprattutto, contengono un espresso rinvio alle norme contenute negli articoli 4 e 8 dello statuto dei lavoratori (gli articoli 113 e 114, intitolati “raccolta di dati e pertinenza” e “controllo a distanza”, si limitano a stabilire che “resta fermo quanto disposto”, rispettivamente, “dall’articolo 8 della legge 20 maggio 1970, n. 300” e “dall’art. 4 della legge 20 maggio 1970, n. 300”)67. applicazione del decreto legislativo del Capo provvisorio dello Stato 29 luglio 1947, n. 804, riguardo alla comunicazione di dati, anche mediante reti di comunicazione elettronica, agli istituti di patronato e di assistenza sociale, alle associazioni di categoria e agli ordini professionali che abbiano ottenuto il consenso dell' interessato ai sensi dell' articolo 23 in relazione a tipi di dati individuati specificamente; g) svolgere attività dirette all' accertamento della responsabilità civile, disciplinare e contabile ed esaminare i ricorsi amministrativi in conformità alle norme che regolano le rispettive materie; h) comparire in giudizio a mezzo di propri rappresentanti o partecipare alle procedure di arbitrato o di conciliazione nei casi previsti dalla legge o dai contratti collettivi di lavoro; i) salvaguardare la vita o l' incolumità fisica dell' interessato o di terzi; l) gestire l' anagrafe dei pubblici dipendenti e applicare la normativa in materia di assunzione di incarichi da parte di dipendenti pubblici, collaboratori e consulenti; m) applicare la normativa in materia di incompatibilità e rapporti di lavoro a tempo parziale; n) svolgere l' attività di indagine e ispezione presso soggetti pubblici; o) valutare la qualità dei servizi resi e dei risultati conseguiti. 3. La diffusione dei dati di cui alle lettere m), n) ed o) del comma 2 è consentita in forma anonima e, comunque, tale da non consentire l' individuazione dell' interessato”. 66 A norma dell’art. 115 del d. lgs. n. 196 del 2003 il datore di lavoro, nell’ambito del rapporto di lavoro domestico e del telelavoro, “è tenuto a garantire al lavoratore il rispetto della sua personalità e della sua libertà morale”. 67 L’ultima disposizione contenuta nel titolo VIII, l’art. 116, ha ad oggetto gli istituti di patronato e di assistenza sociale, ai quali riconosce, per lo svolgimento delle loro attività e nell’ambito del mandato conferitogli, l’accesso alle banche dati degli enti eroganti le prestazioni “in relazione a tipi di dati individuati specificamente con il consenso manifestato ai sensi dell’articolo 23”. 34 In questo modo, se da un lato viene espressamente mantenuto in vigore il sistema previgente68, contenuto nelle norme dello Statuto dei lavoratori, dall’altro si aggiungono, anche per ciò che concerne la regolamentazione del rapporto di lavoro, tutte le disposizioni e tutti gli adempimenti imposti dalla nuova disciplina generale. Disposizioni ed adempimenti che finiscono per estendere, in maniera esponenziale, sia l’oggetto della tutela apprestata, che lo stesso ambito delle condotte ritenute rilevanti. E che, così facendo, rendono la disciplina inerente la salvaguardia della privacy nell’ambito del rapporto di lavoro eccessivamente composita e, per certi versi, quasi “barocca”69. A dimostrazione di ciò è sufficiente analizzare i principi cardine introdotti (o ribaditi) dal decreto legislativo n. 196 del 2003 e “tradurli” all’interno delle dinamiche aziendali. E così, l’art. 3 del codice della privacy, affermando il principio della “necessità” nel trattamento dei dati70, sembrerebbe legittimare solamente quelle attività, coinvolgenti l’utilizzazione di dati personali dei lavoratori, che non solo siano eseguite a fronte di un interesse 68 Il terzo comma dell’art. 184 del d.lgs. n. 196 del 2003, peraltro, stabilisce espressamente che “restano ferme le disposizioni di legge e di regolamento che stabiliscono divieti o limiti più restrittivi in materia di trattamento di taluni dati personali”. 69 Come è stato autorevolmente rilevato, numerose disposizioni contenute nel d.lgs. n. 196 del 2003 paiono imporre al datore di lavoro “obblighi ispirati ad un vuoto formalismo, posto che, in molte ipotesi, l’effettivo consenso del lavoratore al trattamento di quei dati è già implicito in altri atti da questi posti in essere”, cfr. M. PERSIANI, G. PROIA, Contratto e rapporto di lavoro, cit., p. 106. 70 L’art. 3 del d.lgs. n. 196 del 2003 dispone che “i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l' utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l' interessato solo in caso di necessità” 35 meritevole di apprezzamento (e che siano rispettose dei criteri impartiti dalle norme statutarie), ma che rivestano, allo stesso tempo, anche il carattere della indispensabilità. L’art. 11, sancendo l’obbligo di “pertinenza”, di “non eccedenza” e, soprattutto, di “correttezza” nel trattamento dei dati, imporrebbe al datore di lavoro non solo di operare il trattamento dei dati in maniera lecita e nei limiti delle effettive necessità aziendali, ma anche di rendere note ai lavoratori le caratteristiche del trattamento stesso. Limiti, questi, tanto più stringenti ove si consideri che le eventuali violazioni di tali disposizioni sono sanzionate dal decreto legislativo n. 196 del 2003 con la inutilizzabilità dei dati acquisiti71. Gli articoli 13 e 23 del codice, poi, prescrivendo una necessaria e preventiva “informativa”72, nonché il “consenso” dell’interessato, per poter legittimamente effettuare il trattamento dei dati personali, sembrerebbero idonei a vanificare la gran parte delle “attività” poste in essere dal datore di lavoro. Attività che (si pensi alle lecite attività di controllo esercitate dal datore di lavoro), se rispettose dei precetti imposti dal codice, oltre che, ovviamente, dei “divieti” imposti dallo 71 Cfr. art. 11, secondo comma, d.lgs. n. 196 del 2003. I commi 5 e 5 bis dell’art. 13 prevedono che la informativa non è dovuta solamente quando: “i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria”, “i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento”, “l' informativa all' interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile” e “in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro”. 72 36 Statuto dei lavoratori, difficilmente potrebbero raggiungere gli scopi per i quali sono, normalmente, preordinate. In sostanza, da tale disciplina composita, frutto della “somma” della specifica normativa lavoristica contenuta nella legge n. 300 del 1970 con quella di carattere generale contenuta nel codice della privacy, discende un sistema incentrato su un vero e proprio “protagonismo dell’interessato”73, ove le finalità di tutela perseguite, ponendosi dichiaratamente dalla parte del soggetto titolare del diritto alla riservatezza, non sembrano realizzare a pieno il necessario contemperamento dei contrapposti interessi. Contemperamento che, al contrario, costituiva l’obiettivo primario delle norme contenute nello Statuto dei lavoratori. Anche per tale ragione, la tutela “multilivello”74 così elaborata, essendo fondata su norme caratterizzate da impostazioni differenti e, per certi versi, antitetiche75, determina la possibile insorgenza di conflitti e di problemi applicativi derivanti proprio dall’interazione tra le due discipline. Ed infatti, nel contesto normativo poc’anzi accennato, non costituisce una ipotesi remota la possibilità che un “controllo” legittimo in base alla disciplina statutaria possa dar luogo ad una raccolta di dati personali attuata mediante modalità non conformi alle 73 S. RODOTÀ, Conclusioni, in V. CUFFARO, V. RICCIUTO, V. ZENO-ZENCOVICH (a cura di), Trattamento dei dati e tutela della persona, Milano, Giuffrè, 1998, p. 295. 74 R. DE LUCA TAMAJO, Introduzione, in P. TULLINI (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, in Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F. GALGANO, Padova, Cedam, 2010, p. 1. 75 Cfr. L. PERINA, L’evoluzione della giurisprudenza e dei provvedimenti del garante in materia di protezione dei dati personali dei lavoratori subordinati, cit., pp. 305 ss. 37 disposizioni enunciate dal codice della privacy. Così come, allo stesso modo, ben potrebbe verificarsi l’ipotesi opposta, ove l’acquisizione dei dati, lecita secondo le regole dettate dal decreto legislativo n. 196 del 2003, incorra, però, in un divieto stabilito dalla disciplina settoriale. In tale quadro, ove anche il versante del “contenzioso” è imperniato su una tutela “multilivello” (accanto alla tradizionale tutela giudiziaria si affianca quella prestata dalla Autorità garante per la protezione dei dati personali), è principalmente alle scelte effettuate dagli interpreti del dato normativo che bisogna volgere lo sguardo per comprendere se, nella prassi applicativa, è stata effettivamente raggiunta una equilibrata sintesi. 38 CAPITOLO II L’applicazione della privacy al rapporto di lavoro nei provvedimenti del Garante 1. Le linee guida dettate dall’Autorità garante per la protezione dei dati personali Al fine di comprendere in che modo il complesso quadro normativo di riferimento sopra delineato abbia trovato applicazione pratica, è dall’analisi delle scelte operate dall’Autorità garante76 che bisogna, in primo luogo, prendere le mosse. In tale contesto, una indubbia rilevanza interpretativa è rivestita, anzitutto, dagli interventi con i quali l’Autorità ha dettato le “linee guida” in materia di trattamento di dati personali per finalità di gestione del rapporto di lavoro. Tra questi, rilevanza particolare assumono la deliberazione resa in data 23 novembre 2006, volta a fornire le “linee guida” nell’ambito della gestione dei rapporti di lavoro alle dipendenze di datori di lavoro privati, e quella del 1° marzo 2007, volta, invece, a dettare le “linee guida” in tema di “posta elettronica e internet”. 76 L’autorità garante per la protezione dei dati personali è una autorità amministrativa indipendente istituita dalla legge n. 675 del 1996 e, ora, disciplinata dalle norme contenute nel d.lgs. n. 196 del 2003. 39 E così, con il primo intervento77, il Garante ha tentato di delineare un quadro delle misure e degli accorgimenti “necessari e opportuni in grado di fornire ulteriori orientamenti utili per i datori di lavoro e i lavoratori in ordine alle operazioni di trattamento di dati personali connesse alla gestione del rapporto di lavoro, individuando, a tal fine, i comportamenti più appropriati da adottare”78. Il testo, che assume il carattere di mera raccomandazione79 e che, come espressamente affermato nel provvedimento stesso, non pregiudica l’applicazione delle disposizioni di leggi o di regolamento che prevedono divieti o limiti più restrittivi in relazione a taluni specifici settori o a specifici casi di trattamento di dati80, ribadisce la possibilità di trattare le informazioni di carattere personale del lavoratore solamente nella misura in cui queste siano strettamente necessarie per poter dare corretta esecuzione al rapporto di lavoro, o nel caso in cui risultino “indispensabili” per poter attuare previsioni legislative, regolamentari o contrattuali. 77 Per una analisi dettagliata della deliberazione, vedi M. DI PACE, Trattamento dati dei lavoratori: linee guida del Garante, in Dir. prat. lav., 2007, pp. 1207 ss. e M. PAISSAN, E-mail e navigazione in internet: le linee del Garante, in P. TULLINI (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, in Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F. GALGANO, Padova, Cedam, 2010, pp. 11 ss. 78 Cfr. deliberazione n.53 del 23 novembre 2006. 79 Cfr. R. NUNIN, Utilizzo di dati biometrici da parte del datore di lavoro: la prescrizione del garante per la privacy, in Lav. nella giur., 2007, p. 147 ss. 80 Cfr. punto 1.1. della deliberazione, ove vi è un espresso riferimento gli artt. 113 e 114 del d.lgs. n. 196 del 2003, che contengono il richiamo agli artt. 8 e 4 dello Statuto dei lavoratori. 40 Tali informazioni devono essere, in ogni caso, “pertinenti”, “non eccedenti” e acquisite nel rispetto di tutte le vigenti disposizioni normative81. Allo stesso modo, poi, il Garante precisa che il trattamento dei dati personali, anche di natura “sensibile”, riferibili a singoli lavoratori, può essere ritenuto lecito solamente nella misura in cui sia finalizzato ad assolvere obblighi derivanti dal contratto individuale di lavoro, dalla contrattazione collettiva o, ovviamente, dalla legge. Tuttavia, anche in queste ipotesi, viene prescritto il rispetto del principio di “compatibilità”, in base al quale lo scopo effettivamente perseguito dal datore di lavoro non deve risultare incompatibile con le finalità per le quali gli stessi dati sono stati raccolti82. Infine, il Garante sottolinea che il datore di lavoro è tenuto, prima di procedere al trattamento dei dati personali, a rendere al lavoratore una informativa individualizzata e completa anche nelle ipotesi in cui la legge non richiede il preventivo consenso83. Con l’intervento del 200784, volto, come detto, a fornire gli orientamenti in materia di “posta elettronica e internet”, il Garante ha, poi, fornito indicazioni più specifiche su un tema di strettissima attualità, fonte di numerosi contrasti. La prima indicazione fornita sull’argomento, consiste nel giudicare vietato il trattamento di dati personali effettuato tramite 81 Cfr. punto 2.1 della deliberazione. L. C. NATALI, P. J. NATALI, Tutela della privacy nei rapporti di lavoro, in Dir prat. lav., 2009, pp. 2657 ss. 83 Cfr. punto 7 della deliberazione. 84 Deliberazione n. 13 del 1° marzo 2007. 82 41 l’utilizzo di sistemi informatici idonei a realizzare, in maniera occulta, un controllo a distanza sull’attività dei lavoratori. Spetta al datore di lavoro, sia privato, che pubblico, chiarire non solo le modalità di utilizzazione degli strumenti informatici messi a disposizione dei lavoratori, ma anche se, in che misura, e con quali modalità verranno effettuati gli eventuali controlli. I lavoratori, infatti, secondo il giudizio espresso dal Garante, avrebbero il diritto di essere preventivamente informati sia in merito alla possibilità della effettuazione dei controlli sulla loro attività, che sulle finalità dei controlli stessi85. Inoltre, il Garante, precisando che il datore di lavoro può utilizzare sistemi informatici che consentono un controllo “indiretto” ed “a distanza” sull’attività lavorativa solo nel rispetto delle norme contemplate nello Statuto dei lavoratori86, “suggerisce”87 la pubblicazione di circolari informative volte a regolamentare l’uso dei 85 M. DI PACE, Controllo della posta elettronica e navigazione internet dei dipendenti, in Dir. prat. lav., 2007, pp. 1837 ss. 86 Il punto 5.1 della deliberazione n. 13 del 2007 recita: “il datore di lavoro, utilizzando sistemi informativi per esigenze produttive o organizzative (ad es., per rilevare anomalie o per manutenzioni) o, comunque, quando gli stessi si rivelano necessari per la sicurezza sul lavoro, può avvalersi legittimamente, nel rispetto dello Statuto dei lavoratori (art. 4, comma 2), di sistemi che consentono indirettamente un controllo a distanza (c.d. controllo preterintenzionale) e determinano un trattamento di dati personali riferiti o riferibili ai lavoratori. Ciò, anche in presenza di attività di controllo discontinue. Il trattamento di dati che ne consegue può risultare lecito. Resta ferma la necessità di rispettare le procedure di informazione e di consultazione di lavoratori e sindacati in relazione all’introduzione o alla modifica di sistemi automatizzati per la raccolta e l’utilizzazione dei dati , nonché in caso di introduzione o di modificazione di procedimenti tecnici destinati a controllare i movimenti o la produttività dei lavoratori”. 87 M. DI PACE, Controllo della posta elettronica e navigazione internet dei dipendenti, cit. p. 1837. 42 sistemi informatici aziendali, oltre che l’adozione di misure idonee a prevenire “usi impropri” di tali strumentazioni88. Infine, nella parte conclusiva del provvedimento, l’Autorità garante giunge a “vietare”, equiparandoli ad attività di controllo a distanza, sia il trattamento di dati personali effettuato tramite “la lettura e la registrazione sistematica dei messaggi di posta elettronica”, che “la riproduzione e l’eventuale memorizzazione sistematica” delle pagine web visualizzate dal lavoratore89. 88 Come la preventiva individuazione di “categorie di siti” considerati correlati o meno con la prestazione lavorativa, l’utilizzazione di “filtri” idonei a prevenire operazioni inconferenti con l’attività lavorativa, o, addirittura, in tema di posta elettronica, la possibile attribuzione di indirizzi e-mail destinati ad un uso privato dei lavoratori. 89 Gli altri “divieti” riguardano la lettura e la registrazione dei caratteri inseriti tramite la tastiera o tramite dispositivi analoghi e l’analisi “occulta” dei computer portatili affidati in uso, cfr. deliberazione n. 13 del 2007. 43 2. Segue: l’ampliamento delle tutele Se l’indagine condotta aveva lo scopo di comprendere quale fosse l’equilibrio raggiunto in sede di applicazione della composita normativa in materia di privacy nell’ambito del rapporto di lavoro, queste prime indicazioni “pratiche” fornite dall’Autorità garante sembrano già mostrare dei primi, rilevanti, segnali. Le “linee guida” sommariamente esaminate, infatti, evidenziano un deciso “salto di qualità”90 negli equilibri esistenti. Ed invero, soprattutto nel provvedimento del 2007, si assiste, da un lato, ad una notevole procedimentalizzazione della materia. Procedimentalizzazione volta, più che a contenere la sfera d’azione del datore di lavoro, a prevenire i possibili comportamenti “scorretti” dei lavoratori, informative” “suggerendo” addirittura che nelle “circolari aziendali siano espressamente vietati comportamenti palesemente contrari ai più elementari doveri. Dall’altro lato, tramite l’“interpretazione” della disciplina esistente e, segnatamente, delle norme statutarie, si giunge a tracciare dei nuovi limiti e degli ulteriori divieti, talvolta anche travalicando l’intento originariamente perseguito dal legislatore. Come visto, infatti, la norma contenuta nell’articolo 4 dello statuto dei lavoratori proibisce di effettuare i controlli a distanza solo nella misura in cui questi siano esclusivamente volti a verificare l’attività lavorativa e non quando siano solamente funzionali a delle oggettive esigenze organizzative e produttive. In tali casi, tramite 90 Cfr. M. DEL CONTE, Internet, posta elettronica e oltre: il Garante della privacy rimodula i poteri del datore di lavoro, in Dir. inf., 2007, p. 497. 