22 November, 2019

Controlli in azienda, necessario identificare la corretta e pertinente finalità che giustifichi i tempi di conservazione dei dati

Come si ricorderà nel 2015 il D. Lgs. n. 151, attuativo del “Jobs Act”, riformava radicalmente la materia dei controlli c.d. preterintenzionali, riscrivendo l’art.4 dello Statuto dei Lavoratori.

Infatti, da un lato si introduceva il concetto di strumenti di lavoro, esentati dall’obbligo di accordo con le rappresentanze sindacali (art.4 co.2), dall’altra si inseriva tra le finalità di ricorso a tecnologie atte al controllo a distanza dei lavoratori, anche quella di tutela del patrimonio aziendale. (art.4 co.1)

Il comma 3, infine – forse la vera rivoluzione – rendeva possibile, l’utilizzo delle informazioni – leggi dati - generate dai sistemi aziendali e dall’uso degli strumenti di lavoro, per tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.

La condizione di utilizzo di tali dati per fini, ad esempio disciplinari, è legata non tanto dalle norme primarie in materia di “privacy”, quanto alla loro interpretazione contenuta nei molteplici provvedimenti del Garante.

Come si ricorderà, la giurisprudenza giuslavorista e penale nel corso degli anni aveva elaborato, frattanto il concetto di controlli di natura protettiva o difensiva.

I giudici, in particolare, avevano più volte ritenuto fuori dall’ambito di applicazione dell’articolo 4 SL quei controlli intenzionali del datore di lavoro, quando non riguardassero l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, bensì la tutela di beni estranei al rapporto stesso come nel caso in cui il datore abbia posto in essere verifiche dirette ad accertare comportamenti del prestatore illeciti e lesivi del patrimonio e dell’immagine aziendale, e per tale ragione definiti “difensivi” (vds ad es. Cass. 17.07.07 n. 15982; e Cass. Sez. Lav. 23/2/2012, n. 2722)

Tale concetto, lungi dall’essere stato superato dalla riforma dell’articolo 4, come alcuni dei primi commentatori avevano ritenuto, è stato al contrario rimarcato anche da pronunce più recenti. Ricorre infatti tale fattispecie ogniqualvolta sia necessario prevenire condotte illecite suscettibili di mettere in pericolo la sicurezza del patrimonio aziendale (Cass. sez. lav. n.10636 del 2 maggio 2017).

Nel secondo caso, tuttavia, è ancor più stringente il richiamo alle regole derivanti dalla normativa privacy. Cosa accadrebbe infatti se si utilizzasse un dato (es. file di log di accesso al sistema aziendale) del dipendente destinatario della verifica, conservato oltre i termini di retention indicati dai provvedimenti del Garante?

Nel Provv. 53/2018, l’Autorità ha peraltro ribadito che il trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni di precontenzioso, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti, che altrimenti risulterebbe elusivo delle disposizioni sui criteri di legittimazione del trattamento (v. es. art.9 GDPR).

Mentre proprio con riferimento allo spinoso problema dei tempi di conservazione per finalità di sicurezza dei sistemi e di gestione dei servizi di posta aziendale, nel Provv. 303/2016 l’Autorità evidenziava che "i sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, devono essere conservati per un periodo non superiore comunque ai sette giorni" e disponeva il divieto di ulteriore trattamento dei tali dati, fatta salva la conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria, nei limiti posti dall´articolo 160, comma 6, del Codice, che rinvia alle norme di utilizzabilità in sede processuale civile e penale.

E’ evidente tuttavia che un dato eliminato allo scadere di tempi di conservazione così severi, ben difficilmente potrà essere utilizzato all’occorrenza, per far valere o difendere un diritto in sede giudiziaria.

Come se ne esce da questo labirinto?

Una via sembra suggerita proprio dal Garante nello stesso richiamato provvedimento: “diversa valutazione riguarda invece la prevista messa a disposizione del dipendente dell´intero archivio delle email scambiate tramite il proprio account aziendale”, che dovrà essere oggetto di specifiche istruzioni operative.

La conservazione, in definitiva, quale forma di trattamento, non potrà mai essere legittimata dalla finalità di far valere o difendere un diritto in sede giudiziaria.

In sintesi è necessario in primo luogo identificare la corretta e pertinente finalità che giustifichi i correlati tempi di conservazione.

Formalizzata la scelta in una data retention policy e fornita ai lavoratori un’adeguata informativa ex art.13 GDPR, si è nel pieno rispetto dell’art.4 comma 3.

Il controllo difensivo per accertare un illecito aziendale, si riconduce, dunque, nella ratio della norma richiamata: per far valere o difendere un diritto in sede giudiziaria, gli stessi dati così disponibili possono essere utilizzati trattando di un fine connesso al rapporto di lavoro.

Articolo di Angelo Jannone Membro del Comitato Scientifico di Federprivacy e Direttore Internal Audit & Compliance di Italiaonline. Commissario d'esame per TÜV Italia per la certificazione di Privacy Officer e Consulente della Privacy. Consultabile al seguente link: https://[www.federprivacy.org](https://www.federprivacy.org/index.php?option=com_k2&view=item&id=1135:controlli-in-azienda-necessario-identificare-la-corretta-e-pertinente-finalita-che-giustifichi-i-tempi-di-conservazione-dei-dati&Itemid=1651)