[1] In tali termini il Garante della Privacy si è espresso nel provvedimento del 16 marzo 2017. La medesima distinzione tra strumenti strettamente connessi all’attività di lavoro e dispositivi esclusi da quest’ultima categoria era stata già in precedenza rimarcata dall’Ispettorato Nazionale del Lavoro, con circolare n. 2 del 7 novembre 2016. Lo stesso art. 4, comma 2, L. n. 300/1970 chiarisce quali sono i c.d. “strumenti di lavoro” che non sono considerabili quali sistemi di controllo a distanza e che, in quanto tali, non devono rispettare i requisiti e gli adempimenti stabiliti dalla normativa e specificati dal Garante della Privacy. In particolare, non rientrano nel campo di applicazione dell’art. 4 in commento gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e gli strumenti di registrazione degli accessi e delle presenze (quale, per esempio, la timbratura all’ingresso e all’uscita dal luogo di lavoro).
[2] Per la corretta predisposizione di una valutazione d’impatto sulla protezione dei dati personali, il Gruppo di Lavoro Articolo 29 per la Protezione dei Dati ha adottato, in data 4 ottobre 2017, le “linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento possa presentare un rischio elevato ai fini del regolamento (UE) 2016/679” (WP 248), che traccia i requisiti per una legittima e adeguata strutturazione di una valutazione d’impatto in compliance con la normativa privacy.
[3] In particolare, i metadati di un’e-mail sono le informazioni descrittive della stessa, riguardati le caratteristiche identificative della stessa senza rivelarne il contenuto. Esempi di metadati dell’e-mail sono: il giorno, l’ora, il mittente, il destinatario, l’oggetto e la dimensione dell’e-mail stessa.
[4] Cass. civ. n. 19922/2016; in senso conforme, ex multis, Cass. civ. n. 16622/2012 e Cass. civ. n. 4375/2010.
[5] Nel caso di specie, un educatore professionale addetto presso un istituto scolastico era stato filmato dalla telecamere di videosorveglianza installate dal datore di lavoro presso la sede per tutelare la sicurezza delle persone (in particolare, degli studenti) mentre aveva dei comportamenti eccessivamente aggressivi, sia a livello fisico che verbale, nei confronti di uno studente (afferrandolo con forza per la maglietta e lasciandolo cadere dopo aver allentato la presa) e nei confronti della mamma dello stesso (rivolgendosi alla stessa con toni poco opportuni e maleducati). A seguito di tali accadimenti ripresi per il tramite del sistema di controllo a distanza (telecamere di videosorveglianza), l’ente scolastico ha irrogato nei confronti dell’educatore professionale una sanzione disciplinare.
[6] Nel caso di specie, un dirigente di una società era stato licenziato per giusta causa per aver tenuto una condotta di insubordinazione e aver violato i doveri di diligenza e fedeltà nonché i generali principi di correttezza e buona fede. In particolare, il dirigente aveva intrattenuto rapporti e contatti con soggetti riferibili a realtà imprenditoriali in concorrenza con la società datrice di lavoro. Tali fatti erano emersi attraverso un controllo effettuato sulla sua casella di posta elettronica.
[7] Nel caso di cui alla pronuncia n. 8357, la legittima finalità era la tutela della sicurezza, mentre nella fattispecie di cui alla pronuncia n. 18168, la legittima finalità era la salvaguardia del patrimonio aziendale.
[8] Cfr. Cass. civ. n. 25645/2023. In tale sentenza la Suprema Corte, intervenendo sul licenziamento irrogato ad un dipendente sulla base delle informazioni apprese tramite un sistema di controlli a distanza, ha affermato che ogni strumento da cui potrebbe derivare un controllo a distanza dell’attività dei lavoratori può essere impiegato esclusivamente per finalità precise e tipizzate, da individuarsi nelle esigenze organizzative e produttive del datore di lavoro, nella tutela della salute dei lavoratori e nella salvaguardia del patrimonio aziendale, e non per l’esercizio del potere disciplinare. La Corte di Cassazione, pertanto, con tale pronuncia, ha continuato ad adottare un approccio alquanto preclusivo nei confronti dell’utilizzabilità dei sistemi di controllo a distanza da parte del datore di lavoro e un bilanciamento di interessi, ancora una volta, a favore del lavoratore, assegnando preminenza alla tutela della sua privacy.