44 l’intervento sindacale, previsto proprio per contemperare e bilanciare gli opposti interessi, anche “gli impianti” e le “apparecchiature di controllo” possono essere legittimamente installati. Pertanto, far derivare dal dettato dell’articolo 4 della legge n. 300 del 1970 un divieto assoluto di utilizzo dei mezzi informatici per qualsiasi finalità di controllo, come fatto dal Garante laddove ha vietato sia la lettura e la registrazione sistematica delle e-mail, che il monitoraggio sistematico delle pagine web visualizzate dal lavoratore, appare una attività, più che di coordinamento, di autentico superamento delle regole giuslavoristiche91. 91 Cfr. M. DEL CONTE, Internet, posta elettronica e oltre: il Garante della privacy rimodula i poteri del datore di lavoro, cit., pp. 497 ss. L’Autore rileva come il suddetto divieto sancito dall’Autorità garante neanche possa considerarsi come “un mero strumento procedurale prevenzionistico” sul trattamento dei dati raccolti, posto che preclude tout court la possibilità di effettuare qualsiasi controllo. “Non si preoccupa, dunque, di prevenire il trattamento indebito del dato relativo al lavoratore, ma ne rende impossibile la stessa formazione”. In senso contrario, P. TULLINI, Comunicazione elettronica, potere di controllo e tutela del lavoratore, in Riv. it. dir. lav., 2009, pp. 323 ss., secondo cui il provvedimento adottato dal Garante non avrebbe contestato, né contrastato, la rilevanza delle esigenze organizzative e produttive aziendali. L’Autore, tuttavia, riconosce che l’intervento dell’Autorità garante finisce per stabilire “un diverso equilibrio – meglio, una nuova proporzione – tra le ragioni aziendali e la tutela della sfera privata del lavoratore, una volta identificato il rischio di violazione dei suoi diritti fondamentali nelle attività di analisi, profilazione e ricostruzione consentita dai sistemi informatici”. 45 3. Il controllo “indiretto” sull’attività lavorativa Coerentemente con l’orientamento espresso nelle “linee guida”, gli interventi di carattere “specifico” adottati dall’Autorità garante, pur confermando la legittimità dei “controlli preterintenzionali” effettuati dal datore di lavoro92, sembrano mostrare un notevole ampliamento della relativa categoria legale. Ampliamento volto a ricomprendere nella disciplina dettata dal secondo comma dell’articolo 4 della legge n. 300 del 1970 (e ad assoggettare alla stessa) anche fattispecie che, in realtà, sembrerebbero estranee alle originarie previsioni statutarie. In ordine a tale tipologia di controlli, va detto, anzitutto, che il Garante ha costantemente valutato, ai fini della loro legittimità, il rispetto delle principali prescrizioni discendenti dai principi generali regolatori della materia, prescrivendo la necessaria sussistenza, oltre che dei principi di correttezza e trasparenza93, anche dei canoni di necessità, pertinenza e non eccedenza rispetto alle finalità perseguite94. 92 Ovvero, quei controlli effettuati per esigenze organizzative, produttive o di sicurezza del lavoro e dai quali può derivare la possibilità di un controllo a distanza sull’attività lavorativa. 93 Sul tema, vedi M. PAISSAN, E-mail e navigazione in internet: le linee del Garante, in P. TULLINI (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, in Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F. GALGANO, cit. p. 17, che osserva come da tali principi discenda, oltre che il divieto di controlli occulti, anche la necessaria e preventiva informazione in ordine sia alle modalità di utilizzo ritenute corrette degli strumenti messi a disposizione, che sulle caratteristiche degli stessi sistemi di controllo e sulle conseguenze delle eventuali infrazioni. 94 Ancora M. PAISSAN nota come ciò significhi “calibrare” il monitoraggio delle informazioni in base alle effettive necessità e, quindi, “graduare i controlli in base al rischio di utilizzo non corretto degli strumenti messi a disposizione”, cfr. M. PAISSAN, E-mail e navigazione in internet: le linee del Garante, in P. TULLINI (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, in 46 Criteri, questi, in linea con la ratio delle norme statutarie e, se correttamente applicati, facilmente coordinabili con la disposizione contenuta nell’articolo 4 della legge n. 300 del 197095. Quello che nelle decisioni rese dall’Autorità garante può dar luogo a qualche perplessità, però, è il modo in cui, anche in tema di controlli “a distanza”, è stato concretamente effettuato il bilanciamento dei contrapposti interessi e l’“integrazione” delle due discipline. La tecnica, o, meglio, le scelte operate dal Garante si possono comprendere, anzitutto, nel modo in cui si è proceduto ad “estendere” la nozione di “controllo a distanza”, contemplata dall’articolo 4 dello Statuto dei lavoratori, all’attività di “vigilanza” esercitabile con i moderni sistemi informatici. E’ fuor di dubbio che, in taluni casi, i programmi volti a monitorare la navigazione web o le apparecchiature finalizzate a registrate le comunicazioni avvenute tramite posta elettronica possano essere equiparate a dei veri e propri sistemi di controllo a distanza. Sul tema, infatti, è oramai concorde il parere non solo della dottrina maggioritaria, ma anche della giurisprudenza96. Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F. GALGANO, cit. p. 18. 95 A tal proposito, si consideri che la giurisprudenza, in riferimento al dettato dell’art. 4 della legge n. 300 del 1970, ha costantemente riconosciuto la legittimità dei soli controlli effettuati in maniera “trasparente”, senza ricorrere a pratiche “scorrette” o eccessivamente “invasive”, cfr. L. PERINA, L’evoluzione della giurisprudenza e dei provvedimenti del garante in materia di protezione dei dati personali dei lavoratori subordinati, cit., p. 325. 96 Cfr. P. TULLINI, Tecnologie informatiche in azienda: dalle linee-guida del Garante alle applicazioni concrete, in P. TULLINI (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, in Trattato di diritto 47 Ciò che non convince completamente è ritenere, come sembra fare l’Autorità garante, tutti i sistemi informatici affidati al lavoratore per svolgere la prestazione lavorativa (o, meglio, l’uso di tali strumenti da parte del datore di lavoro) come dei potenziali mezzi di controllo vietati97. O, comunque, assoggettare l’attività di controllo esercitata tramite tali strumenti alle stringenti e complesse “procedure” previste dal decreto legislativo n. 196 del 2003. Ed infatti, come autorevolmente rilevato98, ragionando in questi termini non si considerano tutte le fattispecie in cui tali strumenti (si pensi ad un computer abilitato alla navigazione in internet, o ad un sistema di posta elettronica) sono concessi in uso al lavoratore con l’unico scopo di adempiere alla prestazione di lavoro, con un chiaro ed espresso divieto di poterne effettuare qualsiasi utilizzo personale. In tali ipotesi, la strumentazione fornita dovrebbe considerarsi come un mero strumento di lavoro, di proprietà, e nella disponibilità, del datore di lavoro, con la conseguente legittimità di qualsiasi operazione da questi effettuata sulle apparecchiature stesse, anche prescindendo dal rispetto delle tutele introdotte dal codice della privacy. Posto che si sta utilizzando un mezzo aziendale ed un sistema aziendale, infatti, non potrebbe neanche esserci una ragionevole aspettativa di riservatezza, potendo il datore di lavoro verificare, in commerciale e di diritto pubblico dell’economia, diretto da F. GALGANO, cit. p. 131. 97 Convinzione, peraltro, già enunciata dal Garante nelle linee del marzo 2007, ove, tra le apparecchiature destinate a “finalità di controllo a distanza dell’attività dei lavoratori” venivano “certamente comprese le strumentazioni hardware e software mirate al controllo dell’utente di un sistema di comunicazione elettronica”, cfr. punto 4 della delibera. 98 M. DEL CONTE, Internet, posta elettronica e oltre: il Garante della privacy rimodula i poteri del datore di lavoro, cit., p. 507. 48 qualsiasi maniera ed in qualsiasi momento, i contenuti di tutto ciò che è prodotto con uno strumento di sua proprietà destinato, in via esclusiva, alla funzione lavorativa99. La critica alla scelta operata dall’Autorità garante, poi, risulta ancor più evidente ove l’attenzione si sposti dal “mezzo” al “comportamento”. Ovvero, più che alla sola “proprietà” degli strumenti, ai possibili usi illeciti, o, comunque, estranei al rapporto lavorativo, che il lavoratore realizza con gli “strumenti” messi a disposizione dal datore di lavoro. E’ evidente che, in tali ipotesi, risulta difficile qualificare un controllo, teso a verificare solamente l’eventuale svolgimento di operazioni non pertinenti con l’attività lavorativa (si pensi alla verifica in merito ai soli siti internet extra lavorativi visitati) come un controllo illegittimo. E ciò proprio perche, nell’esempio in questione, il controllo avrebbe solamente la finalità di rilevare eventuali comportamenti del lavoratore estranei sia agli obblighi contrattuali, che alla stessa prestazione lavorativa. E, non essendoci “attività lavorativa”, non dovrebbe esserci, almeno in base al dettato dell’articolo 4 dello Statuto dei lavoratori, neanche un controllo vietato. 99 Per una critica di tale tesi, vedi N. LUGARESI, Uso di internet sul luogo di lavoro, controlli del datore di lavoro e riservatezza del lavoratore, in P. TULLINI (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, in Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F. GALGANO, cit. pp. 99 ss. Secondo l’Autore, se pur è vero che il lavoratore non può avere un’aspettativa ragionevole di riservatezza sul luogo di lavoro, è anche vero che “non si può cadere nell’errore interpretativo contrario, in cui la proprietà annulla ogni aspettativa”. 49 Pertanto, non accogliere tali obiezioni, ma scegliere un indirizzo interpretativo opposto, può portare non solo ad una eccessiva compressione delle legittime esigenze aziendali, ma anche al riconoscimento di una “assolutezza” del diritto alla privacy. E ciò anche a scapito di una concreta responsabilizzazione del lavoratore che, in maniera illecita, utilizza le apparecchiature messe a sua disposizione100. Risultato, questo, che, a bene vedere, sembra emergere dall’analisi di alcuni recenti provvedimenti adottati dall’Autorità garante che escludono la rilevanza sia della tesi basata sulla “proprietà” dei mezzi, che di quella fondata sulla generale legittimità dei controlli volti a monitorare le attività “extra lavorative” svolte dai dipendenti. A dimostrazione di ciò, è utile analizzare alcune pronunce adottate dall’Autorità garante. E così, per ciò che concerne il primo aspetto evidenziato, si consideri, ad esempio, che il Garante, in un caso posto al suo giudizio, in cui un lavoratore aveva utilizzato, per fini personali, i sistemi di posta elettronica aziendali101, con ciò violando uno specifico divieto impartito dal datore di lavoro, ha ritenuto “illeciti” i controlli posti in essere per verificare il rispetto delle direttive impartite poiché questi erano stati effettuati in assenza di una preventiva informazione. 100 A. STANCHI, Privacy: le linee guida del Garante per internet e posta elettronica, in Guida lav., 2007, n. 12, pp. 38 ss. 101 Cfr. Provvedimento del Garante per la protezione dei dati personali del 2 aprile 2008. 50 Condizione ritenuta indispensabile ai fini della legittimità dei controlli stessi102. In una altra decisione103, relativa ad un caso in cui il datore di lavoro aveva fornito ai propri dipendenti un computer portatile per poter svolgere attività di formazione in modalità on-line, l’Autorità garante, ritenendo che lo strumento utilizzato era idoneo a “determinare un controllo a distanza dell’attività lavorativa dei dipendenti attraverso un sistema di registrazione degli accessi al corso di formazione e della relativa durata”104 e posto che non era stato attivato il procedimento previsto dal secondo comma dell’articolo 4 della legge n. 300 del 1970, ha sanzionato il 102 Si legge nel provvedimento dell’Autorità garante che “l’avvenuto scambio di corrispondenza elettronica tra il reclamante e soggetti esterni (siano o meno essi estranei all’attività lavorativa) configura una operazione idonea a rendere conoscibili talune informazioni personali relative all’interessato” e ancora “questa Autorità si è espressa più volte sulla necessità di informare «chiaramente» gli interessati in ordine alla possibilità (nonché alle finalità e modalità) di controlli preordinati alla verifica del corretto utilizzo degli strumenti aziendali … sì che, anche nel caso di specie, l’omessa informativa da parte della Società non può che riverberare i propri effetti in termini di liceità del trattamento”. Sul tema, vedi E. GRAGNOLI, L’uso della posta elettronica sui luoghi di lavoro e la strategia di protezione elaborata dall’Autorità garante, in P. TULLINI (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, in Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F. GALGANO, cit. pp. 53 ss.. 103 Cfr. Provvedimento del Garante per la protezione dei dati personali del 2 aprile 2008. Per un commento, vedi P. TULLINI, Tecnologie informatiche in azienda: dalle linee-guida del Garante alle applicazioni concrete, in P. TULLINI (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, in Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F. GALGANO, cit. p. 132. 104 Il programma volto a fornire la formazione a distanza consentiva di visualizzare un report sulla “situazione di fruizione (ultimo accesso, durata totale della fruizione, percentuali del corso completata)”. 51 comportamento del datore di lavoro vietando, anche in questo caso, l’ulteriore trattamento dei dati personali dei lavoratori105. Per quanto concerne, poi, il secondo aspetto sopra evidenziato, ovvero, la possibilità di “controllare” quelle attività che siano, di fatto, estranee al rapporto lavorativo, è interessante rilevare che il Garante ha avuto modo di “sanzionare” il comportamento di una azienda106 che, a seguito di alcuni disservizi verificatisi sulla rete internet, causati da una eccessiva attività di traffico e scaricamento dati effettuata dalla postazione appartenente ad un lavoratore, aveva avviato, su questo dipendente, una attività di monitoraggio “informatico”. A giudizio dell’Autorità garante, l’installazione di un software con la funzione di memorizzare, in maniera sistematica e continuativa, gli accessi alla rete internet da parte di un lavoratore, configurava, in ogni caso, un controllo a distanza sul’attività lavorativa (come tale vietato dal primo comma dell’articolo 4, legge n. 300 del 1970) e posto che la società non aveva neanche provveduto a svolgere gli adempimenti previsti dal secondo comma dell’art 4 della norma statutaria in relazione alle funzionalità che tramite il suddetto software potevano essere perseguite per esigenze organizzative e produttive, sanzionava il 105 Come nota ancora P. TULLINI, Tecnologie informatiche in azienda: dalle lineeguida del Garante alle applicazioni concrete, in P. TULLINI (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, in Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F. GALGANO, cit. p. 132, il Garante, con tale provvedimento, non ha disconosciuto la legittimità delle esigenze formative aziendali, ma ha ritenuto che, nella specie, fosse necessaria una specifica autorizzazione sindacale ai sensi dell’art. 4, secondo comma, della legge n. 300 del 1970. Autorizzazione, questa, non surrogabile neanche dalle previsioni del contratto collettivo, che, nel caso di specie, aveva previsto l’introduzione del processo di formazione a distanza dei lavoratori. 106 Cfr. provvedimento del Garante per la protezione dei dati personali del 2 aprile 2009. Per un commento, S. ROSSETTI, Nuove tecnologie informatiche e controllo dell’attività lavorativa, in Riv. giur. lav., 2010, II, pp. 167 ss. 52 comportamento del datore di lavoro vietando l’ulteriore trattamento dei dati personali riferiti al lavoratore107. La tecnica di tutela adottata dall’Autorità garante, poi, risulta ancor più evidente ove si analizzi un altro, emblematico, caso da questa deciso. Era stata posta al giudizio del Garante108 una fattispecie in cui un lavoratore, addetto all’“accettazione” ed al “banco referti” di una casa di cura, aveva ripetutamente utilizzato la connessione internet aziendale nonostante non avesse alcuna autorizzazione in proposito e, soprattutto, tale utilizzo del computer messo a disposizione dal datore di lavoro non fosse necessario per svolgere la prestazione lavorativa. In ragione dell’utilizzo della rete internet da parte di questo lavoratore, alcuni virus informatici avevano attaccato i sistemi informatici aziendali, causando notevoli danni. Il datore di lavoro, pertanto, una volta verificato l’evento ed accertata la responsabilità del dipendente, provvedeva a licenziare il lavoratore stesso, avendo cura di allegare alla contestazione disciplinare l’elenco completo di tutte le operazioni informatiche poste in essere ed indicando gli indirizzi di tutti i siti internet visitati. Il dipendente colpito dalla sanzione disciplinare contestava la legittimità dell’operazione e, soprattutto, l’utilizzabilità dei dati raccolti in ragione del fatto che questi contenevano informazioni di natura sensibile e non vi era stata né una preventiva informativa, né 107 Il Garante ha ritenuto, inoltre, che il trattamento dei dati personali non era stato svolto lecitamente neanche sotto il profilo della “pertinenza” e “non eccedenza” delle informazioni raccolte, posto che l’attività di monitoraggio era stata “prolungata e costante”, cfr. provvedimento del 2 aprile 2009. 108 Cfr. Provvedimento del Garante per la protezione dei dati personali del 14 febbraio 2006. 53 una procedimentalizzazione dei controlli ai sensi del secondo comma dell’art. 4 della legge n. 300 del 1970. A tali rilievi, l’azienda replicava contestando, anzitutto, la sussistenza di alcun obbligo di informativa, posto che l’utilizzo della rete internet non era richiesto per svolgere le mansioni affidate al dipendente. Inoltre, il datore di lavoro rilevava che non sarebbe stato necessario neanche ottenere il “consenso” dell’interessato al trattamento dei dati, in quanto, nella specie, il trattamento sarebbe stato richiesto per far valere un diritto in sede giudiziaria. Ipotesi, questa, espressamente contemplata dal codice della privacy come “eccezione” alla regola che impone il preventivo consenso dell’interessato ai fini di qualsiasi attività di trattamento dei dati109. 