INDAGINI SU DIPENDENTI INFEDELI: COME E QUANDO E’ LECITO FARLO NEL RISPETTO DEL GDPR

L’investigatore privato è un professionista autorizzato mediante licenza prefettizia a svolgere attività investigativa. La sua figura giuridica ha origini nel Testo Unico delle Leggi di Pubblica Sicurezza (TULPS) del 1931. Ad oggi, il riferimento normativo principale è l’art. 134 TULPS, cui si affianca il D.M. 269/2010 che individua, oltre a nuovi requisiti professionali, sei distinti ambiti operativi, tra cui indagini aziendali su richiesta del datore di lavoro finalizzate alla tutela di diritti anche in sede giudiziaria, come: infedeltà professionale, concorrenza sleale, tutela del patrimonio, marchi, brevetti.

Con l’entrata in vigore del GDPR (Regolamento UE 2016/679) e del D.Lgs. 101/2018, l’attività investigativa è subordinata a rigorose regole deontologiche. In particolare, l’investigatore non può intraprendere indagini autonomamente: è necessario un incarico scritto con l’indicazione del diritto da esercitare e delle finalità dell’indagine, deve trattare i dati nel rispetto del principio di minimizzazione e può coinvolgere collaboratori esterni solo se indicati per iscritto sul mandato stesso. Inoltre, è obbligato a fornire aggiornamenti al committente sull’andamento dell’indagine e, solo in determinati casi contemplati all’art. 14, l’informativa può non essere fornita all’interessato se ciò pregiudicherebbe gli scopi dell’indagine. Tuttavia, tale omissione deve essere giustificata e proporzionata.

I dati devono essere conservati solo per il tempo strettamente necessario all’esecuzione dell’incarico, non sono giustificabili conservazioni prolungate legate alla pendenza del giudizio.

Il ricorso a investigazioni private da parte del datore di lavoro è legittimo solo se finalizzato alla tutela del patrimonio aziendale o alla verifica di illeciti (Cass. 25287/2022). Tuttavia, vi sono vincoli sostanziali ovvero non si può violare l’art. 4 dello Statuto dei Lavoratori (divieto di controllo a distanza) e l’uso di tecnologie come app di geolocalizzazione può risultare sproporzionato se privo di base giuridica, informativa e valutazione d’impatto.

La giurisprudenza di legittimità ha consolidato il principio per cui è lecito ricorrere a investigatori per accertare fatti esterni all’attività lavorativa ma rilevanti sul piano fiduciario. È il caso del controllo durante i permessi ex L. 104/1992 (Cass. 17102/2021 – Cassazione n. 24130/2024) o in occasione di assenze per malattia (Cass. 11697/2020 – Cass. 23852/24). Anche la Corte ha chiarito che l’indagine è legittima solo se non riguarda direttamente l’adempimento lavorativo, ma illeciti extralavorativi. La Cassazione ha inoltre stabilito che la violazione dei codici deontologici comporta l’inutilizzabilità assoluta delle prove raccolte (Cass. 28378/2023).

Il Garante è intervenuto adottando diversi provvedimenti sanzionatori nei confronti di datori di lavoro che hanno violato diritti inderogabili dei propri dipendenti. Un caso significativo riguarda un’azienda che, nel contesto dello smart working, aveva adottato sistemi di timbratura elettronica e geolocalizzazione per monitorare i propri dipendenti. Tali strumenti sono stati implementati senza una valida base giuridica, senza fornire un’adeguata informativa agli interessati e senza aver effettuato la necessaria valutazione d’impatto sulla protezione dei dati. Inoltre, l’azienda aveva violato il principio di proporzionalità e le disposizioni dell’art. 4 dello Statuto dei lavoratori. Il Garante ha quindi irrogato una sanzione amministrativa pari a 50.000 euro, accompagnata dalla pubblicazione del provvedimento.

In un altro caso, un datore di lavoro aveva incaricato un’agenzia investigativa di svolgere accertamenti su un proprio dipendente, sospettato di comportamenti illeciti al di fuori del contesto lavorativo. Il lavoratore, venuto a conoscenza dell’attività investigativa, aveva esercitato il proprio diritto di accesso ai dati personali ex art. 15 del GDPR, chiedendo anche di conoscere l’origine delle informazioni raccolte.

L’azienda non ha fornito alcun riscontro neppure dopo i solleciti del Garante. Pur non rilevando violazioni specifiche da parte dell’agenzia investigativa, l’Autorità ha ritenuto sussistente una violazione del diritto di accesso in capo al datore di lavoro, che è stato sanzionato con una multa di 10.000 euro, oltre alla pubblicazione del relativo provvedimento.

Anche gli investigatori privati sono tenuti a rispettare rigorosamente i principi di liceità e necessità. La violazione di questi principi può comportare provvedimenti del Garante, come nel caso in cui siano stati raccolti dati relativi alla salute di terzi senza adeguata giustificazione. In un caso esemplare, è stata sanzionata un’agenzia che aveva inserito nel report informazioni sulla patologia della madre della dipendente sottoposta a indagine, ritenute non pertinenti. Le sanzioni variano da 10.000 a 50.000 euro, spesso accompagnate dalla pubblicazione del provvedimento. In altro caso l’agenzia è stata sanzionata per aver acquisito dati presso l’interessato, omettendo la dovuta informativa art. 13.

L’attività investigativa nei confronti dei dipendenti è quindi ammessa solo entro precisi limiti normativi e deontologici.

Il rispetto del GDPR non è solo un obbligo giuridico, ma anche una garanzia di legittimità, utilizzabilità e trasparenza a garanzia di tutte le parti coinvolte.

Fonte: Federprivacy