L’installazione di un sistema di videosorveglianza sui luoghi di lavoro è sempre un delicato tema. In un interessante caso il Garante ha dato ragione alla dipendente sottoposta ad un procedimento disciplinare, sanzionando inoltre il datore di lavoro.
La problematica è complessa, quindi partiamo dall’analisi del provvedimento del Garante, cercando di identificare i confini del potere di controllo del datore di lavoro con un impianto di videosorveglianza alla luce dello Statuto dei Lavoratori, della normativa Privacy, ma anche delle recenti pronunce giuslavoristiche.
Indice
Il caso
Una dipendente comunale lamentava l’istallazione di un sistema di videosorveglianza nella sede del Comune, in prossimità dei sistemi di rilevazione delle presenze e in assenza dell’accordo con le organizzazioni sindacali, nonché l’impiego di tale sistema per l’effettuazione di specifiche contestazioni disciplinari alla stessa dipendente in ordine al mancato rispetto dell’orario di servizio e alla violazione dei propri dei doveri d’ufficio.
In particolare, dalle registrazioni effettuate dalle telecamere era emerso che la dipendente timbrasse il proprio cartellino delle presenze per poi non entrare all’interno del luogo di lavoro.
A seguito della segnalazione, il Garante accertava una serie di violazioni in capo al Comune, circa:
- la mancata predisposizione di una informativa privacy circa il trattamento di dati personali mediante il sistema di videosorveglianza, violando quindi gli artt. 5, par. 1, lett. a) e b), 6, 12, 13 e 88 del Regolamento GDPR;
- la mancata autorizzazione amministrativa o l’accordo sindacale per l’installazione del sistema di videosorveglianza, violando l’articolo 114 del Codice privacy (in riferimento all’art. 4, commi 1 e 3, dello Statuto dei Lavoratori).
A fronte di queste omissioni e delle dichiarazioni contraddittorie fornite dal Comune, il Garante ha sanzionato lo stesso per un importo pari a 3.000 euro.
Non solo.
A seguito dell’attività istruttoria, il Garante ha chiarito l’impossibilità di utilizzare, anche a fini disciplinari, i dati raccolti dal sistema di videosorveglianza poiché trattati in violazione della normativa privacy.
Cosa è necessario fare per poter installare delle telecamere nei luoghi di lavoro, evitando sanzioni e potendo utilizzare in maniera legittima i dati raccolti tramite gli stessi? Vediamolo, analizzando anche gli orientamenti della giurisprudenza.
Videosorveglianza e Il potere di controllo dei datori di lavoro
Quando si parla dell’esercizio del potere di controllo di cui è titolare il datore di lavoro, è imprescindibile non toccare le previsioni sancite all’articolo 4 dello Statuto dei lavoratori.
L’attuale previsione di legge stabilisce una serie di prescrizioni fondamentali in capo al datore di lavoro che vuole installare o utilizzare, all’interno della propria azienda, strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori; come ad esempio telecamere o sistemi GPS. Queste prescrizioni possono essere raggruppate in 3 macroaree.
1. Prescrizioni relative alle finalità: La norma stabilisce che questi strumenti possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.
2. Prescrizioni relative alle modalità di installazione: Viene previsto l’obbligo di subordinare l’installazione degli impianti alla stipulazione di un accordo con le rappresentanze sindacale unitaria o aziendali. In mancanza di tale accordo, gli impianti possono essere installati solamente previa autorizzazione dell’Ispettorato del lavoro.
3. Prescrizioni relative agli adempimenti privacy: Tutti i dati raccolti mediante questi sistemi possono essere utilizzati esclusivamente se sono state rispettate le previsioni contenute all’interno del Regolamento europeo 679/2016 (GDPR) e del Codice privacy 196/2003, con particolare riferimento ai principi di trasparenza, correttezza, minimizzazione e liceità del trattamento effettuato.
Un esempio di scuola per capire la portata dalla norma di legge è da rinvenirsi proprio nel sistema di videosorveglianza, essendo un dispositivo idoneo a perseguire le finalità richiamate e al tempo stesso in grado di raccogliere e registrare una serie di dati personali, in primis l’immagine dei lavoratori e dei soggetti ripresi.
[ved. anche: Videosorveglianza: sanzionato un impianto installato in una catena di negozi]
Che cosa ha sbagliato il Comune?
Il Comune sanzionato dal Garante, pur avendo installato le telecamere per esigenze organizzative, di sicurezza e di tutela del patrimonio, non solo non aveva stipulato l’accordo sindacale o richiesto l’autorizzazione amministrativa, ma aveva anche omesso di informare adeguatamente i lavoratori circa le modalità e le finalità di utilizzo del già menzionato sistema.
