Con la Legge n. 81 del 22 maggio 2017 recante “Misure per la tutela del lavoro autonomo non imprenditoriale e misure volte a favorire l’articolazione flessibile nei tempi e nei luoghi del lavoro subordinato”, è stato regolamentato per la prima volta nel nostro ordinamento il lavoro agile (comunemente definito “smart working”). Si tratta di una modalità flessibile di esecuzione della prestazione lavorativa, nell’ambito del rapporto di lavoro subordinato, caratterizzata dall’assenza di vincoli di orario o luogo di lavoro e da forme di organizzazione per fasi, cicli e obiettivi.
Nell’implementare Il lavoro agile nella propria azienda il datore di lavoro deve tener conto della normativa dettata in materia di protezione dei dati personali.
Il Regolamento (UE) 2016/679 in materia di protezione dei dati personali (“GDPR”) ha introdotto il c.d. principio di accountability ossia l’adozione, da parte del Titolare del trattamento (nel nostro caso il datore di lavoro), di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del GDPR stesso. In sostanza, il datore di lavoro è tenuto ad individuare e gestire i rischi relativi ai trattamenti svolti, nel rispetto del principio della protezione dei dati fin dalla progettazione di ciascun trattamento (“by design”) e della protezione dei dati medesimi di default (“by default”).
Ciò significa che, nel lavoro agile, il datore di lavoro deve effettuare un idoneo risk assessment e, ove necessario, una valutazione di impatto in modo tale da analizzare tutti i rischi esistenti e potenziali nonché individuare le misure di sicurezza, tecniche e organizzative, adeguate a garantire la sicurezza e la protezione dei dati. In questa ottica il datore di lavoro deve adottare Regolamenti, Policies o Linee Guida recanti i comportamenti che i lavoratori agili devono tenere per garantire la riservatezza, l’integrità e la disponibilità dei dati trattati nello svolgimento delle proprie mansioni.
Il datore di lavoro deve, altresì, verificare che il controllo da remoto non sia un controllo invasivo in contrasto con l’art. 4 della Legge 300/1970. Ciò comporta un esame dettagliato dei sistemi che consentono un monitoraggio continuo dell’utilizzo degli strumenti di lavoro e della rete aziendale da parte dei dipendenti.
Proprio per questo il lavoratore agile deve essere dettagliatamente informato delle modalità tramite le quali il datore esercita il potere di controllo nonché di quali sono i comportamenti passibili di una eventuale sanzione disciplinare.
Non solo. Il datore di lavoro deve formare i lavoratori agili affinché questi abbiano piena consapevolezza e conoscenza degli strumenti messi a loro disposizione, dei rischi e delle misure da adottare durante il lavoro agile.
La Corte di Cassazione, con ordinanza n. 32533 depositata lo scorso 14 dicembre, ha sancito il diritto del dipendente, sottoposto a provvedimento disciplinare, di accedere agli atti che lo riguardano. La Corte ha così confermato l’ampiezza del raggio d’azione di cui gode il “diritto di accesso”, come disciplinato dall’art. 7 del Codice Privacy, operante all’epoca dei fatti sotto descritti, nonché come previsto dall’art. 15 del Regolamento UE 679/2016 (“GDPR”), attualmente applicabile.
I fatti
La vicenda trae origine dal ricorso presentato da una Banca dapprima avverso il provvedimento del Garante per la protezione dei dati personali (il “Garante”), e successivamente contro la sentenza del Tribunale territorialmente competente, che aveva confermato la posizione del Garante.
Nella specie, il dipendente della Banca, a seguito della comminazione a suo carico di una sanzione disciplinare (sospensione dal servizio e relativo trattamento economico per un giorno), aveva chiesto di visionare gli atti antecedenti propedeutici alla sanzione, nei quali erano incluse le valutazioni che lo riguardavano.
I documenti richiesti erano previsti da una circolare interna risalente al 2009 e specificamente la (i) “Segnalazione in forma di relazione scritta inviata a «Disciplina» eseguita dal Responsabile HR Centrale e Territoriale”, nonché la (ii) “Lettera accompagnatoria in cui il Responsabile HR formula le valutazioni congiunte con il Responsabile della struttura territoriale o centrale”.
La Banca, invitata dal Garante a fornire riscontro alle richieste del dipendente, aveva replicato che i summenzionati documenti
– contenevano dati aziendali – “di uso strettamente interno” – anch’essi protetti dalla normativa privacy, in quanto espressione del diritto di organizzare e gestire la propria attività (art. 41 Cost.), e
– erano “atti endo-procedimentali”, attinenti al solo momento formativo della volontà datoriale. Secondo la Banca nessuna rilevanza potevano assumere rispetto al contrapposto diritto di difesa del lavoratore. Diritto che, a parere della stessa, era stato già garantito essendo state riportate nelle lettere di contestazione tutte le informazioni necessarie.
