Il web ha influenzato (e influenza ancora oggi) il lavoro in ufficio e, soprattutto, le modalità con cui la prestazione lavorativa viene svolta? La risposta alla domanda è sotto gli occhi di tutti. Nell’azienda, di qualsiasi grandezza essa sia, lo strumento di lavoro messo a disposizione del dipendente è il computer che spesso è inserito in una rete aziendale (LAN), con possibilità di connessione all’esterno alla rete Internet. La funzione principale di tale struttura è permettere la comunicazione tra diverse postazioni fisicamente lontane, non solo all’interno della stessa impresa, ma anche al di fuori attraverso i server del mittente e del destinatario. Uno scorretto utilizzo degli strumenti informatici può, tuttavia, gravemente nuocere all’interesse del datore di lavoro.
articolo a cura dell’associazione CINDI a cura di Diego D’Agostini
L’abuso della casella postale informatica (sia quella personale, durante l’orario di lavoro, sia quella aziendale), gli accessi a Internet per finalità extra-lavorative, nonché l’impiego dei social network e dei software di messaggistica istantanea (skype, messanger) possono causare danni all’azienda non solo come perdita di risorse lavorative (tempo, occupazione di banda), ma anche in termini di danni provocati dall’illecita o incauta attività svolta in rete dal lavoratore (virus informatici, trasmissione notizie riservate, commissione di reati attribuibili all’azienda).
Del pari, tuttavia, l’evoluzione tecnologica permette al datore di lavoro di controllare ogni utilizzo improprio degli strumenti informatici, registrando tramite i files di log ogni connessione alla rete (e i dati relativi quali durata, indirizzo dei siti visitati, download eseguiti, ecc.) e consentendo di risalire al testo delle e-mail digitate e ricevute sul computer del dipendente. Lo scopo di tale forma di “controllo” è evidente in quanto consente all’imprenditore di eliminare la dispersione dell’efficienza raggiunta a seguito dell’utilizzo degli strumenti informatici da parte dei lavoratori, in orario di servizio e per fini privati.
L’utilizzo di tali forme di controllo si scontra, però, con la copiosa normativa che disciplina specificatamente il rapporto di lavoro e, in generale, la tutela della riservatezza, limitando i rimedi che l’azienda potrebbe predisporre per la salvaguardia del proprio patrimonio. Lo Statuto dei Lavoratori (legge n. 300/1970), all’art. 4 comma 1, sancisce il divieto assoluto di controlli a distanza dell’attività dei lavoratori da parte del datore di lavoro (cd. controllo a distanza intenzionale), imponendo severe conseguenze penali (art. 38, Stat. lav.) in caso di violazione del precetto. La tutela del lavoratore è ulteriormente rafforzata con l’entrata in vigore della decreto legislativo n. 196/2003 (Testo Unico in materia di Privacy) che impone, per procedere a ogni trattamento di dati personali, il rispetto di determinati criteri guida enunciati al fine garantire il rispetto del diritto alla riservatezza, alla dignità personale e, in genere, alle libertà fondamentali dell’individuo.
Peraltro, lo stesso citato art. 4 prevede altresì, al comma 2, un divieto di controllo di tipo relativo (cd. controllo a distanza preterintenzionale) a condizione che: 1) il controllo venga svolto solamente per esigenze specifiche (quali le esigenze organizzative e produttive, ovvero la sicurezza del lavoro); 2) vi sia la preventiva autorizzazione all’uso di tali strumenti, di talchè la finalità del controllo deve essere resa nota per evitare che l’attività prestai il fianco a strumentali critiche che lo qualificherebbero come un arbitrario esercizio di potere.
Sulla base di quanto brevemente sin qui esposto, si può affermare che gli strumenti informatici aziendali consentono il controllo “a distanza” del dipendente in quanto, come accennato, basta che vi sia un server che gestisca le connessioni aziendali per ottenere i dati relativi agli accessi Internet e ai messaggi di posta elettronica. Questo controllo di flusso informatico avviene in forma occulta e non è rilevabile dall’utilizzatore della macchina, il quale subirà la registrazione di ogni “movimento” telematico. Appare ovvio che tale attività costituisce un controllo a distanza proibito dal primo comma dell’art. 4 dello Statuto dei lavoratori e, in via astratta, non sarebbe pertanto consentito in assenza di specifiche precauzioni (accorgimenti tecnico – strutturali alla rete aziendale, policy aziendali, accordi sindacali). Tra i vari fini, lo strumento ha, però, quello primario di prevenire e/o proteggere la sicurezza del sistema informatico dell’azienda, di preservare il patrimonio aziendale e, solo in via secondaria e sussidiaria, di consentire pure il controllo della prestazione lavorativa.
La differenza, per quanto sottile, pare decisiva: nel cd. controllo difensivo (non ammesso) la sorveglianza attuata dal datore mediante strumenti telematici ha per oggetto un comportamento illecito del lavoratore inerente all’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro; all’opposto se il controllo viene svolto a seguito dell’emersione di elementi di fatto tali da raccomandare l’avvio di un’indagine retrospettiva, è legittimo l’accesso ex post alla corrispondenza telematica del dipendente per salvaguardare la tutela di beni estranei al rapporto datore/lavoratore.
Tale condotta è stata avallata di recente dalla stessa Corte di Cassazione che ha ritenuto, con la sentenza n. 2722/2012, utilmente acquisiti al processo le e-mail inviate e ricevute dal dipendente e recuperate dall’impresa datrice di lavoro a seguito di fatti “tali da raccomandare l’avvio di una indagine retrospettiva”.
La fattispecie riguardava un funzionario di banca che aveva presentato ricorso contro il licenziamento disposto nei suoi confronti dal proprio datore che aveva scoperto come il dipendente avesse divulgato informazioni protette per e-mail. La “giusta causa” per il licenziamento si era configurata anche a fronte del vantaggio personale che il dipendente aveva tratto diffondendo le notizie riservate riguardo alcune operazioni finanziarie e violando l’obbligo di segretezza e correttezza (articolo 2104 c.c.), nonché il regolamento interno e il codice deontologico. Alla conferma del licenziamento è seguito, altresì, l’accertamento dell’insussistenza della pretesa violazione delle garanzie ai dipendenti imposte dello Statuto dei lavoratori, in quanto l’attività di controllo sulle strutture informatiche aziendali utilizzate dal lavoratore “prescindeva dalla pura e semplice sorveglianza sull’esecuzione della prestazione”, ma era “diretta ad accertare la perpetrazione di eventuali comportamenti illeciti (poi effettivamente riscontrati)” e “destinato ad accertare un comportamento che poneva in pericolo la stessa immagine dell’istituto presso terzi”.
A ogni buon conto, considerati i molti limiti e i gravi rischi, la gestione del controllo del traffico telematico richiede un atteggiamento prudente. Nonostante vi siano norme nell’ordinamento che impongono il controllo, ve ne sono altrettante che lo censurano. In definitiva, sebbene in linea di principio si possa affermare che ciò che una norma impone per definizione diviene lecito, c’è sempre l’ineliminabile rischio che in sede processuale (civile o penale, ma anche avanti al Garante Privacy) tale tesi non risulti accettata dall’organo giudicante o sufficientemente corroborata dagli elementi di fatto.