LAVORO E SOCIAL NETWORK: IL DELICATO EQUILIBRIO TRA OPPORTUNITA’ E DOVERI

,
di Giada Rossi e Andrea Federico Antognini*

Da diversi anni i Social Network sono divenuti parte integrante della vita quotidiana di persone di tutte le età e per i più disparati scopi: motivi di svago, di informazione, di aggregazione e financo lavorativi.

Considerata infatti la rapida diffusione dei contenuti digitali verso un illimitato numero di utenti, sempre più aziende si avvalgono dei canali social per promuovere i loro prodotti e servizi; parimenti, nei rapporti di lavoro, i primi contatti fra aziende e lavoratori avvengono di frequente proprio tramite piattaforme social professionali, primo fra tutti Linkedin, sfruttato anche dalle società di recruitment.

I Social Network sono quindi entrati ormai di diritto nelle relazioni lavorative, influenzandone sia la fase preassuntiva che quella esecutiva e, in taluni casi, impattando anche sulla loro cessazione.

Al fine di correttamente inquadrare diritti e doveri di ciascuna parte del rapporto di lavoro nell’utilizzo dei Social Network, ci si deve soffermare sulle pronunce delle Corti di merito e di illegittimità, unitamente ai pareri e ai provvedimenti delle autorità privacy, nazionali ed europee, da anni particolarmente attente all’equilibrio tra la sfera privata dei lavoratori e le esigenze di tutela delle aziende.

Nella fase di selezione, è ormai risaputo come le aziende prestino attenzione ai profili social personali dei candidati, ai loro contenuti e alle interazioni con altri utenti. Ivi possono infatti rinvenirsi contenuti che, proprio perché rientranti nella sfera privata, ben possono svelare il temperamento, le inclinazioni, gli interessi ed altri elementi psicologici del candidato, aspetti che possono essere attenzionati, tra l’altro, onde valutarne la compatibilità con la posizione lavorativa, con i valori e la mission dell’azienda.

In relazione allo screening preassuntivo, il WP29 – Gruppo di Lavoro Articolo 29 per la protezione dei dati, ossia l’organo consultivo indipendente dell’UE per la protezione dei dati personali e della vita privata in epoca pre-GDPR, nel proprio Parere n. 2 del giorno 8 giugno 2017 (Opinion 2/2017 on data processing at work), ha considerato lecito il trattamento dei dati presenti su profili social pubblici dei candidati, ponendo tuttavia importanti confini e richiamando i noti principi di liceità e pertinenza.

Nel Parere si legge infatti che il sol fatto che un profilo sia pubblicamente accessibile non dovrebbe indurre i datori di lavoro a ritenere di essere autorizzati a trattare tali dati per proprie finalità; è sempre necessario disporre di un fondamento giuridico (oggi, in epoca post-GDPR, “base giuridica”), ad esempio un legittimo interesse, sicché, prima di esaminare il profilo del candidato sui media sociali, il datore di lavoro dovrebbe innanzitutto considerare se il profilo ha finalità commerciali o private, in quanto ciò può rappresentare un’indicazione importante dell’ammissibilità giuridica dell’esame di tali dati. Inoltre, il datore di lavoro è autorizzato a raccogliere e trattare i dati personali del candidato soltanto nella misura in cui tale raccolta è necessaria e pertinente per l’esecuzione del lavoro per il quale è stata presentata domanda e purché di tale tipologia di controllo sia stata data informazione, ad esempio nello stesso annuncio di lavoro.

Parimenti, sempre secondo il WP29, non esiste alcun “fondamento giuridico” che giustifichi la “richiesta di amicizia” di un datore di lavoro nei confronti di potenziali dipendenti o qualsiasi altra richiesta di accesso ai contenuti dei loro profili.

Nel citato Parere viene inoltre precisato che, al termine della fase di selezione, a prescindere dall’esito positivo o meno, il Titolare del trattamento dovrà provvedere alla tempestiva cancellazione dei dati raccolti.

Nel panorama nazionale, in linea con quanto sopra, si richiama il recentissimo Codice di Condotta ai sensi dell’art. 40 del Regolamento UE 2016-679 per le agenzie per il lavoro (APL), promosso da Assolavoro (Associazione Nazionale di Categoria delle Agenzie per il Lavoro) e approvato nel mese di febbraio 2024 dal Garante Privacy. E’ vero che il Codice di condotta è limitato alle APL, ma dal medesimo si possono desumere principi validi per tutti i datori di lavoro.

