La tecnologia deve rapportarsi con i diritti sul lavoro.

Un importantissimo tema è quello della presenza pubblica sui social che deve collegarsi con le policy aziendali ed il profilo professionale.

Questi sono temi e domande che ormai sono diventate parte importante delle relazioni industriali e del diritto del lavoro. Ne è una conferma l’aumento di policy aziendali sempre più all’attenzione della giurisprudenza. Le policy aziendali sull’uso dei social network, delle email e in generale degli strumenti informatici sui luoghi di lavoro sono sempre più spesso infatti al centro delle sentenze in tema di licenziamenti e sanzioni disciplinari.

Se da un lato i controlli sono giustificati sulla base del fatto che i pc e i cellulari aziendali sono di proprietà del datore di lavoro, dall’altro devono sottostare a precise regole che devono essere messe a conoscenza dei lavoratori.

I riferimenti normativi

Andiamo con ordine e partiamo dall’uso dei dispositivi digitali.
La Corte di cassazione con la sentenza n.32760 dello scorso 9 novembre ha precisato infatti che, dopo il Jobs Act, i dati raccolti tramite pc e cellulari aziendali possono essere utilizzati anche per verificare la diligenza del dipendente nello svolgimento del proprio lavoro, con tutti i risvolti disciplinari connessi.

Tuttavia il potere di vigilanza del datore di lavoro non è illimitato ma deve essere bilanciato col diritto alla riservatezza e all’inviolabilità delle comunicazioni del lavoratore.

Grava allora sul datore di lavoro l’onere di informare i dipendenti sulle policy aziendali presenti in azienda. Non si possono usare formule generiche e le disposizioni devono essere pubblicizzate e sottoposte ad aggiornamento periodico.

Se però la violazione è così grave da porsi in contrasto con gli obblighi di diligenza e fedeltà dettati dagli articoli 2104 e 2105 del codice civile o da altre leggi nazionali, l’esigenza informativa è garantita dalla stessa pubblicità delle fonti normative, come ribadito di recente dal Tribunale di Cosenza con la sentenza 4096 pubblicata lo scorso 23 febbraio.

Policy aziendali e tutela dei dati

A più riprese, poi, il Garante per la protezione dei dati personali ha fissato altri paletti, richiamando i datori di lavoro all’importanza di fornire ai dipendenti informative adeguate sulle modalità e finalità di raccolta dei dati.

In particolare le policy aziendali dovranno precisare in che modo verranno effettuati i controlli, che non potranno essere mai sistematici e illimitati, su quali dati e le eventuali sanzioni in caso di violazioni.

In sede giudiziaria poi sarò necessario dimostrare che il lavoratore fosse stato messo a conoscenza delle policy aziendali attraverso affissione in bacheca o comunicazione telematica con conferma di lettura.

Non è un caso che molte aziende facciano sottoscrivere le policy al momento dell’assunzione o richiedano il flag di lettura contestualmente alla trasmissione della busta paga.

La comunicazione delle policy aziendali

La sola pubblicazione on line potrebbe infatti non bastare, sulla falsariga della giurisprudenza che già si è espressa sulla nullità delle sanzioni irrogate per omessa affissione del codice disciplinare all’interno dell’azienda.

Per i giudici, infatti, se il codice disciplinare affisso è immediatamente visibile e percepibile dal lavoratore, lo stesso non si può dire per la versione pubblicata sul portale telematico dell’azienda che subordina la visibilità dello stesso alla scelta del lavoratore di consultare la relativa pagina.

Così si è espresso il Tribunale di Arezzo con la sentenza n.134 dello scorso 14 aprile che ha annullato la sanzione disciplinare conservativa irrogata al lavoratore proprio sulla base dell’insufficiente visibilità della pubblicazione on line del codice disciplinare.