109 L’art. 24 del d.lgs. n. 196 del 2003 prevede espressamente che il consenso non è richiesto, “oltre che nei casi previsti nella Parte II, quando il trattamento: a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l' interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell' interessato; c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale; e) è necessario per la salvaguardia della vita o dell' incolumità fisica di un terzo. Se la medesima finalità riguarda l' interessato e quest' ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l' interessato. Si applica la disposizione di cui all' articolo 82, comma 2; f) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro 54 Orbene, a giudizio dell’Autorità garante, il ricorso avanzato dal lavoratore sarebbe stato fondato. E ciò non solo perché, nel caso di specie, sarebbe stata comunque necessaria la preventiva informativa, ma anche perché il controllo non sarebbe stato “indispensabile”. Secondo il Garante, posto che il dipendente non era autorizzato all’utilizzo delle connessioni internet (connessioni che non gli servivano per fini “lavorativi”), l’azienda avrebbe potuto dimostrare l’illiceità della condotta limitandosi a provare, in maniera “meno invasiva”, solamente il numero degli accessi alla rete ed i relativi perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale; g) con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell' interessato; h) con esclusione della comunicazione all' esterno e della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall' atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all' atto dell' informativa ai sensi dell' articolo 13; i) è necessario, in conformità ai rispettivi codici di deontologia di cui all' allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell' articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati; i-bis) riguarda dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis; i-ter) con esclusione della diffusione e fatto salvo quanto previsto dall’articolo 130 del presente codice, riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all' articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13”. 55 tempi di connessione. Senza bisogno, quindi, di ricorrere al trattamento delle altre informazioni rivelatrici dei contenuti degli accessi ai siti web. Comportamento, questo, che avrebbe determinato un trattamento di dati eccedenti rispetto alle finalità concretamente perseguite. Peraltro, il Garante rilevava che la raccolta di informazioni operata dall’azienda avrebbe inciso anche su dati sensibili attinenti alla vita sessuale del lavoratore110, ragion per cui avrebbero dovuto essere rispettate anche le garanzie previste dall’articolo 26 del decreto legislativo n. 196 del 2003 (ai sensi del quale i dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell' interessato e previa autorizzazione del Garante)111. 110 Ciò in ragione dei siti pornografici visitati dal lavoratore. “Va infatti tenuto conto che, sebbene i dati personali siano stati raccolti nell' ambito di controlli informatici volti a verificare l' esistenza di un comportamento illecito (che hanno condotto a sporgere una querela, ad una contestazione disciplinare e al licenziamento), le informazioni di natura sensibile possono essere trattate dal datore di lavoro senza il consenso quando il trattamento necessario per far valere o difendere un diritto in sede giudiziaria sia "indispensabile" (art. 26, comma 4, lett. c), del Codice; autorizzazione n. 1/2004 del Garante). Tale indispensabilità, anche alla luce di quanto precedentemente osservato, non ricorre nel caso di specie. Inoltre, riguardando anche dati «idonei a rivelare lo stato di salute e la vita sessuale», il trattamento era lecito solo per far valere o difendere in giudizio un diritto di rango pari a quello dell' interessato ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile. Anche tale circostanza non ricorre nel caso di specie, nel quale sono stati fatti valere solo diritti legati allo svolgimento del rapporto di lavoro (cfr. art. 26, comma 4, lett. c), del Codice; punto 3, lett. d), della citata autorizzazione; cfr. Provv. Garante 9 luglio 2003)”, cfr. Provvedimento del Garante per la protezione dei dati personali del 14 febbraio 2006. 111 56 4. L’inutilizzabilità dei dati raccolti in ragione del mancato rispetto della “forma” Proprio quest’ultima pronuncia evidenzia un altro aspetto presente nelle decisioni adottate dall’Autorità garante. Aspetto che, a ben vedere, costituisce una diretta conseguenza della piana applicazione della disciplina generale prevista in tema di privacy al rapporto di lavoro. Il mancato rispetto delle complesse procedure contemplate dal decreto legislativo n. 196 del 2003 può comportare, infatti, anche la “sanzione” di comportamenti che, ai sensi della disciplina settoriale prevista dallo Statuto dei lavoratori, risulterebbero, al contrario, pienamente legittimi. A dimostrazione di ciò, è utile analizzare un’altra decisione adottata dall’Autorità garante. Al giudizio del Garante112 era stato sottoposto un caso in cui un lavoratore, violando il codice comportamentale adottato dal datore di lavoro, conservava sul computer aziendale due “cartelle”. In una, denominata “personale”, prevalentemente erano pornografico, contenuti mentre, files nell’altra, di carattere denominata “musica”, vi erano riposti files audio digitali. Il datore di lavoro, con il consenso del lavoratore ed in sua presenza, dopo aver individuato e visionato il contenuto delle cartelle, procedeva ad effettuare una formale contestazione disciplinare nei 112 Cfr. Provvedimento del Garante per la protezione dei dati personali del 18 maggio 2006. 57 confronti del dipendente. Procedimento che si concludeva con l’irrogazione della sanzione espulsiva. Il Garante, però, sanzionava il comportamento tenuto dal datore di lavoro ritenendo, da un lato, che l’esame del contenuto delle due cartelle incriminate non sarebbe stato “necessario”, posto che l’inadempimento posto in essere dal lavoratore avrebbe potuto essere dimostrato anche mediante un mero esame “esterno” delle cartelle in questione113. E, dall’atro lato, rilevando che il lavoratore non sarebbe stato preventivamente reso edotto in ordine alla possibilità di essere oggetto di tali tipi di controlli. Conseguentemente, l’Autorità garante vietava alla società il trattamento dei dati personali del lavoratore. Orbene, dall’esame di queste pronunce si evince come la “illegittimità” del trattamento, secondo le previsioni del Garante, possa derivare anche solo dalla mancata osservanza delle forme e dei canoni contemplati dalla disciplina generale. 113 “con la visione dei contenuti di tali file, avvenuta in presenza di più persone, la società ha effettuato un trattamento di dati eccedente rispetto alle finalità perseguite e, per quanto riguarda alcune informazioni di carattere sensibile, non indispensabile. Nel caso di specie, stante il divieto contenuto nelle citate Linee guida di «memorizzare» file non strettamente professionali, la resistente avrebbe potuto dimostrare la non conformità del comportamento del ricorrente agli obblighi contrattuali in tema di uso corretto degli strumenti affidati sul luogo di lavoro, limitandosi a constatare la (peraltro non controversa) esistenza nel computer portatile delle due cartelle aventi dichiaratamente un contenuto personale, senza la necessità di renderne visibili gli specifici «contenuti» (ad esempio, facendo riferimento alla sola «dimensione» informatica delle medesime cartelle ovvero, se del caso, constatando solo l' esistenza di tipologie di file in esse contenuti chiaramente non riconducibili all' attività lavorativa svolta dall' interessato)”, cfr. Provvedimento del 18 maggio 2006. 58 E’ pur vero che proprio tramite il rispetto delle “forme” si riesce a perseguire l’obiettivo di tutelare adeguatamente l’ambito del “privato”. Ambito che certamente non si esaurisce in ciò che si svolge solamente all’interno del proprio domicilio, ma che “si estende anche a certi aspetti dell’attività della persona che si svolge al di fuori di questi confini”114. Tuttavia, operare in tale maniera può comportare anche risultati opposti e, per certi versi, addirittura paradossali. Si può giungere, infatti, come gli esempi sopra riportati dimostrano, anche a “salvaguardare” posizioni soggettive che, da un punto di vista meramente “sostanziale”, appaiono difficilmente tutelabili115. Del resto, in talune circostanze, solo attraverso il superamento, o, meglio, l’“adeguamento” della disciplina generale, è possibile sanzionare effettivamente comportamenti palesemente illeciti e contrari ai più elementari doveri incombenti sul lavoratore. Ed infatti, per rimanere agli esempi sopra riferiti, se il datore di lavoro avesse agito in maniera differente, senza “allegare” i siti internet visitati dal lavoratore o il contenuto delle cartelle presenti sul suo computer, è presumibile che dinanzi al giudice del lavoro si sarebbe potuti pervenire ad una declaratoria di illegittimità del 114 Cfr. A. CATAUDELLA, Riservatezza del lavoratore subordinato e accesso a suoi dati personali in sede di controllo da parte del datore di lavoro, in Arg. dir. lav., 2006, p. 1140. L’Autore rileva che “la proprietà che il datore di lavoro può far valere sul contenitore dei dati non toglie che questi restino nella sfera personale del lavoratore e non può valere, quindi, a giustificare la pretesa di acquisire la conoscenza dei dati stessi”. 115 Cfr. L. PERINA, L’evoluzione della giurisprudenza e dei provvedimenti del garante in materia di protezione dei dati personali dei lavoratori subordinati, cit., p. 322. 59 licenziamento. E ciò, se non altro, sotto il profilo della sproporzione dei fatti addebitati (e dimostrati) rispetto alla sanzione espulsiva adottata116. 116 Vedi ancora L. PERINA, L’evoluzione della giurisprudenza e dei provvedimenti del garante in materia di protezione dei dati personali dei lavoratori subordinati, cit., p. 322. 60 5. La natura e gli effetti dei provvedimenti adottati dal Garante Le considerazioni che precedono e, soprattutto, l’analisi svolta sulle pronunce rese dall’Autorità garante, impongono, ora, di analizzare la effettiva relazione esistente tra la tutela giurisdizionale e quella offerta dal Garante stesso117. Al riguardo, giova, anzitutto, rilevare che il principio della “alternatività” delle tutele è contemplato dal codice della privacy esclusivamente nell’ipotesi in cui si vogliano far valere i diritti di cui all’articolo 7 del decreto legislativo n. 196 del 2003 (accesso, rettifica, cancellazione dei dati personali e opposizione al trattamento degli stessi)118. 117 Sul tema, vedi P. TULLINI, Tecnologie informatiche in azienda: dalle lineeguida del Garante alle applicazioni concrete, in P. TULLINI (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, in Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F. GALGANO, cit. pp. 123 ss.. 118 Che, testualmente, recita: “l' interessato ha diritto di ottenere la conferma dell' esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. L' interessato ha diritto di ottenere l' indicazione: a) dell' origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l' ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell' articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. L' interessato ha diritto di ottenere: a) l' aggiornamento, la rettificazione ovvero, quando vi ha interesse, l' integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; 61 L’articolo 145 del codice, infatti, stabilisce che i diritti di cui all’articolo 7 possono essere fatti valere sia dinanzi all' autorità giudiziaria, che con ricorso all’Autorità garante. Fermo restando che, come previsto dalla norma stessa, il ricorso a quest’ultima autorità non può essere proposto nel caso in cui, per il medesimo oggetto e tra le stesse parti, sia già stata adita l' autorità giudiziaria. Cosi come, nell’ipotesi inversa, la presentazione del ricorso al Garante rende improponibile un' ulteriore domanda dinanzi all' autorità giudiziaria tra le stesse parti e per il medesimo oggetto. Di alternatività, invece, non sembra potersi parlare nell’ipotesi del diverso procedimento contemplato dall’articolo 142 del codice, che prevede la possibilità di rivolgersi all’Autorità garante, tramite “reclamo”, per rappresentare una violazione della disciplina rilevante in materia di trattamento di dati personali119. c) l' attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. L' interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale”. 119 In un provvedimento del 2 aprile 2008 il Garante ha respinto la richiesta di sospendere il procedimento, avviato tramite reclamo, in ragione di una asserita connessione pregiudiziale con una azione esercitata presso il Tribunale del lavoro, avente ad oggetto l’accertamento della legittimità del recesso intimato nelle medesima vicenda di trattamento dei dati personali. 62 Tuttavia, non può essere messo in dubbio che l’attività di natura “contenziosa” esercitata dall’Autorità garante vada classificata come mera attività di “vigilanza amministrativa”120. Ed infatti, stante la disposizione contenuta nel secondo comma dell’articolo 102 della Costituzione121, risulterebbe evidente la violazione del precetto costituzionale laddove venisse riconosciuta all’Autorità garante anche una competenza di natura “giurisdizionale”. Già con riferimento al ruolo del Garante di cui alla precedente legge n. 675 del 1996 la Cassazione122 nel 2002 precisava che era legittimato a partecipare al giudizio “per far valere il medesimo interesse pubblico specifico che la legge ha affidato a detta autorità predisponendo, dinanzi ad essa, un procedimento che, per quanto strutturalmente caratterizzato dal contraddittorio dei soggetti coinvolti – il «titolare», il «responsabile» e l’«interessato» - e funzionalmente proteso alla tutela dei diritti della persona, si connota come amministrativo e non pone il garante in una posizione di terzietà assimilabile a quella del giudice nel processo”. Il principio è stato reiterato in una decisione del 2004123 nella quale si dà anche atto della modifica legislativa intervenuta, con la sostituzione dell’Autorità al posto del Garante, che non muta, però, i termini della questione. Al Garante, pertanto, non può spettare il compito di controllare il “comportamento” posto in essere dal datore di lavoro (nei casi sopra 120 V. FERRANTE, Competenze dell’Autorità garante e controlli difensivi, in Arg. dir. lav., 2006, p. 1155. 121 Che, come noto, vieta al legislatore ordinario l’istituzione di giudici straordinari o di giudici speciali. 122 Cass., 20 maggio 2002 n. 7341, in Guid. Dir., 2002, p. 28. 123 Cass., 25 giugno 2004 n. 11864, in Dir. giust., 2004, p. 48. 63 riferiti, le tecniche e le modalità di “controllo” da questi poste in essere), quanto, piuttosto, di verificare la legittimità del trattamento dei dati personali che, anche a seguito dei comportamenti attuati, può essere effettuato. Ne deriva che gli “ordini” impartiti dal Garante possono essere idonei ad inibire il trattamento dei dati124, ma non rilevano sulla legittimità dei comportamenti posti in essere dal datore di lavoro125. Del resto, ragionando diversamente, e, cioè, volendo attribuire un “potere” diverso ed ulteriore alle decisioni rese dall’Autorità garante, si giungerebbe ad attribuire funzioni giurisdizionali o paragiurisdizionali a quest’ultima ed a consentire al lavoratore di scegliere l’“autorità” dinanzi alla quale far accertare la presunta illiceità della condotta posta in essere a suo danno. Risultati, questi, che si porrebbero in aperto contrasto anche con il disposto del primo comma sia dell’articolo 24 sia dell’articolo 25 della Costituzione126. 124 Sul tema, vedi A. CATAUDELLA, Accesso ai dati personali, riserbo e controllo nell’attività di lavoro, in Arg. dir. lav., 2000, pp. 139 ss. 125 Vedi anche G. BUTTARELLI, Profili generali del trattamento dei dati personali, in G. SANTANIELLO (a cura di), La protezione dei dati personali, in Trattato di diritto amministrativo, diretto da G. SANTANIELLO, vol. XXXVI, Padova, 2005, pp. 85 ss. 126 V. FERRANTE, Competenze dell’Autorità garante e controlli difensivi, cit., p. 1157. Secondo l’Autore, la “coerenza” del sistema sta proprio nell’aver istituito un soggetto dotato dei poteri idonei ad amministrare i diritti che la legge sopravvenuta si trova a costituire, mentre “apparirebbe non solo costituzionalmente illegittima, ma altresì illogica, una soluzione che concentrasse avanti alla Autorità garante tutte le controversie nelle quali è implicato il trattamento dei dati personali”. Soluzione illogica, questa, anche perché 64 Le competenze di natura “contenziosa” affidate all’Autorità garante, quindi, possono assumere rilievo solamente in una prospettiva di “vigilanza amministrativa” che proietta inevitabilmente e necessariamente nel futuro gli effetti dei suoi accertamenti. Elemento, questo, che, a ben vedere, emerge dall’analisi delle stesse pronunce rese dal Garante, ove, infatti, viene decretato, con i limiti propri dei provvedimenti amministrativi, il divieto di trattare “ulteriormente” i dati raccolti, senza nulla disporre, però, per il passato127. Peraltro, se a ciò si aggiunge che la stessa disciplina contenuta nel decreto legislativo n. 196 del 2003 ha il solo scopo di tutelare e di salvaguardare il trattamento dei dati e non di modificare anche il regime probatorio, “che rimane fondato sulla necessità di poter accertare lo svolgimento dei fatti, anche quando questi riguardano la sfera più intima del soggetto”128, è lecito ritenere che le competenze demandate all’Autorità garante, “proiettandosi nel futuro”, non dovrebbero neanche, in virtù del principio della separatezza dei poteri e del numero chiuso degli organismi giurisdizionali previsto dal 2° comma dell’articolo 102 della Costituzione, invadere e “sconfinare” nell’ambito della tradizionale tutela giurisdizionale. finirebbe per garantire “alla tutela del dato una speciale garanzia, del tutto sovrastante rispetto agli altri interessi coinvolti nelle vicende giuridiche oggetto di esame”. 127 Cfr. i provvedimenti dell’Autorità garante precedentemente esaminati. 128 V. FERRANTE, Competenze dell’Autorità garante e controlli difensivi, cit., p. 1157, il quale, efficacemente, rileva che, ove così non fosse, si arriverebbe alla conseguenza per cui, in un procedimento penale, l’imputato sarebbe “legittimato a rivolgersi all’Autorità ogni qual volta sorgesse questione circa la liceità dei sistemi di investigazione”. 