Nello specifico, il Codice di Condotta, salva la premessa che usualmente le informazioni utili per la selezione debbano raccogliersi presso l’interessato, ha ammesso che le APL possano avvalersi di informazioni pubbliche presenti sui profili pubblici di social network, purché si tratti di social network di natura professionale: il fatto che il profilo social di un Candidato sia disponibile al pubblico non può essere considerato di regola quale presupposto di liceità del trattamento dei dati personali contenuti nello stesso. Prima di esaminare il profilo sul social network di un potenziale Candidato, le APL verificano che il social network abbia natura professionale al fine di verificare l’ammissibilità dell’analisi dello stesso. 

Lo stesso codice di condotta prevede che i dati personali presenti su un profilo social di natura professionale di un candidato debbano essere trattati nel rispetto del principio di minimizzazione e solo nella misura in cui la raccolta di tali dati sia necessaria e pertinente allo svolgimento del lavoro per il quale si effettua la ricerca.

In linea di principio, i dati raccolti durante il processo di selezione dovrebbero essere cancellati non appena sia evidente che non verrà fatta alcuna offerta di impiego o nel caso in cui l’offerta non venga accettata dal candidato. Resta salva la possibilità per l’APL di conservare tali dati in previsione di ulteriori opportunità lavorative, laddove abbia già provveduto ad informare opportunamente l’interessato e lo stesso non si sia opposto.

Si consideri poi che il trattamento dei dati del lavoratore deve essere sempre anticipato da una informativa del datore di lavoro, ai sensi dell’art. 13 del GDPR (GDPR – Regolamento 2016/679). Ricordiamo che l’art. 13 del Codice Privacy (Decreto Legislativo 30 giugno 2023, n. 196 recante il “Codice in materia di protezione dei dati personali”) è stato abrogato e che quindi, quando si legge un’informativa redatta ai sensi dell’art. 13 del Codice Privacy, si tratta di un’informativa non aggiornata al GDPR.

Oltre alla fase preassuntiva, i Social Network assumono rilevanza anche in costanza del rapporto di lavoro, entrando nelle dinamiche lavorative sotto molteplici aspetti, primo fra tutti il bilanciamento, da un lato, degli obblighi di fedeltà e di diligenza nonché del diritto di critica in capo al lavoratore e, dall’altro, dell’esigenza datoriale di promozione dell’azienda e del potere di controllo del datore di lavoro.

Sempre più spesso i datori di lavoro incentivano i dipendenti ad essere presenti sui social network professionali (primo fra tutti Linkedin) e ad ivi condividere i contenuti aziendali, sì da dare maggior visibilità all’azienda.

Tuttavia, si evidenzia che il profilo social è comunque riferibile al singolo dipendente, che pertanto mai potrà essere obbligato (né sanzionato) in caso di rifiuto alla richiesta di aprire un profilo social o di mancata condivisione dei contenuti aziendali.

Anche il WP29, nel citato parere, evidenzia che i dipendenti non dovrebbero essere tenuti a utilizzare un profilo sui media sociali messo a disposizione dal loro datore di lavoro. Anche qualora ciò sia specificamente previsto in considerazione delle mansioni affidate agli stessi (ad esempio, quella di agire da portavoce di un’organizzazione), i dipendenti devono conservare l’opzione di disporre di un profilo non pubblico, ossia “non lavorativo”, che possono utilizzare in sostituzione del profilo “ufficiale”, correlato al datore di lavoro, e ciò dovrebbe essere specificato nelle condizioni del contratto di lavoro. 

E’ consigliabile dunque per le aziende dotarsi di policies che dettino, d’intesa con il lavoratore, indicazioni su come utilizzare tali Social Network anche alla luce delle strategie di comunicazione del datore di lavoro, aspetti che anche nelle realtà di grandi dimensioni vengono spesso trascurati.

L’impatto di questi aggregatori digitali è importante anche nella fase patologica del rapporto di lavoro. Un profilo personale di un Social Network può infatti divenire prova di inadempimento alle obbligazioni lavorative e, come tale, condurre all’apertura di formali procedimenti disciplinari nonché, nei peggiori dei casi, a sanzioni espulsive.

Molteplici sono le sentenze delle Corti di merito e di legittimità che aiutano a individuare quali controlli datoriali possano dirsi leciti, ovverosia non vietati dall’art. 4 dello Statuto dei Lavoratori in tema di controlli a distanza, e quindi legittimamente fondare un procedimento disciplinare.

