Come il datore di lavoro può spiare i dipendenti

Gli strumenti di controllo a distanza del personale, le condizioni d’impiego e la loro liceità: videosorveglianza, telecamere, email, profili social.

Viviamo in un’epoca ipertecnologica e i datori di lavoro sono facilmente in grado di controllare a distanza le attività dei dipendenti sul luogo di lavoro o anche a casa per chi è in smart working. Non si tratta più soltanto delle ormai classiche telecamere posizionate in uffici, magazzini, negozi e aziende, ma anche di strumenti più sofisticati, in grado di compiere un monitoraggio delle attività svolte su internet, tramite le email, le chat sui sistemi di messaggistica, i post sui social.

Così il datore di lavoro può spiare i dipendenti in molti modi, potenti ed invasivi. E, spesso, il monitoraggio avviene con strumenti automatici, che incrementano l’efficacia dei controlli anche a posteriori, sulla base dei dati acquisiti e memorizzati, che possono essere scovati e tirati fuori al momento opportuno. Tutto questo può mettere a rischio la privacy dei lavoratori e può ledere i diritti che devono essere loro garantiti. In alcuni casi, però, è lecito installare appositi sistemi di sorveglianza, ma solo per determinate finalità e rispettando specifici adempimenti.

Vediamo dunque lo stato attuale delle cose: come il datore di lavoro può spiare i dipendenti, e te lo spiegheremo esaminando quali tipi di controlli sono tecnicamente possibili, cosa dice la normativa in proposito e quali sono gli orientamenti della giurisprudenza su questo complesso tema, in continua evoluzione. Da qui capiremo meglio cosa si può fare e cosa no ed anche cosa non è vietato ma è meglio evitare.

I controlli del datore sul luogo di lavoro

La tecnologia è sempre più presente negli uffici e nelle aziende. L’elettronica, l’informatica e la moderna modalità di lavoro digitale, sempre più diffusa dopo la pandemia di Covid-19, favoriscono l’uso di penetranti sistemi di controllo della produttività, dei movimenti e dei comportamenti dei lavoratori.

Non si tratta solo di chi lavora al computer, ma anche di chi utilizza meccanismi di produzione robotizzati e che automatizzano intere fasi del processo, come la logistica di magazzino o la confezione, distribuzione e consegna dei prodotti.

Chiunque si trova in una fabbrica o in un ufficio può essere monitorato. Gli strumenti disponibili rendono possibile al datore di lavoro controllare facilmente i dipendenti e tutte le attività da loro svolte sul luogo di lavoro o anche da remoto, quando la prestazione viene resa in modalità agile, con lo smart working. Ma per farlo occorre rispettare le condizioni di legge, che ora esamineremo.

La privacy dei dipendenti

In ambito lavorativo, il diritto dei dipendenti alla privacy deve contemperarsi con il diritto del datore di controllare il regolare e puntuale svolgimento delle prestazioni lavorative ed anche di proteggere il patrimonio aziendale da furti, intrusioni o manomissioni.

Il bilanciamento di queste opposte esigenze è delicato e la legge ha stabilito alcuni punti fermi per evitare che il potere di controllo travalichi in una sorveglianza invasiva del personale dipendente; ciò, infatti, potrebbe ledere il diritto alla riservatezza e addirittura costituire reato, come vedrai tra poco.

La sorveglianza sui luoghi di lavoro

La sorveglianza esercitata all’interno dei luoghi di lavoro può essere svolta da personale di vigilanza appositamente incaricato oppure da sistemi automatici, come le telecamere che riprendono a distanza i movimenti del personale presente negli stabilimenti.

La legge [1] disciplina le possibilità d’uso di impianti audiovisivi e degli altri strumenti di controllo a distanza delle attività dei lavoratori. La norma stabilisce che questi sistemi possono essere impiegati «esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale»: tra le finalità consentite non rientra, dunque, quella di sorvegliare e monitorare direttamente il personale dipendente.

Telecamere in azienda: quando sono consentite

L’installazione delle telecamere in azienda o in altri luoghi lavorativi, come negozi e uffici, può avvenire previa stipula di un accordo con le rappresentanze sindacali e su autorizzazione dell’Ispettorato del Lavoro, che effettua un’istruttoria sulla base della domanda presentata dal titolare dell’impresa e al termine può rilasciare l’autorizzazione oppure non concederla. Il datore dovrà spiegare i motivi del controllo a distanza ed allegare all’istanza anche la descrizione tecnica dell’impianto di videosorveglianza proposto.

