Internal investigations e normativa privacy: un equilibrio da presidiare

*ESTRATTO da Società - Il Mensile, 8 novembre 2022, n. 12 - p. 13
Commento a cura di Alessandro Musella, Vittorio Pomarici, Valentina Frignati

Quando gli organi di governo e di controllo di una società si trovano a dover avviare una internal investigation, le prime problematiche legali da affrontare riguardano sempre l'acquisizione dei dati e le correlate implicazioni in tema di data privacy e data protection. 

Le internal investigations comportano ormai sempre l'acquisizione della casella di posta elettronica dei soggetti interessati dall'indagine, di copia dei dati dei loro computer e, il più delle volte, anche di copia di smartphone, tablet e altri device aziendali da loro utilizzati, per l'esame ad esempio delle chat di WhatsApp, Teams e altri provider di messaggistica.

Tutto ciò comporta inevitabilmente il trattamento di dati personali (1), i quali sono oggetto di tutela da parte del Regolamento UE 2016/679 (2) (GDPR) e della normativa italiana di cui al Codice Privacy (3). Il rispetto di tali norme è senza dubbio un requisito legale di cui si deve tenere conto già nella fase di avvio e organizzazione delle investigazioni interne.

In particolare, il GDPR sancisce una serie di principi fondamentali sulla base dei quali deve essere improntato il trattamento dei dati personali, quali il principio di liceità (avere una valida base giuridica per procedere con la raccolta e il trattamento), di trasparenza (informare il lavoratore fra l'altro delle ragioni per cui i suoi dati vengono trattati, da chi e dove), di minimizzazione (raccogliere solo i dati strettamente necessari all'oggetto dell'indagine), di affidabilità/sicurezza (garantire che il processa-mento e il trattamento dei dati nel contesto dell'indagine interna avvenga in modo corretto e nel rispetto della normativa privacy). 

2. Le condizioni per poter procedere

Da questi principi deriva che una società potrà procedere legittimamente alla raccolta ed esame dei dati personali dei destinatari dell'indagine interna a condizione che:
a. esista una valida base giuridica per il trattamento dei dati;
b. i destinatari abbiano ricevuto un'adeguata informativa;
c. il trattamento avvenga nel rispetto della normativa privacy.

2.1 Base giuridica
Quanto al primo requisito, nel caso di indagini interne svolte a seguito della notizia di possibili violazioni di legge o di policy aziendali non manifestamente infondate, l'interesse legittimo è dato dall'esigenza della società di accertare situazioni che la espongono a responsabilità legale e/o a un danno patrimoniale e reputazionale. Questo interesse legittimo costituisce la base giuridica del trattamento, alternativa al consenso degli interessati, e rende non necessaria l'acquisizione del consenso degli interessati. Anzi il consenso difficilmente potrà costituire una idonea base giuridica del trattamento, stante il probabile squilibrio dei rapporti che si verifica soprattutto nel caso di indagini interne che riguardano lavoratori dipendenti.

2.2 Adeguata informativa
Il secondo requisito (l'informativa agli interessati) deve essere assolto attraverso un'informativa preventiva sull'uso dell'email e dei dispositivi aziendali e sulla possibilità che essi siano soggetti ad attività di controllo e indagine da parte della società. Di regola questa informativa preventiva viene fornita mediante una policy interna aziendale, che deve essere stata adottata e adeguatamente diffusa prima dell'indagine interna. Questo aspetto è molto importante, e spesso trascurato in diverse realtà.

È essenziale, per poter svolgere efficacemente una internal investigation, che le società adottino policy interne adeguate, con cui informino in modo chiaro e particolareggiato dipendenti, amministratori e altri collaboratori che la email aziendale e ogni altra comunicazione scambiata sui device e/o sistemi aziendali (Teams chat, SMS, WhatsApp) è di proprietà della società e che quest'ultima si riserva il diritto di effettuare controlli anche senza il consenso degli interessati, qualora via sia un suo legittimo interesse, costituito dall'esigenza di svolgere indagini interne per finalità di difesa e/o di protezione del patrimonio aziendale. Una policy incompleta o troppo generica rischia di non costituire una valida informativa preventiva e quindi di far mancare uno dei requisiti di legittimità dell'attività di indagine interna. 