E’ possibile citare la sentenza della Suprema Corte n. 10955/2015, nella quale, in occasione di un’impugnazione di licenziamento, la Corte ha confermato legittima la condotta dell’azienda che crea un falso profilo Facebook per dimostrare la negligenza del dipendente. Nel caso di specie, il datore di lavoro aveva creato un falso profilo femminile e si intratteneva in conversazioni in chat con il dipendente durante l’orario di lavoro, al fine di dimostrare che il lavoratore fosse negligente e si dedicasse ad attività personali durante l’orario di lavoro, a discapito della produttività dell’azienda.

Di fronte alle doglianze del lavoratore circa l’avvenuto “controllo a distanza”, vietato dalla Legge 20 maggio 1970, n. 300 (Statuto dei lavoratori), i giudici di legittimità hanno analizzato il bilanciamento tra diritti configgenti delle parti (id est il potere di controllo del datore di lavoro, la riservatezza del dipendente, l’esigenza del datore di evitare condotte illecite da parte dei dipendenti e la dignità del lavoratore), e hanno concluso per l’ammissibilità dei controlli difensivi occulti, ovvero diretti all’accertamento di comportamenti illeciti diversi dal mero inadempimento della prestazione lavorativa, fattispecie che si pone al di fuori dell’ambito di applicazione dello Statuto dei lavoratori. 

Nello stesso senso la sentenza n. 14862/2017 della Corte di Cassazione, che in un caso di licenziamento per giusta causa per abuso della connessione internet del PC assegnato in dotazione ad un lavoratore, statuisce che effettivamente configura controllo a distanza, ai sensi della l. n. 300 del 1970, art. 4, l’attività che abbia ad oggetto la prestazione lavorativa e il suo esatto adempimento, ma che resta esclusa dal campo di applicazione della norma quella che sia volta a individuare la realizzazione di comportamenti illeciti da parte del dipendente, idonei a ledere il patrimonio aziendale sotto il profilo della sua integrità e del regolare funzionamento e della sicurezza degli impianti. 

E’ stata inoltre statuita la liceità della condotta di un datore di lavoro che ha acquisito la documentazione fotografica estratta dalla pagina Facebook del dipendente nella specifica occasione di investigazioni volte ad accertare il carattere simulato della malattia del ricorrente, al precipuo fine di istruire il procedimento disciplinare che ha poi condotto al licenziamento (Tribunale Tivoli sez. lav., 05/07/2023, n.1194).

Sono inoltre sempre più numerose le pronunce che confermano la liceità di licenziamenti intimati in ragione di offese o post denigratori nei confronti del datore di lavoro sulle pagine social dei dipendenti.

I profili personali infatti, ove non protetti con adeguate limitazioni privacy, possono raggiungere un numero indefinito di soggetti, esponendo il lavoratore a uno screening dei contenuti pubblicati nonché ad azioni disciplinari o legali in caso di post diffamatori o lesivi dell’immagine aziendale.

Si richiama la recente sentenza della Corte di Cassazione n. 27939/2021, nella quale veniva confermato il licenziamento del dipendente colpevole di aver pubblicato plurimi insulti ai suoi superiori sulla propria pagina Facebook.

Il lavoratore eccepiva l’illegittima acquisizione dalla società datrice dei post presenti sulla propria pagina Facebook, in quanto destinata alla comunicazione esclusiva con i propri “amici” e pertanto riservata, espressiva di una modalità incompatibile con la denigrazione o la diffamazione erroneamente ravvisata dall’azienda.

I giudici, per contro, statuivano la legittimità del provvedimento sulla base di due diverse argomentazioni: la prima in ragione del mezzo utilizzato, idoneo a determinare la circolazione del messaggio tra un gruppo indeterminato di persone; la seconda in virtù dei contenuti della critica rivolta ai superiori, le cui modalità – esorbitanti dall’obbligo di correttezza formale dei toni e dei contenuti – la rendono potenzialmente idonea ad arrecare pregiudizio all’organizzazione aziendale.

Nello stesso senso precedenti pronunce della Suprema Corte, ad esempio la n. 10280/2018, che conferma il licenziamento per giusta causa del dipendente per pubblicazione su Facebook di messaggi offensivi nei confronti del datore di lavoro, posto che la diffusione di un messaggio offensivo attraverso l’uso di una bacheca Facebook assume una valenza diffamatoria, per la potenziale capacità di raggiungere un numero indeterminato di persone, integra giusta causa di licenziamento la pubblicazione da parte di una lavoratrice nella propria bacheca Facebook di affermazioni di disprezzo nei confronti della società datrice di lavoro, risultando irrilevante la mancata indicazione del legale rappresentante, perché agevolmente identificabile. 

