La sentenza della Corte di Cassazione n. 18443 del 1 agosto 2013 mi dà lo spunto per soffermarmi su una questione che da tempo è oggetto di confronto e di dibattito. Nella mia esperienza di consulente per l’attuazione della normativa posta a tutela della privacy (d.lgs. n. 196 del 2003) ho potuto verificare che durante gli incontri formativi nei quali sono coinvolti datori di lavoro pubblici e/o privati e dipendenti, appassiona il problema della legittimità dell’accesso e del trattamento dei dati di navigazione in internet e, più in generale, dell’attività svolta al computer, dal dipendente.

La citata pronuncia della Corte di Cassazione, ha affrontato tale questione confermando quanto statuito nel merito dal Tribunale di Palermo  al quale era stato sottoposto un provvedimento con cui l’Autorità  Garante per la Tutela della Privacy aveva censurato la condotta di un datore di lavoro che aveva intimato il licenziamento per giusta causa ad un suo dipendente. Il lavoratore era stato licenziato perché durante l’orario di lavoro aveva navigato in internet, visitando siti che non avevano alcuna attinenza con l’attività lavorativa svolta e che avevano contenuto pornografico. Il controllo della navigazione internet da parte del datore di lavoro aveva comportato  l’accesso a dati sensibili relativi al lavoratore che, dunque, considerando illecito il trattamento degli stessi, si è rivolto all’Autorità garante segnalando l’accaduto.

Con apposito provvedimento del 02.02.2006 il Garante ha rilevato la natura illecita del trattamento dei dati emersi dal controllo dei log di connessione. Il datore di lavoro, infatti, non ha informato il lavoratore del controllo che non rientrava nelle ordinarie o straordinarie attività di manutenzione dei computer.  Inoltre, il trattamento dei dati sensibili emersi dalla navigazione non era legittimato nemmeno dall’art.26 comma 4, lett. c), del Codice, in quanto tali dati non erano necessari al datore di lavoro per far valere o difendere un proprio diritto in giudizio.

Infatti,  il lavoratore, per le mansioni svolte non aveva alcuna necessità di navigare in internet; pertanto il licenziamento avrebbe potuto essere validamente motivato per la semplice circostanza della navigazione, senza alcuna necessità di controllare i log di connessione e di accedere e trattare dati sensibili in violazione del codice a tutela della privacy. Peraltro, il diritto fatto valere dal datore di lavoro attraverso il licenziamento non era di rango pari a quello dell’interessato cioè non consisteva in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile. In altri termini, la tutela del diritto datoriale non poteva giustificare una limitazione della tutela del diritto alla riservatezza del lavoratore.

Naturalmente il datore di lavoro si è rivolto al Tribunale di Palermo, ai sensi dell’art. 152 d.lgs. n. 196/2003. Il giudice di merito, con sentenza del  26.06.2008, ha confermato l’assunto dell’Autorità Garante e, dunque, ha concluso per l’inutilizzabilità dei dati posti a fondamento del  licenziamento. La vicenda giudiziaria si è conclusa con la sentenza n. 18443 del 1 agosto del 2013 con cui la Corte di Cassazione,  in primo luogo, ha effettuato alcune precisazione definitorie e, con particolare riferimento all’accesso a siti internet con contenuti pornografici, ha precisato che,  come statuito in sede penale,  oggetto di tutela da parte del d.lgs. n. 196/2003 «non sono solo i gusti sessuali di un individuo (astrattamente e genericamente considerati), ma, anche, le concrete scelte che, in questo campo, il soggetto va ad operare» (Sez. 5 penale, Sentenza n. 44940 del 2011).

Pertanto, è indubbio che sono dati personali idonei a rilevare la vita sessuale – «da intendersi come complesso delle modalità di soddisfacimento degli aspetti sessuali di una persona» (Sez. 5 penale, Sentenza n. 46454 del 2008) – quelli relativi alla “navigazione” in internet con accesso a siti pornografici.

In secondo luogo, la Corte di Cassazione, ha confermato quanto statuito dal Garante, prima, e dal Tribunale di Palermo, poi.

La legittima esigenza di monitoraggio  del datore di lavoro, dunque, ha avuto la peggio rispetto alla tutela della privacy del lavoratore.

Situazioni come quella che ha occasionato la pronuncia in esame, possono essere evitate facendo tesoro di quanto statuito dall’Autorità Garante per la privacy nelle Linee guida per posta elettronica e internet del 1 marzo del 2007.

In virtù del divieto sancito dall’art.4 dello Statuto dei lavoratori, il datore di lavoro, non può deliberatamente controllare l’attività svolta dal lavoratore durante l’orario di lavoro  attraverso i dati di navigazione in internet e, men che meno, installando appositi programmi volti solo a monitorare l’impiego del computer. L’accesso ai dati, tuttavia, può avvenire  in maniera casuale e non deliberata durante le sessioni di manutenzione ordinaria e straordinaria dell’hardware e del software finalizzate a garantire la sicurezza dell’azienda e del lavoro in generale.

