In ambito societario, è sempre più frequente il ricorso a strumenti di controllo e/o di investigazione interna all’impresa, sia per necessità di tutela del patrimonio aziendale – sempre più aggredibile, grazie a nuovi strumenti, dall’esterno come dall’interno, da episodi di concorrenza industriale, da cyber attacks o dalle classiche frodi – sia per soddisfare obblighi di compliance – in materia di 231/01, di privacy ma non solo – la cui inottemperanza potrebbe determinare conseguenze di diverso ordine e gravità per i datori di lavoro.
L’esigenza di provvedere in tal senso – sia in via preventiva che successiva a determinati accadimenti – può porsi nelle più diverse situazioni: a seguito – e parallelamente – a verifiche avviate da autorità di vigilanza o alle indagini dell’autorità giudiziaria; in ragione di segnalazioni pervenute dal sistema di whistleblowing; per iniziativa degli organi di controllo; alla luce di notizie di stampa. La necessità di mero accertamento interno di possibili violazioni di legge, delle procedure e regolamenti aziendali, in capo a soggetti apicali come a dipendenti e collaboratori, può poi associarsi ad esigenze di gestione dei diversi rischi – anche meramente reputazionali – o di strategia difensiva nel contesto di procedimenti giudiziari.
L’evidenza degli obiettivi e degli scopi perseguiti si scontra però con una generale incertezza rispetto al regime normativo applicabile ai diversi aspetti dell’eventuale attività di controllo e/o di investigazione interna da avviarsi.
Indice degli argomenti
Investigazione interna: manca una disciplina generale
Intanto, non si rinviene una disciplina generale e consolidata per queste indagini di natura “privata”: vi sono prassi maturate “sul campo” e suggestioni provenienti dagli ordinamenti di common law, dove questi strumenti hanno visto le prime applicazioni; vi è, poi, il corpus normativo del c.p.p. specificamente dedicato alle indagini difensive (anche preventive).
Per procedere a una corretta gestione dei controlli e/o delle investigazioni interne i profili da considerare sono peraltro molti: dalla utilizzabilità processuale dei risultati ottenuti, alla opportunità di garantire la massima estensione al legal privilege, sino al rischio per l’imprenditore di incorrere violazioni variamente sanzionate – fino alla rilevanza penale – laddove superi i limiti consentiti nella esecuzione di tali attività di verifica, preventiva o meno che sia.
Si tratta dunque di iniziative e attività rispetto alle quali non è raccomandabile – a fronte dell’illustrata complessità – alcun “fai–da–te”: anzi, individuato un quesito, un obiettivo, dovrebbe poi essere individuato un team professionalmente adeguato, ovvero composto da legali ma anche di tutti gli specialisti competenti per il caso concreto.
Le attività potenzialmente esperibili in termini di controllo e indagine possono essere diverse e variamente articolate: certamente, nella maggior parte dei casi, avranno a oggetto – direttamente o indirettamente – il lavoratore e le sue condotte; altrettanto -– coerentemente con la continua espansione della tecnologia come strumento di lavoro – consisteranno in investigazioni “digitali”.
Quale potere di controllo per il datore di lavoro
Il potere di controllo che il datore di lavoro ha il diritto di esercitare a protezione degli interessi dell’impresa deve ovviamente essere bilanciato con altri valori e interessi – con copertura anche costituzionale e sovranazionale – quale il diritto della dignità personale, alla riservatezza, alla libertà di espressione e di comunicazione del dipendente e del lavoratore: dalla esegesi dei principi di cui alle fonti internazionali ed europee, del dato normativo interno cosi come interpretato da giurisprudenza e autorità di settore (il Garante) emerge il punto di equilibrio – peraltro non proprio granitico – tra efficacia dei controlli e garanzia dei diritti fondamentali del lavoratore.
L’evoluzione tecnologica e la progressiva e sempre più consistente – nel bene e nel male – digitalizzazione e informatizzazione delle attività professionali e delle modalità di lavoro – ultimamente accelerata in ragione delle misure di contenimento dell’emergenza pandemica – hanno consentito l’affermazione di un modello lavorativo fondato sull’accessibilità da remoto grazie a strumenti portatili e connotato da una “elastica” separazione tra vita privata e vita professionale. Con la conseguenza, da un lato, di un aumentato rischio – per l’impresa – di perdita, distruzione o divulgazione non autorizzata di informazioni riservate o dati sensibili o di commissione di violazione di sistemi informatici – con le relative responsabilità; altrettanto, dall’altro, la difficoltà di individuare tipologie di controlli realmente efficaci – ma legittimi – in un contesto a evoluzione così rapida.
