Per orientarsi nei controlli difensivi sul lavoro, per i datori è utile conoscere alcune pronunce rilevanti, a partire dal decreto Tribunale di Padova 6031/2019 , che fa il punto sul perimetro dei controlli tramite agenzie investigative e sulle differenze rispetto ai controlli a distanza previsti dall’articolo 4 dello Statuto dei lavoratori.
Quanto alle indagini difensive su sistemi informatici, indicazioni fondamentali vengono dalla sentenza 13266/2018 della Cassazione, che contiene un decalogo sui requisiti di una indagine conforme alla normativa. Sulle modalità sono indispensabili i provvedimenti del Garante della Privacy del 12 novembre 2015 (sul sito www.garanteprivacy.it è il documento numero 4656803) e del 13 luglio 2016 , quest’ultimo per la nozione di “strumenti” secondo il nuovo articolo 4 dello Statuto dei lavoratori (sul web è il documento 5408460).
Nella sentenza 9904/2016 la Cassazione distingue tra badge di accesso e tecnologie che, consentendo la combinazione dei dati, rientrano nell’articolo 4, comma 1 dello Statuto dei lavoratori. Infine, la Grand Chambre della Corte Europea dei diritti umani precisa i limiti di controlli occulti in videosorveglianza e su email (casi 17 ottobre 2019 e 5 settembre 2017).
È importante arrivare a una precisa delimitazione di quale sia il domicilio aziendale, inteso atecnicamente come “spazio organizzativo” dell’impresa. Questo comprende da un lato la struttura organizzativa strumentale e lo spazio fisico: beni dell’impresa, con la sotto-categoria degli strumenti di lavoro, luoghi dell’impresa, interni ed esterni, ambiti di esecuzione della prestazione. Dall’altro lato, c’è la rappresentazione “digitale” dell’organizzazione aziendale: i dati trattati per l’attività aziendale, siano di dipendenti, dell’impresa stessa (Ip e know how) o di terzi e i software, declinati in sistemi operativi e applicativi.
La rappresentazione informativa che di questo dà l’impresa è il limite dello spazio di controllo (sia nelle investigazioni digitali, sia in quelle analogiche). Sono eccezioni limitatissime i controlli occulti (in genere per documentare e/o prevenire reati).
La rappresentazione che l’impresa dà di questo spazio in direttive, regolamenti, policy, deve fare i conti con i doveri che la stessa impresa ha di tutelare certi beni, come quelli derivanti dalle previsioni del Dlgs 231/2001 e dal Gdpr. In questi casi, l’erronea rappresentazione del “domicilio informatico” può trasformarsi in una violazione da parte dell’azienda delle proprie obbligazioni.
A questa nozione di organizzazione ne corrisponde una soggettiva, cioè la definizione dei compiti di ciascuno dei dipendenti nell’organizzazione relativa al trattamento dei dati. Occorre, quando si valuta di attivare il controllo, che questo sia necessitato (e che cioè l’abuso non sia prevenibile con scelte organizzative) e che sia giustificato da un indizio dell’abusività delle condotte.