Il Tribunale, nel confermare il Provvedimento del Garante, rigettava il ricorso della Banca, ritendo che
(i) non erano assolutamente stati rispettati i principi in tema di difesa nel procedimento disciplinare e in giudizio, e
(ii) la Banca avrebbe semplicemente potuto limitarsi ad estrapolare eventuali passaggi della documentazione richiesta non conferenti rispetto alle esigenze del lavoratore, qualora pregiudizievoli del diritto di riservatezza di terzi.
In sostanza il Tribunale dichiarava illegittima la datoriale di mantenere riservati alcuni aspetti delle proprie scelte organizzative, “non potendo essere in facoltà della parte decidere discrezionalmente ciò che può essere reso manifesto e ciò che può non esserlo, poiché una tale impostazione rimetterebbe alla società ricorrente ogni determinazione anche sugli spazi di difesa della controparte”.
La Banca avverso la decisione del Tribunale ricorreva in Cassazione, chiedendo peraltro di rinviare la trattazione della controversia alla pubblica udienza, data la rilevanza della questione.
La decisione della Corte
La decisione della Corte si concentra su tre punti focali che di seguito si illustrano.
Sul punto, la Suprema Corte ha ripercorso le valutazioni operate dal giudice di merito, come sopra accennate, ritenendo che – a seguito del bilanciamento di contrapposti interessi – il diritto di accesso del lavoratore prevale rispetto alle esigenze di riservatezza prospettate dalla Banca.
La Banca, a parere della Corte, avrebbe potuto consentire l’accesso dei documenti valutativi del dipendente, tutelando ad ogni modo i terzi, ad esempio, attraverso l’oscuramento delle informazioni che potessero risultare per gli stessi pregiudizievoli.
Inoltre, la Corte di Cassazione, nel confermare le statuizioni del Giudice di merito, ha precisato che il diritto di accesso non può essere inteso – in senso restrittivo – quale mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza dell’interessato: la portata del diritto in analisi è ben più ampia.
Secondo la Corte la finalità del diritto di accesso è quella di garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis (i) dell’avvenuto inserimento, (ii) della permanenza, ovvero (iii) della rimozione di dati personali. Ciò indipendentemente dal fatto che ciò possa essere stato portato a conoscenza dell’interessato attraverso altri modi e tempi (vedasi il riferimento alle contestazioni sopra menzionate). Tale verifica, dunque, deve essere garantita mediante l’accesso da parte dell’interessato ai propri dati personali, in ogni momento del rapporto di lavoro.
Infine, la Corte di Cassazione ha confermato e ribadito il proprio precedente orientamento, teso a garantire il diritto di accesso alla documentazione riferita alle vicende connesse al rapporto di lavoro. E ciò, tanto nel caso in cui tale documentazione sia imposta dalla legge quanto nel caso in cui la documentazione sia prevista dall’organizzazione aziendale, ad esempio tramite circolari interne (inter alia, cfr. Cass. n. 9961 del 2007), come nel caso de quo.
Conclusioni
In sostanza la Corte di Cassazione ritiene che dal disposto normativo in tema di “diritto di accesso” non si evince alcuna specifica limitazione in merito alle concrete finalità per le quali lo stesso possa o meno essere esercitato. Pertanto, il diritto in questione ben può essere esercitato dal dipendente per proprie finalità difensive.
Notizie correlate:
Il diritto di accesso agli atti nel procedimento disciplinare
Il Garante per la protezione dei dati personali ha elaborato la prima guida operativa all’applicazione del Regolamento Europeo n. 2016/679 che ha reso disponibile sul proprio sito istituzionale. La Guida si compone di n. 6 sezioni: (i) Fondamenti di liceità del trattamento; (ii) Informativa; (iii) Diritti degli interessati; (iv) Titolare, responsabile e incaricato del trattamento; (v) Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili; (vi) Trasferimenti internazionali di dati. La guida operativa ha lo scopo di fornire una panoramica delle principali problematiche che le imprese e i soggetti pubblici dovranno tener presenti allorquando il Regolamento europeo diverrà pienamente efficace, ossia il 25 maggio 2018. Vengono, altresì, suggerite alcune azioni che possono essere intraprese sin d’ora perché fondate su disposizioni precise del Regolamento che non lasciano spazi ad interventi del legislatore nazionale. Nel contempo vengono segnalate alcune delle principali novità introdotte dal Regolamento rispetto alle quali sono suggeriti possibili approcci in modo da arrivare pronti al 25 maggio 2018.
