La Sezione Lavoro della Corte di Cassazione con una efficace e recente sentenza fa chiarezza sull’utilizzo del badge aziendale e i dati (di presenza) che lo stesso genera, affermando un principio che rende legittimo il loro utilizzo.
Seguiamo il ragionamento, andando per gradi.
Indice degli argomenti
L’informativa è il punto di equilibrio
Con la sentenza in parola si riaccendono i riflettori su una questione che, nel corso degli anni, è diventata sempre più centrale nella gestione del rapporto di lavoro: l’utilizzo del badge aziendale per il rilevamento presenze, anche tramite app.
Si tratta di uno strumento ampiamente adoperato dai datori di lavoro, che non si limita all’accesso ai luoghi aziendali o a rilevare l’orario di entrata e uscita, ma che genera, per come congeniato, molti dati personali.
Di qui, il trattamento può assumere un rilievo anche giuridico e se del caso, a seguito dell’evidenze in grado di generare, altresì disciplinare. E qui sorgono i problemi che talvolta si tramutano in conteziosi fino all’ultimo grado di giudizio, come nel caso di specie.
La sentenza in parola si pone quindi come spartiacque, facendo chiarezza. Infatti, partendo dal presupposto che “gli strumenti di registrazione degli accessi e delle presenze rientrano nell’art. 4, commi 2 e 3, dello Statuto dei lavoratori”, e “pur potendo riflettere indirettamente aspetti della prestazione lavorativa, essi non sono assimilabili ai sistemi di controllo a distanza”. Quindi soggetti alle più stringenti condizioni del comma 1.
La portata innovativa di questa sentenza risiede nella informazione preventiva al lavoratore. In altri termini, se il datore di lavoro rende un’informativa chiara e precisa nella quale specifichi bene che i “dati raccolti tramite badge sono utilizzabili a tutti i fini connessi al rapporto di lavoro” non esercita un controllo a distanza
Di qui, il badge non rappresenta un “controllo occulto”, ma uno strumento organizzativo.
Badge aziendale e controllo a distanza: i fatti di causa
La vicenda nasce da un licenziamento per giusta causa intimato al ricorrente per Cassazione ex dipendente di Enel Italia spa a inizio 2020 a seguito di “irregolarità commesse nella attestazione delle presenze in servizio, nel periodo da gennaio a ottobre 2019”, così si legge in sentenza.
Nel periodo contestato l’allora dipendente era entrato e uscito dalla sede aziendale senza effettuare le dovute timbrature tramite il badge ovvero era emerso dagli atti che lo stesso avesse “inserito manualmente sull’applicativo aziendale gli orari di ingresso e uscita in contrasto con i dati rilevati dal sistema di controllo degli accessi delle sedi di lavoro”.
Controlli sul badge aziendale e Statuto dei Lavoratori
La sentenza in questione, in diritto afferma testualmente che “i controlli difensivi in senso stretto sono quindi considerati legittimi solo ove ricorra il “fondato sospetto” del datore di lavoro circa comportamenti illeciti di uno o più lavoratori e purché il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto, dovendosi assicurare un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali”.
E conclude il passaggio dicendo che “…tale forma di controllo non coincide e non è equiparabile a quella disciplinata dal primo comma [art. 4 L. 300/1970]”. Cristallizza in poche righe che tali dati sono legittimamente raccolti ai sensi dell’art. 4, secondo comma, e quindi “utilizzabili a tutti i fini in presenza delle condizioni dettate dal terzo comma […] a due condizioni: la prima è che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli, la seconda condizione attiene al rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”, insomma della privacy.
La robustezza delle policy
Dalla lettura di questa sentenza, emerge l’importanza dell’informativa. Ma non basta. É evidente che, in quest’ottica, assumono un ruolo decisivo anche le policy aziendali.
Di qui la loro robustezza che potrà essere dimostrata da documenti chiari, accessibili e comunicati in modo tracciabile, capaci di spiegare finalità e mezzi cioè il funzionamento dei sistemi e possibili utilizzi dei dati.
Non pezzi di carta, ma evidenze concrete che denotano visioni lungimiranti non solo in termini di compliance al GDPR, opportunità aziendali e quindi benessere dei dipendenti, i quali tutelati e motivati, contribuiranno ad accrescere e raggiungere gli obiettivi del datore/imprenditore anche in termini di business.