L’imprenditore rischia sia per difetto, sia per eccesso di controllo
In questa prospettiva, si comprende bene come l’imprenditore abbia oggi una ulteriore esigenza di controllo e verifica dell’operato dei propri dipendenti o collaboratori, connessa alla cura dell’integrità dei sistemi informatici e alla prevenzione della commissione di reati nel contesto aziendale. Basti pensare alle esigenze di compliance scaturenti dal sistema di tutela della privacy o dal D. Lgs. 231/01 e, segnatamente, dal relativo art. 24 bis, che estende la responsabilità ad alcuni computer crimes: il datore di lavoro dovrà porre in essere qualsiasi misura volta a prevenire la commissione di reati nell’ambito della sua impresa, attraverso la predisposizione di un modello organizzativo e di controllo che contempli anche verifiche costanti sul corretto utilizzo degli strumenti informatici.
L’esigenza è ancora quella – tradizionale – di tutelare l’impresa da attacchi e aggressioni ai suoi beni aziendali, dall’interno e dall’esterno; ma anche quella di impedire che essa divenga “strumento” di commissione di reato a danni di terzi, nelle mani di un soggetto apicale o sottoposto.
Non è detto che anche queste esigenze di compliance – di consistenza certo maggiore rispetto al diritto “privatistico” di tutela dei beni aziendali – non confliggano con i diritti e le garanzie che spettano al lavoratore o, addirittura, con obblighi discendenti da altro corpus normativo (vedi Codice Privacy).
Basti pensare al rischio di incorrere in un reato informatico ai danni dello stesso lavoratore in caso di controlli a tal punto invasivi da concretare ad esempio un accesso abusivo a un sistema informatico; oppure al concetto di tracciabilità: principio cardine della compliance 231, entro quali limiti e modalità costituisce un “controllo” accettabile dell’attività lavorativa del dipendente?
La sopraccitata ricerca del punto di equilibrio va intesa anche in questa prospettiva e già posta alla base dell’impianto organizzativo aziendale: il rischio, anche penale, per i datori di lavoro si può annidare sia nell’eccesso che nel difetto di controllo nel caso di investigazione interna.
Sistemi di investigazione interna: il quadro normativo per i datori di lavoro
L’individuazione di tali limiti passa allora attraverso la ricostruzione del quadro normativo derivante da Statuto dei Lavoratori, Codice Privacy e Codice penale così come interpretati dalle rispettive autorità, nella più ampia prospettiva sovranazionale (dalle Carte europee dei diritti alla giurisprudenza della Corte europea dei diritti dell’Uomo).
Lo Statuto dei lavoratori disciplina i controlli diretti, i controlli sanitari, le visite personali di controllo e i controlli a distanza (tra cui quelli informatici). In particolare, la disciplina delle limitazioni ai controlli datoriali c.d. da remoto è riferibile a diverse fonti normative: (i) gli articoli 4 e 8 della legge n. 300 del 1970 (Statuto dei lavoratori in combinato disposto, per quanto riguarda sanzioni e tutele, con il successivo art. 38 e con l’art. 171 del Codice Privacy; il Regolamento UE 2016/679 (GDPR) e (iii) le Linee guida del Garante per la Privacy concernenti la posta elettronica e internet, da integrare con il recente provvedimento n. 9086480/2019, sui controlli esterni sul dipendente.
Intanto, nella dotazione di strumenti di lavoro, l’imprenditore è vincolato al rispetto della normativa in materia di tutela della Privacy, come ritenuto dal Garante in linea con le pronunce della Corte europea. Per quanto concerne l’uso di internet e della posta elettronica: (i) il datore di lavoro deve configurare i sistemi tecnologici in modo tale che i dati siano raccolti per finalità determinate, esplicite, legittime, e successivamente trattati in modo compatibile e coerente con tali finalità; (ii) deve assicurare che i dati oggetto di trattamento siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati; (iii) coerentemente, ha l’obbligo di informare i lavoratori sull’utilizzo degli strumenti di lavoro, anche attraverso una politica di sicurezza interna (cfr. Linee guida del Garante della Privacy per la posta elettronica e internet, cui il GDPR non ha apportato modifiche sostanziali).
Uso di impianti audiovisivi e riprese fotografiche
Sulla base dell’attuale quadro normativo – più volte mutato nel tempo ma oggi consolidato alle ultime modifiche del c.d. jobs act – «gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità’ di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali» o, in assenza di quest’ultimo, previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro.
Tale disciplina non si applica però agli «strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze».
Il primo presidio a sostegno dell’osservanza di tale regime è di natura “processuale”: saranno utilizzabili a tutti i fini connessi al rapporto di lavoro sono le informazioni raccolte in tal modo, nel rispetto di quanto disposto dal Codice della Privacy e a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli.
In secondo luogo, – ai sensi dell’art. 171 del Codice Privacy – la violazione delle disposizioni di cui agli artt. 4 co. 1° e 8 dello Statuto è punita con le sanzioni di cui al successivo art. 38 (con l’ammenda da euro 154 a euro 1.549 – aumentabile fino al quintuplo – o con l’arresto da 15 giorni a un anno).
È fatta ovviamente salva, come si vedrà, l’applicabilità di altre norme sanzionatorie penali, anche decisamente più consistenti della fattispecie contravvenzionale appena citata.