Le pronunce giurisprudenziali offrono inoltre spunti da cui desumere, da un lato, alcune limitazioni alla liceità dei controlli effettuabili dal datore di lavoro, dall’altro lato, in quali casi la portata lesiva della condotta venga ritenuta così lieve da precludere il recesso datoriale.

A titolo esemplificativo, secondo il Tribunale di Firenze nella pronuncia del 16.10.2019, ove i messaggi siano rivolti ad un gruppo privato, ad accesso limitato e con esclusione della possibilità che le comunicazioni ivi inserite possano essere conoscibili da soggetti diversi dei partecipanti allo stesso, non può essere giustificato un licenziamento fondato su messaggi denigratori nei confronti del superiore gerarchico.

Ed ancora, a tutela della libertà e della segretezza della corrispondenza, che tutela anche i messaggi di posta elettronica scambiati mediante mailing list riservata a un determinato gruppo o tramite chat privata, è stato dichiarato illegittimo il recesso irrogato al dipendente che, in seno a una conversazione in chat aperta ai soli iscritti al sindacato di appartenenza dello scrivente, insulti l’amministratore della società datrice di lavoro (Cassazione civile sez. lav., 10/09/2018, n.21965).

Il controllo del lavoratore ha formato oggetto di una recente pronuncia del Garante Privacy, che ha emesso una ordinanza ingiunzione nei confronti del Comune di Bolzano il 13 maggio 2021, a seguito di un reclamo presentato da un dipendente comunale.

Il dipendente aveva lamentato la violazione dei principi di protezione dei dati personali per via del monitoraggio della navigazione in Internet effettuato dall’ente, che aveva portato all’avvio di un procedimento disciplinare basato sull’utilizzo di Facebook e YouTube durante l’orario di lavoro.

Il Garante ha identificato violazioni relative ai principi di liceità, correttezza, trasparenza e minimizzazione nel trattamento dei dati personali. È peraltro emerso che il Comune aveva attuato un sistema di monitoraggio della navigazione in Internet dei dipendenti che consentiva un controllo massivo e indiscriminato, violando l’art. 4 della legge n. 300/1970 che proibisce il controllo a distanza dell’attività dei lavoratori senza adeguate garanzie.

In particolare, si è rilevato che i dipendenti non erano stati adeguatamente informati sui possibili controlli sul loro accesso a Internet, sui vari soggetti privacy, né sulla finalità di tale trattamento. Inoltre, il sistema utilizzato permetteva la raccolta di dati non pertinenti all’attività lavorativa, compresi quelli relativi alla vita privata dei dipendenti.

Il Garante ha anche constatato che il procedimento disciplinare nei confronti del reclamante era basato su dati raccolti tramite il sistema di monitoraggio, utilizzati in violazione di legge.

Come misure correttive, il Comune ha sospeso il trattamento dei dati di navigazione raccolti in base al precedente accordo sindacale e ha redatto una valutazione d’impatto sulla protezione dei dati personali.

Il Comune si è inoltre impegnato a redigere una nuova informativa dedicata al trattamento dei dati dei dipendenti, migliorando la trasparenza e la conformità con i principi di protezione dei dati e ha infine stipulato un nuovo accordo sindacale che prevede controlli più mirati e proporzionati, limitando l’uso dei dati a casi di anomalie informatiche.

Dall’esame delle pronunce di cui sopra possiamo quindi concludere che sovente la giurisprudenza ammette, a fini difensivi, un controllo del dipendente tramite profili personali, purché essi siano aperti, ossia di pubblico accesso.

Tuttavia, per aumentare le possibilità di successo in caso di contenziosi, va tenuto in debito conto l’orientamento delle autorità garanti, nazionali ed europee, e le evoluzioni che la giurisprudenza potrà avere, avvicinandosi ai rigorosi requisiti privacy.

Per tali ragioni, al fine di garantire la conformità alla normativa sulla protezione dei dati personali, in particolare al Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea (UE) 2016/679 e alla normativa nazionale applicabile, il datore di lavoro deve adottare specifici requisiti e obblighi nel trattamento dei dati personali dei dipendenti, specialmente in contesti di monitoraggio come nell’uso di internet e social media sul luogo di lavoro.