Una volta ammesso l’uso degli strumenti nei locali aziendali, la ripresa dei lavoratori dovrà – spiega l’Inl [2] – «avvenire in via incidentale e con caratteri di occasionalità, ma nulla impedisce, se sussistono le ragioni giustificatrici del controllo (ad esempio tutela della sicurezza sul lavoro o del patrimonio aziendale) di inquadrare direttamente l’operatore».

Non è neppure indispensabile «specificare il posizionamento predeterminato e l’esatto numero delle telecamere da installare» (che potrebbero variare nel corso del tempo, in base alle esigenze produttive o al cambiamento della conformazione dei locali o del loro uso), fermo restando che le riprese effettuate devono essere «coerenti e strettamente connesse con le ragioni legittimanti del controllo e dichiarate nell’istanza». Insomma, non si può “barare” dicendo che gli impianti servono a un determinato fine di legittimo interesse per l’azienda e, poi, utilizzarli per controllare ciò che fanno i dipendenti. Questo sarebbe non solo inutile, ma anche dannoso, perché sono previste severe conseguenze per chi abusa dei sistemi di videosorveglianza.

I sistemi di videosorveglianza illeciti

Il datore di lavoro che installa o utilizza i sistemi di videosorveglianza senza la preventiva autorizzazione o comunque al di fuori delle finalità e condizioni che abbiamo descritto commette un illecito penale, consistente nella violazione del divieto dei controlli a distanza sui lavoratori: Spiare con una telecamera i dipendenti è reato.

Inoltre, le registrazioni dei filmati sono inutilizzabili contro il lavoratore; anche un eventuale licenziamento del dipendente infedele, sorpreso dalla telecamera a rubare, sarebbe illegittimo e il lavoratore avrebbe diritto ad essere reintegrato nel posto.

La tutela del patrimonio aziendale

Una delle ragioni giustificatrici del controllo a distanza dei lavoratori è la tutela del patrimonio aziendale. Qui, l’Ispettorato del Lavoro ha chiarito che il problema non si pone per i dispositivi collegati ad impianti antifurto, in quanto essi entrano in funzione soltanto quando in azienda non sono presenti lavoratori.

Ma se il controllo di videosorveglianza avviene in orari e luoghi in cui c’è la presenza del personale aziendale, per ottenere il provvedimento di autorizzazione occorrerà specificare esattamente nell’istanza l’esigenza specifica e il tipo di monitoraggio effettuato; in tali casi, le riprese dei lavoratori potranno essere solo occasionali e non invasive.

Le telecamere sul posto di lavoro

I sistemi di videosorveglianza più recenti consentono di trasmettere a distanza, attraverso la rete internet, l’intranet aziendale o una connessione wireless, i dati delle riprese ed anche di memorizzarli e registrarli su un hard disk o altro dispositivo.

Così il datore potrebbe agevolmente controllare anche da casa, dal proprio pc o smartphone dotato delle apposite App, cosa succede in ufficio o in azienda, e farlo anche a distanza di tempo rispetto al momento in cui le riprese sono state effettuate.

In questi casi, l’Ispettorato Nazionale del Lavoro ha chiarito che:

• l’accesso da postazione remota alle immagini in tempo reale, cioè in diretta, può essere autorizzato «solo in casi eccezionali debitamente motivati»;
• l’accesso alle immagini registrate (sia sul posto sia da remoto) deve essere «necessariamente tracciato anche tramite apposite funzionalità che consentano la conservazione dei log di accesso» per almeno 6 mesi, in modo da permettere di risalire a chi le ha visualizzate.

Inoltre, la presenza delle telecamere all’interno dei luoghi di lavoro dovrà essere segnalata con appositi cartelli. Il Garante privacy ha prescritto che deve sempre esserci una chiara e ben visibile (anche di notte) informazione preventiva del fatto che si sta accedendo in una zona videosorvegliata.

Le telecamere possono essere installate anche in luoghi esterni al complesso aziendale, dove si svolge l’attività lavorativa «in modo saltuario o occasionale», ad esempio le zone di carico e scarico delle merci, ferma restando la necessità di autorizzazione anche in tali casi.

