di Rossana Cassarà *

Quando finisce un rapporto di lavoro e riconsegniamo pc, tablet e smartphone, siamo portati a credere che questi vengano immediatamente resettati e tutti i nostri dati, lavorativi e personali, definitivamente cancellati (tanto che ci si è già interrogati su come recuperare le informazioni evitando di commettere reati).

Invece non è sempre così, tanto che sulla questione è recentemente intervenuto il Garante della Privacy chiarendo la natura illecita di alcune prassi aziendali molto diffuse.

Il caso nasce dal reclamo dell’ex dipendente di una grande società assicurativa, il quale si era accorto che, dopo la cessazione del rapporto di lavoro, il datore aveva mantenuto attivo il suo account aziendale potendo così accedere a tutta la corrispondenza in entrata e uscita. E siccome la policy interna consentiva l’uso di email a scopo privato in orario non lavorativo, riteneva che il comportamento dell’azienda avesse violato la sua privacy.

Inoltre, la società aveva effettuato copie di backup dei dati contenuti in email e pc e dal suo smartphone aziendale erano stati scaricati file personali e fotografie che circolavano tra i colleghi, senza preventiva informativa o autorizzazione.

L’Autorità Garante gli ha dato ragione.

Il datore di lavoro, in violazione delle disposizioni sul trattamento dei dati personali di cui al d.lgs. 30 giugno 2003 n. 196 (c.d. Codice della Privacy), raccoglieva i dati contenuti nell’account di posta elettronica dei dipendenti fino a sei mesi dopo la cessazione del rapporto di lavoro e li conservava sul server aziendale per un periodo di ben dieci anni.

Inoltre, negli smartphone aziendali assegnati ai dipendenti veniva installata, a loro insaputa, un’applicazione in grado di rilevare le soglie di consumo e la localizzazione geografica.

Come difendersi, quindi, da un datore di lavoro ficcanaso?

In via preventiva, leggendo con attenzione le policy interne, le informative che ci vengono sottoposte contestualmente alla consegna di pc e smartphone, eventuali accordi sindacali sul tema e così via.

Tenendo sempre a mente che, in linea di principio, le dotazioni informatiche assegnate ai dipendenti nell’ambito del rapporto di lavoro devono essere utilizzate esclusivamente a fini lavorativi, salvo diverse disposizioni aziendali.

Possiamo poi rivolgerci al Garante della Privacy e al Giudice del lavoro.

L’Autorità Garante ha chiarito che gli account riconducibili a persone identificate o identificabili devono essere rimossi previa disattivazione e contestuale adozione di messaggi automatici che informino i terzi mittenti che quell’indirizzo non è più attivo (provv. n. 456 del 30.7.2015 e n. 136 del 5.3.2015).

Inoltre, i dipendenti devono essere informati circa l’esistenza, le finalità e le caratteristiche del trattamento dei loro dati, in ottemperanza agli obblighi posti al titolare dal d. lg. 30.6.2003 n. 196.

Ricordiamo che sono state emanate delle vere e proprie Linee guida per posta elettronica ed internet – Aut. Garante provv. n. 13/2007 – che, pur non costituendo un documento vincolante, prescrivono alle aziende misure per il corretto utilizzo della posta elettronica e della rete internet nell’ambito del rapporto di lavoro.

Viene raccomandato, ad esempio, l’adozione di un disciplinare interno con il coinvolgimento delle rappresentanze sindacali; la preventiva individuazione dei siti internet considerati attinenti all’attività lavorativa o l’uso di filtri che impediscano l’accesso a siti ritenuti non pertinenti. E ancora l’eventuale attribuzione al lavoratore di un secondo indirizzo email per uso personale e , in caso di disattivazione dell’account, messaggi di risposta automatica con i contatti degli altri dipendenti a cui rivolgersi.

Solo se queste misure preventive sono risultate insufficienti ad evitare abusi, il datore di lavoro può procedere ai controlli secondo un principio di gradualità: prima le verifiche di reparto, poi di ufficio, di gruppo di lavoro e solo in via residuale e se strettamente necessario sui singoli lavoratori.

Ci si può difendere anche davanti al Giudice del Lavoro: modalità di acquisizione e trattamento dei dati come quelle descritte costituiscono infatti violazione degli artt. 4 e 8 dello Statuto dei Lavoratori, poiché consentono al datore di effettuare un controllo sistematico dell’attività del dipendente e di accedere a dati che esulano dalla valutazione dell’attività professionale ed eventualmente anche a dati sensibili.

Sull’idea che la complessiva personalità del lavoratore deve considerarsi irrilevante ai fini della valutazione della sua professionalità, il legislatore ha predisposto la rigida tutela dell’art. 8 della l. 300/70 che vieta al datore di effettuare indagini sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.

E’ una norma ancora oggi di grande efficacia, capace di rendere inutilizzabili anche le informazioni sensibili acquisite dal datore di lavoro tramite i social network, complici perfetti della sua curiosità.

Attenzione però a non lasciarsi andare a commenti inopportuni su datore, colleghi o clienti che possono anche costituire giusta causa di licenziamento. Ma quella dei cosiddetti “Facebook fired” è un’altra storia e la affronteremo in uno specifico contributo.

*Palermitana ma ormai milanese di adozione, esercito la professione di avvocato a Milano occupandomi con passione di diritto del lavoro. Ho fatto esperienza in materia di lavoro giornalistico collaborando con il sindacato lombardo, ho seguito procedure di mobilità partecipando alle trattative sindacali e svolgo attività stragiudiziale e giudiziale su questioni inerenti il rapporto di lavoro subordinato, parasubordinato, autonomo e di agenzia in un primario studio giuslavoristico.