Sia l’articolo 2-decies del Codice privacy, che il comma terzo dell’articolo 4 dello Statuto dei Lavoratori, impediscono al datore di lavoro di utilizzare i dati personali a tutti fini connessi al rapporto di lavoro se raccolti in violazione delle disposizioni in materia privacy.
Questo ha un peso molto significativo, forse anche maggiore delle sanzioni amministrative inflitte dal Garante, poiché impedisce al datore di lavoro di sanzionare i propri dipendenti, anche laddove venisse a scoprire condotte sanzionabili da parte di quest’ultimi.
Ma ci sono anche delle deroghe, vediamole.
Strumenti di lavoro
Per completezza espositiva, segnaliamo che ci sono degli strumenti esenti dal necessario accordo sindacale o dall’autorizzazione amministrativa, in particolare si fa riferimento a quegli strumenti utilizzati dal lavoratore per rendere direttamente la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze (pc e badge aziendali).
Questi strumenti però, devono comunque essere accompagnati da un’idonea informativa nei confronti dei dipendenti, al fine di renderli edotti delle modalità e finalità di utilizzo dei dati trattati, per il rispetto del già richiamato principio di trasparenza.
[ved. anche: Attività del Garante 2022: le lesson-learned sulla protezione dei dati nei rapporti di lavoro]
Tornando alla vicenda che ha interessato il Comune, merita una precisazione il contenuto di una loro memoria difensiva presentata dinanzi all’Autorità.
Dagli atti si evince che l’Ufficio per i Procedimenti Disciplinari incaricato di seguire la vicenda, nel replicare a quanto prospettato dal legale dell’interessata circa la “la violazione dell’art. 4 della l. 300/1970”, precisa che
“in ordine alla presunta violazione dell’art. 4 dello Statuto dei lavoratori […] [sono] fuori dall’ambito di applicazione della norma il controllo per la tutela patrimoniale così come i controlli diretti ad accertare condotte illecite del lavoratore, tanto più ex post, ossia dopo l’attuazione del comportamento in addebito, così da prescindere dalla mera sorveglianza sull’esecuzione della prestazione lavorativa”.
L’ufficio ha fatto riferimento a quella corrente giurisprudenziale denominata cd. “controlli difensivi”, che considera legittimo il controllo occulto da parte del datore sul proprio dipendente, senza dover osservare le prescrizioni relative all’articolo 4 dello Statuto dei Lavoratori.
Il Garante ha rigettato l’eccezione promossa dall’ufficio motivando che non era applicabile a quel caso concreto. Prima di vedere le sue motivazioni, vogliamo farvi comprendere quali sono i casi in cui è possibile esercitare il controllo occulto sul lavoratore secondo le più recenti sentenze della Corte di cassazione.
La ratio dei controlli difensivi
È pacifico considerare in questo caso, l’inefficacia della ratio contenuta in molte norme dello Statuto dei Lavoratori, le quali subordinano la possibilità di controllare i propri dipendenti al corretto assolvimento di obblighi informativi a favore degli stessi, soprattutto nel caso in cui il dipendente, reo di aver commesso l’illecito, possa conoscere anticipatamente quando, come e da parte di chi verrà condotta l’attività di controllo.
Si è quindi sancito come questa garanzia non valga per i controlli difensivi posti in essere per prevenire reati e furti del patrimonio aziendale. I dati raccolti sono utilizzabili contro i lavoratori ed è stato affermato che i limiti previsti dallo Statuto dei Lavoratori non possono essere invocati qualora il controllo riguardi un’attività non lavorativa, ma bensì condotte illecite, cioè mancanze specifiche dei dipendenti.
In questo caso è riconosciuta la piena legittimità dei controlli occulti (senza che i lavoratori interessati siano preventivamente informati del loro svolgimento) se finalizzati ad accertare comportamenti di particolare gravità del prestatore, lesivi del patrimonio e dell’immagine aziendale.
Le caratteristiche dei controlli difensivi
Come ribadito dalla recente ordinanza della Corte di Cassazione, per controlli difensivi si intendono i controlli diretti ad accertare comportamenti estranei al rapporto di lavoro illeciti o lesivi del patrimonio e dell’immagine aziendale; dunque, non volti ad accertare l’inadempimento delle ordinarie obbligazioni contrattuali. Sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto.
La legittimità dei controlli difensivi presuppone, quindi, “il fondato sospetto” del datore di lavoro circa comportamenti illeciti di uno o più dipendenti.
Spetta al datore l’onere di allegare, prima, e di provare, poi, le specifiche circostanze che l’hanno indotto ad attivare il controllo ex post, sia perché solo il predetto sospetto consente l’azione datoriale fuori dal perimetro di applicazione diretta dell’art. 4 dello Statuto dei Lavoratori, sia perché, in via generale incombe sul datore, la dimostrazione del complesso degli elementi che giustificano il provvedimento disciplinare (art 5 l. 604 del 1966).
In altre parole.
