Diritto & Internet

La Cassazione conferma: illecito il monitoraggio dell'attività web dei dipendenti

La Suprema Corte ha condannato la Zecca dello Stato poiché monitorava, in violazione di alcune norme dello Statuto dei Lavoratori, la navigazione web, le posta elettronica e le telefonate dei suoi dipendenti.

Con sentenza del 19 settembre 2016, n. 18302, la Corte di Cassazione ha stabilito l’illegittimità dell’attività di memorizzazione e conservazione sul server aziendale della posta elettronica, delle telefonate e della navigazione web del lavoratore senza la preventiva procedura di autorizzazione prevista dallo Statuto dei lavoratori e dal Codice in materia di protezione dei dati personali.

I fatti alla base della decisione sono questi: in un provvedimento sanzionatorio del 2011 il Garante per la protezione dei dati personali aveva evidenziato che il servizio di navigazione in Internet predisposto dall’Istituto Poligrafico e Zecca dello Stato per i propri dipendenti non si limitava ad impedire l’accesso a siti web non inerenti l’attività lavorativa, ma memorizzava ogni accesso a qualunque sito, ed anche ogni tentativo di accesso, generando la possibilità di ricostruire la navigazione di ogni singolo lavoratore. I dati di navigazione dei dipendenti venivano inoltre conservati nel sistema per una durata variabile da sei mesi ad un anno.

Il Garante aveva inoltre rilevato l’illegittimo sistema di conservazione sul server aziendale dei messaggi di posta elettronica inviati e ricevuti dai dipendenti, che ne consentiva la visualizzazione integrale da parte degli amministratori di sistema, senza che fosse stata fornita alcuna specifica informativa in merito.

Era stato inoltre evidenziato che l’Istituto Polifgrafico attuava una modalità di controllo del traffico telefonico mediante il sistema VoIP, che consentiva la registrazione e la prolungata conservazione dei dati del traffico, anche in questo caso senza che fosse stata fornita un’adeguata informazione ai dipendenti.

Il Garante aveva così ritenuto l’attività del Poligrafico in violazione della L. n. 300 del 1970, artt. 4 ed 8, (Statuto dei Lavoratori), per la possibilità di rilevare dati sensibili dei lavoratori senza aver acquisito il previsto consenso degli interessati (e conseguentemente anche in violazione degli artt. 11, 113 e 114 del Codice sulla protezione dei dati personali). Pertanto nel provvedimento si vietava al Poligrafico la conservazione e la categorizzazione dei dati di navigazione su Internet dei dipendenti, delle mail e delle chiamate telefoniche dei lavoratori, obbligando l’istituto ad informare gli interessati delle modalità trattamento dei loro dati personali. Il Garante aveva anche richiesto che fosse resa nota ai dipendenti l’identità degli amministratori di sistema abilitati ad accedere alle banche dati aziendali e che fosse assicurata la completezza del tracciamento di tutti gli accessi effettuati dagli amministratori.

Nel 2011 il Tribunale di Roma ha respinto il ricorso dell’Istituto Poligrafico e Zecca dello Stato contro il provvedimento del Garante, chiarendo che, come stabilito dall’art. 4 dello Statuto dei lavoratori, l’utilizzazione di impianti di controllo per esigenze organizzative e produttive è consentita al datore di lavoro solo in accordo con le rappresentanze sindacali o a seguito di obblighi di legge, mentre la loro utilizzazione è vietata se attuata per vigilare sull’attività dei lavoratori. Menzionando alcune pronunce precedenti, il tribunale ha evidenziato che le esigenze di tutela aziendale non possono rendere legittima la soppressione di diritti fondamentali del dipendente, come la riservatezza.

L’Istituto Poligrafico si è dunque rivolto alla Corte di Cassazione, sostenendo che  rimangono completamente fuori dal confine operativo della norma dello Statuto dei Lavoratori i controlli che abbiano ad oggetto non l’attività lavorativa, ma altri comportamenti tenuti dal lavoratore sul posto di lavoro, eventualmente anche illeciti, che espongano ad un pericolo i beni dell’azienda o concretino fatti potenzialmente dannosi per i terzi, con conseguente responsabilità del datore di lavoro. Un pericolo tanto più rilevante in quanto l’Istituto svolge attività di interesse pubblico quali la stampa della Gazzetta Ufficiale e della Raccolta ufficiale degli atti normativi della Repubblica italiana, la produzione di documenti identificativi della persona, di sistemi di sicurezza e anticontraffazione, di monete, ecc.

La Cassazione ha tuttavia ritenuto che il rilievo pubblicistico dei compiti affidati all’Istituto Poligrafico dello Stato non giustifica la violazione della normativa vigente, che intende assicurare garanzia ai diritti costituzionalmente riconosciuti ai lavoratori. A tal proposito, il giudice ha posto l’accento sul secondo comma dell’art.4 che prevede che i sistemi di controllo che siano richiesti da esigenze organizzative o per la sicurezza del lavoro, ma dai quali deriva anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere istallati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti.

Rigettando quindi il ricorso e avvallando le osservazioni presenti nella decisione del Tribunale di Roma, la Cassazione ha sottolineato la necessità di operare, in materia, un contemperamento tra i diritti del datore di lavoro e, in particolare, alla libera iniziativa economica ed alla protezione dei beni aziendali, con la tutela dei diritto del lavoratore, in primo luogo alla riservatezza.

Giulia Giapponesi

Aggiungi commento

Direttore Scientifico
Prof. Avv. Giusella Finocchiaro
Curatrice Editoriale
Dott. Giulia Giapponesi