Tempi di conservazione delle immagini di videosorveglianza

La conservazione delle immagini, costituendo un trattamento di dati personali, non deve eccedere, di norma, le 24 ore dalla loro rilevazione, tranne che per esigenze di conservazione in casi di festività o per assolvere alle richieste dell’Autorità giudiziaria in relazione a un’indagine in corso. L’allungamento dei tempi è consentito, fino ad un massimo di una settimana, per particolari attività soggette a rischi (come le banche) o per speciali esigenze.

Per approfondire questo argomento puoi leggere l’articolo “Conservazione filmati videosorveglianza“.

I dati biometrici di riconoscimento

I sistemi di riconoscimento biometrico identificano le persone in base a dati delle loro caratteristiche fisiche, come l’immagine facciale, la conformazione dell’iride, il timbro della voce o le impronte digitali.

Il Garante per la protezione dei dati personali ha chiarito che i dati biometrici di riconoscimento sono soggetti alla normativa sulla privacy solo se tramite il loro trattamento si può giungere «all’identificazione univoca o all’autenticazione di una persona fisica».

Per il loro utilizzo sui luoghi di lavoro (come nel caso in cui vengano impiegati per l’accesso ai locali aziendali o per l’impiego di dispositivi e macchinari) il Garante in un apposito provvedimento [3] ha precisato che «l’adozione di sistemi biometrici basati sull’elaborazione dell’impronta digitale o della topografia della mano può essere consentita per limitare l’accesso ad aree e locali ritenuti “sensibili” in cui è necessario assicurare elevati e specifici livelli di sicurezza oppure per consentire l’utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati e specificamente addetti alle attività».

Dunque, i sistemi di riconoscimento biometrico sono ammessi in azienda non in via generale, ma solo quando vengono installati per identificare per ovvi motivi di sicurezza chi accede ad aree riservate, come i laboratori, o procede all’avviamento di determinate macchine e impianti, allo scopo di impedirne l’utilizzo a soggetti non autorizzati.

Anche in tali casi, però, è necessaria la medesima procedura autorizzativa prevista per i sistemi di videosorveglianza, dunque è richiesto l’accordo con le rappresentanze sindacali e l’autorizzazione dell’Ispettorato del lavoro competente.

Quando il controllo dei lavoratori è illecito?

Il potere organizzativo e direttivo del datore di lavoro che si manifesta nell’uso di strumenti di controllo e sorveglianza costituisce l’esercizio di un «legittimo interesse» alla protezione dei beni aziendali, ma deve contemperarsi con i diritti alla dignità ed alla riservatezza del lavoratore, come ha chiarito la Corte di Cassazione [4].

Perciò, anche i “controlli difensivi” compiuti all’insaputa del lavoratore per accertare eventuali illeciti, come il furto di beni aziendali, non possono essere esercitati con sistemi di controllo a distanza se questa finalità non è stata esplicitata nell’autorizzazione concessa dall’Ispettorato del Lavoro.

Ma gli impianti di videosorveglianza audiovisivi per essere leciti dovranno essere utilizzati in modo da evitare di controllare la qualità e la quantità delle prestazioni dei lavoratori e in ogni caso rispettando sempre la loro dignità e riservatezza. Così è illecito, ad esempio, nascondere una telecamera nell’ufficio di un impiegato per controllare le sue attività, come ha sancito la Cassazione in un caso in cui l’impianto era stato occultato dietro la grata del condizionatore [5].

Inoltre, i sistemi di controllo difensivo non debbono esorbitare dalle finalità di tutela del patrimonio aziendale: ad esempio, il filmato di una telecamera di sorveglianza che riprende un dipendente mentre sottrae beni o danneggia impianti potrà essere utilizzato come prova nel procedimento penale e disciplinare che verrà instaurato a suo carico, ma non sarà possibile utilizzare le riprese per contestare al dipendente l’inadempimento dell’attività lavorativa se si trattiene troppo alla macchinetta del caffè o a navigare su internet o a ciondolare senza far nulla.

Perciò, il comportamento del datore potrebbe costituire reato se installa sistemi di videosorveglianza all’insaputa dei dipendenti con l’unico scopo di spiare il loro operato [6].

Il controllo delle email dei dipendenti

L’utilizzo della posta elettronica pone particolari problemi per il fatto che l’account aziendale potrebbe essere utilizzato anche per comunicazioni personali o viceversa. Spesso, i dipendenti dispongono di una casella “personalizzata” all’interno della struttura, con il proprio nome e cognome seguito dalla chiocciola e dall’indirizzo della società di appartenenza, in modo da poter ricevere e inviare email direttamente all’esterno.

