Una sentenza della Corte europea per i diritti dell’uomo ammette forme di controllo anche nascosto sui dipendenti. Ecco come si concilia con il Gdpr
La Corte europea per i diritti dell’uomo (Cedu), con sentenza pubblicata il 17 ottobre 2019, ha stabilito il principio per cui la riservatezza dei lavoratori deve necessariamente essere bilanciata con l’interesse del datore di lavoro alla protezione dei beni aziendali ed al corretto svolgimento dell’attività aziendale.
Il fatto
Il fatto è noto ed è stato già oggetto di numerosi commenti: il manager di un supermercato spagnolo, dopo essersi accorto di pesanti perdite di esercizio a causa di una discrasia tra stock di magazzino e vendite, aveva fatto installare telecamere nel supermercato, alcune delle quali nascoste, senza informare i dipendenti. Le immagini riprese dalle telecamere nascoste avevano evidenziato responsabilità di alcuni dipendenti nei furti di merce in concorso con terzi soggetti.
Dopo essere stati licenziati, alcuni dipendenti avevano impugnato il provvedimento disciplinare, eccependo, tra l’altro, l’inutilizzabilità delle immagini poiché raccolte in modo illecito e contrario alla normativa sulla tutela dei dati personali. Dopo il rigetto da parte delle competenti autorità spagnole, il caso è stato portato innanzi alla Cedu per violazione dell’articolo 8 della Carta europea che protegge la riservatezza della vita privata e costituisce la fonte primaria da cui derivano tutte le normative europee e nazionali sulla privacy.
La sentenza
La sentenza della Corte, che ha confermato la decisione di rigetto del Tribunale spagnolo, si può riassumere in tre punti:
1) il manager del supermercato era legittimato all’istallazione delle telecamere occulte poiché aveva il giustificato sospetto di gravi illeciti commessi a danno della società;
2) le misure adottate dal manager erano proporzionate: per esempio, le telecamere sono state apposte in luoghi aperti al pubblico dove il dipendente non può aspettarsi un grado massimo di riservatezza (a differenza di chi lavora in uffici privati); l’istallazione delle telecamere nascoste è stata limitata nel tempo, ossia solo 10 giorni per verificare le cause degli ammanchi mentre dopo sono state smantellate; le telecamere sono state utilizzate soltanto per scopi difensivi e non anche per controllare l’attività lavorativa dei dipendenti; la visione delle immagini è stata limitata a poche persone debitamente incaricate;
3) pur esistendo un principio generale, ribadito dalla normativa di settore, per cui la raccolta di dati personali, quali le immagini delle telecamere, deve essere preceduta da idonea informativa, nel caso di specie, tale obbligo deve lasciare il passo al prevalente diritto di controllo del datore di lavoro.
La sentenza della Cedu non deve scandalizzare poiché non fa altro che riaffermare un principio su cui si fonda l’intera architettura del Regolamento Ue n. 679/16 (Gdpr) in materia di tutela dei dati personali degli individui: il principio del bilanciamento di interessi. Il Gdpr segna il superamento del “mito del consenso” rispetto alla raccolta e al trattamento dei dati personali per approdare verso un sistema bilanciato di diritti contrapposti. Un sistema che pone l’attenzione “accountability” aziendale in cui il titolare del trattamento (il datore di lavoro nel caso dei dati dei lavoratori) compie una valutazione di self-assessement per valutare il rischio privacy rispetto alle operazioni di trattamento ritenute necessarie per perseguire e tutelare i propri legittimi interessi.
Ed è proprio quello che ha valutato la Cedu nel caso in commento: il manager del supermercato non ha violato la privacy in quanto ha compiuto una attività di trattamento che rientrava nel suo legittimo interesse pur rispettando la proporzionalità del trattamento e adottando misure organizzative e di sicurezza idonee in tal senso (per esempio, la durata limitata dell’uso delle telecamere ovvero la visione delle immagini solo a pochi autorizzati). Anche rispetto alla mancata informativa, la Cedu ha valutato prevalente l’interesse del datore di lavoro ad accertare gli illeciti, a fronte di un sospetto grave, sul diritto del lavoratore alla trasparenza e conoscenza del trattamento.
Cosa dice il Gdpr
Del resto, lo stesso Gdpr sembra contenere un’apertura in tal senso nell’articolo 14, comma 5 dove si afferma che l’informativa non è dovuta quanto, tra le altre cose, rischi di rendere impossibile o pregiudicare gravemente il conseguimento delle finalità del trattamento. Anche nell’ordinamento italiano, riguardo l’esercizio dei diritti, l’articolo 2 undecies del nuovo Codice privacy (come modificato dal decreto legislativo 101/18) consente di escludere o differire l’accesso e la conoscenza del trattamento da parte dell’interessato nei casi in cui vi sia un pregiudizio effettivo e concreto allo svolgimento delle investigazioni difensive o all’esercizio di un diritto in sede giudiziaria (sul punto si veda anche Provvedimento del 31 gennaio 2019 del Garante privacy).
Completa il quadro l’ormai consolidata giurisprudenza della Corte di cassazione sui cosiddetti “controlli difensivi” in base alla quale l’azienda che usa degli strumenti di controllo a distanza per accertare l’utilizzo irregolare dei beni della società non è soggetta alle regole previste dall’articolo 4 dello Statuto dei lavoratori. Tale norma, infatti, disciplina le forme e le modalità di controllo che hanno per oggetto la prestazione lavorativa e il suo esatto adempimento, mentre non si applica a quei comportamenti illeciti dei dipendenti capaci di ledere l’integrità del patrimonio aziendale, il regolare funzionamento degli impianti e la loro sicurezza (si veda per tutte: Cass. 14862/17).
In conclusione, il quadro che esce fuori e che la Cedu ha contribuito a consolidare con la sentenza in commento è che la tutela della privacy di cui pur godono i lavoratori non può fare da scudo ai legittimi interessi delle aziende alla tutela del proprio patrimonio. La privacy non serve a impedire o aggravare l’esercizio dell’attività economica ma anzi favorisce lo sviluppo in modo sano e controllato. Se, da un lato cresce la cultura della privacy e la consapevolezza dei propri diritti, dall’altro, matura anche una consapevolezza da parte dei titolari del trattamento dei propri interessi legittimi al trattamento e all’uso dei dati personali nell’ambito dello svolgimento della propria attività economica.
Leggi anche
