Il datore di lavoro può effettuare controlli sul computer del dipendente? Certamente, ma solo nei casi in cui sussistano concreti sospetti di attività illecite del lavoratore.

La possibilità per il datore di lavoro di controllare il lavoratore è soggetta a limiti legali molto stringenti. Lo scopo è quello di trovare un equilibrio tra le esigenze dell’imprenditore ed i diritti del dipendente.

L’imprenditore può infatti avere bisogno di controllare l’attività dei propri dipendenti per esigenze produttive o di tutela del patrimonio aziendale. I lavoratori, invece, hanno un diritto alla riservatezza ed una dignità personale che non possono essere lesi da controlli troppo invasivi.

In quest’ottica, lo Statuto dei Lavoratori ha previsto delle norme molto stringenti in materia di controlli a distanza del lavoratore (ne abbiamo parlato qui in relazione allo smart working). Queste norme vietano in generale al datore di lavoro di effettuare un controllo costante e generale sull’attività dei lavoratori, ad esempio con sistemi di videosorveglianza (di cui abbiamo parlato qui) o strumenti di monitoraggio in tempo reale della loro attività.

Questo divieto, però, opera solo con riferimento allo svolgimento dell’attività lavorativa da parte dei lavoratori. Non opera invece quando il datore di lavoro effettua dei controlli per accertare la commissione di reati o atti illeciti in suo danno da parte dei lavoratori. Questo principio come è stato recentemente ribadito anche dalla Corte di Cassazione, che in una recente sentenza ha ricordato i limiti entro cui questi controlli difensivi possono essere considerati legittimi.

I controlli a distanza sul computer e gli altri strumenti di lavoro usati dal dipendente

Si considerano controlli a distanza tutte quelle attività effettuate dal datore di lavoro con strumenti tecnologici che permettono di controllare in tempo reale o in differita l’attività svolta dal singolo lavoratore.

Per esempio, sono forme di controllo a distanza:

  • l’installazione di impianti di videosorveglianza che riprendano le postazioni di lavoro;
  • l’uso di software o apparecchiature che siano in grado di tracciare il lavoratore nei suoi spostamenti;
  • l’uso di software di monitoraggio dell’attività che il lavoratore compie utilizzando macchinari o apparecchiature aziendali.

La norma di riferimento in materia è, anzitutto, l’art. 4 dello Statuto dei Lavoratori. Questo articolo prevede che gli strumenti di controllo a distanza possono essere utilizzati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.

Il datore di lavoro potrà servirsi di questi strumenti solo dopo aver raggiunto un accordo con le rappresentanze sindacali rappresentative nell’azienda o, in mancanza, previa autorizzazione dell’Ispettorato del Lavoro (qui il relativo modulo).

Tali prescrizioni non si applicano agli strumenti utilizzati dal dipendente per rendere la prestazione lavorativa e per gli strumenti di registrazione degli accessi e delle presenze.

Per esempio, non costituisce uno strumento di controllo a distanza il centralino aziendale, in quanto strumento di lavoro, anche se attraverso i registri delle telefonate il datore di lavoro può monitorare in parte l’attività dei dipendenti. Ciò, beninteso, a condizione che gli strumenti di lavoro non includano sistemi espressamente dedicati al controllo dei lavoratori. Così, per esempio, sarebbe soggetto ad autorizzazione il centralino di un call center che includa funzionalità avanzate per verificare la produttività degli operatori.

Ai lavoratori deve essere sempre fornita un’adeguata informativa circa le modalità di uso degli strumenti e di effettuazione dei controlli (al riguardo risulta molto utile la pagina informativa del Garante privacy).

I “controlli difensivi” del datore di lavoro

Come abbiamo detto, il controllo a distanza delle attività dei lavoratori è legittimo solo laddove vi siano comprovate esigenze organizzative e produttive, di sicurezza del lavoro o di tutela del patrimonio aziendale.

