Uso improprio del pc durante l'orario di lavoro (trattazione completa e dettagliata di un quesito posto alla redazione)

Con riferimento al quesito che si riscontra si chiarisce che a nostro avviso è assolutamente sconsigliato procedere alla verifica del contenuto del pc del lavoratore senza aver emanato preliminarmente un’informativa definibile come “Regolamento interno per il corretto utilizzo degli strumenti informatici” che enuclei molto chiaramente le modalità di tale controllo, potenzialmente lesive della riservatezza del lavoratore, e che devono tassativamente avvenire tramite software informatici a distanzae non tramite l’accesso fisico e diretto al pc.
Il Regolamento interno deve essere approvato dal Consiglio d’Istituto e deve successivamente essere emanata una circolare interna che rinvii espressamente a tale documento per quanto concerne la disciplina trattata.Dunque, ai sensi dell’art. 4 c. 3 dello Statuto dei lavoratori i risultati del controllo della cronologia del pc della portineria (anche se utilizzato durante l’orario di servizio e se il pc è in dotazione e personale) possono essere utilizzati a fini disciplinari soltanto se vi è stata una preventiva informazione ai dipendenti sulle modalità d’uso e di controllo di tali strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività del personale, affinché i dati raccolti siano utilizzati anche a fini disciplinari (Cassazione civile , 22 settembre 2021, n.25731). Si tratta di un’informativa resa ai sensi degli artt. 15-22 Regolamento (UE) 2016/679 che subordina l’utilizzabilità del dato al rispetto della disciplina sulla privacy.
Quindi per utilizzare tali informazioni occorre preventivamente informare il personale circa i controlli che vengono effettuali. Peraltro si ricorda sempre che per tali controlli è richiesto il preventivo accordo sindacale.Diversa situazione si verificherebbe se i controlli fossero effettuati per il “fondato sospetto” che il dipendente stia commettendo degli illeciti, ma non pare questo il caso. In tale circostanza il materiale informativo riguardo l’inadempimento contrattuale del dipendente potrà essere utilizzato anche per promuovere azioni disciplinari. Questi sono i c.d. controlli difensivi attuati per tutelare beni estranei al rapporto di lavoro o atti ad evitare comportamenti illeciti, che prescindono dal preventivo accordo sindacale e dalla preventiva informativa al personale già menzionata ex art. 4 c. 3 Statuto dei lavoratori.
Pertanto si consiglia quanto segue: di emanare il sopradetto Regolamento interno nel caso non fosse già stato emanato. In tale documento deve risultare che l’attività di controllo esclude la possibilità di esplorare il contenuto delle ricerche effettuate e dei files personali contenuti sul pc, e deve riportare espressamente l’obbligo di utilizzare gli strumenti elettronici soltanto per esclusive finalità professionali. Esso inoltre deve indicare la possibilità per la società esterna (terza, fornitrice del servizio informatico e quindi responsabile esterna del trattamento dei dati) di acquisire e conservare dati personali dei dipendenti anche per effetto di copie di backup né sull’eventualità di trattare tali dati in vista di possibili controlli (anche occasionali). La scuola rimane sempre e comunque titolare del trattamento dati.

In dettagli la giurisprudenza sul punto

Con riferimento agli strumenti di lavoro (quale, pacificamente, il pc messo a disposizione dalla scuola per il lavoro) viene da parte della giurisprudenza anche considerato superato il tanto discusso tema dei c.d. controlli difensivi, che ha in passato animato importanti dibattiti dottrinali e giurisprudenziali. Se in passato la distinzione fra finalità difensiva o meno dei controlli attuati assumeva rilevanza decisiva ai fini dell’assoggettamento della condotta datoriale ai presupposti di legittimità stabiliti dall’art. 4 Stat. Lav., a fronte della modifica legislativa tale diatriba è definitivamente superata.
Ed infatti, con la nuova formulazione dell’art. 4 dello Statuto dei Lavoratori, le informazioni ottenute per il tramite degli strumenti utilizzati per la prestazione lavorativa, come il computer aziendale, ben possono essere utilizzate dal datore di lavoro, a prescindere dalla loro natura e/o finalità difensiva, ma unicamente a condizione che siano soddisfatti gli adempimenti ed i requisiti di cui al comma 3 dell’art. 4 Statuto dei Lavoratori. In altri termini, il datore di lavoro può trarre informazioni dagli strumenti, con possibilità, dunque di controllo a distanza, e può altresì farlo a tutti i fini connessi al rapporto di lavoro – e, dunque, anche disciplinari – a condizione che sia stata data al lavoratore adeguata informazione delle modalità d’uso degli strumenti informatici e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 196/2003 sulla privacy. Tale principio è stato già affermato a più riprese dalla giurisprudenza:

  • con sentenza n. 4871 del 24 febbraio 2020, la Cassazione ha stabilito che è legittimo il licenziamento per giusta causa inflitto alla dipendente della banca che abbia svolto interrogazioni sui conti correnti non giustificate da esigenze di servizio, qualora il datore di lavoro sia venuto a conoscenza del fatto attraverso il sistema di tracciamento delle operazioni bancarie, purché sia stata fornita idonea notizia ai lavoratori delle modalità di uso degli strumenti di lavoro e dello svolgimento dei controlli;

  • con sentenza n. 25731 del 22 settembre 2021, la Corte ha precisato che il datore di lavoro non può utilizzare ai fini disciplinari la conversazione di un dipendente che nella chat aziendale parla male dei superiori e dei colleghi in quanto l’accesso a tale chat, seppur consentito dal regolamento aziendale, era avvenuto in violazione dell’art. 4 Stat. Lav. per non avere la Società provveduto ad informare preventivamente i dipendenti sulle modalità d’uso e di controllo degli strumenti di lavoro;

  • il Tribunale di Venezia, con sentenza del 6 agosto 2021 ha dichiarato la legittimità del licenziamento del dipendente che utilizza il pc aziendale durante l’orario di lavoro per accedere a siti poco sicuri, esponendo così l’azienda a pratiche di hackeraggio, se l'azienda ha acquisito queste informazioni nel rispetto dei requisiti di cui all'art. 4 Stat. Lav.

  • il Tribunale di Milano, con sentenza del 13 maggio 2019 ha precisato che viola la normativa sulla privacy il datore di lavoro che controlla il dipendente disponendone il pedinamento e l'accesso all'account di posta elettronica senza dare atto delle ragioni e delle effettive modalità del controllo. Non può essere configurato come legittimo ai sensi dell'art. 4, co. 2 St. lav. il controllo effettuato sull'account email del dipendente in assenza dell'adeguata informazione prevista dall'art. 4, co. 3 St. lav. Le predette violazioni comportano l'inammissibilità delle risultanze ottenute dai controlli occulti e, dunque, l'inutilizzabilità delle informazioni acquisite.

Considerazioni conclusive

In questo contesto, sempre maggiore rilevanza assume, dunque, la corretta ed attenta redazione, da parte della scuola di un regolamento interno previa approvazione del consiglio di istituto da divulgare tramite circolare interna che rinvii a tale documento. Tale regolamento deve disciplinare l’utilizzo degli strumenti di lavoro nonché contenere l’informativa privacy che regola il trattamento dati effettuato dalla scuola in relazione ai dati dei propri dipendenti.

Sul punto, è recentemente intervenuto anche il Garante della Privacy che, con provvedimento n. 190/2021 del 13 maggio 2021, affronta proprio il tema dei controlli a distanza dei lavoratori, ribadendo la necessità del rispetto delle norme sulla privacy e dichiarando l’illegittimità del controllo sistematico e indiscriminato della navigazione dei lavoratori sul web da parte del datore di lavoro. Il Garante ha sanzionato il datore di lavoro proprio per la mancanza di un’informativa specifica sulla speciale tipologia del trattamento, in violazione dei principi di correttezza e trasparenza.

Sicché, le scuole devono prestare particolare attenzione ad implementare un sistema che consenta il controllo a distanza dell’attività lavorativa dei dipendenti nel rispetto della normativa privacy, in quanto anche l’eventuale accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro (ove richiesti in relazione allo specifico strumento utilizzato) non sono di per sé sufficienti: per poter trattare ed utilizzare legittimamente i dati acquisiti, è necessaria un’informativa ed una policy adeguata, specifica e trasparente sulle modalità di utilizzo degli strumenti informatici, sulle finalità e sulle modalità di effettuazione dei controlli.