65 In questi termini, la coerenza del sistema sarebbe rinvenibile in una Autorità proposta a controllare, con provvedimenti di natura amministrativa, la legittimità del “trattamento” dei dati personali effettuato, eventualmente inibendolo per il futuro. Ove per “trattamento” dei dati, in base alla stessa definizione contenuta nel codice della privacy, deve intendersi “qualunque operazione o complesso di operazioni, effettuati anche senza l' ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l' organizzazione, la conservazione, la consultazione, l' elaborazione, la modificazione, la selezione, l' estrazione, il raffronto, l' utilizzo, l' interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati”129. Ferma restando, però, una originaria ed indiscussa competenza della giurisdizione ordinaria in merito alla valutazione della legittimità dei comportamenti posti in essere. Al riguardo, è particolarmente interessante quanto previsto dal primo comma dell’art. 152 del codice in cui si prevede che “tutte le controversie che riguardano, comunque, l’applicazione delle disposizioni del presente codice, comprese quelle inerenti ai provvedimenti del Garante in materia di protezione dei dati personali o alla loro mancata adozione, nonché le controversie previste dall’articolo 10, comma 5, della legge 1° aprile 1981, n. 121, e successive modificazioni, sono attribuite all’autorità giudiziaria ordinaria”. 129 Cfr. art. 4, d.lgs. n. 196 del 2003. 66 Poiché, come si è visto, l’Autorità è un Organo che ha poteri di tipo amministrativo, può sembrare irrituale che avverso le sue decisioni sia prevista la giurisdizione del giudice ordinario. Vi è anche da dire che l’art. 145 definisce “ricorso” l’atto con cui l’interessato può adire la detta Autorità per far valere sue posizioni soggettive. Tra l’altro, era allora vigente la lettera b) dell’art. 7 della legge n. 205 del 2000 che attribuiva alla giurisdizione esclusiva del giudice amministrativo le controversie (anche relative a diritti soggettivi) aventi per oggetto “gli atti, i provvedimenti e i comportamenti” delle Pubbliche amministrazioni e dei soggetti ad esse equiparati. Probabilmente, essendo, come si è detto, una normativa che risente molto degli influssi degli altri Stati europei, ha inciso la circostanza che non in tutti è previsto un giudice amministrativo. In ogni caso, si tratta di una soluzione che coincide con quanto deciso dalla Corte costituzionale nella sentenza n. 204 del 2004 in cui è stata dichiarata l’illegittimità costituzionale della citata lettera b) dell’art. 7 della legge n. 205 del 2000 per una non consentita, ai sensi dell’art. 103 della Costituzione, estensione della giurisdizione del giudice amministrativo nel campo dei diritti soggettivi anche nei casi in cui la Pubblica amministrazione non agisce con poteri autoritativi. In termini estremamente chiari definisce il rapporto tra giurisdizioni la sentenza delle Sezioni Unite della Cassazione n. 8487 del 2011 nella quale si afferma che “la controversia tra il titolare del trattamento di dati personali e l’Autorità Garante per la protezione dei dati personali, concernente la legittimità del rifiuto da quest’ultimo opposto alla richiesta, avanzata dal titolare, di autorizzazione ad eseguire un contributo dai richiedenti l’accesso ai 67 dati, è devoluta alla giurisdizione del giudice ordinario, ai sensi dell’art. 152 del d. lgs 30 giugno 2003, n. 196. Infatti, posto che la chiara scelta operata dal legislatore tramite l’art. 152 citato non contrasta con l’art. 103 Cost., non essendo vietata l’attribuzione al giudice ordinario della cognizione anche degli interessi legittimi, la materia dell’accesso ai dati personale e dei costi di esercizio di tale diritto presenta una inestricabile interferenza tra i diritti ed interessi legittimi, con la netta prevalenza dei primi sui secondi, là dove, inoltre, il bilanciamento che deve operare l’Autorità Garante è, eminentemente, tra interessi privati (quelli degli interessati ai dai trattabili e quelli delle imprese detentrici), mancando, quindi, una vera e propria discrezionalità amministrativa”.130 130 Cass., 14 aprile 2011 n. 8487, in Giur. it., 2011, p. 2668. 68 CAPITOLO III Il diritto alla riservatezza nel contesto lavorativo secondo l’interpretazione giurisprudenziale 1. I controlli difensivi. Contenuti e limiti In ambito giurisprudenziale, l’occasione per affrontare il discorso relativo al difficile bilanciamento tra le esigenze aziendali ed il diritto alla riservatezza dei lavoratori, è stata data, anzitutto, dall’interpretazione della norma contenuta nell’articolo 4 della legge n. 300 del 1970131. Norma che, più di qualsiasi altra, si presta a disciplinare ed a contemperare il diritto dei lavoratori alla tutela della loro privacy sul posto di lavoro e le configgenti necessità organizzative e produttive avvertite dal lato datoriale132. 131 Sul tema dei “controlli difensivi”, vedi A. BELLAVISTA, Il controllo sui lavoratori, Torino, Giappichelli, 1995; F. LISO, Computer e controllo dei lavoratori, in Giorn. dir. lav.rel. ind., 1986, pp. 352 ss.; P. BERNARDO, Vigilanza e controllo sull’attività lavorativa, in F. CARINCI (diretto da), Diritto del lavoro. Commentario, Torino, 2007, vol. II, tomo I, pp. 632 ss.; V. FERRANTE, Controllo sui lavoratori, difesa della loro dignità e potere disciplinare, a quarant’anni dallo Statuto, in Riv. it. dir. lav., 2011, pp. 73 ss.; F. RAVELLI, Controlli informatici e tutela della privacy: alla ricerca di un difficile punto di equilibrio, in Riv. crit. dir. lav., 2010, pp. 317 ss.; A. STANCHI, Apparecchiature di controllo, strumenti di comunicazione elettronica e controlli difensivi del datore di lavoro, in Lav. giur., 2008, pp. 351 ss. 132 Il tema dei “controlli”, peraltro, è stato oggetto di attenzione da parte di recenti interventi introdotti nell’ordinamento. Per via normativa, infatti, è stata introdotta 69 Si tratta di un percorso che presenta un andamento oscillante, in quanto risente sia del diverso grado di protezione che alle esigenze del rispetto della “riservatezza” viene accordato quando esse vengono avanzate in sede civile rispetto a quando di esse si discute in sede penale, sia del dibattito dottrinale che certe decisioni hanno determinato, con il risultato di porre nel dubbio risultati che sembrano acquisiti. Come visto, il primo comma della norma statutaria, proprio al fine di salvaguardare la dignità e la riservatezza di coloro che prestano la propria opera all’interno dell’azienda, vieta l’uso di impianti audiovisivi, o di altre apparecchiature, per finalità di controllo a distanza sull’attività dei lavoratori, mentre il comma successivo stabilisce che gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive, ovvero dalla sicurezza del lavoro, ma dai quali possa derivare anche la possibilità di un controllo a distanza sull' attività dei lavoratori, possono essere installati, previo accordo, però, con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. Tuttavia, la giurisprudenza, chiamata ad applicare il disposto normativo, ha avuto modo di rilevare come, a ben vedere, queste due la “contrattazione di prossimità” (art. 8, d.l. n. 138 del 2011, convertito con la legge n. 148 del 2011) abilitata a regolamentare anche la materia degli “impianti audiovisivi” e l’“introduzione di nuove tecnologie”. Inoltre, anche l’Intesa contrattuale del 21 novembre 2012 recante le “linee programmatiche per la crescita della produttività e della competitività in Italia” contiene un seppur indiretto riferimento al tema dei controlli datoriali. Sul tema, vedi A. MATTEI, Controlli difensivi e tutela della riservatezza del lavoratore, in Riv. giur. lav., 2013, p. 32 ss.; A. LASSANDARI, Il limite del «rispetto della Costituzione», in Q. riv., 2012, pp. 508 ss.; T. TREU, Patto sulla produttività e ruolo della contrattazione, in Contr. contr., 2012. 70 fattispecie tipizzate dal legislatore (controlli “intenzionali”, diretti esclusivamente a monitorare ed a controllare, tramite l’installazione di impianti audiovisivi, l’attività lavorativa, come tali vietati e controlli “preterintenzionali”, ovvero, finalizzati ad assolvere delle esigenze organizzative e produttive aziendali, possibili solo a seguito di uno specifico accordo sindacale) non sembrano pregiudicare la possibilità per il datore di lavoro di effettuare, lecitamente, un’attività di controllo che non sia dettata da esigenze produttive e organizzative e neanche volta a vigilare sull’attività lavorativa svolta dai dipendenti, ma, al contrario, mirata esclusivamente sulle possibili attività illecite compiute dai lavoratori. Attività che, proprio in quanto illecite e contrarie ai doveri gravanti sui lavoratori, si vengono a porre “al di fuori” del contesto lavorativo ed esulano, di conseguenza, dai precetti contenuti nell’articolo 4 della legge n. 300 del 1970. Con la conseguenza che, per tali attività di controllo, non sarebbe neanche necessaria l’attivazione della speciale procedura disciplinata dal secondo comma della norma statutaria. La “creazione” di questo tertium genus di controlli appare, per la prima volta, nella giurisprudenza penale. In una nota e discussa pronuncia, infatti, la Suprema Corte ritenne legittimo il controllo operato su una attività illecita posta in essere da un lavoratore sul presupposto che, all’attività “infedele” posta in essere dal dipendente, come tale estranea alla specifica attività lavorativa, corrisponde la conseguente cessazione, in capo al datore di lavoro, della necessaria osservanza dei precetti normativi posti a tutela dell’attività lavorativa133. 71 E’ da tenere presente che questa decisione è stata emessa prima dell’approvazione del codice in materia di protezione dei dati personali e della precedente legge n. 675 del 1996, e, quindi, solo con riferimento alla disciplina contenuta nello Statuto dei lavoratori. Essa, peraltro, sviluppa argomentazioni di carattere generale che saranno riprese anche negli anni più recenti. Si può, quindi, affermare che “anticipa” soluzioni che saranno successivamente percorse anche dopo l’entrata in vigore delle sopraindicate normative. In sostanza, secondo il ragionamento della giurisprudenza di legittimità, poiché il lavoratore, in ragione del comportamento “illecito” attuato, si verrebbe a porre “al di fuori” del rapporto lavorativo, cesserebbero, allo stesso tempo, le garanzie poste a tutela dell’attività lavorativa, non più “esercitata” dal dipendente. Tale “categoria” di controlli è stata, poi, recepita e fatta propria anche dalla giurisprudenza civile. 133 Cfr. Cass., 28 maggio 1985 n. 8687, in Mass. giur. lav., 2002, II, pp. 404 ss. con nota di M. PAPALEONI. Secondo la massima, le norme di cui agli art. 2, 3 e 4, della legge n. 300 del 1970 “tendono ad eliminare i sistemi di vigilanza e di controllo che, pur tenendo conto delle esigenze produttive, non sono compatibili con i principi costituzionali così come enunciati in specie dall’art. 41 cost.; ne consegue che la sorveglianza sui lavoratori non deve avere carattere poliziesco e non può essere realizzata in forme di «controllo occulto» o a distanza nei confronti dei lavoratori; tuttavia, devono considerarsi pienamente legittimi i controlli effettuati sull’attività lavorativa del lavoratore dipendente, il quale nel lavoro da compiere è tenuto all’adempimento di quanto disposto dall’art. 2104 c.c. nell’ambito della collaborazione caratterizzante il rapporto di lavoro subordinato; pertanto, qualora sul lavoratore addetto alla registrazione degli incassi si appuntino i sospetti di una mancata collaborazione con l’azienda da cui dipende, i controlli attivati dal datore di lavoro sul cassiere infedele risultano legittimi, in quanto il comportamento, in tal caso, illecito e contrario ai suoi doveri, posto in essere dal lavoratore, esula dalla specifica attività lavorativa dello stesso, perché realizza un attentato al patrimonio dell’azienda, con la conseguente cessazione da parte del titolare dell’impresa della osservanza dell’obbligo di ottemperare ai precetti normativamente previsti”. 72 In una pronuncia risalente al 2001134, la Corte di Cassazione ha, infatti, avuto modo di affermare che le norme contenute negli articoli 2 e 3 della legge n. 300 del 1970, volte a garantire la libertà e la dignità del lavoratore, non escludono il potere dell’imprenditore di controllare, direttamente o mediante la propria organizzazione (adibendo, quindi, a mansioni di vigilanza determinate categorie di lavoratori ai fini della tutela del patrimonio mobiliare ed immobiliare all’interno dell’azienda), “non già l’uso, da parte dei dipendenti, della diligenza richiesta nell’adempimento delle obbligazioni contrattuali, bensì il corretto adempimento delle prestazioni lavorative al fine di accertare mancanze specifiche dei dipendenti già commesse o in corso di esecuzione”. E ciò indipendentemente dalla modalità del controllo, “che può legittimamente avvenire anche occultamente, non ostandovi né il principio di correttezza e buona fede nell’esecuzione dei rapporti, né il divieto di cui all’articolo 4 della citata legge n. 300 del 1970, che riguarda esclusivamente l’uso di apparecchiature per il controllo a distanza e non è applicabile analogicamente, siccome penalmente sanzionato”. E’, però, un anno più tardi che, in sede civile, avviene il “definitivo” riconoscimento di tale categoria di controlli. In una pronuncia del 2002, infatti, la Corte di Cassazione giunge ad affermare che ai fini dell’operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dell’attività dei lavoratori previsto dall’articolo 4 della legge n. 300 del 1970, “è necessario che il controllo riguardi (direttamente o indirettamente) l’attività 134 Cass., 14 luglio 2001 n. 9576, in Dir. giust., 2001, pp. 32 ss. 73 lavorativa, mentre devono ritenersi certamente fuori dell’ambito di applicazione della norma sopra citata i controlli diretti ad accertare condotte illecite del lavoratore (c.d. controlli difensivi)”135. Nel caso posto all’esame della Suprema Corte136, il punto “controverso” riguardava la legittimità di un controllo sulle “telefonate ingiustificate” effettuate da un dipendente esercitato senza aver previamente esperito la procedura “condivisa” di cui al secondo comma dell’articolo 4 della legge n. 300 del 1970. “Ostacolo”, questo, superato ritenendo il comportamento illecito attuato dal lavoratore come “extra lavorativo” e, pertanto, non più tutelabile dalle norme statutarie. Anche se nella pronuncia, assunta prima dell’approvazione del “codice”, ma dopo la legge n. 675 del 1996, non si fa riferimento alle tematiche della tutela dei dati personali, tuttavia gli argomenti trattati sono di particolare interesse, in quanto, attenendo la questione alla “segretezza di ogni forma di comunicazione”, rientrano, addirittura sotto la tutela dell’art. 15 della Costituzione. Da questa pronuncia, come dalle altre che hanno avuto modo di ribadire la legittimità di questa tipologia di controlli137, emerge che la legittimità del controllo risiederebbe, da un lato, nella “interruzione” 135 Cass., 3 aprile 2002 n. 4746, in Mass. giur. lav., pp. 644 ss., con nota di M. BERTOCCHI. 136 Lo stesso principio è, implicitamente, affermato anche da Cass., 10 luglio 2002 n. 10062, in Not. giur. lav., 2002, pp. 501 ss. 137 Tra le altre, Cass. 4 aprile 2012 n. 5371, in Not. giur. lav., 2012, p. 318, cha afferma la legittimità del “controllo difensivo”, effettuato tramite la verifica dei tabulati telefonici acquisiti da un soggetto terzo, volto ad accertare un comportamento illecito del lavoratore; Cass., 28 gennaio 2011 n. 2117, in Not. giur. lav., 2011, p. 323., che afferma la legittimità dei “controlli difensivi” effettuati tramite le risultanze di registrazioni video operate fuori dall’azienda da un soggetto terzo. 74 del vincolo lavorativo. Interruzione posta in essere dal lavoratore stesso nel momento in cui, contravvenendo ai doveri di correttezza e di diligenza su di lui gravanti, pone in essere dei comportamenti illeciti. E, dall’altro lato, dall’obiettivo del controllo stesso, calibrato proprio su tali comportamenti illeciti compiuti dal lavoratore e non sullo svolgimento dell’attività lavorativa correttamente intesa. La ricorrenza di questi due elementi farebbe venire meno l’operatività delle garanzie poste a tutela delle riservatezza del lavoratore e consentirebbe, così, anche una ingerenza nella sua privacy al fine di sanzionare comportamenti illeciti posti in essere. Comportamenti che, altrimenti, resterebbero ingiustificatamente salvaguardati. Tali “soluzioni” non sono state esenti da critiche138. Critiche che hanno avuto ad oggetto l’interpretazione delle norme statutarie. Ed infatti, è stato ritenuto che non sarebbe possibile individuare una “categoria” di controlli a distanza estranei a quelli indicati nel disposto dell’articolo 4 della legge n. 300 del 1970. Ragion per cui anche i controlli difensivi, astrattamente leciti, dovrebbero comunque essere sottoposti alla preventiva autorizzazione collettiva139. 138 Vedi A. BELLAVISTA, Controlli elettronici e art. 4 dello Statuto dei lavoratori, in Riv. it. dir. lav., 2005, pp. 272 ss.; F. RAVELLI, Controlli informatici e tutela della privacy: alla ricerca di un difficile punto di equilibrio, cit., p. 317 ss.; P. ICHINO, Il contratto di lavoro, Milano, Giuffrè, 2003. 139 Cfr. Corte d’Appello Milano, sentenza del 30 settembre 2005, in Riv. crit. dir. lav.., 2006, pp. 899 ss., con nota di S. CHIUSOLO, che ritiene legittimi questi tipi di controlli, ma, tuttavia, li riconduce nell’ambito di quelli “preterintenzionali” con tutto ciò che ne consegue. 75 E ciò perché non sarebbe possibile separare di netto e dividere l’attività lavorativa, tutelata dalla norma statutaria, con l’attività extra lavorativa ed illecita svolta dal lavoratore, passibile di controllo “difensivo” 140. In sostanza, tale orientamento non smentisce la legittimità del controllo “difensivo” astrattamente inteso, ma, semplicemente, rileva che, per poter giungere ad individuare il comportamento illecito, il controllo finisce per vagliare necessariamente anche l’attività lavorativa. Solo controllando quest’ultima, sarebbe possibile individuare quei comportamenti del lavoratore che si “allontanano” dall’adempimento della prestazione lavorativa. In tale ottica, i margini dei controlli difensivi resterebbero relegati, più che in una categoria a sé stante, nell’ambito di una sub categoria che non rappresenterebbe altro che una “specificazione”141 del dettato legislativo. Il quale, ammettendo la legittimità dei controlli “preterintenzionali” svolti anche per esigenze organizzative, riconoscerebbe, implicitamente, la liceità di quei controlli a distanza effettuati con lo scopo di tutelare, lato sensu, il patrimonio aziendale. E’ evidente, però, che ragionando in questi termini, i controlli difensivi richiederebbero, per la loro legittimità, il preventivo espletamento delle procedure richieste dal secondo comma dell’articolo 4 della legge n. 300 del 1970. Sarebbe necessario, quindi, 140 A. BELLAVISTA, La Cassazione e i controlli a distanza sui lavoratori, in Riv. giur. lav., 2010, pp. 462 ss. 141 V. FERRANTE, Competenze dell’Autorità garante e controlli difensivi, cit., p. 1160. 