L’evoluzione tecnologica consente alle aziende un controllo maggiormente invasivo dell’operato del lavoratore e dei flussi informativi allo stesso riferibili. Al fine di non ledere la privacy e la riservatezza del lavoratore, il datore di lavoro, nell’esercizio del proprio potere organizzativo, direttivo e di controllo è tenuto a rispettare una serie di limiti. Il bilanciamento tra gli interessi patrimoniali e produttivi del datore di lavoro e il diritto alla riservatezza del lavoratore viene regolamentato dall’art.4 dello Statuto dei Lavoratori (L.300/1970). Tale norma statuisce il divieto di controlli diretti sull’attività lavorativa fini a se stessi o per scopi diversi da quelli previsti tassativamente dalla legge, ossia per esigenze organizzative e produttive. Tale divieto generale non si pone nei confronti degli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa. In ogni caso, è necessario, ai sensi dell’art.4 co.3 dello Statuto dei Lavoratori, che al lavoratore venga fornita un’adeguata informativa delle modalità d’uso degli strumenti e di effettuazione dei controlli, ai sensi del d.lgs. 30 giugno 2003 n.196, come modificato dal d.lgs. 101/2018. Ma per quale motivo è previsto l’obbligo di fornire al lavoratore tale informativa? Perché il lavoratore deve essere consapevole di poter essere sottoposto a un controllo da parte del datore di lavoro, con quali modalità e nel rispetto di quali limiti. Di conseguenza, è da considerarsi illecito un controllo posto in essere senza che il lavoratore sia stato preventivamente messo a conoscenza circa la possibilità e le modalità di questi controlli. Il controllo da parte del datore di lavoro comporta un trattamento dei dati personali del lavoratore; pertanto, è necessario rispettare la normativa privacy, in particolare i principi di: liceità, correttezza, necessità, determinatezza delle finalità perseguite, pertinenza, completezza, non eccedenza. I controlli potranno essere effettuati, esclusivamente a campione, per esempio per garantire la sicurezza del sistema informatico, per motivi tecnici e/o interventi di manutenzione, mentre si potrà procedere a controlli personali e specifici su base individuale solo qualora sussistano indizi di commissione di gravi abusi. Solo in tale caso saranno giustificati i c.d. ‘controlli difensivi’, in cui la tutela del patrimonio aziendale e del vincolo fiduciario tra datore di lavoro e lavoratore prevarranno rispetto alla tutela della riservatezza del lavoratore. Sul tema si è espressa anche la Corte Europea dei Diritti dell’Uomo di Strasburgo, nel caso Barbulescu v. Romania, sentenza del 5 settembre 2017. La Corte ha sostenuto che, in tema di controlli informatici del datore di lavoro, è necessario rispettare alcuni principi che garantiscono il legittimo equilibrio tra i diversi interessi in gioco: il datore di lavoro potrà effettuare un controllo sulle email inviate da un dipendente dal PC aziendale per fini personali solo nel rispetto di precisi criteri, quali un’informativa privacy preventiva, l’impossibilità oggettiva di ricorrere a misure meno intrusive, l’esistenza di gravi motivi che spingono l’azienda al controllo medesimo. Inoltre, anche la giurisprudenza ha ribadito che il datore di lavoro, anche qualora avesse il sospetto di condotte illecite da parte del lavoratore, non può effettuare verifiche indistinte su tutte le comunicazioni presenti nel PC aziendale senza limiti di tempo, altrimenti darebbe vita a una indagine massiva e indiscriminata non giustificata (Cass., 26 giugno 2023, n.18168). In conclusione, affinché il datore di lavoro possa esercitare un controllo, a campione o personale in caso di controllo difensivo, sugli strumenti di lavoro del lavoratore, dovrà fornire ai dipendenti un’adeguata informativa privacy. Cosa deve contenere l’informativa privacy? L’informativa deve contenere le seguenti informazioni: (i) modalità d’uso degli strumenti, indicando i comportamenti eventualmente vietati dal datore di lavoro e le consequenziali sanzioni disciplinari in caso di infrazione; (ii) modalità di effettuazione dei controlli, indicando i soggetti preposti, la periodicità dei controlli e i programmi informatici utilizzati; (iii) modalità di conservazione dei dati e i soggetti autorizzati al trattamento. In breve, il datore di lavoro potrà eseguire delle attività di controllo nei confronti dei propri dipendenti per esigenze produttive o patrimoniali, ma sempre e comunque nel massimo rispetto del diritto alla riservatezza dei dipendenti.