Premessa

L’adozione di policy aziendali o regolamenti aziendali è ormai una prassi indispensabile per gestire e proteggere i dati personali all’interno delle aziende.

Queste policy servono a puntualizzare la responsabilità del titolare del trattamento dei dati e a soddisfare i requisiti di trasparenza necessari. Inoltre, attraverso le policy ed i regolamenti aziendali, è possibile regolare l’uso dei social media sia aziendali che privati dei dipendenti, garantendo così un ambiente di lavoro sicuro e conforme alle normative.

Le policy ed i regolamenti aziendali nella gestione dei dati

Le policy ed i regolamenti aziendali per la gestione dei dispositivi e delle risorse informatiche aziendali sono essenziali per supportare il titolare del trattamento nell’adeguamento alle prescrizioni privacy.

Ai sensi dell’art. 5 del Reg. UE 679/2016 (GDPR), il titolare deve dimostrare di aver adottato tutte le misure necessarie a evitare rischi. Regolamentare i comportamenti tramite disciplinari crea consapevolezza interna, in linea con la normativa. La protezione dei dati personali si attua con misure tecniche e organizzative, inclusi i disciplinari di sicurezza.

Le policy soddisfano l’esigenza di trasparenza di cui all’art. 4, c. 3, St. Lav., condizionando l’uso delle informazioni raccolte tramite strumenti di lavoro alla previa informazione del datore di lavoro. Le Linee guida del 2007 dell’Autorità Garante richiedono trasparenza nell’uso di e-mail e Internet. Il Protocollo del Lavoro Agile del dicembre 2021 ribadisce l’importanza di policy di sicurezza per protezione e sicurezza dei dati nel lavoro da remoto.

Attraverso le policy, il titolare dimostra di aver attuato un piano conforme al rischio e completa l’iter formativo dei collaboratori. Il WP29 ha confermato che le disposizioni sulla riservatezza si applicano anche ai collaboratori autonomi, come ribadito dall’Autorità Garante con l’Ordinanza del 7 aprile 2022 n. 9771545, che ha sanzionato una società per la gestione impropria degli account di posta elettronica di una collaboratrice esterna.

Infine, la gestione del rischio richiede una policy sul data breach, essenziale per minimizzare ulteriori rischi per la riservatezza e la sicurezza dei dati. In caso di data breach il GDPR impone la notifica della violazione all’Autorità entro 72 ore dalla conoscenza del fatto, rendendo la tempestività cruciale.

I social e la disciplina aziendale da parte del datore di lavoro

La crescente diffusione delle piattaforme social aumenta il rischio per la protezione dei dati personali e la sicurezza delle informazioni. Le condivisioni sui social network possono, anche inconsapevolmente, divulgare informazioni professionali a un vasto pubblico. È quindi fondamentale stabilire regole per limitare la condivisione di informazioni sia sui canali ufficiali dell’organizzazione sia nella vita privata del professionista.

Il titolare del trattamento deve disciplinare la condivisione di notizie online sia internamente che esternamente. Internamente, è utile predisporre regole chiare per la gestione dei social aziendali, inclusi pubblicazione, interazioni con i clienti, linguaggio, condivisione di notizie e collegamenti con altre piattaforme. Esternamente, è importante rispettare il diritto costituzionale di espressione, bilanciandolo con le esigenze aziendali di controllo e sicurezza.

Nelle policy e regolamenti aziendali interni dovrebbero essere regolamentate:

  • le modalità di pubblicazione;
  • le interazioni con il cliente;
  • la tipologia di linguaggio;
  • le modalità di condivisione di notizie;
  • le politiche di collegamento con ulteriori piattaforme.

La digitalizzazione rende meno distinguibile l’attività lavorativa da quella privata, e le informazioni condivise sui social diventano accessibili a un pubblico indeterminato. L’identità dell’utente, comprese le informazioni professionali, può essere facilmente ricostruita attraverso varie piattaforme social, come LinkedIn, collegando l’individuo all’azienda.

La reputazione aziendale, parte del patrimonio aziendale, è influenzata dall’uso dei social network. La diffusione esponenziale delle notizie condivise può impattare sulla credibilità dell’impresa. Pertanto, anche informazioni condivise fuori dal contesto aziendale possono avere conseguenze interne, come la protezione dei dati personali e la reputazione aziendale.

Le policy esterne aiutano a prevenire eventi negativi per il rapporto di lavoro. Il datore di lavoro deve chiarire che le notizie pubblicate sui social non appartengono solo all’utente e possono raggiungere un pubblico vasto, influenzando l’immagine aziendale. È cruciale redigere regole chiare in base alle caratteristiche aziendali e l’interazione con i social, per sensibilizzare sulle possibili conseguenze disciplinari.

Infine, è essenziale dimostrare l’avvenuta comprensione e consegna delle policy o regolamenti aziendali. Pubblicarle nelle bacheche aziendali non è sufficiente; bisogna raccogliere prove della consegna e comprensione delle policy per tutelare gli interessi del datore di lavoro.

La giurisprudenza sul punto

La pubblicazione sui social da parte del lavoratore ha sollevato riflessioni giurisprudenziali e dottrinali sull’applicabilità dell’art. 8 dello Statuto dei lavoratori, specialmente riguardo ai fatti non rilevanti ai fini del rapporto di lavoro.

L’art. 8 vieta al datore di lavoro, sia all’assunzione che durante il rapporto di lavoro, di indagare su opinioni politiche, religiose o sindacali del lavoratore, e su fatti non rilevanti per la valutazione dell’attitudine professionale.

Tuttavia, non è immediato per il lavoratore invocare la tutela dell’art. 8 per quanto condiviso sui social network. La Cassazione, con ordinanza del 12 novembre 2018, n. 28878, ha evidenziato che la condivisione su un profilo social aperto implica l’accettazione del potenziale accesso libero al materiale condiviso da parte di una cerchia indeterminata di persone.

Le informazioni personali, in tal caso, circolano come se raccontate in pubblico, e quindi non possono essere legittimamente tutelate. Inoltre, anche i profili chiusi non garantiscono la riservatezza del contenuto, poiché possono essere ricondivisi e accessibili a un’ampia platea.

Un esempio di esercizio del potere disciplinare è l’acquisizione di un post offensivo o diffamatorio riguardante il datore di lavoro o soggetti commercialmente legati. Un caso rilevante è la sentenza della Cassazione n°27939 del 2021, che ha confermato la legittimità del licenziamento di un dipendente per un post insultante verso l’azienda. La Corte ha respinto la difesa del lavoratore che sosteneva la non pubblicità degli insulti pubblicati su Facebook.

In tali casi, per valutare l’offensività della pubblicazione, si considerano:

  • la modalità espositiva;
  • la verità dei fatti;
  • la rilevanza sociale delle dichiarazioni del lavoratore.

Inoltre, la Cassazione, con sentenza del 13 marzo 2018 n. 6047, ha confermato la legittimità del licenziamento per giusta causa di un lavoratore che, durante la malattia, ha pubblicato sui social la sua esibizione a un concerto suonando uno strumento.