76 il preventivo accordo con le rappresentanze sindacali aziendali o, in mancanza di queste, con la commissione interna142. In linea con tale orientamento, la giurisprudenza143, pur senza contraddire “formalmente” il precedente indirizzo interpretativo144, ha affermato che “l’insopprimibile esigenza di evitare condotte illecite da parte dei dipendenti” non può assumere una portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e della riservatezza del lavoratore. Conseguentemente, tale esigenza non potrebbe consentire di cancellare dalla fattispecie astratta, contemplata dalle norme statutarie, quei controlli diretti ad accertare i comportamenti illeciti dei lavoratori quando tali comportamenti riguardino, comunque, “l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro e non la tutela di beni estranei al rapporto stesso ove la sorveglianza venga attuata mediante strumenti che presentano quei requisiti strutturali e quelle potenzialità lesive, la cui utilizzazione è subordinata al previo accordo con il sindacato o all' intervento dell' Ispettorato del lavoro”145. 142 O, in difetto di accordo, un provvedimento autorizzatorio del servizio ispettivo della direzione territoriale del lavoro. 143 Cfr. Cass., 17 luglio 2007 n. 15892, in Riv. crit. dir. lav., 2007, pp. 1202 ss., con nota di R. SCORCELLI. 144 La sentenza n. 15892 del 2007 ribadisce, infatti, che “il controllo a distanza sull’attività dei lavoratori, di carattere difensivo, in quanto diretto ad accertarne comportamenti illeciti, non è soggetto agli oneri contemplati dall’art. 4 dello statuto dei lavoratori, solo se questo controllo è diretto alla tutela di beni estranei al rapporto di lavoro; trova invece applicazione detto articolo se il controllo difensivo tende ad accertare l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro; i dati acquisiti in violazione di detto articolo, non possono essere legittimamente posti a fondamento di un licenziamento”. 145 Ancora Cass., 17 luglio 2007 n. 15892, cit. Nel caso sotteso all’esame dei giudici di legittimità, una società, al fine di agevolare i propri dipendenti muniti di autovettura, aveva predisposto un garage ove poter posteggiare le autovetture durante l' orario lavorativo, inserendo, tuttavia, un congegno di sicurezza volto a 77 Secondo tale impostazione146, l’attività concretamente svolta dal lavoratore e l’accertamento di un atto illecito rappresenterebbero categorie parzialmente sovrapponibili e, pertanto, alcuni strumenti di controllo, pur se installati con scopi prettamente difensivi, potrebbero, in base alle specifiche caratteristiche tecniche ed alle modalità di utilizzo, rientrare nel novero della previsione contenuta nel secondo comma della norma statutaria147. Ed infatti, un atto “illecito” può essere posto in essere anche durante l’esecuzione della prestazione lavorativa e, pertanto, con lo scopo di verificare e punire tali condotte si può giungere (anzi, quasi sicuramente si giungerebbe) al risultato148, vietato, di installare apparecchiature idonee a “registrare” anche informazioni attinenti all’attività lavorativa149. consentire l' ingresso a tale garage solo mediante un meccanismo elettronico attivato da una tessera personale assegnata a ciascun dipendente, la stessa che attivava gli ingressi agli uffici. Oltre a consentire l' elevazione della sbarra di ingresso e di uscita dal garage, però, il meccanismo, non “concordato” con le rappresentanze sindacali, rilevava e registrava anche l’identità di chi passava, nonché l' orario del passaggio. Il che poteva permetteva, tramite l' incrocio di tali dati con quelli rilevati elettronicamente all' ingresso degli uffici, di controllare il rispetto degli orari di entrata e di uscita e la presenza stessa sul luogo di lavoro da parte dei dipendenti. 146 Sul tema, vedi A. MATTEI, Controlli difensivi e tutela della riservatezza del lavoratore, in Riv. giur. lav., 2013, p. 32 ss. 147 L. CAIRO, Orientamenti della giurisprudenza in tema di controlli difensivi, in Orient. giur. lav., 2008, I, pp. 323 ss., “si è sostenuto che, se per controllo difensivo si intende quel controllo diretto ad accertare condotte illecite del lavoratore, si pone l’accento sulla sola finalità del controllo senza che tale definizione dia alcuna informazione circa l’oggetto del controllo”. 148 Come è stato rilevato, un comportamento illecito, rilevante nell’ambito del rapporto di lavoro, “può commettersi solo durante l’attività lavorativa”, cfr. G. MANNACCIO, Uso di internet in azienda e tutela della privacy, in Dir. crit. lav., 2006, p. 568. 149 Cfr. Cass., 1 ottobre 2012 n. 16622, in Lav. giur., p. 383, che giunge ad affermare come “l’effettività del divieto di controllo a distanza dell’attività dei lavoratori richiede che anche per i c.d. controlli difensivi trovino applicazione le 78 A ben vedere, anche alla luce dei rilievi critici ora evidenziati150, è lecito ritenere che, al fine di comprendere in che modo il controllo a distanza, di natura “difensiva”, possa essere ritenuto legittimo, l’indagine non dovrebbe essere condotta, a posteriori, “avendo riguardo a cosa, con lo strumento di controllo a distanza, effettivamente si è indagato”151. Al contrario, l’analisi si dovrebbe concentrare sullo “strumento” effettivamente utilizzato e sulle sue stesse modalità di impiego. In modo da comprendere se, al di fuori della fattispecie concreta, è possibile raccogliere informazioni anche sull’attività lavorativa152. garanzie dell’art. 4 comma 2 Stat. Lav.; ne consegue che se, per l’esigenza di evitare attività illecite o per motivi organizzativi o produttivi, il datore di lavoro può istallare impianti ed apparecchiature di controllo che rilevino anche dati relativi alla attività lavorativa dei dipendenti, tali dati non possono essere utilizzati per provare l’inadempimento contrattuale dei lavoratori medesimi”. 150 Sul punto, vedi E. BARRACO, A. SITZIA, Un de profundis per i «controlli difensivi» del datore di lavoro?, in Lav. giur., 2013, pp. 385 ss. 151 L. CAIRO, Orientamenti della giurisprudenza in tema di controlli difensivi, cit., p. 326. 152 Ancora L. CAIRO, Orientamenti della giurisprudenza in tema di controlli difensivi, cit., p. 326 che rileva come “le prove raccolte da un apparecchio di controllo a distanza installato con finalità di accertamento di atti illeciti ed effettivamente utilizzato per tale scopo potrebbero nondimeno essere inutilizzabili per violazione del secondo comma della norma; ciò in quanto, sebbene correttamente utilizzato in una data circostanza, quel determinato strumento di controllo che per le sue determinate caratteristiche tecniche o modalità di utilizzo sia idoneo a consentire un controllo anche sull’attività del lavoratore, avrebbe potuto essere installato (e quindi utilizzato) solo a condizione dell’espletamento delle procedure di cui al secondo comma dell’art. 4”. Alcun rilievo, pertanto, potrebbe avere la circostanza per cui, successivamente alla illegittima installazione, ci sarebbe stato un uso “lecito”, posto che, in ogni caso, sarebbe stato utilizzato uno strumento che, in assenza delle condizioni previste dal secondo comma dell’art. 4 della legge n. 300 del 1970, non avrebbe potuto neanche essere installato. 79 Così, senza operare dannose generalizzazioni, è possibile comprendere se il controllo sia realmente e totalmente “difensivo” e non incorra nei limiti e nei divieti sanciti dalle norme statutarie. Ne deriverebbe, pertanto, la piena legittimità di tutti i controlli effettuati con apparecchiature idonee a “registrare” solamente gli eventuali atti illeciti e attivati in modalità tale da non coinvolgere nessun esame in ordine all’attività lavorativa. In questi termini è possibile individuare e, soprattutto, “classificare” la reale nozione del “controllo difensivo”, che, a ben vedere, non costituisce né una “eccezione” ai divieti imposti dall’articolo 4 della norma statutaria, né un tertium genus di controlli, ma, più semplicemente, una attività “difensiva” che, non monitorando l’attività lavorativa, è del tutto estranea al disposto della norma statutaria e consente una ingerenza “giustificata” nella privacy del lavoratore. Conclusioni, queste, condivise anche da una parte della giurisprudenza, la quale, precedentemente alla diffusione del dibattito in ordine alla natura dei controlli difensivi, aveva già avuto modo di rilevare la inconferenza del richiamo all’articolo 4 dello statuto dei lavoratori nei confronti di quelle attività di controllo a distanza effettuate dal datore di lavoro per tutelare il patrimonio aziendali da possibili atti illeciti posti in essere all’infuori della prestazione lavorativa153. 153 Cfr. Cass., 3 luglio 2001 n. 8998, in Not. giur. lav., 2002, p. 34, che afferma come “il richiamo all’art. 4 dello statuto dei lavoratori non possa valere ad invalidare gli accertamenti operati dall’imprenditore attraverso riproduzioni filmate dirette a tutelare il proprio patrimonio aziendale al di fuori dell’orario di lavoro e contro possibili atti penalmente illegittimi messi in atto da terzi, e quindi 80 Il divieto di effettuare controlli a distanza sull’attività dei lavoratori, posto dall’articolo 4 dello statuto dei lavoratori, pertanto, non si estenderebbe ai controlli difensivi semplicemente perché questi rappresenterebbero solo un modo per definire quei controlli finalizzati all’accertamento di condotte illecite del lavoratore che non comportano la raccolta di notizie relative all’attività lavorativa154. anche dai lavoratori che a questi non possono non essere in tutto equiparati allorquando agiscano al di fuori dell’orario di lavoro”. 154 Tribunale di Milano, sentenza del 31 marzo 2004, in Foro it. rep., voce Lavoro (rapporto), n. 1137, secondo cui “il divieto del controllo a distanza dell’attività dei lavoratori posto dall’art. 4 statuto dei lavoratori non si estende ai c.d. controlli difensivi, i quali, peraltro, non costituiscono una categoria a sé esentata, a priori, dall’applicabilità delle previsioni dell’art. 4, ma semplicemente un modo per definire controlli finalizzati all’accertamento di condotte illecite del lavoratore che non rientrano nell’ambito di applicazione del divieto perché non comportano la raccolta anche di notizie relative all’attività lavorativa”. 81 2. I controlli “informatici” e l’ingerenza nella privacy dei lavoratori Ricostruita, in questi termini, la reale natura dei controlli difensivi, l’indagine deve necessariamente spostarsi sull’analisi dei “mezzi” idonei ad effettuare i suddetti controlli. Intendendo, con ciò, tutte le “nuove” strumentazioni informatiche (si pensi ai computer ed ai collegati sistemi di navigazione internet e di posta elettronica) oramai largamente diffuse nell’ambito dei processi produttivi. Tali “strumenti”, infatti, non solo, come è evidente, non sono direttamente presi in considerazione dalle norme statutarie155, ma, inoltre, per la loro diffusine e per le loro “caratteristiche” non sempre si prestano ad una facile classificazione. Orbene, sul punto, va rilevato, anzitutto, che la giurisprudenza si è mostrata tendenzialmente orientata verso una lettura “aperta” della norma contenuta nell’articolo 4 dello statuto dei lavoratori, ricomprendendo nella nozione di “apparecchiature per finalità di controllo a distanza”156, qualsiasi strumentazione anche solo potenzialmente idonea ad essere utilizzata per effettuare controlli sull’attività lavorativa157. 155 Vedi M. DEL CONTE, Internet, posta elettronica e oltre: il Garante della privacy rimodula i poteri del datore di lavoro, cit., p. 501. 156 Cfr. art. 4, legge n. 300 del 1970. 157 Tra le pronunce più risalenti, vedi Pretura di Roma, sentenza del 13 gennaio 1988, in Dir. lav., 1988, II, p. 49, che afferma come “l’ipotesi del controllo a distanza, prevista dall’art. 4 dello statuto presuppone che la registrazione costante e contestuale dei dati personali relativi al dipendente sia comunque a disposizione del datore di lavoro, né rileva che la possibilità di percezione dei medesimi dati sia 82 Del resto, è la stessa indeterminatezza del bene tutelato dalle norme statutarie a consentire, ed anzi, quasi ad imporre, di coniugare le previsioni normative “al progressivo evolversi delle tecnologie, in particolare informatiche, introdotte nei processi produttivi”158. Lo stesso dato letterale contenuto nell’articolo 4 della legge n. 300 del 1970, infatti, induce a ritenere che per “apparecchiatura di controllo” debba intendersi qualsiasi strumento idoneo ad essere utilizzato in funzione di controllo e ciò anche quando tale caratteristica non rappresenti la funzione principale o esclusiva dello strumento stesso159. Sono proprio queste le caratteristiche riscontrabili nelle moderne attrezzature tecnologiche, le quali non vengono introdotte all’interno del contesto lavorativo con l’esclusiva finalità di monitorare e di vigilare sull’attività lavorativa, ma nelle quali, comunque, tale funzione di controllo è molto spesso azionabile. Il computer ed i sistemi di “navigazione” ad esso collegati, infatti, non rappresentano, sic et simpliciter, degli strumenti di controllo, ma, anzi, costituiscono dei meri strumenti di lavoro. ignota o meno al dipendente” e Pretura di Milano, sentenza del 4 ottobre 1988, in Not. giur. lav., 1989, p. 436, secondo cui “integra la violazione dell’art. 4 dello statuto dei lavoratori l’installazione di un centralino telefonico automatico in grado di registrare e riprodurre su tabulati la data, il tempo, il destinatario ed il numero chiamante per ogni singola telefonata”. 158 C. TACCONE, Controlli a distanza e nuove tecnologie informatiche, in Arg. dir. lav., 2004, p. 308. 159 Sul tema, vedi A. ROSSI, La libertà e la professionalità dei lavoratori di fronte alle nuove tecnologie informatiche, in Quest. Giust., 1983, pp. 219 ss.; G. GHEZZI, F. LISO, Computer e controllo dei lavoratori, in Dir. lav. rel ind., 1986, pp. 362 ss. e R. ROMEI, Commentario breve alle leggi sul lavoro, a cura di M. GRANDI e G. PERA, Padova, Cedam, 2001, pp. 459 ss. 83 Tuttavia, determinati sistemi applicativi e determinati programmi installati all’interno di questo “strumento di lavoro”, possono consentire che il computer si “trasformi” anche in uno strumento di controllo. E’ fuor di dubbio che eventuali programmi volti esclusivamente alla raccolta dei dati relativi alla quantità del lavoro e finalizzati a registrare semplicemente i tempi, le eventuali “pause” e gli orari di “connessione”, implicando un evidente controllo sull’attività lavorativa, rientrano a pieno titolo nel divieto di cui al primo comma dell’articolo 4 della legge n. 300 del 1970. Discorso diverso, invece, è quello relativo a tutti quei programmi che, pur essendo diretti a soddisfare scopi differenti dal mero controllo sull’attività lavorativa, consentono, tuttavia, anche la registrazione di dati attinenti alla prestazione di lavoro (si pensi, ad esempio, alla stessa “memoria” dell’elaboratore). In tale fattispecie, si dovrebbe rientrare nell’ambito di applicazione del secondo comma dell’articolo 4 della norma statutaria160 e, conseguentemente, l’accordo sindacale avrebbe lo 160 Tra le tante pronunce sul tema, vedi Tribunale di Roma, sentenza del 19 gennaio 2010, in Not. giur. lav., 2010, p. 176, che afferma come “tra le apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori possono essere annoverate non tutte le strumentazioni hardware e software che costituiscono strumenti di lavoro e che indirettamente consentono un controllo sul lavoratore, ma solo quelle strumentazioni mirate al controllo che indubbiamente sono vietate dal 1º comma dell’art. 4 l. 20 maggio n. 300 del 1970; le apparecchiature informatiche possono anche potenzialmente trasformarsi in effettivi strumenti di controllo a distanza, spesso occulto, non solo del lavoratore, ma anche della stessa attività e organizzazione produttiva e, quando si verifica tale ipotesi, non può non trovare applicazione il 2º comma dell’art. 4 l. 20 maggio n. 300 del 1970 con necessità di un preventivo controllo sindacale al fine di definire le regole per un uso corretto di Internet e della posta elettronica”. 84 scopo di predisporre le necessarie cautele affinché venga adeguatamente tutelata la riservatezza dei lavoratori161. In applicazione di tali principi, la giurisprudenza ha ritenuto vietati, ove non assistiti dalla apposita e preventiva procedura prevista dal secondo comma dell’articolo 4 dalla legge n. 300 del 1970, i programmi informatici idonei a consentire il monitoraggio sia degli accessi alla rete internet, che della gestione dei sistemi di posta elettronica, nei casi in cui, per le loro caratteristiche, consentano al datore di lavoro di controllare, a distanza ed in via continuativa durante lo svolgimento della prestazione lavorativa, l’attività lavorativa stessa ed il suo contenuto, con il fine di verificare che questa sia svolta diligentemente sotto il profilo del rispetto delle direttive aziendali162. Tuttavia, è necessario rilevare che, accanto a questo orientamento, si è sviluppata anche un’altra, recente, e più “estensiva” interpretazione giurisprudenziale che, nel tracciare i confini dei 161 Cfr. C. TACCONE, Controlli a distanza e nuove tecnologie informatiche, cit., p. 310. 162 Vedi Cass., 23 febbraio 2010 n. 4375, in Riv. giur. lav., 2010, II, p. 462, con nota di A. BELLAVISTA, nella quale, testualmente, si afferma che “i programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi ad Internet sono necessariamente apparecchiature di controllo ai sensi dell’art. 4 della legge nel momento in cui, in ragione delle loro caratteristiche, consentono al datore di lavoro di controllare a distanza ed in via continuativa l’attività lavorativa e se la stessa sia svolta in termini di diligenza e di corretto adempimento sotto il profilo del rispetto delle direttive aziendali” e, nella giurisprudenza di merito, Tribunale di Milano, sentenza del 9 dicembre 2010, in Not. giur. lav., 2011, p. 323, secondo cui “nel caso in cui i dati di collegamento ad Internet siano frutto di accertamento tramite programma interno aziendale in grado di rilevare i termini dei collegamenti ad internet dei dipendenti stessi, è configurabile la violazione dell’art. 4, 2º comma, l. 20 maggio 1970 n. 300, qualora tali rilevazioni non siano state effettuate previo accordo sulle modalità con organismo sindacale o con la direzione provinciale del lavoro e l’organo interno allo stesso ispettivo”. 