E’ stata appena pubblicata una decisione del Garante in merito alla possibilità , per il datore di lavoro, di controllare il PC dato in uso al proprio dipendente (decisione del 18.10.2012, doc. web 2149222 su www.garanteprivacy.it).
Il caso è il seguente: un dipendente fornisce il suo Mac all’azienda (come, apparentemente, è prassi per tutti i dipendenti) per effettuare il periodico back-up del disco. Il back-up viene effettuato sul server aziendale e la azienda, successivamente, nel verificare i file riscontra che il lavoratore operava in concorrenza con il datore di lavoro; il dipendente, a questo punto, viene licenziato senza preavviso.
Il lavoratore licenziato agisce su due fronti: da un lato impugna il licenziamento, dall’altro ricorre al Garante per opporsi all’ulteriore trattamento dei propri dati e per ottenerne la cancellazione, dichiarando illecito il trattamento effettuato dall’azienda. Ciò in quanto le informazioni che avevano portato al licenziamento erano contenute sì nel computer aziendali, ma erano racchiuse in files personali, in relazione ai quali né il dipendente era stato informato della possibilità di controllo, né quindi aveva fornito il relativo consenso.
Il Garante, appurato che il Mac è di proprietà dell’Azienda e che i files sono stati scaricati sul server al momento del back up (che non poteva essere fatto automaticamente dalla rete, per motivi tecnici), poiché il lavoratore non era stato preventivamente informato della possibilità di questi controlli, dichiara illecito il trattamento e ne blocca qualsiasi ulteriore utilizzo. Tutto ciò, peraltro, fatte salve “le autonome determinazioni da parte dell’autorità giudiziaria in ordine all’utilizzabilità nel procedimento civile della documentazione medesima eventualmente già acquisita in tale sede”.
Faccio una premessa: il sottoscritto può essere accusato di molte cose, ma non di essere un conservatore (politicamente parlando); ciononostante, non posso che dire una cosa: è ora che qualcuno si fermi a ragionare, prima che questo trend vada fuori controllo e che decisioni su queste materie siano ponderate e basate su concreti elementi di fatto, per non essere bollate come frutto di miopia, oltre che sbagliate.
Il computer aziendale è dell’azienda e, vivaddio, se viene dato per svolgere il proprio lavoro, non si capisce perché un dipendente lo possa usare per fini propri. C’è forse bisogno di scrivere all’ingresso della banca “non rubare” affinchè la rapina sia un reato? Personalmente credo che sia maturo il momento per affermare con chiarezza un concetto, che vale nei rapporti di lavoro così come in tutti i rapporti economici: chi commette un illecito non può nascondersi dietro il comodo paravento offerto dalla privacy. Un illecito (e, ricordo, ci sono anche gli illeciti civili, non solo quelli penali) rimane tale e non può trovare facile difesa dietro una legge che non è stata voluta per questo. Se quel soggetto fosse stato il dipendente di una società finanziaria e nel computer avesse inserito dati delle sue transazioni illecite, magari svolte a scapito della sua azienda; se in quel computer, nei sui files personali, ci fosse stata la prova di sottrazione di denaro a danno del suo datore di lavoro, ciò significa che il datore di lavoro non potrebbe esaminare quei files ? Ed estremizzando, quante volte gravi situazioni di ordine pubblico (omicidi, aggressioni, ecc.) sono state risolte grazie alle immagini delle telecamere poste da qualcuno sulla strada? Per caso qualcuno ha invocato la privacy per chiedere la inutilizzabilità di quelle immagini e se lo avesse fatto, qualcuno gli avrebbe dato ascolto?
Non ho fatica a riconoscere come queste siano considerazioni sostanzialmente emotive e che, in questa sede, occorra invece procedere ad una analisi critica. Ciò detto, credo comunque che quanto appena detto abbia fondamento giuridico, nel senso che situazioni analoghe non possono che trovare una disciplina uniforme. Veniamo quindi a considerazioni giuridiche più strettamente pertinenti alla materia.
Nel caso specifico, alla luce di come si sono svolti i fatti, non trova applicazione l’articolo 4 dello statuto dei lavoratori: non vi è stato un controllo automatico, a distanza, ma la consegna fisica del computer per effettuare le operazioni di back-up.