Con riferimento all’applicazione giurisprudenziale del regime sopra rappresentato, si segnala, con riguardo ai file presenti su computer aziendali, la sentenza della Corte Europea dei Diritti dell’Uomo (Sez. V, Sez. V, Sent. 22 febbraio 2018), che specifica che il datore di lavoro è legittimato a controllarne il contenuto senza violare la privacy del lavoratore allo scopo di tutelare il patrimonio aziendale e il regolamento disciplinare (Corte Europea dei Diritti dell’Uomo, ricorso n. 588-13).
Dal punto di vista delle riprese video/fotografiche l’Autorità di controllo vieta poi l’utilizzo di impianti audiovisivi e di altri strumenti che siano finalizzati a controllare l’attività lavorativa, ma diverse sentenze, tra cui quella della Corte di Cassazione n. 10636 del 2 maggio 2017, autorizzano la predisposizione, mediante agenzia investigativa, di telecamere per il monitoraggio di possibili illeciti (es. furti) all’interno del luogo di lavoro, chiaramente in maniera circoscritta ed a tutela ancora una volta del patrimonio aziendale
Controlli al di fuori dell’orario di lavoro
Diverso è il discorso sui controlli al di fuori dell’orario di lavoro per i quali è proprio il Garante per la privacy, con il provvedimento n.9086480/2019, a stabilire la liceità delle indagini sui lavoratori dipendenti per la verifica di eventuali utilizzi illeciti di permessi che implicano assenza da lavoro. In questo caso, le indagini investigative sono legittime e non ledono la privacy del dipendente, se avvengono in luoghi pubblici e riguardano fatti volti a prevenire eventuali danni arrecati all’azienda ed al suo patrimonio.
La Cassazione stessa esplicita (ord. n. 6174 dell’1 marzo 2019) poi che l’investigatore privato è legittimato a svolgere l’attività di pedinamento sul dipendente che non rispetta il proprio turno di lavoro ed esce prima dell’orario di chiusura, che utilizza i permessi ex legge 104/92 per l’assistenza di un parente disabile in maniera fraudolenta o che simula una malattia o utilizza il permesso per svolgere attività che ne pregiudichino la pronta guarigione.
Il concetto di domicilio informatico
Vista la clausola di salvaguardia di cui all’art. 38 dello Statuto, la libertà e dignità del lavoratore, nelle componenti della riservatezza e confidenzialità delle sue comunicazioni a terzi, anche informatiche, può trovare tutela ulteriore – anche rispetto al datore di lavoro, pur considerata la limitata casistica sul punto – nelle più generali fattispecie incriminatrici contenute nel codice penale. D’altronde, i sistemi informatici o telematici laddove costituiscono un vero e proprio “domicilio”, costituiscono una espansione ideale dell’area di rispetto del soggetto interessato, garantito dall’art. 14 Cost. e tutelato penalmente nei suoi aspetti più essenziali e tradizionali degli artt. 614 e 615 c.p.
Tra le fattispecie penali applicabili, alcune sono riconducibili ai reati c.d informatici, altre sono poste a tutela della riservatezza della vita privata e della corrispondenza.
Ad esempio, attività di controllo e/o investigazione esercitati dal datore di lavoro al di fuori dei limiti ricavabili dalle fonti sopra citate – il cui coordinamento, peraltro, non è sempre agevole e scontato – potrebbero ricadere nel reato di interferenze illecite nella vita privata (615 bis c.p.) che punisce «chiunque, mediante strumenti di ripresa visiva o sonora, si procura indebitamente notizie o immagini attinenti alla vita privata» che si svolga nel domicilio: in via interpretativa, è da ritenersi applicabile a tutti i luoghi destinati all’esplicazione della vita professionale se connotati da stabilità e dall’esistenza di uno ius excludendi alios, quali possono essere i diversi ambienti destinati, in questo periodo allo smart o remote working.
Altrettanto, il datore di lavoro potrebbe incorrere nella violazione, sottrazione e soppressione della corrispondenza (616 c.p.) che pacificamente contempla la posta ordinaria tanto quanto quella elettronica.
Accesso abusivo
Evidentemente, la protezione e la garanzia della riservatezza è tema strettamente connesso – con una influenza reciproca – a quello della “sicurezza” dei mezzi e dei sistemi informatici rispetto a violazioni, intrusioni, accessi fraudolenti ed abusivi o comunque non autorizzati; la tutela del contenuto personale e riservato passa attraverso la garanzia di poter disporre in via esclusiva di uno spazio – o canale di comunicazione – sicuro e libero da ingerenze di terzi. In questa prospettiva le fattispecie più rilevanti paiono essere l’accesso abusivo ad un sistema informatico o telematico (615 ter c.p.) e l’intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (617 – quater c.p.)
Con riferimento al reato di accesso abusivo, il discrimine è segnato dalla effettiva disponibilità da parte del lavoratore di uno spazio virtuale – il c.d. domicilio informatico – di cui abbia titolarità esclusiva – con protezione di user id e password – secondo misure organizzative caratterizzanti il contesto aziendale.
@RIPRODUZIONE RISERVATA
