Controllo del PC aziendale a distanza: quando è legittimo
Il monitoraggio a distanza del computer aziendale non è vietato, ma è strettamente regolato. La sua legittimità dipende dal tipo di strumento, dall'informativa al lavoratore e dal rispetto del GDPR. Senza accordo sindacale o autorizzazione amministrativa, i dati raccolti rischiano di essere inutilizzabili in sede disciplinare. Una distinzione che incide sulla validità di sanzioni e licenziamenti.
Il fatto e perché conta
Il computer assegnato al dipendente è uno strumento di lavoro, ma è anche una fonte potenziale di dati sulla sua attività: cronologia di navigazione, e-mail, accessi, produttività. La domanda è semplice solo in apparenza: il datore di lavoro può controllarlo da remoto?
La risposta dipende da due variabili. La prima è la natura dello strumento utilizzato per il controllo. La seconda è il rispetto degli adempimenti previsti dalla legge prima di attivare qualunque forma di monitoraggio. Sbagliare la procedura non è un dettaglio formale: può rendere i dati raccolti inutilizzabili contro il lavoratore.
Inquadramento normativo
La disciplina di riferimento è l'art. 4 dello Statuto dei lavoratori (L. 300/1970), riformato dal D.Lgs. 151/2015. La norma distingue due categorie.
La prima riguarda gli impianti e gli strumenti dai quali deriva *anche* la possibilità di controllare a distanza l'attività dei lavoratori (ad esempio software di tracciamento installati sul PC). Questi possono essere impiegati solo per esigenze organizzative, produttive, di sicurezza del lavoro o di tutela del patrimonio aziendale, e *previo* accordo con le rappresentanze sindacali (RSA/RSU) o, in mancanza, previa autorizzazione dell'Ispettorato Territoriale del Lavoro.
La seconda categoria, prevista dal comma 2, riguarda gli strumenti *utilizzati dal lavoratore per rendere la prestazione* e quelli di registrazione degli accessi e delle presenze. Qui non serve l'accordo sindacale. Ma attenzione: il PC aziendale rientra in questa eccezione solo se usato nella sua configurazione standard. Se vi si installano programmi specifici di monitoraggio (keylogger, controllo della cronologia, screenshot periodici), lo strumento torna nella prima categoria e l'accordo o l'autorizzazione diventano necessari.
In ogni caso, il comma 3 subordina l'utilizzabilità dei dati raccolti a una condizione: una informativa adeguata al lavoratore sulle modalità d'uso degli strumenti e di effettuazione dei controlli, nel rispetto del GDPR (Reg. UE 2016/679). Senza informativa, i dati non possono essere usati a fini disciplinari.
Implicazioni pratiche
Per il datore di lavoro l'errore più frequente è ritenere che, trattandosi di strumenti propri, il controllo sia sempre libero. Non è così. L'installazione di software di monitoraggio sul PC fa scattare l'obbligo di accordo o autorizzazione. La conseguenza di un controllo illegittimo è pesante: la sanzione disciplinare o il licenziamento fondati su quei dati possono essere annullati per inutilizzabilità della prova.
Per il dipendente vale il principio inverso. Ha diritto a sapere se e come viene controllato. L'informativa deve essere chiara, preventiva e specifica. Un monitoraggio occulto, privo delle garanzie di legge, può essere contestato sia sul piano lavoristico sia su quello della protezione dei dati personali, con possibile segnalazione al Garante per la protezione dei dati personali.
La giurisprudenza della Cassazione ha più volte distinto tra controlli sull'attività lavorativa, soggetti all'art. 4, e i cosiddetti controlli difensivi mirati a verificare condotte illecite già sospettate. Anche questi ultimi, però, vanno esercitati nel rispetto della dignità del lavoratore e dei principi di proporzionalità e necessità imposti dal GDPR.
Cosa fare in concreto
- Mappa gli strumenti. Verifica se sul PC sono installati software che consentono il controllo dell'attività: la sola configurazione standard non basta a escludere l'art. 4.
- Predisponi l'informativa. Redigi e consegna al lavoratore un documento chiaro su modalità d'uso degli strumenti, tipologia di controlli e finalità del trattamento, conforme al GDPR.
- Formalizza l'accordo o l'autorizzazione. Se il controllo deriva da strumenti dedicati, sottoscrivi l'accordo con RSA/RSU oppure richiedi l'autorizzazione all'Ispettorato prima di attivarli.
- Rispetta proporzionalità e minimizzazione. Raccogli solo i dati necessari alla finalità dichiarata ed evita monitoraggi sistematici e indiscriminati.
- Conserva la documentazione. In caso di contenzioso disciplinare, la prova della corretta procedura è decisiva per l'utilizzabilità dei dati.
Consigliamo di valutare ogni implementazione di sistemi di controllo con una verifica preventiva degli adempimenti, perché la correttezza della procedura incide direttamente sulla tenuta di eventuali provvedimenti disciplinari.
Disclaimer
Contributo informativo a cura di Tamburro & Partners - Avv. Giuseppe Tamburro. Non costituisce parere legale.
Ogni storia di lavoro ha i suoi tempi.
Se gestisci HR e vuoi un confronto su contenzioso, ispezioni o licenziamenti, scrivi allo studio. Ti rispondiamo entro un giorno lavorativo.