- L’iniziativa datoriale deve avere la finalità specifica di accertare determinati comportamenti illeciti del lavoratore, lesivi del patrimonio o dell’immagine aziendale. Il controllo deve avvenire su comportamenti estranei al rapporto di lavoro; quindi, non è legittimo il controllo occulto per accertare l’inadempimento delle ordinarie obbligazioni contrattuali da parte del prestatore di lavoro.
- Deve sussistere il “fondato sospetto” del datore circa comportamenti illeciti di uno o più dipendenti, prima che il controllo occulto abbia inizio. Anche perché questo aspetto andrà precisato in sede di contestazione disciplinare, presupposto essenziale per l’esercizio del potere disciplinare. [per la contestazione disciplinare ved. anche: Il caso Rai: tra libertà d’espressione e diritto del lavoro].
- Deve essere assicurato un corretto bilanciamento tra le esigenze datoriali di protezione dell’azienda, e la riservatezza e dignità del lavoratore. Ciò significa che è essenziale, per la legittimità del controllo, che si raccolgano solamente quei dati essenziale e strettamente necessari per accertare e punire la condotta illecita del lavoratore, senza eccedere sul controllo.
Le ragioni di queste precise prescrizioni si basano su un criterio di ragionevolezza. Si vuole, infatti, evitare che Il datore di lavoro, omettendo l’adeguata informazione sulle modalità di effettuazione dei controlli, nonché senza il rispetto della normativa sulla privacy, acquisisca per lungo tempo ed ininterrottamente ogni tipologia di dato relativo ai propri dipendenti, provvedendo alla relativa conservazione, e, poi, invocare la natura mirata (ex post) del controllo difensivo incentrato sull’esame ed analisi di quei dati. In tal caso, il controllo non può ritenersi effettuato dopo l’insorgere del fondato sospetto, poiché esso ha inizio con la raccolta delle informazioni; quella che viene effettuata ex post è solo una attività successiva di lettura ed analisi che non ha, a tal fine, una sua autonoma rilevanza.
L’opinione del Garante
Nel provvedimento che stiamo analizzando in questa sede, il Garante precisa che non è applicabile la teoria dei controlli difensivi poiché il Comune aveva istallato la telecamera di videosorveglianza anteriormente ai fatti poi contestati alla dipendente e in maniera tale da riprendere la totalità dei lavoratori e dei visitatori transitanti nell’atrio dell’edificio.
In tale quadro, il Garante non ha sempre condiviso la corrente giurisprudenziale dei controlli difensivi, precisandolo anche nel provvedimento oggetto della nostra analisi, tanto che all’interno del provvedimento si può leggere nelle premesse che “la c.d. teoria sui controlli difensivi, di pura creazione giurisprudenziale, è oggetto di applicazioni non univoche”.
Come mettersi in regola?
La commistione delle normative giuslavoristiche con quelle a tutela della privacy genera, a volte, confusione e preoccupazione nelle Aziende.
In realtà, per l’installazione di strumenti come ad esempio le telecamere per la videosorveglianza ovvero i sistemi GPS, gli adempimenti previsti sono semplici da individuare e possono essere sinteticamente elencati nei seguenti passaggi:
- Accordo con le organizzazioni sindacali per l’installazione del sistema di videosorveglianza ovvero autorizzazione da parte della sede territoriale dell’ispettorato nazionale del lavoro;
- Effettuare la cosiddetta “LIA”, ossia quel documento descrittivo che non solo dimostra l’esistenza di un interesse concreto e attuale (legittimo interesse ex art. 6 lett. F GDPR) del datore di lavoro all’istallazione delle telecamere, ma che è anche idoneo a comprovare che il conseguente trattamento dei dati non comporta un’eccessiva intrusione nella sfera privata dei lavoratori e degli altri soggetti ripresi;
- Predisposizione dell’apposita cartellonistica da affiggere nei luoghi adiacenti alle telecamere e che contiene le informazioni essenziali circa il trattamento dei dati (come chi è il titolare del trattamento, per quali finalità, in base a quale base giuridica ecc…) e che rimanda all’informativa privacy completa (cd. “informativa privacy estesa”) contenente tutte le informazioni obbligatore previste dall’art. 13 GDPR.
Tutti questi adempimenti, da concludersi PRIMA di installare le telecamere, sono gli stessi adempimenti che consentono al datore di lavoro di poter utilizzare o meno le relative registrazioni anche a fini disciplinari, nonché di evitare pesanti sanzioni.
Ricordando infine, come sia consolidata la giurisprudenza della Corte di Cassazione in riferimento alla teoria dei cd. Controlli difensivi. Teoria che permette al datore di lavoro di esercitare e difendere i propri diritti, per far fronte a tutte quelle situazioni in cui l’informazione preventiva al proprio dipendente rende inefficace e inutile il controllo stesso.