85 possibili controlli difensivi attuabili tramite l’ausilio dei moderni sistemi informatici, sposta l’attenzione, oltre che sull’attività di fatto controllata e sulle finalità del controllo stesso, sul “momento” in cui avviene l’accertamento. Intendendo, con ciò, il lasso temporale in cui il datore di lavoro effettua, concretamente, il controllo a distanza. E’ stato ritenuto, così, che non rientrerebbero nel campo di applicazione di cui all’articolo 4 della legge n. 300 del 1970 i controlli difensivi che, se pure posti in essere in maniera generalizzata sulle strutture informatiche aziendali, sono compiuti “ex post, ovvero dopo l’attuazione del comportamento addossato al dipendente”, quando siano emersi elementi di fatto tali da suggerire l’avvio di una indagine retrospettiva volta ad accertare l’eventuale compimento dell’attività illecita163. In sostanza, così operando, si assiste ad un notevole ampliamento della nozione di “controllo difensivo”. Rientrerebbero nel novero dei controlli legittimi, infatti, tutti quei controlli che, se pur posti in essere “a distanza” ed idonei a monitorare anche lo svolgimento dell’attività lavorativa svolta dai lavoratori, siano attivati a seguito di un comportamento illecito posto 163 Questo orientamento è stato ribadito, recentemente, da una pronuncia della Suprema Corte di Cassazione che ha affermato come, in tali circostanze, non troverebbero applicazione i divieti e le procedure imposte dall’articolo 4 dello Statuto dei lavoratori poiché il datore di lavoro porrebbe in essere “una attività di controllo sulle strutture informatiche aziendali che prescinde dalla pura e semplice sorveglianza sull' esecuzione della prestazione lavorativa degli addetti ed è, invece, diretta ad accertare la perpetrazione di eventuali comportamenti illeciti … dagli stessi posti in essere. Il c.d. controllo difensivo, in altre parole, non riguarda l' esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, ma era destinato ad accertare un comportamento che poneva in pericolo la stessa immagine dell' Istituto … presso i terzi”, cfr. Cass., 23 febbraio 2012 n. 2722, in Dir. merc. lav., 2012, p. 369, con nota di M. FERRARO. 86 in essere dai dipendenti, quando siano già emersi elementi tali da “raccomandare” l’inizio di una “indagine retrospettiva”. In questa ottica, il controllo a distanza, di per sé illecito, sarebbe giustificato proprio dalla necessità di indagare, in maniera più approfondita, su un determinato comportamento, o su una determinata attività illecita posta in essere dal lavoratore e già parzialmente emersa164. Proprio questo elemento distinguerebbe un legittimo controllo difensivo dalle ipotesi contemplate dall’articolo 4165. Ed infatti, il diritto alla riservatezza del lavoratore sarebbe parzialmente sacrificato proprio dalla necessità di verificare la condotta illecita. Non vi sarebbe, quindi, una mera e generalizzata attività di controllo a distanza e neanche una ragione produttiva o organizzativa da concordare con l’organizzazione sindacale, ma, al contrario, solo la necessita di verificare la reale portata di un comportamento illecito già posto in essere dal lavoratore. La portata, come detto “estensiva”, di tale interpretazione non pare essere in contrasto con la ratio dell’articolo 4. La norma 164 Sul tema, vedi G. GOLISANO, Controllo della posta elettronica e accertamento ex post degli abusi del dipendente, in Riv. giur. lav., 2012, pp. 740 ss. 165 La fattispecie sottesa all’esame della giurisprudenza di legittimità nella citata decisione n. 2722 del 23 febbraio 2012 riguardava un dipendente di un istituto di credito che aveva utilizzato delle informazioni riservate relative ad un cliente della banca divulgandole ad estranei tramite il servizio di posta elettronica aziendale e realizzando operazioni finanziarie da cui aveva tratto dei vantaggi personali. La banca, successivamente, quando erano già emersi degli elementi che avevano suggerito una più approfondita indagine sulla vicenda, aveva disposto degli accertamenti ispettivi, acquisendo il testo dei messaggi di posta elettronica scambiati dal dipendente con soggetti estranei al rapporto di lavoro. Anche sulla base del contenuto di tale corrispondenza, poi, la banca aveva provveduto a licenziare il dipendente. 87 statutaria, infatti, vieta i controlli a distanza proprio nell’ottica di preservare la riservatezza e la dignità dei lavoratori che, viceversa, sarebbero illegittimamente compresse a causa di una attività di vigilanza del tutto anelastica ed invasiva volta proprio a ricercare la possibile commissione di un illecito. Ed invece, laddove l’attività illecita sia già emersa ed in parte individuata, ovviamente non tramite l’ausilio di un’attività di vigilanza “a distanza”, sembrerebbe lecito poter verificare, a ritroso, l’esatta portata, o anche la “prova”, del gesto da sanzionare166. Tuttavia, è bene rilevare che, procedendo in questa maniera, il rischio è quello di demandare la “definitiva” verifica circa la legittimità del controllo ad una valutazione che verrà, necessariamente, svolta in un momento successivo. Ed invero, solamente all’esito dell’accertamento si potrà accertare l’eventuale illecito commesso dal lavoratore e, conseguentemente, la legittimità o meno del controllo datoriale167. 166 In questo senso si è espressa anche parte della giurisprudenza di merito. Tra le altre, vedi Corte d’Appello di L’Aquila, sentenza del 14 dicembre 2006, in Not. giur. lav., 2007, p. 37, che, analizzando un controllo effettuato a posteriori sull’utilizzo del sistema operativo aziendale, afferma come il secondo comma dell’art. 4 della legge n. 300 del 1970 “concerne la sola prestazione lavorativa, esulando dal predetto divieto l’accertamento delle condotte illecite perpetrate dallo stesso lavoratore, e rendendo legittimi i c.d. controlli difensivi; in altri termini, laddove il lavoratore si ponga, per così dire, al di fuori del contratto di lavoro attuando condotte vietate, legittimamente lo stesso può essere soggetto al potere di controllo del datore”. E anche Tribunale di Teramo, sentenza del 12 maggio 2006, in Not. giur. lav., 2006, p. 345, secondo cui, in caso di condotte illecite del lavoratore, “non configura un controllo a distanza ex art. 4 l. n. 300 del 1970 la verifica effettuata a posteriori sull’utilizzo del sistema informatico dell’azienda, sistema che, per sua stessa natura, come tutti i sistemi informatici, presenta una intrinseca idoneità alla registrazione, e quindi alla verifica a ritroso delle attività svolte”. 88 Pertanto, seguendo tale schema, il disposto dell’articolo 4 dello Statuto dei lavoratori, da regola “preventiva” sulla possibilità di effettuare controlli, si trasformerebbe in regola idonea a disciplinare “elementi di cui il datore di lavoro viene a conoscenza solo dopo aver effettuato il controllo medesimo”168. 167 T. ERBOLI, Legittimità dei controlli difensivi e regime di utilizzabilità delle prove, in Arg. dir. lav.,2012, p. 143. 168 L. NOGLER, Sulle contraddizioni logiche della Cassazione in tema di diritto alla riservatezza del lavoratore subordinato, in Resp. Civ. prev., 1998, p. 125. 89 3. La teoria fondata sulla “proprietà” degli strumenti di lavoro Nell’esaminare l’approccio seguito dalla giurisprudenza nel contemperare gli opposti interessi che emergono nell’ambito del contesto lavorativo, suscita particolare interesse la teoria che si fonda sulla proprietà degli strumenti utilizzati169. La tesi, che nasce e si sviluppa principalmente nell’ambito della giurisprudenza penale170, nell’esaminare i confini che delimitano i possibili controlli legittimi posti in essere dal datore di lavoro, pone l’accento sulla proprietà dei mezzi utilizzati dal lavoratore per svolgere la propria prestazione lavorativa e sui fini stessi per i quali tali strumenti vengono affidati in uso ai dipendenti dell’azienda171. Secondo tale orientamento, nelle ipotesi in cui gli strumenti di lavoro, come ad esempio un personal computer, vengono concessi al lavoratore con il solo ed unico scopo di adempiere alla prestazione lavorativa, con un espresso e categorico divieto di poterne fare qualsiasi utilizzo “personale”, tali strumenti dovrebbero essere considerati come dei “meri strumenti di lavoro”172 che, rientrando 169 Sul tema, in dottrina, vedi M. DEL CONTE, Internet, posta elettronica e oltre: il Garante della privacy rimodula i poteri del datore di lavoro, cit., pp. 497 ss. e S. MAINARDI, Il potere disciplinare nel lavoro privato e pubblico, in P. SCHLESINGER (a cura di), Commentario al codice civile, Milano, Giuffrè, 2002. 170 Cfr. Tribunale di Milano, 10 maggio 2012, in Dir. e giust., p. 58, con nota di V. PEZZELLA e Tribunale di Torino, 20 giugno 2006, in Merit., 2006, p. 55, con nota di A. SORGATO. 171 Nella citata sentenza del 10 maggio 2002, il Tribunale di Milano ha ritenuto che la condotta del datore di lavoro che, all’insaputa del lavoratore, controlla la sua posta elettronica non integrerebbe gli estremi del reato di violazione della corrispondenza di cui all’art. 616, primo comma, Cod. Pen. 90 nella disponibilità e nella proprietà del datore di lavoro, consentirebbero qualsiasi controllo sull’utilizzo fattone dai dipendenti. Il lavoratore non sarebbe titolare di un diritto esclusivo all’utilizzazione di tali apparecchiature e, pertanto, si esporrebbe al rischio, accettandolo, che altri lavoratori, o il datore di lavoro stesso, possano far uso, per motivi connessi con lo svolgimento del lavoro, delle sue stesse strumentazioni173, eventualmente anche osservando le attività da lui precedentemente poste in essere174. La compressione della sua “sfera privata” e della sua privacy, pertanto, sarebbero insite nelle modalità di svolgimento dell’attività lavorativa e, in un certo qual modo, implicitamente accettate dal lavoratore stesso. Tali argomentazioni, tradotte in ambito lavoristico, comporterebbero la legittimità di tutti i controlli effettuati sulle strumentazioni informatiche affidate in uso ai lavoratori per esclusive finalità professionali. Controlli che, secondo tale ragionamento, non incorrerebbero neanche nei divieti posti dagli articoli 4 e 8 dello Statuto dei lavoratori175. 172 M. DEL CONTE, Internet, posta elettronica e oltre: il Garante della privacy rimodula i poteri del datore di lavoro, cit., p. 507. 173 Sia internet, che i sistemi di posta elettronica sono degli “strumenti” messi a disposizione dei singoli lavoratori e, rispetto ad essi, “il lavoratore si espone al rischio che anche altri della medesima azienda possano lecitamente accedere alla casella in suo uso non esclusivo e leggerne i relativi messaggi in entrata ed in uscita ivi contenuti”, cfr. ancora Trib. Milano, 10 maggio 2002. 174 Anche lo scopo della password non sarebbe quello di “proteggere la segretezza dei dati personali custoditi negli strumenti posti a disposizione del singolo lavoratore, bensì solo quello di impedire che ai suddetti strumenti possano accedere anche persone estranee alla società”, cfr. Trib. Torino, 20 giugno 2006, cit. 91 Il lavoratore, pertanto, nel momento in cui, per svolgere la propria prestazione lavorativa, accetta di usufruire degli strumenti messi a sua disposizione dal datore di lavoro, acconsentirebbe ad una lecita compressione del suo diritto alla riservatezza, dando per scontato che tali apparecchiature, di proprietà del datore di lavoro, non solo non consentano, ma, addirittura, escludano a priori la possibile tutela della sua sfera privata. Di conseguenza, non sarebbe neanche necessario “indagare” sulla finalità del controllo, sul momento, o sul motivo per il quale questo viene attuato. L’unico presupposto per sancire la legittimità del controllo, infatti, sarebbe costituito dalla preventiva comunicazione ai lavoratori in ordine al divieto di effettuare qualsiasi utilizzo personale degli strumenti stessi. Tuttavia, tale interpretazione si scontra inevitabilmente con il dettato normativo, che, vietando l’utilizzazione di qualsiasi apparecchiatura per finalità di controllo a distanza dell’attività lavorativa, non contiene alcun riferimento alla proprietà o meno delle strumentazioni utilizzate dai lavoratori, o ai motivi per i quali queste vengono affidate in uso. Ne deriva che, anche a prescindere dalla specifica tutela apprestata dalla normativa generale in materia di privacy, una 175 Cfr. Tribunale di Perugia, ordinanza del 20 febbraio 2006, in Dir. inf. e inf., 2007, p. 200, con nota di G. B. GALLUS. Nel caso posto all’esame del Tribunale di Perugia, ove vi era stato un precedente accordo con le rappresentanze sindacali ai sensi del secondo comma dell’art. 4, legge n. 300 del 1970, è stato ritenuto legittimo un controllo effettuato sul numero e sulla durata degli accessi ad internet effettuato su un lavoratore con lo scopo di verificare un eventuale abuso nell’utilizzo degli strumenti aziendali. 92 interpretazione del genere risulta chiaramente in contrasto con il dettato normativo contenuto nello Statuto dei lavoratori. Accedendo a tale tesi interpretativa, infatti, il bilanciamento dei contrapposti interessi risulterebbe gravemente compresso, riconoscendo la legittimità di qualsiasi controllo operato dal datore di lavoro e negando qualsiasi rilevanza al diritto dei lavoratori alla tutela della loro riservatezza. Diritto che le norme statutarie, proprio tenendo conto del particolare contesto in cui si svolge l’attività lavorativa, mirano a salvaguardare176. 176 Cfr. M. PAISSAN, E-mail e navigazione in internet: le linee del Garante, cit., pp. 15 ss. 93 CAPITOLO IV Il possibile contemperamento dei contrapposti interessi 1. Il principio di correttezza e la “decadenza” dal diritto alla privacy Dall’analisi svolta, emerge un quadro normativo notevolmente complesso. Si è visto che, nell’ambito della giurisprudenza, anche se con significative oscillazioni, si sono fatti rilevanti sforzi per superare una acritica lettura degli artt. 4 e 8 dello Statuto dei lavoratori e per adeguare tale normativa alle esigenze del datore di lavoro e della produzione, anche perché, con l’apertura dei mercati, il nostro sistema economico sempre più risente della concorrenza di modelli esteri che si muovono in realtà produttive che presentano minori vincoli. Analogo sforzo non sembra ravvisabile da parte dell’Organismo che, in prima battuta, è chiamato ad interpretare il codice della tutela della privacy, il quale, nella genesi della sua prima formulazione, rappresentata dalla più volte citata legge n. 675 del 1996, aveva, persino nell’atto fondativo che ne imponeva l’adozione costituito dalla direttiva 95/46/CE, ben impressa anche l’esigenza di determinare una soglia comune di trattamento dei dati ai fini dello sviluppo del mercato interno. La specifica e settoriale disciplina dettata dalle norme dello Statuto dei lavoratori appare, quindi, in diverse circostanze, 94 difficilmente coordinabile, se non addirittura in contrasto, con la lettura che delle disposizioni dettate dalla disciplina generale prevista in materia di privacy177 viene data dall’autorità. Tale difficoltà di coordinamento risulta di tutta evidenza, come si è precisato, nelle stesse decisioni e negli stessi orientamenti espressi dai principali interpreti di questo dato normativo178. Assistiamo, infatti, da un lato, alle indicazioni fornite dall’Autorità garante, che, muovendo dalla puntuale e rigida applicazione delle norme contenute nel codice della privacy e ritenendo il diritto alla riservatezza nel contesto lavorativo alla stregua di un “diritto assoluto” dinanzi al quale poter “immolare” qualsiasi possibilità di interferenza datoriale, pone delle evidenti e talvolta eccessive limitazioni ai poteri organizzativi del datore di lavoro179. Dall’altro lato, invece, si registrano diversi orientamenti della giurisprudenza, sia di legittimità, che di merito, che, muovendo da una diversa concezione dei contrapposti interessi, finiscono per ampliare notevolmente il novero dei possibili e legittimi comportamenti datoriali. E ciò anche con la conseguenza di una minore tutela della riservatezza all’interno del contesto lavorativo180. 177 Sull’argomento, vedi S. P. EMILIANI, Potere disciplinare e protezione dei dati personali, in Arg. dir, lav., 2007, pp. 630 ss. 178 Cfr. L. PERINA, L’evoluzione della giurisprudenza e dei provvedimenti del garante in materia di protezione dei dati personali dei lavoratori subordinati, cit., p. 327. 179 Ancora L. PERINA, L’evoluzione della giurisprudenza e dei provvedimenti del garante in materia di protezione dei dati personali dei lavoratori subordinati, cit., p. 309. 180 Vedi C. TACCONE, Controlli a distanza e nuove tecnologie informatiche, cit., p. 310. 95 Abbiamo visto come alla rigida procedimentalizzazione costantemente imposta nelle decisioni dell’Autorità garante si contrappongono orientamenti giurisprudenziali volti a consentire decisi interventi nella sfera personale e privata dei lavoratori181. O ancora, come alla tutela di posizioni soggettive scarsamente difendibili, affermata in ragione del rispetto delle norme contenute nel decreto legislativo n. 196 del 2003182, venga contrapposta una estensiva applicazione delle norme statutarie, realizzata anche tramite la “creazione” di apposite categorie concettuali183. Tuttavia, a ben vedere, tali difformità interpretative derivano principalmente proprio del differente approccio alla materia, operato avendo come principale e pressoché esclusivo punto di riferimento o le norme contenute nel codice della privacy, come avviene nelle decisioni rese dall’Autorità garante, o le norme statutarie, come si registra nelle pur non univoche pronunce giurisprudenziali. Senonché, l’apparente “conflitto” esistente tra le due discipline, o, meglio, nell’applicazione delle due discipline, sembra potersi risolvere muovendo da un’analisi non settoriale, ma complessiva dei due impianti normativi e, soprattutto, traendo spunto dagli stessi principi generali espressi dall’ordinamento. In tal modo, oltre che riuscire ad “armonizzare” gli impianti normativi, sembra potersi raggiungere anche un ragionevole e 181 T. ERBOLI, Legittimità dei controlli difensivi e regime di utilizzabilità delle prove, in Arg. dir. lav.,2012, p. 143. 182 Cfr. Provvedimento del Garante per la protezione dei dati personali del 14 febbraio 2006. 183 Cfr. Cass., 3 aprile 2002 n. 4746, cit. 96 “coerente” bilanciamento tra la tutela delle esigenze di carattere aziendale e la salvaguardia del diritto alla riservatezza dei lavoratori. In questa ottica, il punto di indagine primario dovrebbe essere costituito dal dettato dell’articolo 1175 del Codice Civile, norma che esclude la tutela giuridica nell’ipotesi in cui questa sia correlata ad un pregresso comportamento “antidoveroso”184 precedentemente posto in essere da colui che la richiede185. Pertanto, posto che la “violazione” della richiamata disposizione comporta, a seconda del contesto in cui si inserisce, la perdita stessa del diritto vantato, o, comunque, l’improcedibilità della relativa eccezione186, nel caso che qui occupa dal comportamento illecito posto in essere dal lavoratore discenderebbe la “decadenza” dal diritto alla privacy. O, meglio, la decadenza dalla possibilità di poter apporre le norme ed i meccanismi previsti dal decreto legislativo n. 196 del 2003 a tutela del comportamento “antidoveroso” precedentemente posto in essere. In questo caso, infatti, le disposizioni contenute nel decreto legislativo n. 196 del 2003, più che tutelare la riservatezza del lavoratore, opererebbero a tutela di un atto illecito. 