Con l’incremento dello smart working però il principio potrebbe valere anche al contrario, imponendo al datore la comunicazione telematica delle policy con conferma di lettura del dipendente o sottoscrizione digitale. Negli ultimi anni la giurisprudenza e i provvedimenti del Garante hanno delineato i possibili contenuti delle policy aziendali, dettando regole condivise.

Il perimetro dei controlli

In particolare, il datore di lavoro può accedere alla posta elettronica del dipendente, attraverso l’uso della sua password legittimamente acquisita dal soggetto preposto alla custodia delle parole chiave. La comunicazione della password consente, infatti, in caso di emergenza o assenza del lavoratore l’accesso al suo computer e ai suoi contenuti per finalità aziendali.

Sono sempre vietate, invece, anche dopo le modifiche del Jobs Act, la lettura, la memorizzazione sistematica delle mail del dipendente e la cronologia delle esplorazioni.

Se il datore di lavoro, può infatti controllare l´esatto adempimento della prestazione e il corretto uso degli strumenti di lavoro, deve sempre salvaguardare la libertà e la dignità dei dipendenti.

Il datore di lavoro è invece tenuto all´individuazione preventiva della lista dei siti considerati correlati alla prestazione lavorativa e all’adozione di filtri per il blocco dell’accesso a determinati siti o del download di alcuni file che potrebbero infettare i pc dei dipendenti e così evitare controlli più invasivi sugli stessi.

I social

Anche i social network possono entrare nelle policy aziendali.
Post, video, commenti e like possono infatti costituire una violazione del generico obbligo di fedeltà dettato dall’art. 2105 del codice civile che impone al dipendente di tenere un comportamento leale verso il datore di lavoro e di tutelarne in ogni modo gli interessi.

Saranno allora sanzionabili tutte quelle condotte che possono ledere l’immagine dell’azienda o porsi come atti di concorrenza sleale.

Possono rilevare anche attività extra-lavorative nella misura in cui per la loro gravità e natura siano tali da far venir meno quella fiducia che integra il presupposto essenziale della collaborazione tra datore e prestatore di lavoro, meglio quindi se dettagliate nelle policy aziendali.

Sanzionabili anche commenti e post riferibili a fatti veri se non siano giustificabili e che siano in grado di ledere la reputazione dell’azienda per cui si lavora.

Ricapitolando, il datore di lavoro:

  • può effettuare controlli sui pc aziendali anche per finalità disciplinari, ma deve informare i lavoratori su modalità e limiti.
  • può effettuare verifiche, che rappresentano una fase del trattamento dei dati personali, rispettando i principi di liceità, correttezza, necessità, determinatezza della finalità perseguita.
  • In caso contrario tutti i dati acquisiti saranno inutilizzabili.
  • non può invece mai leggere le mail personali dei dipendenti, pena la possibile commissione del reato di violazione di corrispondenza.

 

La Corte europea dei diritti dell’uomo, oltre al Garante per la protezione dei dati personali e i giudici nazionali, ha precisato che la casella di posta elettronica aziendale può essere oggetto di verifiche da parte del datore a condizione che:

  • il lavoratore sia avvisato del fatto che l’azienda potrà controllare la sua corrispondenza tramite specifiche operazioni che dovranno essere dettagliate nelle policy aziendali;
  • il controllo delle e-mail non può superare i limiti imposti dalla finalità del trattamento. Potranno quindi essere lette soltanto le mail aziendali attinenti a questioni lavorative
  • il datore deve consentire la tracciabilità dei controlli, in modo da rendere chiaro quante e quali e-mail
  • sono state monitorate, per quanto tempo e quante persone hanno avuto accesso ai risultati del controllo;
  • è necessaria, inoltre, una proporzione tra finalità e invasione della privacy.

Sono illegittimi tutti i controlli massivi attivati in assenza di un motivo specifico o di un pericolo attuale.

Costituisce, invece, valido motivo per attivare i controlli un fondato sospetto nei confronti del dipendente infedele.