Il garante, dunque, precisa che  il datore di lavoro è chiamato a  promuovere ogni opportuna misura, organizzativa e tecnologica volta a prevenire il rischio di utilizzi impropri e, comunque, a “minimizzare” l’uso di dati riferibili ai lavoratori. Pertanto dal punto di vista organizzativo, è opportuno che:

« (…)

• si valuti attentamente l’impatto sui diritti dei lavoratori (prima dell’installazione di apparecchiature suscettibili di consentire il controllo a distanza e dell’eventuale trattamento);
• si individui preventivamente (anche per tipologie) a quali lavoratori è accordato l’utilizzo della posta elettronica e l’accesso a Internet; 
•  si determini quale ubicazione è riservata alle postazioni di lavoro per ridurre il rischio di un loro impiego abusivo. »

Il datore di lavoro ha anche l’onere di adottare tutte le misure tecnologiche volte a minimizzare l’uso di dati identificativi.

I lavoratori e le loro rappresentanze sindacali, poi, devono essere informati delle potenzialità invasive delle apparecchiature informatiche che utilizzano per lo svolgimento del  proprio lavoro.

Infatti, in base al principio di correttezza, il trattamento dei dati relativi alla navigazione in internet e all’uso del pc del lavoratore rilevati casualmente dal datore di lavoro, deve essere ispirato ad un canone di trasparenza. Pertanto, «Grava sul datore di lavoro l’onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli. Ciò, tenendo conto della pertinente disciplina applicabile in tema di informazione, concertazione e consultazione delle organizzazioni sindacali.»

Il datore di lavoro, quindi, deve informare in maniera chiara e compiuta i lavoratori in merito a ciò che possono e che non possono fare attraverso l’uso del pc, della rete internet e della posta elettronica e degli eventuali controlli che possono avvenire in occasione della manutenzione ordinaria e straordinaria.

A tal fine,  secondo il Garante, può risultare opportuno adottare un Disciplinare interno redatto in modo chiaro e senza formule generiche, da pubblicizzare adeguatamente (verso i singoli lavoratori, nella rete interna, mediante affissioni sui luoghi di lavoro con modalità analoghe a quelle previste dall’art. 7 dello Statuto dei lavoratori, ecc.) definito coinvolgendo anche le rappresentanze sindacali  nel quale siano chiaramente indicate le regole per l’uso di Internet e della posta elettronica, da sottoporre ad aggiornamento periodico. Tale Disciplinare doveva essere menzionato nel Documento Programmatico per la Sicurezza (DPS) che, com’è noto, è stato inopinatamente abolito nella forma descritta dal d.lgs. 196 del 2003.

«A seconda dei casi andrebbe ad esempio specificato:

• se determinati comportamenti non sono tollerati rispetto alla “navigazione” in Internet (ad es., il download di software o di file musicali), oppure alla tenuta di file nella rete interna;
• in quale misura è consentito utilizzare anche per ragioni personali servizi di posta elettronica o di rete, anche solo da determinate postazioni di lavoro o caselle oppure ricorrendo a sistemi di webmail, indicandone le modalità e l’arco temporale di utilizzo (ad es., fuori dall’orario di lavoro o durante le pause, o consentendone un uso moderato anche nel tempo di lavoro);
• quali informazioni sono memorizzate temporaneamente (ad es., le componenti di file di log eventualmente registrati) e chi (anche all’esterno) vi può accedere legittimamente;
• se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di back up, della gestione tecnica della rete o di file di log );
• se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime –specifiche e non generiche– per cui verrebbero effettuati (anche per verifiche sulla funzionalità e sicurezza del sistema) e le relative modalità (precisando se, in caso di abusi singoli o reiterati, vengono inoltrati preventivi avvisi collettivi o individuali ed effettuati controlli nominativi o su singoli dispositivi e postazioni);
• quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica e la rete Internet sono utilizzate indebitamente;
• le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la continuità dell’attività lavorativa in caso di assenza del lavoratore stesso (specie se programmata), con particolare riferimento all’attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti;
• se sono utilizzabili modalità di uso personale di mezzi con pagamento o fatturazione a carico dell’interessato;
• quali misure sono adottate per particolari realtà lavorative nelle quali debba essere rispettato l’eventuale segreto professionale cui siano tenute specifiche figure professionali;
• le prescrizioni interne sulla sicurezza dei dati e dei sistemi (art. 34 del Codice, nonché Allegato B).”»

La sentenza della Corte di Cassazione n. 18443 del 1 agosto 2013, dunque, fornisce l’occasione per ricordare che il Disciplinare per l’utilizzo di internet e della posta elettronica rappresenta un fondamentale strumento di prevenzione e non un ulteriore adempimento burocratico finalizzato solo a complicare la vita ai datori di lavoro. Predisposto con la partecipazione delle rappresentanze sindacali dei lavoratori e aggiornato periodicamente, è bene che il Disciplinare sia esplicato in una apposita sessione formativa durante la quale è possibile fornire tutti i chiarimenti tecnici e giuridici.

Inoltre esso deve essere adeguatamente  pubblicizzato e reso noto in modo che sia conoscibile a tutti coloro che stabilmente o,  a maggior ragione,  occasionalmente prestano collaborazione a favore del datore di lavoro. Laddove il datore di lavoro non vi provveda è assoluto interesse dei lavoratori sollecitarne l’adozione. Le regole non devono spaventare: esse aiutano ad evitare situazioni incresciose e problematiche.