Sono però emerse, nel corso degli anni, difficoltà nel comprendere se in questo divieto rientrino anche i cosiddetti “controlli difensivi”, cioè quelle verifiche del datore di lavoro volte ad evitare la commissione di “illeciti” da parte dei propri dipendenti, come ad esempio il furto di dati aziendali.

La giurisprudenza, anche grazie agli interventi del Garante della Privacy, è giunta alla conclusione che i controlli difensivi – compresi quelli sul computer del dipendente – non sono vietati, purché avvengano a determinate condizioni.

Per poter svolgere questi controlli, il datore di lavoro non dovrà dunque sottoscrivere un accordo con le organizzazioni sindacali o richiedere l’autorizzazione dell’Ispettorato del Lavoro. Ciò non significa, ovviamente, che i datori siano completamente esenti da adottare misure adeguate per la tutela dei diritti dei dipendenti.

Occorre però distinguere tra il caso in cui il datore di lavoro effettui un controlli generalizzati su tutti i computer dei dipendenti e quello in cui si limiti a svolgere i propri accertamenti nei confronti di persone determinate.

I controlli generalizzati sui computer dei dipendenti

Tra le misure di controllo difensivo più diffuse vi è sicuramente l’installazione di software sui computer dei dipendenti per controllare le email, la cronologia internet, e, in generale, l’uso degli strumenti informatici aziendali al fine di evitare condotte illecite dannose per l’azienda.

Tale tipologia di controlli deve rispettare le condizioni poste dall’art. 4 dello Statuto dei Lavoratori, ed in ogni caso richiede l’adozione di misure specifiche da parte del datore di lavoro, soprattutto in ambito privacy.

Prima di avviare i controlli, infatti, il datore deve fornire un’adeguata informativa ai dipendenti ai sensi dell’art. 13 del GDPR, contenente, anche in forma semplificata, tutti gli elementi ivi previsti: durata e finalità del trattamento, diritti degli interessati, tempi di conservazione etc.

Dovrà, inoltre, essere adottato uno specifico disciplinare, che consenta ai dipendenti di conoscere preventivamente quali condotte siano vietate e quali no, come, ad esempio:

  • se è consentito usare l’e-mail aziendale per ragioni personali;
  • in che misura si può usare la rete internet per uso personale;
  • quali tipologie di controlli verranno effettuate;
  • i nominativi del responsabile dei controlli;
  • le eventuali sanzioni in caso di violazioni.

I controlli sul computer del singolo dipendente

La questione si fa più complessa nelle ipotesi in cui i controlli siano mirati, nei confronti di un singolo dipendente, sospettato di commettere illeciti a scapito dell’azienda. In queste ipotesi si rientra nella categoria dei controlli difensivi “in senso stretto”.

Queste forme di controllo non rientrano nell’ambito applicativo dell’art. 4 dello Statuto dei Lavoratori, non avendo ad oggetto la normale attività del lavoratore.

La Corte di Cassazione, con la sentenza n. 25732/2021 del 22 settembre 2021, ha comunque ribadito la legittimità di queste verifiche, a condizione che siano rispettati alcuni limiti. I controlli difensivi sul computer del singolo dipendente potranno infatti essere effettuati solamente ex post, ovvero solo dopo che il datore abbia avuto un concreto e fondato sospetto che sia stato commesso un illecito da parte del lavoratore.

Ne consegue che, i controlli difensivi “in senso stretto” non potranno essere né preventivi, né “a campione”, né estesi a tutti i dipendenti indiscriminatamente. Come chiarito dalla Cassazione potranno essere effettuati “solo ove, a seguito del fondato sospetto del datore circa la commissione di illeciti ad opera del lavoratore, il datore stesso provveda, da quel momento, alla raccolta delle informazioni“.

Così, ad esempio, se si vogliono effettuare dei controlli sui dati di traffico contenuti nel browser del computer del dipendente, saranno ammessi solo quelli raccolti dopo l’insorgenza del sospetto fondato che siano stati commessi degli illeciti.