Il tribunale di Milano (Ord. GIP di Milano, 10.05.2002), nell’esaminare la denuncia per pretesa violazione della corrispondenza da parte del datore di lavoro che aveva aperto la casella di mail di un dipendente, così aveva concluso:
“Tanto meno può ritenersi che leggendo la posta elettronica contenuta sul personal computer del lavoratore si possa verificare un non consentito controllo sulle attività di quest’ultimo atteso che l’uso dell’e-mail costituisce un semplice strumento aziendale a disposizione dell’utente-lavoratore al solo fine dì consentire al medesimo di svolgere la propria funzione aziendale (non si possono dividere i messaggi dì posta elettronica: quelli “privati” da un lato e quelli “pubblici” dall’altro) e che, come tutti gli altri strumenti di lavoro forniti dal datore di lavoro, rimane nella completa e totale disponibilità del medesimo senza alcuna limitazione (di qui l’inconferenza dell’assunto in ordine all’asserito preteso divieto assoluto del datore dì lavoro di “entrare” nelle cartelle”private” del lavoratore ed individuabili come tali che verosimilmente contengano messaggi privati indirizzati o inviati al lavoratore e che solo ragioni di discrezione ed educazione imporrebbero al datore di lavoro/lavoratore non destinatario di astenersi da ogni forma di curiosità …!) (sottolineatura aggiunta, ndr)
La giurisprudenza, cioè, in un caso del tutto analogo (licenziamento disciplinare nei confronti di un lavoratore che usava gli strumenti aziendali in concorrenza con il proprio datore di lavoro) ha stabilito un principio che in totale ed assoluto contrasto con quanto affermato dal Garante. Ciò che è proprietà dell’azienda è e rimane nella sua completa disponibilità e non può esservi alcun divieto di entrare in files che il lavoratore definisce come suoi, e quindi privati.
Il Garante riconosce certo il diritto del datore di lavoro di effettuare i controlli, precisando che, però, questi devono essere svolti nel rispetto dei principi di pertinenza e non eccedenza dei dati di cui al comma 1 dell’articolo 11. Conclude quindi il Garante che il trattamento in questione sarebbe in violazione di legge in quanto “alla luce delle considerazioni sopra esposte, il trattamento dei dati relativi al ricorrente è stato effettuato in violazione dei principi di cui all’art. 11 del Codice”. Ricordo qui che l’articolo 11, comma 1 richiede che i dati siano trattati “in modo lecito e secondo correttezza”.
Ricapitoliamo: esisteva una prassi per cui venivano effettuati back-up periodici (tra l’altro, richiesti proprio dalla legge sulla privacy e dalle misure minime di sicurezza). Il datore di lavoro, quindi, svolgeva una attività necessitata per legge (oltre che da buona prassi gestionale e di sicurezza). Il dipendente ne era perfettamente a conoscenza; sapeva, quindi, che nell’effettuare il back-up dei dati necessariamente sarebbero stati copiati anche quelli che lui riteneva dati personali e a cui non voleva garantire l’accesso al datore di lavoro. Purtuttavia, non aveva cancellato i dati, ma li aveva lasciati copiare. Sapeva anche che, essendo stati copiati, per qualsiasi motivo al mondo, nell’ambito delle normali attività di gestione di impresa, i files potevano essere aperti. Non necessariamente per finalità di controllo, per così dire, individuale a fini disciplinari, ma per le finalità più disparate: verifica di data sets non coerenti con i files aziendali, aggiornamento dei data bases aziendali con i dati contenuti nel computer di ogni dipendente, analisi di sistema, verifiche sulla necessità di conservazione (non tutti i dati vengono conservati per sempre) ecc. I files scaricati dal computer, cioè (ed il lavoratore ne era perfettamente consapevole) avrebbero potuto essere esaminati in qualsiasi momento per qualsiasi motivo. Dove è il comportamento scorretto? Perché, oltretutto, come faceva il datore di lavoro a sapere che quei files erano personali e non di lavoro? Perché erano dipinti di verde? Per concretizzare un comportamento contrario alla buona fede e correttezza richieste dall’articolo 11, il datore di lavoro avrebbe dovuto sapere che quelli erano files contenenti dati personali ; oppure effettuare i controlli a distanza ed a totale insaputa del lavoratore. Non si vede, cioè, alla luce della dinamica dei fatti, quale sia il comportamento scorretto tenuto dal datore che non sia consapevole che quello che sta aprendo è un files con dati personali di un terzo. Se, come ha affermato il Tribunale di Milano (e che, credo, sia non solo un dato giuridico fondamentale, ma una nozione di buon senso e di comune conoscenza)” tutti gli strumenti di lavoro forniti dal datore di lavoro, (sono…ndr) nella completa e totale disponibilità del medesimo senza alcuna limitazione” e che non sussiste un “asserito preteso divieto