Si possono quindi verificare interferenze, e l’accesso del datore di lavoro alla casella di posta elettronica in uso al dipendente potrebbe fargli conoscere informazioni personali e dati sensibili coperti dalla privacy. Tecnicamente, il datore di lavoro può entrare con facilità nelle caselle e-mail aziendali dei suoi dipendenti, ma non può farlo se in questo modo intende esercitare un controllo su di essi.

Il Garante privacy ha specificato che il titolare del trattamento dei dati deve informare preventivamente i lavoratori delle possibilità di controllo della loro corrispondenza elettronica, rappresentando le finalità e le caratteristiche di queste operazioni. Ed ancora, le attività eseguite devono essere tracciabili e non esorbitare dalle finalità specifiche per cui sono stati intraprese (ad esempio per reagire ad un attacco hacker di pirateria informatica). Inoltre, il Garante ha sottolineato che è illecito l’esame delle e.mail rimaste presenti sull’account aziendale dopo la cessazione del rapporto di lavoro: in tal caso, gli account devono essere rimossi e le informazioni cancellate.

Di recente il Garante privacy ha sanzionato la Regione Lazio con una multa di 100mila euro per l’illecito trattamento delle e-mail dei dipendenti: erano stati acquisiti, senza informativa preventiva e senza consenso, dati personali, quali il mittente, il destinatario, l’oggetto ed il contenuto dei messaggi e gli allegati. Un trattamento del genere, anche quando compiuto con un monitoraggio automatizzato dei flussi di dati in entrata e in uscita sulle caselle di posta elettronica, avrebbe richiesto la valutazione d’impatto, la DPIA, come previsto dall’art. 35 del Gdpr, in quanto comporta – spiega l’Autorità – «un rischio elevato per i diritti e le libertà delle persone fisiche»: i lavoratori dipendenti sono considerati soggetti «vulnerabili» quando vengono sottoposti ad un «monitoraggio sistemico» delle loro attività, e ciò può avvenire anche attraverso «i dati raccolti tramite reti» [7]. Per ulteriori informazioni su questo tema leggi anche l’articolo “Posso controllare la mail del dipendente?“.

Il controllo sui social network

L’utilizzo dei social media, come Facebook ed Instagram, è sempre più diffuso e, spesso, si registrano commenti critici dei lavoratori sull’azienda di appartenenza, così come accadono interferenze del datore di lavoro che cerca di controllare l’attività, e le idee, dei propri dipendenti monitorando le loro bacheche personali dove condividono post, immagini, video e notizie.

Qui, occorre tutelare la libertà di espressione del lavoratore, che è prima di tutto un cittadino, con l’esigenza di tutela dell’immagine dell’impresa o dell’ente da cui egli dipende. Perciò, il potere di controllo del datore trova un limite nel diritto alla dignità ed alla riservatezza del dipendente.

La Cassazione [8] ha però ritenuto legittimo il licenziamento di un lavoratore “scoperto” dal suo datore, che aveva controllato il suo profilo su Facebook, ad esibirsi in un concerto durante un periodo di malattia. A giudizio della Suprema Corte, stava svolgendo un’attività tale da compromettere la sua guarigione, violando anche i doveri di correttezza e buona fede nello svolgimento del rapporto di lavoro.

Dunque, i social possono essere usati in alcuni casi contro il lavoratore, specialmente quando dai post pubblicati emerge una sua condotta illecita. Ma in linea generale su Facebook il datore non può spiare i dipendenti a meno che non dimostri come proprio quel controllo sia necessario per proteggere i suoi interessi e non siano disponibili altri mezzi meno invasivi.

Sul lavoro, poi, l’uso dei social si intreccia con il tempo da dedicare allo svolgimento delle prestazioni lavorative. Quindi, da un lato la condotta social del dipendente al di fuori dell’orario di lavoro potrà rilevare solo eccezionalmente e negli stretti limiti che abbiamo indicato; mentre, dall’altro lato, se si usano i social durante il lavoro, si può rischiare il posto ed essere licenziati, nel caso in cui venga riscontrato che i collegamenti avvengono in maniera ripetuta ed impropria oppure con l’utilizzo della connessione aziendale per attività extralavorative, o comunque per finalità personali, quando ciò non è consentito dalle regole interne.