184 Tribunale di Torino, sentenza dell’8 gennaio 2008, in Arg. dir. lav., 2008, p. 1265. 185 Sul tema, L. NANNI, La buona fede contrattuale, Padova, Cedam, 1988, p. 547, che afferma: “una parte non può esercitare il suo diritto, o comunque, invocare una disposizione ad essa favorevole, quando ciò sia in contraddizione con un comportamento da essa tenuto in precedenza nel corso dell’esecuzione del rapporto” e F. FESTI, Il divieto di «venire contro il fatto proprio», Milano, Giuffrè, 2007. . 186 Vedi Cass., 11 dicembre 2000 n. 15592, in Giust. civ., 2001, I, p. 2439, con nota di M. COSTANZA. 97 Risultato, questo, non solo irrazionale da un punto di vista meramente “sostanziale”, ma che, a ben vedere, pare essere scongiurato anche da specifiche disposizioni contenute nelle due discipline che qui interessano. E’ in questa ottica, infatti, che, senza operare eccessive “forzature”, andrebbe letto il disposto dell’articolo 4 dello statuto dei lavoratori ed in cui si inserisce anche il disposto dell’articolo 24 del codice della privacy. La prima norma, come visto, nel vietare l' uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell' attività dei lavoratori, non impedisce, con i limiti e le “accortezze” di cui si è detto, un controllo mirato non “sul lavoro”, ma su eventuali comportamenti illeciti del lavoratore. L’articolo 24 del decreto legislativo n. 196 del 2003, prevedendo che il trattamento dei dati personali può essere effettuato senza il consenso dell’interessato quando ciò sia necessario “per far valere o difendere un diritto in sede giudiziaria”187, rappresenta la 187 L’art. 24 del d.lgs. n. 196 del 2003 prevede che il consenso non è richiesto quando il trattamento: “a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l' interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell' interessato; c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale; e) è necessario per la salvaguardia della vita o dell' incolumità fisica di un terzo. Se la medesima finalità riguarda l' interessato e quest' ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità 98 norma di chiusura del sistema, idonea a garantire la legittimità dei controlli effettivamente difensivi posti in essere dal datore di lavoro e, più in generale, di determinate e giustificate “invasioni” nella sfera personale dei lavoratori. di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l' interessato. Si applica la disposizione di cui all' articolo 82, comma 2; f) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale; g) con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell' interessato; h) con esclusione della comunicazione all' esterno e della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall' atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all' atto dell' informativa ai sensi dell' articolo 13; i) è necessario, in conformità ai rispettivi codici di deontologia di cui all' allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell' articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati; i-bis) riguarda dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis; i-ter) con esclusione della diffusione e fatto salvo quanto previsto dall’articolo 130 del presente codice, riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all' articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13”. 99 In tale contesto, la “coerenza dell’ordinamento”188 risiederebbe proprio in un sistema capace di preservare, efficacemente, la sfera privata e personale del lavoratore, ma che, allo stesso tempo, sia anche idoneo ad evitare che le tutele apprestate si possano tramutare in una illogica difesa di posizioni dolosamente illecite189. 188 T. ERBOLI, Legittimità dei controlli difensivi e regime di utilizzabilità delle prove, cit., p. 145. 189 A. STANCHI, Apparecchiature di controllo, strumenti di comunicazione elettronica e controlli difensivi del datore di lavoro, in Lav. giur., 2008, pp. 350 ss. 100 2. L’utilizzabilità delle prove raccolte in violazione della disciplina sulla privacy Risolto in questi termini, su un piano sostanziale, il possibile contemperamento dei contrapposti interessi tutelati e presi a riferimento dalle discipline legali, l’indagine deve necessariamente spostarsi su una prospettiva meramente processuale190. Strettamente connesso al problema delle possibili e lecite ingerenze datoriali nella privacy dei lavoratori, infatti, è quello relativo al regime di utilizzabilità delle risultanze probatorie afferenti alla “persona” del lavoratore191. Orbene, nell’ordinamento processuale civile non esistono divieti probatori di carattere generale che impediscano alla parte di produrre, o che impongano al giudice di espungere dal giudizio, le prove, precostituite, di natura illecita192. Ed infatti, un “divieto” del genere è rinvenibile solamente nell’ambito del processo penale, ove è sancito il principio per cui le prove acquisite in violazione dei divieti stabiliti dalla legge “non possono essere utilizzate”193. Peraltro, anche in ambito penalistico, tale regola è ritenuta priva di rilevanza autonoma, ma avente un mero carattere sanzionatorio, il cui contenuto deve essere necessariamente letto in 190 M. TARUFFO, La prova dei fatti giuridici, in Trattato di diritto civile e commerciale, vol. III, tomo II, Milano, Giuffrè, 1992. 191 Sul tema, vedi T. ERBOLI, Legittimità dei controlli difensivi e regime di utilizzabilità delle prove, cit., p. 143. 192 Vedi A. CECCARINI, La prova documentale nel processo civile, Milano, Giuffrè, 2006. 193 Cfr. art. 191, primo comma, Cod. Proc. Pen. 101 correlazione ad altre norme processuali contenenti le singole e specifiche ipotesi di inutilizzabilità delle prove194. Inoltre, l’enunciato in essa contenuto fa riferimento a divieti probatori previsti dalla stessa legge processuale e non a ipotesi di “generica” illiceità. Ragion per cui non sarebbe, comunque, sufficiente a realizzarne il presupposto la violazione, al momento di acquisizione della prova, di “norme appartenenti ad altra sfera dell’ordinamento”195. Ne deriva che, nell’ambito del processo penale, le prove precostituite, illecitamente apprese, con la sola esclusione degli specifici divieti contemplati nella stessa legge processuale penale, sono ritenute ammissibili196. Fatta salva, ovviamente, l’eventuale applicazione delle sanzioni previste a carico di colui che, in tal modo, trasgredisca “altri” divieti previsti dall’ordinamento. Del resto, è proprio in questi termini che anche la giurisprudenza di legittimità ha risolto, in ambito penalistico, la questione relativa all’utilizzabilità “processuale” dei dati raccolti in violazione della specifica normativa posta a tutela della riservatezza dei lavoratori197. 194 Vedi, ad esempio, gli articoli 197, 203, 234 o 254 del Codice di Procedura Penale. Sul punto, AA. VV., Compendio di procedura penale, Padova, Cedam, 2003, p. 305, ove si afferma che l’art. 191 Cod. Proc. Pen. “si configura come norma generale di previsione della sanzione dell’inutilizzabilità, destinata a combinarsi con tutte le svariate disposizioni che, pur sancendo un divieto probatorio … non prevedono alcun riflesso sanzionatorio per l’ipotesi della sua trasgressione”. 195 Tribunale di Torino, sentenza dell’8 gennaio 2008, in Arg. dir. lav., 2008, p. 1265. 196 Vedi, A. SCELLA, Prove penali e inutilizzabilità. Uno studio introduttivo, Torino, Giappichelli, 2000. 102 Ed infatti, nell’ipotesi di controllo difensivo in cui il materiale probatorio sia stato acquisito in violazione delle specifica normativa in tema di privacy, o violando i precetti impartiti dalle norme statutarie (si pensi al caso del controllo preterintenzionale attuato senza la previa attuazione della procedura prevista dall’articolo 4, secondo comma, della legge n. 300 del 1970) le prove sono ritenute, comunque, utilizzabili. E ciò anche perché, laddove non si sia verificata una lesione di “diritti costituzionalmente garantiti”, deve ritenersi prevalente, rispetto al diritto alla riservatezza, “l’esigenza di ordine pubblico relativa alla prevenzione dei reati”198. Un risultato analogo pare poter essere applicato, in relazione ai controlli difensivi, anche in ambito civilistico, dove, come detto, neanche è presente una regola “omnicomprensiva” e generale che imponga al giudice di espungere dal giudizio le prove precostituite illecite. Ciò comporterebbe la irrilevanza, da un punto di vista “processuale”, del fatto materiale che ha consentito ad una parte di entrare in possesso della prova precostituita. O, meglio, la rimessione al libero apprezzamento del giudice della valutazione in merito alle risultanze “probatorie” non autorizzate199. 197 T. ERBOLI, Legittimità dei controlli difensivi e regime di utilizzabilità delle prove, cit., p. 143. 198 Cass. pen., 25 novembre 2009, n. 47429, in Dir. prat. lav., 2010, p. 451, ove si afferma ch “anche se la installazione delle telecamere non è stata preceduta dall’iter descritto dal comma 2 dell’art. 4, tuttavia, tale violazione ha rilievo meramente civilistico, ma non inficia la possibilità di valutare, quale elemento probatorio, nel processo penale, la videoripresa”. Negli stessi termini, tra le tante, anche Cass. pen., 26 marzo 2008 n. 25594, in Dir. prat. lav., 2009, p. 316. 199 Ancora T. ERBOLI, Legittimità dei controlli difensivi e regime di utilizzabilità delle prove, cit., p. 145. 103 Fermo restando, anche in tal caso, il differente profilo, estraneo, però, al giudizio in cui la prova è prodotta, relativo all’eventuale responsabilità da fatto illecito a carico dell’autore dell’acquisizione “incriminata”200. Ed infatti, è esclusivamente nell’ambito del sistema processuale civile che vanno rintracciate le regole di “esclusione probatoria”, volte ad eliminare, dal processo, le prove precostituite apprese in violazione di altri diritti tutelati, senza possibilità alcuna di poterle rintracciare in ambiti diversi ed ulteriori. Pertanto, adattando questi principi all’oggetto dell’analisi, si può affermare che anche i dati attinenti alla sfera personale del lavoratore, pur se in ipotesi acquisiti in violazione della disciplina e delle procedure previste a tutela della privacy, potrebbero essere, in determinate fattispecie, utilizzabili201 da un punto di vista “processuale”202. 200 Ancora Tribunale di Torino, sentenza dell’8 gennaio 2008, cit., dove viene anche rilevato che la presunta illiceità della prova, “asserita da una parte del giudizio, potrebbe … essere contestata dall’altra o comunque presentarsi, di fronte al giudice, del tutto dubbia e obiettivamente controversa”. Ma anche Tribunale di Bari, 16 febbraio 2007, in Merit., 2007, secondo cui “siccome nel processo civile non esiste un divieto di utilizzo e siccome nel campo delle prove precostituite i momenti di illiceità sono tutti di natura preprocessuale, un documento illecitamente ottenuto in danno della parte avversa o fuori delle condizioni di legge è comunque utilizzabile come prova, salve le conseguenza extraprocessuali civili e penali, del comportamento illecito che si è consumato”. 201 V. FERRANTE, Competenze dell’Autorità garante e controlli difensivi, cit., p. 1157. 202 Tribunale di Torino, sentenza dell’8 gennaio 2008, cit., ove si afferma che, per poter ottenere un risultato diverso, e, cioè, per poter ritenere processualmente inutilizzabili questo genere di prove, sarebbe necessaria “la presenza, nell’ordinamento processuale civile, di una specifica regola di esclusione probatoria, quale quella ad esempio enunciata nell’art. 222 Cod. Proc. Civ. 104 Del resto, questa conclusione sembra avvalorata anche da alcune specifiche disposizioni presenti nel decreto legislativo n. 196 del 2003. Si consideri, al riguardo, che il sesto comma dell’articolo 160 del codice della privacy prevede espressamente come “la validità, l’efficacia e l’utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali non conforme a disposizioni di legge o di regolamento restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale”, mentre l’articolo 47 della stessa legge stabilisce che, “in caso di trattamento di dati personali effettuato presso uffici giudiziari di ogni ordine e grado, presso il Consiglio superiore della magistratura, gli altri organi di autogoverno e il Ministero della giustizia, non si applicano, se il trattamento è effettuato per ragioni di giustizia, le seguenti disposizioni del codice: a) articoli 9, 10, 12, 13 e 16, da 18 a 22, 37, 38, commi da 1 a 5, e da 39 a 45; b) articoli da145 a 151”203. Tali disposizioni confermano, pertanto, come la sanzione della inutilizzabilità dei dati personali reperiti in violazione della disciplina normativa in materia di privacy è riferita esclusivamente ai soli (inutilizzabilità di documento, ove, proposta la querela di falso, la parte dichiari di non volersene avvalere) o che si ricava dall’art. 216 Cod. Proc. Civ. (inutilizzabilità di scrittura privata disconosciuta, non seguita da richiesta di verificazione) che però, allo stato, non esiste”. 203 Articoli, questi, che regolano, tra l’altro, il “riscontro dell’interessato” al trattamento dei dati (art. 10), i “codici di deontologia e di buona condotta” (art. 12), l’“informativa” (art. 13), la “cessazione del trattamento” (art. 16), i “principi applicabili al trattamento di dati sensibili” (art. 20), la “notificazione del trattamento” (art. 37), gli “obblighi di comunicazione” (art. 39), le “autorizzazioni generali” (art. 40) e le “richieste di autorizzazione” (art. 41). 105 destinatari delle prescrizioni contenute nel decreto legislativo n. 196 del 2003 e non si converte automaticamente in un divieto probatorio nei confronti dell’organo giudicante. E ciò anche nel caso in cui, nel corso del processo, vengano prodotti documenti basati proprio su di un trattamento di dati personali non conforme a disposizioni di legge. Risultato, questo, del tutto logico e coerente laddove si consideri che la giurisdizione, per le finalità che persegue e per la rilevanza che le attribuisce la stessa Carta costituzionale, si colloca in una posizione tale da rendere, nei suoi confronti, inapplicabili sia i vincoli che i limiti previsti dalle disposizioni contenute nel codice della privacy. Previsioni, queste, “che non hanno né possono avere come destinatario il giudice, sotto pena di veder vanificato l’accertamento processuale e frustrare le esigenze di giustizia cui esso mira”204. Particolarmente significativa, al riguardo è una recente sentenza delle Sezioni Unite della Suprema Corte di Cassazione nella quale si afferma che “in tema di protezione dei dati personali, non costituisce violazione della relativa disciplina il loro utilizzo mediante lo svolgimento di attività processuale giacché detta disciplina non trova applicazione in via generale, ai sensi degli artt. 7, 24 e 46-47 del d.lgs n. 193 del 2003 (cd. codice della privacy), quando i dati stessi vengano raccolti e gestiti nell’ambito di un processo; in esso, infatti, la titolarità del trattamento spetta all’autorità giudiziaria e in tal sede vanno composte le diverse esigenze, rispettivamente, di tutela della riservatezza e di corretta esecuzione del processo, per cui, se non 204 Tribunale di Torino, sentenza dell’8 gennaio 2008, cit. 106 coincidenti, è il codice di rito a regolare le modalità di svolgimento in giudizio del diritto di difesa e dunque, con le sue forme, a prevalere in quanto contenente disposizioni speciali e, benché anteriori, non suscettibili di alcuna integrazione su quelle del predetto codice della privacy”205. 205 Cass., 8 febbraio 2011 n. n. 3034, in Not. giur. lav., 2011, p. 388. Principio affermato dalla Suprema Corte con riguardo alla condotta della parte che aveva operato nel rispetto delle norme di cui agli artt. 76, 134 e 137 cod. proc. Civ. e 95 disp. Att. Cod. proc. Civ., notificando l’ordine di esibizione dato dal giudice istruttore ed alcuni verbali d’udienza in collegamento con lo stesso ordine, anche in assenza del consenso del titolare dei dati riportati nei predetti atti. 107 3. L’incidenza dei provvedimenti adottati dall’Autorità garante nell’ambito del processo civile Ricostruita, in questi termini, la “sorte” processuale dei dati attinenti alla sfera personale del lavoratore (e ciò anche quando questi siano stati appresi in violazione della disciplina a tutela della privacy), è necessario analizzare il differente profilo relativo al valore ed all’incidenza da attribuire ai provvedimenti resi dall’Autorità garante nell’ambito della tutela giurisdizionale. E’ necessario capire, in sostanza, se, dinanzi ad un preventivo provvedimento dell’Autorità garante che vieti il trattamento dei dati, questi possano essere ugualmente “utilizzati” da una delle parti nell’ambito di un processo civile e liberamente valutati dal giudice. O se, al contrario, anche l’organo giurisdizionale debba necessariamente attenersi alla precedente pronuncia resa dal Garante e, conseguentemente, “cancellare” dal processo i dati che, a giudizio dell’autorità amministrativa, siano stati illegittimamente trattati206. Per rimanere ai casi precedentemente analizzati207, il problema è quello di capire se, successivamente alla decisione del Garante che vieta il “trattamento”208 dei dati del lavoratore, i file contenuti nel computer aziendale, il dettaglio delle telefonate effettuate, o le video riprese comprovanti il comportamento “illecito” possano o meno entrare nel processo e divenire materiale probatorio. 206 Cfr., sul punto, D. IARUSSI, L’utilizzabilità delle prove acquisite a sostegno del licenziamento disciplinare: tra potere datoriale (e del giudice) e diritto alla riservatezza del lavoratore, in Arg. dir. lav., 2008, pp. 1275 ss. 207 Vedi capitolo II che precede. 208 Cfr. Provvedimenti del Garante per la protezione dei dati personali del 14 febbraio 2006, del 18 maggio 2006, del 2 aprile 2008 e del 2 aprile 2009. 