assoluto del datore dì lavoro di “entrare” nelle cartelle”private” del lavoratore”, quale è il comportamento effettuato con dolo o mala fede? Spiace che, su questo punto la decisione del Garante sia del tutto carente di motivazione. Infatti, nel citare la pretesa violazione dell’articolo 11.1, il Garante si è limitato a spiegare, in maniera molto generica, che i controlli che il datore può lecitamente fare “ possono determinare il trattamento di informazioni personali, anche non pertinenti, o di dati di carattere sensibile”. Ma il compito di chi decide è di dare la corretta interpretazione giuridica dei fatti a lui rappresentati, non di fare ipotesi di scuola. Occorre ragionare su fatti non su ipotesi. (Ipotesi: i coltelli da cucina possono essere utilizzati per uccidere una persona: arrestiamo tutte le massaie sulla base di questa ipotesi? Ma che senso ha?). E nel caso specifico, per decidere che il trattamento violava il principio di pertinenza, il Garante ha appurato se nei files ci fossero dati sensibili? No, ha semplicemente fatto una ipotesi non confermata ed assolutamente generica e su questa ipotesi ha basato la propria decisione
Mi permetto di osservare che se una azienda scopre che il proprio dipendente agisce in violazione dell’obbligo di non concorrenza (cioè sta commettendo un illecito) il controllo sui documenti contenuti nel files e che il dipendente mi ha consegnato senza muovere alcuna eccezione è assolutamente pertinente alla finalità di gestione dell’impresa, (cui il back-up era finalizzato). Infatti, poichè il dipendente non mi aveva indicato la presenza di files personali, era (questo si) presumibile che i i files scaricati fossero di pertinenza dell’azienda, da cui la assoluta liceità del controllo.
Se il controllo del datore di lavoro sui mezzi strumentali all’esercizio dell’attività d’impresa e la gestione stessa di tali strumenti è una finalità lecita, aver aperto dei files non connotati come personali e non evidentemente personali non può essere considerato in violazione dei principi di buona fede e correttezza, né del principio di pertinenza e non eccedenza dei dati trattati.
Questa decisione mi porta a due considerazioni finali.
- La decisione del Garante è sbagliata e figlia di una concezione di controllo che secondo me va assolutamente rivista. Va rivisto l’atteggiamento tutto del Garante, su questa materia, così come tutta la materia dei controlli che si protrae ormai da troppo tempo. C’è di più, però, che non il discorso sui controlli. Il punto vero è che la legge non può essere utilizzata strumentalmente per rimediare ad un illecito. Se questa prassi prendesse piede, avremmo imboccato una china molto scivolosa e pericolosissima: qualsiasi cosa sarà contestata perché in violazione della privacy. E’ bene che il Garante rifletta su questo. Abbiamo, in questi mesi bui, sentito parlare molto ed a lungo di spread: ma lo spread che purtroppo tocchiamo con mano tutti i giorni sta in questa incapacità di affrontare con ragionevolezza e cognizione di causa questi problemi, finendo per lasciare ai cialtroni (cioè a chi commette un illecito) campo libero di fare i propri comodi.
- La procedura e la prassi dei procedimenti davanti al Garante sono ormai al collasso. Il Garante non fa verifiche di sorta su quanto gli viene detto. Se in un qualsiasi giudizio una parte fa una affermazione, tale affermazione deve poi essere provata, documentalmente o tramite prova per testi. Nel procedimento davanti al Garante non vi è traccia di nulla di ciò. Il Garante, al massimo, ricorda che la falsa dichiarazione costituisce reato: un po’ poco. Per non parlare del fatto che le parti non hanno la possibilità di discutere la loro vicenda davanti al Collegio. Se uno chiede di essere sentito (come ho fatto io) si trova davanti il solo Segretario Generale, ma mai si va davanti ai commissari. In tribunale si va davanti al giudice, che ti guarda negli occhi e ti ascolta, che interloquisce e fa domande. Chissà come mai tutto questo davanti al Garante non succede, e soprattutto non è previsto che possa succedere. I quattro commissari sono una entità che nessuno può avvicinare, come i faraoni dell’antico Egitto. L’Autorità non può ignorare che le sue decisioni fanno giurisprudenza: chi svolge un ruolo così delicato non può continuare ad esimersi dal seguire delle regole di procedura che siano più consone ad un vero e proprio contraddittorio, con tutto quello che ciò comporta. Limitarsi a consentire uno scambio di memorie e lasciarne la interpretazione ad un relatore, senza dare alle parti la possibilità di un dibattimento vero e proprio è una gravissima carenza, che va colmata. La legge sulla privacy è un segno di grande civiltà della società moderna: richiede che la procedura sia adeguata agli stessi standard di civiltà.