Oltre all'informativa preventiva, è poi necessaria una informativa specifica verso i soggetti direttamente interessati dall'indagin e, circa le modalità e le finalità del trattamento dei dati. Tale informativa va fornita al momento dell'accesso ai dati (quando questi sono raccolti presso l'interessato – si pensi all'accesso ai dispositivi aziendali del dipendente quali laptop e cellulari) o, in determinate condizioni, dopo l'avvenuto accesso ai dati (ciò solo nell'ipotesi in cui i dati non siano raccolti presso l'interessato – si pensi ad es. all'acquisizione delle caselle email e di altri dati direttamente tramite i server aziendali).
L'informativa specifica può essere rinviata se vi è il pericolo che comunicare tale informazione al lavoratore possa "rendere impossibile o … pregiudicare gravemente il conseguimento delle finalità di tale trattamento", ovvero andare a pregiudicare/compromettere l'investigation (3).

2.3. Rispetto dei principi della normativa privacy
Infine, quanto al terzo requisito (rispetto delle prescrizioni della normativa privacy), al fine di rispettare i principi di proporzionalità e minimizzazione nel trattamento dei dati personali previsti dal GDPR, l'analisi dei dati raccolti deve essere svolta mediante l'applicazione di parole chiave e con adeguata limitazione del periodo rilevante al fine di identificare solo i dati strettamente necessari all'investigation e pertinenti all'attività lavorativa, minimizzando la possibilità di rivedere documenti dell'interessato strettamente personali. 

Per rispettare i medesimi principi, si ritiene che l'internal investigation debba svolgersi per gradi, partendo dalle email aziendali recuperabili sul server e spostandosi solo in via gradata al contenuto dei dispositivi aziendali (laptop e cellulari) – solo se necessario alla luce degli esiti dell'esame delle email o se la società ha una ragionevole aspettativa che le informazioni rilevanti non si trovino sulle email conservate nei server – e addirittura alle chat di messaggistica e/o alle caselle email personali scambiate su dispositivo aziendale se necessario alla luce degli esiti delle analisi precedenti (cioè se dalle analisi precedenti si scopre che certe conversazioni si svolgevano su account personali o su chat). 

3. Internal investigation e Statuto dei Lavoratori

Come noto, la possibilità per il datore di lavoro di svolgere controlli mirati sui propri lavoratori in caso di fondato sospetto circa la commissione di un illecito o di una violazione (c.d. "controlli difensivi" (5)) è pacificamente ammessa dalla giurisprudenza, la quale colloca questo tipo di controlli al di fuori del perimetro applicativo dell'art. 4 dello Statuto dei Lavoratori, relativo invece ai controlli generalizzati sulla prestazione lavorativa.

Secondo la giurisprudenza – sia nella vigenza della precedente versione dell'art. 4, sia a seguito delle modifiche introdotte con il c.d. "Jobs Act" (6) – i controlli difensivi non sono dunque soggetti al limite del previo accordo sindacale e/o autorizzazione amministrativa da parte dell'Ispettorato nazionale del lavoro, perché non hanno ad oggetto la normale attività del lavoratore, ma condotte specifiche ascrivibili – in base a concreti indizi – a singoli dipendenti. Ciò nondimeno, la giurisprudenza ritiene che il controllo difensivo non sia esente da limitazioni, essendo consentito solo a condizione che lo stesso muova da un fondato sospetto e che sia rispettato il trattamento dei dati riservati (7).

Anche l'art. 4 dello Statuto dei Lavoratori come da ultimo novellato – applicabile ai controlli a distanza generalizzati sulla prestazione lavorativa per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale – fa ora riferimento al rispetto della normativa privacy prevedendo espressamente che "Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196" (v. art. 4, c. 3).

In altri termini, è sicuramente consentito a un datore di lavoro svolgere controlli sui propri lavoratori finalizzati alla tutela del patrimonio aziendale, come quelli volti ad accertare la commissione di fatti illeciti, così come è consentito utilizzare le prove raccolte durante questi controlli anche a fini disciplinari, a condizione però che il trattamento dei dati si sia svolto nel rispetto della normativa privacy e giuslavoristica.

CONSULTA IL TESTO INTEGRALE DELL'APPROFONDIMENTO