I principali requisiti e obblighi possono essere così sintetizzati:

  1.  Informativa ai Dipendenti
    • Chiarezza e Trasparenza: L’informativa deve essere fornita in maniera chiara, comprensibile e facilmente accessibile, utilizzando un linguaggio
  • Contenuto dell’Informativa: Deve includere l’identità e i dati di contatto del datore di lavoro (titolare del trattamento), le finalità del trattamento dei dati raccolti, la base giuridica, i destinatari dei dati, il periodo di conservazione, e i diritti dei dipendenti in qualità di interessati (es. diritto di accesso, rettifica, cancellazione).
  • Tempistica: L’informativa deve essere fornita al momento della raccolta dei dati, ovvero prima di iniziare il monitoraggio.

 

  1. Principio di Minimizzazione
    • Raccolta Limitata: Raccogliere solo i dati strettamente necessari per le finalità specificate. Evitare la raccolta di dati eccessivi o non pertinenti
    • Conservazione Limitata: Conservare i dati solo per il periodo necessario alle finalità del trattamento

 

  1. Valutazione d’Impatto sulla Protezione dei Dati (DPIA)
    • Conduzione di una DPIA: Quando il trattamento può risultare in un rischio elevato per i diritti e le libertà dei dipendenti, è necessario effettuare una valutazione d’impatto sulla protezione dei dati.
    • Contenuti della DPIA: Deve includere una descrizione sistematica dei processi di trattamento previsti, la valutazione della necessità e della proporzionalità del trattamento, una valutazione dei rischi per i diritti e le libertà degli interessati, e le misure previste per affrontare tali rischi.
  1. Base Giuridica del Trattamento
    • Legittimità del Trattamento: Assicurarsi che il trattamento dei dati personali si basi su una base giuridica valida, come il consenso del dipendente (ove appropriato, ed anzi in genere il consenso non è la base giuridica da preferire), l’esecuzione di un contratto, obblighi legali, interessi legittimi del datore di lavoro, ecc.
  1. Rispetto dei Diritti dei Dipendenti
    • Garantire che i dipendenti possano esercitare i loro diritti in materia di protezione dei dati, inclusi il diritto di accesso, di rettifica, di cancellazione, di limitazione del trattamento, di opposizione al trattamento, e il diritto alla portabilità dei dati
  2. Misure di Sicurezza ed Organizzative
    • Implementare adeguate misure tecniche per garantire un livello di sicurezza adeguato al rischio presentato dal trattamento, comprese misure per proteggere i dati da perdita, distruzione, accesso non autorizzato, alterazione o
    • Implementazione di misure organizzative conformi alla legge ed alle prassi di settore:
      1. Mappatura dei vari trattamenti di dati personali,
      2. Redazione di nomine per i vari soggetti privacy (ad outsourcer che trattano dati del titolare per suo conto),
      3. redazione degli incarichi per i dipendenti che trattano i dati
  • Policies:
    1. sull’utilizzo della post@ e di Internet,
    2. sulla gestione di eventuali devices di proprietà del dipendente,
    3. sull’utilizzo del social,
    4. su eventuali violazioni di dati,etc.
  1. Registro delle Attività di Trattamento
    • Mantenere un registro delle attività di trattamento dei dati personali come richiesto dal GDPR.
  1. Formazione e Sensibilizzazione del Personale
    • Fornire formazione regolare sul GDPR e sulla protezione dei dati al personale coinvolto nel trattamento dei dati personali.

Il rispetto di questi requisiti e obblighi contribuisce a garantire che il trattamento dei dati personali dei dipendenti, in particolare nel contesto lavorativo, sia conforme alla normativa vigente in materia di protezione dei dati.

* Avvocati in Milano

image_pdfimage_print
Potrebbero interessarti
LE PROCEDURE DI SISTEMA NEI CONTRATTI DI APPALTO: LO SVILUPPO DI TAVOLI TECNICI PER LE LAVORAZIONI CRITICHE.
IL WELFARE SCONOSCIUTO: LA GESTIONE DEL DENARO
I MIEI PRIMI 10 ANNI
LA PARITA’ DI GENERE MOTORE DI SVILUPPO ECONOMICO E SOCIALE Il valore della certificazione
I RICORSI CONTRO L’INPS
IL WELFARE DELLE SCELTE SBAGLIATE