Licenziamento tra Giuslavoro e tutela della Privacy
La sentenza del 1 febbraio 2019 della Corte di Cassazione, in materia di licenziamenti, ha trovato ampio spazio sui quotidiani, da “Repubblica” a “Il Messaggero”, nonché su diversi siti on line, con titoli che evidenziavano la liceità del licenziamento di un dipendente che aveva effettuato un numero ingentissimo di accessi ad internet, e a Facebook in particolare, durante l’orario di lavoro.
“Continua la linea dura dei datori di lavoro, sposata dalla Corte di Cassazione, contro l'utilizzo di Facebook in ufficio. E' stato confermato in via definitiva il licenziamento disciplinare di una donna, segretaria part time in uno studio medico, che, durante l'orario di servizio, nell'arco di 18 mesi, aveva effettuato dal pc in ufficio circa 6 mila accessi in Internet, di cui 4.500 su Facebook”
“La Corte ha rigettato il ricorso della lavoratrice”
“I giudici hanno condiviso la linea seguita nei processi di merito: nessuna "violazione delle regole sulla tutela della privacy".
Al di là dell’impattante numero di accessi contestati, quel che rileva principalmente è il riferimento alla normativa sulla privacy, che sembra alla base della decisione della Corte.
In realtà la ragione cardine alla base della decisione era effettivamente già presente nella sentenza della Corte d’Appello di Brescia, laddove veniva evidenziato che “la condotta della lavoratrice, per come emersa sulla base degli elementi acquisiti, integra la violazione degli obblighi di diligenza e di buona fede nell'espletamento della prestazione lavorativa”.
Su questo punto la sentenza in oggetto non è particolarmente innovativa, seguendo l’orientamento già conosciuto della Cassazione, mentre è interessante tornare all’aspetto riguardante la privacy, che di fatto è stato solo incidentalmente toccato nella sentenza in oggetto.
Per spiegare ciò occorre andare a vedere i motivi alla base del ricorso per Cassazione della dipendente.
La lavoratrice ha contestato la decisione della Corte d'Appello in primis sostenendo che i report della cronologia, non avrebbero potuto essere considerati prove nel processo in quanto non riferibili con certezza alla lavoratrice stessa, ed in secundis, sostenendo la violazione delle regole sulla tutela della privacy.
La Corte di Cassazione ha ritenuto di non accogliere nessuno dei due motivi.
Nello specifico, per quanto riguarda il secondo punto, ossia la mancata osservanza delle tutele imposte in materia di privacy, la Corte ha sottolineato che la difesa della lavoratrice non aveva posto la questione della violazione delle regole sulla tutela della privacy nei precedenti gradi del giudizio: la circostanza impedisce di per se stessa che la Corte di Cassazione la esamini, essendo un motivo nuovo di ricorso; nello specifico la Corte afferma:
“Quanto alle regole sulla privacy, non risulta, dal ricorso per cassazione che tale specifica questione fosse stata sollevata nel corso dei gradi di merito.
“La carenza della predetta indicazione impone di considerare la questione come nuova, sicché non può ammettersi il suo ingresso in sede di legittimità”
Di fatto dunque, a ben vedere, la questione della privacy è stata cassata per questioni riguardanti deficit processuali, senza entrare effettivamente nel merito della questione, ed è quindi lecito domandarsi come avrebbe deciso la Corte di Cassazione in assenza di tali deficit.
Per dare una risposta occorre analizzare brevemente la normativa ed i principi in materia.
In base a quanto previsto dagli articoli 2086, 2087 e 2104 cod. civ. il datore di lavoro può effettuare controlli mirati (direttamente o attraverso la propria struttura) al fine di verificare l'effettivo e corretto adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro.
Va da sé che tali controlli incontrino dei limiti tra cui, in primis, la tutela ed il rispetto della libertà e la dignità dei lavoratori, nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali, i principi di correttezza, (secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori), di pertinenza, necessità, trasparenza e proporzionalità del codice della Privacy e del GDPR.
Il d.lgs 151/2015, meglio conosciuto come jobs act, che ha riscritto l’art. 4 dello Statuto dei Lavoratori, ha stabilito un regime diverso a seconda del tipo di strumento di controllo, che sia esso diretto, come nel caso della videosorveglianza, o che sia esso indiretto, come nel caso di pc o smartphone.
Le disposizioni del decreto, e la normativa sulla privacy, costringono le imprese a riscrivere le policy aziendali, compresa quella sulla sicurezza informatica, in osservanza alle nuove procedure previste per il controllo dei lavoratori; in particolare, per gli strumenti cosiddetti diretti (PC, smartphone ecc…) le aziende sono obbligate ad effettuare un censimento degli strumenti di lavoro e informare i lavoratori su come si usano i dispositivi forniti e sui tipi di controlli effettuati, il tutto nel rispetto della codice della Privacy
Facendo riferimento al caso de quo, è interessante rilevare che l'accesso da parte del datore di lavoro alla cronologia del pc assegnato in uso al dipendente non può avvenire legittimamente senza avere prima posto in essere precisi adempimenti richiesti dalla normativa a tutela della privacy.
Come detto, il riferimento immediato, è alla necessità per il datore di lavoro di adottare un disciplinare sull'utilizzo degli strumenti informatici e telematici aziendali, da portare a conoscenza dei dipendenti prima di dare corso a qualsiasi verifica.
Questo aspetto, o meglio questa carenza, potrebbe minare già di per se il controllo effettuato dal datore di lavoro, con la conseguenza che il provvedimento successivamente adottato risulterebbe illegittimo
Rispetto ad eventuali controlli, poi, gli interessati hanno il diritto di essere informati preventivamente, e in modo chiaro, sui trattamenti di dati che possono riguardarli.
Anche con l'entrata in vigore del GDPR e del successivo provvedimento legislativo nazionale, il D.Lgs. 101/2018, rimangono immutati gli obblighi a carico del datore di lavoro per conformare alle disposizioni vigenti il trattamento di dati personali effettuato per verificare il corretto utilizzo nel rapporto di lavoro della rete Internet: adozione del disciplinare ed informativa a ciascun lavoratore, ai sensi dell'art. 13 del GDPR.
In conclusione, la decisione della Suprema Corte non ha di certo spianato la strada a controlli indiscriminati da parte del datore di lavoro degli strumenti informatici aziendali assegnati ai dipendenti, non essendo effettivamente entrata nel merito del problema privacy, basando viceversa la propria decisioni su condivisibilissime e corrette valutazioni giuslavoristiche.