108 Per poter tentare di dare una risposta al problema, è necessario, anzitutto, definire il ruolo e la portata dei provvedimenti resi dall’Autorità garante. A tal proposito, come visto in precedenza, va ribadito che il “ruolo” demandato al Garante non è, né potrebbe essere, quello di valutare i “comportamenti” posti in essere dal datore di lavoro, ma, semplicemente, quello di giudicare la legittimità del trattamento dei dati personali effettuato. Ruolo che l’Autorità garante svolge tramite una funzione di mera “vigilanza amministrativa”209. Del resto, come visto, riconoscere al Garante una natura giurisdizionale risulterebbe in chiaro ed evidente contrasto, oltre che con la legge che ha istituito questa figura, con il precetto contenuto nel secondo coma dell’articolo 102 della nostra Costituzione210. Pertanto, da tale “natura” attribuibile all’Autorità garante ed ai provvedimenti da questa adottati, discende, anzitutto, che l’organo giurisdizionale non può in alcun caso considerarsi “vincolato” alle disposizioni precedentemente rese dall’Autorità amministrativa211. Inoltre, da tale classificazione, deriva anche che l’organo giudiziario, nel decidere il caso concreto, ha il potere di disapplicare i provvedimenti adottati dall’Autorità garante212. 209 V. FERRANTE, Competenze dell’Autorità garante e controlli difensivi, cit., p. 1155. 210 Vedi, sul punto, Cass., 20 maggio 2002 n. 7341, in Guid. Dir., 2002, p. 28, con nota di M. CLARICH. 211 Vedi, ad esempio, Tribunale di Torino, sentenza dell’8 gennaio 2008, cit., confermata dalla Corte d’Appello di Torino, a quanto consta, inedita, che ha “disapplicato”, ritenendolo “illegittimo” il provvedimento dell’Autorità garante del 18 maggio 2006 di cui si è parlato nel capitolo III che precede. 109 Potere, questo, rintracciabile nel disposto degli articoli 4 e 5 della legge n. 2248 del 1865, i quali, come noto, prevedono che il giudice ordinario, in ogni caso in cui il diritto fatto valere in giudizio trovi la sua fonte, diretta o indiretta, in un atto amministrativo, ha l' obbligo213 di verificarne, incidenter tantum, la legittimità e di pronunciare la disapplicazione dell' atto stesso ove ne accerti l' illegittimità214. Per il principio della separatezza dei poteri, infatti, la decisione di natura amministrativa non può invadere i confini demandati alla giurisdizione ordinaria. Limite, questo, di cui la stessa Autorità garante “sembra consapevole” 215. 212 D. IARUSSI, L’utilizzabilità delle prove acquisite a sostegno del licenziamento disciplinare: tra potere datoriale (e del giudice) e diritto alla riservatezza del lavoratore, in Arg. dir. lav., 2008, pp. 1275 ss. 213 Cfr., tra le tante, Cass., 11 luglio 1981 n. 4526, in Mass., 1981. 214 F. CINTIOLI, Giurisdizione amministrativa e disapplicazione dell’atto amministrativo, in Dir. amm., 2003, fasc. I, p. 45, secondo cui: “la disapplicazione è nata nel 1865 come espressione del moderno Stato liberale e come istituto di garanzia della disapplicazione dell’atto illegittimo. Sicché l’amministrazione poteva spiegare la sua autorità solo se le norme di diritto pubblico fossero state rispettate, mentre in caso contrario l’illegittimità dell’atto avrebbe aperto il varco ad una tutela giurisdizionale di tipo ordinario, da non confondere con i rimedi amministrativi, se del caso basata sulla protezione risarcitoria. L’espansione dello Stato sociale e la varietà dei nuovi interessi hanno però presto svelato l’insufficienza di questa garanzia ed alla lacuna si pose rimedio con l’istituzione della IV sezione del Consiglio di Stato e con la nuova tutela di annullamento degli atti illegittimi. Dunque, nel breve volgere dal 1865 al 1889 la disapplicazione, nata come conquista di civiltà liberale e democratica, si è trasformata in una forma di tutela «minore». Gli studi degli anni ’50 e ’60 hanno poi rivalutato le possibilità della disapplicazione, questa volta come istituto da importare nel processo amministrativo ed, ironia della sorte, essa nella storia più recente ha assunto le vesti di una tutela avanzata della pretesa, invocata per superare le strettoie del termine di decadenza e addirittura per assicurare una giustizia effettiva ai diritti comunitari”. 110 Posto che, come visto, nei casi in cui individua una violazione della disciplina a tutela della privacy, si limita, nelle sue decisioni, a vietare il trattamento “ulteriore” dei dati, senza, però, nulla disporre per il pregresso216. 215 D. IARUSSI, L’utilizzabilità delle prove acquisite a sostegno del licenziamento disciplinare: tra potere datoriale (e del giudice) e diritto alla riservatezza del lavoratore, cit., p. 1280. L’Autore rileva che, se la disciplina sulla privacy potesse avere la funzione di modificare anche il regime probatorio, si arriverebbe al paradosso per cui “nei procedimenti penali l’imputato sarebbe legittimato a rivolgersi alla Autorità garante ogni qual volta sorgesse una questione circa la liceità dei sistemi di investigazione”. 216 Vedi V. FERRANTE, Competenze dell’Autorità garante e controlli difensivi, cit., p. 1158 che osserva come, in questi casi, il comportamento del datore di lavoro potrebbe anche non configurarsi come un vero e proprio “trattamento di dati”. Ed infatti, l’utilizzo che ne verrebbe fatto sarebbe “sostanzialmente istantaneo; la loro conservazione non mira ad altro che a giustificare il licenziamento che si intima al lavoratore”. 111 112 BIBLIOGRAFIA AA. VV., Il Codice in materia di protezione dei dati personali, a cura di J. MONDUCCI e G. SARTOR, Padova, Cedam, 2004. AA. VV., La nuova disciplina della privacy, commentario diretto da S. SICA E P. STANZIONE, Bologna, Zanichelli, 2004. AA. VV., Compendio di procedura penale, Padova, Cedam, 2003. M. AIMO, Appunti sul diritto di critica del lavoratore: la legge sulla privacy e lo Statuto dei lavoratori, in Contr. impr. eur., 1998, pp. 426 ss. M. AIMO, Privacy, libertà di espressione e rapporto di lavoro, Napoli, Jovene, 2003. C. ASSANTI, G. PERA, Commento allo statuto dei diritti dei lavoratori, Padova, Cedam, 1972. A. BALDASSARRE, Diritti della persona e valori costituzionali, Torino, Giappichelli, 1997. A. BARBERA, Commento all’art. 2 della Costituzione, in G. BRANCA (a cura di), Commentario alla Costituzione, Bologna-Roma, Zanichelli, 1975. 113 E. BARRACO, A. SITZIA, La tutela della privacy nei rapporti di lavoro, in Monografie di diritto del lavoro, dirette da M. MISCIONE, Roma, Ipsoa, 2008. E. BARRACO, A. SITZIA, Un de profundis per i «controlli difensivi» del datore di lavoro?, in Lav. giur., 2013, pp. 385 ss. A. BELLAVISTA, Controlli elettronici e art. 4 dello Statuto dei lavoratori, in Riv. it. dir. lav., 2005, pp. 272 ss. A. BELLAVISTA, Il controllo sui lavoratori, Torino, Giappichelli, 1995. A. BELLAVISTA, La Cassazione e i controlli a distanza sui lavoratori, in Riv. giur. lav., 2010, pp. 462 ss. A. BELLAVISTA, La disciplina della protezione dei dati personali e i rapporti di lavoro, in C. CESTER (a cura di), Il rapporto di lavoro subordinato: costituzione e svolgimento, in Diritto del lavoro. Commentario, diretto da F. CARINCI, Torino, Utet, 2007. A. BELLAVISTA, Sorveglianza, privacy e rapporto di lavoro, in Dir. internet, 2006, pp. 437 ss. A. BELVEDERE, Riservatezza e strumenti di informazione, in Dizionario del dir. priv., Milano, 1980. 114 P. BERNARDO, Vigilanza e controllo sull’attività lavorativa, in C. CESTER (a cura di), Il rapporto di lavoro subordinato: costituzione e svolgimento, in Diritto del lavoro. Commentario, diretto da F. CARINCI, Torino, Utet, 2007. R. BIFULCO, A. CELOTTO, M. OLIVETTI, Commentario alla Costituzione, vol. I, Torino, UTET 2006. P. BILANCIA, Attività normativa delle Autorità indipendenti e sistema delle fonti, in S. LABRIOLA (a cura di), Le Autorità indipendenti da fattori evolutivi ad elementi di transizione nel diritto pubblico italiano, Milano, Giuffrè, 1999. P. BORGHI, G. MIELI, Giuda alla privacy nel rapporto di lavoro, Roma, Bancaria editrice, 2005. F. BRICOLA, Prospettive e limiti della tutela penale della riservatezza, in AA. VV., Il diritto alla riservatezza e la sua tutela penale. Atti del terzo simposio di studi di diritto e procedura penali, Milano, Giuffrè, 1970. G. BUTTARELLI, Profili generali del trattamento dei dati personali, in G. SANTANIELLO (a cura di), La protezione dei dati personali, in Trattato di diritto amministrativo, diretto da G. SANTANIELLO, vol. XXXVI, Padova, Cedam, 2005. 115 L. CAIRO, Orientamenti della giurisprudenza in tema di controlli difensivi, in Orient. giur. lav., 2008, I, pp. 323 ss. F. CARDARELLI, S. SICA, V. ZENO-ZENCOVICH, Il codice dei dati personali - temi e problemi, Milano, Giuffrè, 2004. F. CARINCI, Diritto privato e diritto del lavoro: uno sguardo dal ponte, in F. CARINCI (a cura di), Il lavoro subordinato, tomo I, Il diritto sindacale, coordinato da G. PROIA, Torino, Utet, 2007. A. CATAUDELLA, Accesso ai dati personali, riserbo e controllo nell’attività di lavoro, in Arg. dir. lav., 2000, pp. 139 ss. A. CATAUDELLA, Commento all’art. 4, in Commentario dello Statuto dei lavoratori, diretto da U. PROSPERETTI, Milano, Giuffrè, 1975. A. CATAUDELLA, Riservatezza del lavoratore subordinato e accesso a suoi dati personali in sede di controllo da parte del datore di lavoro, in Arg. dir. lav., 2006, pp. 1140 ss. A. CATAUDELLA, Scritti giuridici, Padova, Cedam, 1991. A. CECCARINI, La prova documentale nel processo civile, Milano, Giuffrè, 2006. A. CERRI, Istituzioni di diritto pubblico, Milano, Giuffrè, 2006 116 P. CHIECO, Il diritto alla riservatezza del lavoratore, in Dir. lav. rel. ind., 1998, pp. 22 ss. P. CHIECO, Privacy e lavoro. La disciplina del trattamento dei dati personali del lavoratore, Bari, Cacucci, 2000. F. CINTIOLI, Giurisdizione amministrativa e disapplicazione dell’atto amministrativo, in Dir. amm., 2003, fasc. I, pp. 42 ss. A.M. D’ANGELO, Vigilanza, direzione e gerarchia nell’impresa, in Lav. nella giur., 2000, II, pp. 137 ss. M. DE CRISTOFARO, Il divieto di indagini su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore, in Riv. it. dir. lav., 1983, pp. 31 ss. M. DEL CONTE, Internet, posta elettronica e oltre: il Garante della privacy rimodula i poteri del datore di lavoro, in Dir. inf., 2007, pp. 497 ss. M. DELL’OLIO, Art. 4 St. lav. Ed elaboratori elettronici, in Dir. lav., 1986, pp. 487 ss. R. DE LUCA TAMAJO, I Controlli sui lavoratori, in G. ZILIO GRANDI (a cura di), I poteri del datore di lavoro nell’impresa, Padova, Cedam, 2002. 117 R. DE LUCA TAMAJO, Introduzione, in P. TULLINI (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, in Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F. GALGANO, Padova, Cedam, 2010. M. DI PACE, Controllo della posta elettronica e navigazione internet dei dipendenti, in Dir. prat. lav., 2007, pp. 1837 ss. M. DI PACE, Trattamento dati dei lavoratori: linee guida del Garante, in Dir. prat. lav., 2007, pp. 1207 ss. G. ELLI, R. ZALLONE, Il nuovo codice della privacy. Commento del d. lgs. 30 giugno 2003, n. 196, Torino, Giappichelli, 2004. S.P. EMILIANI, Potere disciplinare e protezione dei dati personali, in Arg. dir. lav., 2007, pp. 630 ss. T. ERBOLI, Legittimità dei controlli difensivi e regime di utilizzabilità delle prove, in Arg. dir. lav., 2012, pp. 142 ss. V. FERRANTE, Competenze dell’Autorità garante e controlli difensivi, in Arg. dir. lav., 2006, pp. 1155 ss. V. FERRANTE, Controllo sui lavoratori, difesa della loro dignità e potere disciplinare, a quarant’anni dallo Statuto, in Riv. it. dir. lav., 2011, pp. 73 ss. 118 F. FESTI, Il divieto di «venire contro il fatto proprio», Milano, Giuffrè, 2007. S. FOIS, Questioni sul fondamento costituzionale del diritto all’«identità personale», in AA. VV., L’informazione e i diritti della persona, Napoli, Jovene, 1983. L. GAETA, La dignità del lavoratore e i turbamenti dell’innovazione, in Lav. dir., 1990, pp. 206 ss. G. GHEZZI, F. LISO, Computer e controllo dei lavoratori, in Dir. lav. rel ind., 1986, pp. 362 ss. G. GHEZZI, G.F. MANCINI, L. MONTUSCHI, U. ROMAGNOLI, Statuto dei diritti dei lavoratori, Bologna-Roma, Zanichelli, 1972. A. GHIRIBELLI, Il diritto alla privacy nella Costituzione italiana, in Teutas, 2007. G. GOLISANO, Controllo della posta elettronica e accertamento ex post degli abusi del dipendente, in Riv. giur. lav., 2012, pp. 740 ss. E. GRAGNOLI, L’uso della posta elettronica sui luoghi di lavoro e la strategia di protezione elaborata dall’Autorità garante, in P. TULLINI (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, in Trattato di diritto commerciale e di diritto 119 pubblico dell’economia, diretto da F. GALGANO, Padova, Cedam, 2010. M. GRANDI, Persona e contratto di lavoro. Riflessioni storico critiche sul lavoro come oggetto del contratto di lavoro, in Arg. dir. lav., 1999, pp. 309 ss. D. IARUSSI, L’utilizzabilità delle prove acquisite a sostegno del licenziamento disciplinare: tra potere datoriale (e del giudice) e diritto alla riservatezza del lavoratore, in Arg. dir. lav., 2008, pp. 1275 ss. P. ICHINO, Il contratto di lavoro, Milano, Giuffrè, 2003. A. LASSANDARI, Il limite del «rispetto della Costituzione», in Q. riv., 2012, pp. 508 ss. F. LISO, Computer e controllo dei lavoratori, in Giorn. dir. lav. rel. ind., 1986, pp. 352 ss. F. LISO, La mobilità del lavoratore in azienda: il quadro legale, Milano, Franco Angeli, 1982. N. LUGARESI, Uso di internet sul luogo di lavoro, controlli del datore di lavoro e riservatezza del lavoratore, in P. TULLINI (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, 120 in Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F. GALGANO, Padova, Cedam, 2010. S. MAINARDI, Il potere disciplinare nel lavoro privato e pubblico, in P. SCHLESINGER (a cura di), Commentario al codice civile, Milano, Giuffrè, 2002. G. MANNACCIO, Uso di internet in azienda e tutela della privacy, in Dir. crit. lav., 2006, pp. 567 ss. A. MATTEI, Controlli difensivi e tutela della riservatezza del lavoratore, in Riv. giur. lav., 2013, p. 32 ss. L. MENGONI, Diritto e valori, Bologna, Il Mulino, 1985. L. NANNI, La buona fede contrattuale, Padova, Cedam, 1988. L.C. NATALI, P.J. NATALI, Tutela della privacy nei rapporti di lavoro, in Dir prat. lav., 2009, pp. 2657 ss. U. NATOLI, Diritti fondamentali e categorie generali, Milano, Giuffrè, 1993. L. NOGLER, Sulle contraddizioni logiche della Cassazione in tema di diritto alla riservatezza del lavoratore subordinato, in Resp. civ. prev., 1998, pp. 123 ss. 121 R. NUNIN, Utilizzo di dati biometrici da parte del datore di lavoro: la prescrizione del garante per la privacy, in Lav. nella giur., 2007, p. 147 ss. M. PAISSAN, E-mail e navigazione in internet: le linee del Garante, in P. TULLINI (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, in Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F. GALGANO, Padova, Cedam, 2010. G. PERA, Il licenziamento per abuso del telefono aziendale, in Riv. it. dir. lav., 1999, pp. 652 ss. L. PERINA, L’evoluzione della giurisprudenza e dei provvedimenti del garante in materia di protezione dei dati personali dei lavoratori subordinati, in Riv. it. dir. lav., 2010, II, pp. 305 ss. G. PERONE, Rivoluzione tecnologica e diritto del lavoro: i rapporti collettivi, in Giorn. dir. lav. rel. ind., 1985, pp. 261 ss. M. PERSIANI, G. PROIA, Contratto e rapporto di lavoro, Padova, Cedam, 2009. A. PIZZORUSSO, Sul diritto alla riservatezza nella Costituzione italiana, in Prassi e teoria, 1976. 122 M. PROSPERI, Il diritto alla riservatezza nell’ordinamento costituzionale, in dirittoproarte. F. RAVELLI, Controlli informatici e tutela della privacy: alla ricerca di un difficile punto di equilibrio, in Riv. crit. dir. lav., 2010, pp. 317 ss. G.U. RESCIGNO, Corso di diritto pubblico, Bologna, Zanichelli, 2010. G. RESTA, Il diritto alla protezione dei dati personali, in F. CARDARELLI, S. SICA, V. ZENO-ZENCOVICH (a cura di), Il codice dei dati personali: temi e problemi, Milano, Giuffrè, 2004. M. RICCI, Divieto di indagine sulle opinioni e trattamenti discriminatori nel mercato del lavoro, in AA. VV., Commentario al d. lgs. n. 276/2003, coordinato da F. CARINCI, vol. I, Organizzazione e disciplina del mercato del lavoro, a cura di M. RICCI, Milano, Ipsoa, 2004. S. RODOTÀ, Conclusioni, in V. CUFFARO, V. RICCIUTO, V. ZENOZENCOVICH (a cura di), Trattamento dei dati e tutela della persona, Milano, Giuffrè, 1998. S. RODOTÀ, Protezione dei dati e circolazione delle informazioni, in Riv. crit. dir. priv., 1984, pp.757 ss. 123 S. RODOTÀ, Repertorio di fine secolo (la costruzione della sfera privata), Bari, Laterza, 1999. R. ROMEI, Commentario breve alle leggi sul lavoro, a cura di M. GRANDI e G. PERA, Padova, Cedam, 2001. R. ROMEI, Diritto alla riservatezza del lavoratore e nuovi diritti, in Quad. dir. lav. rel. ind., 1994, pp. 67 ss. S. ROSSETTI, Nuove tecnologie informatiche e controllo dell’attività lavorativa, in Riv. giur. lav., 2010, II, pp. 167 ss. A. ROSSI, La libertà e la professionalità dei lavoratori di fronte alle nuove tecnologie informatiche, in Quest. giust., 1983, pp. 219 ss. G. SANTORO-PASSARELLI, Osservazioni in tema di artt. 3 e 4 St. lav., in Dir. lav., 1986, pp. 490 ss. A. SCELLA, Prove penali e inutilizzabilità. Uno studio introduttivo, Torino, Giappichelli, 2000. A. STANCHI, Apparecchiature di controllo, strumenti di comunicazione elettronica e controlli difensivi del datore di lavoro, in Lav. giur., 2008, pp. 350 ss. A. STANCHI, Privacy: le linee guida del Garante per internet e posta elettronica, in Guida lav., 2007, n. 12, pp. 38 ss. 124 A. STANCHI, Privacy, rapporto di lavoro, monitoraggio degli accessi ad internet, monitoraggio delle e-mail e normative di tutela contro il controllo a distanza. Alcuni spunti per una riflessione interpretativa, in G. ZILIO GRANDI (a cura di), I poteri del datore di lavoro nell’impresa, Padova, Cedam, 2002. E. STENICO, La tutela della riservatezza del lavoratore nell’esercizio della prestazione, in Quad. dir. lav. rel. ind., 2000, n. 24, pp. 117 ss. C. TACCONE, Controlli a distanza e nuove tecnologie informatiche, in Arg. dir. lav., 2004, pp. 299 ss. M. TARUFFO, La prova dei fatti giuridici, in Trattato di diritto civile e commerciale, vol. III, tomo II, Milano, Giuffrè, 1992. T. TREU, voce Statuto dei lavoratori, in Enc. dir., XLIII, 1990, pp. 1031 ss. T. TREU, Patto sulla produttività e ruolo della contrattazione, in Contr. contr., 2012. P. TULLINI, Comunicazione elettronica, potere di controllo e tutela del lavoratore, in Riv. it. dir. lav., 2009, pp. 323 ss. P. TULLINI, Divieto di indagine sulle opinioni e trattamenti discriminatori, in AA. VV., Il nuovo mercato del lavoro, Commentario 125 al d. lgs. n. 276/2003 coordinato da M. PEDRAZZOLI, Bologna, Zanichelli, 2004. P. TULLINI, Tecnologie informatiche in azienda: dalle linee-guida del Garante alle applicazioni concrete, in P. TULLINI (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, in Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F. GALGANO, Padova, Cedam, 2010. A. VALLEBONA, Istituzioni di diritto del lavoro. Il rapporto di lavoro, Padova, Cedam, 2012. L. VENTURA, Lo statuto dei diritti dei lavoratori: appunti per una ricerca, in Riv. giur. lav., 1970, I, pp. 497 ss. C. ZOLI, Subordinazione e poteri dell’imprenditore tra organizzazione, contratto e contropotere, in Lav. dir., 1997, pp. 241 ss. 126