Di Antonio Cazzella
Con sentenza n. 25732 del 23 settembre 2021 la Suprema Corte si è nuovamente pronunciata sui limiti ai quali è sottoposto il datore di lavoro nel controllare il computer utilizzato dal dipendente nello svolgimento della prestazione lavorativa e sulla possibilità di utilizzare i dati raccolti ai fini disciplinari.
Nella fattispecie esaminata è accaduto che, in seguito all’accertamento della diffusione di un virus nella rete aziendale, era emerso che tale virus era stato generato da un file scaricato nel computer aziendale utilizzato da una dipendente; in occasione dell’intervento tecnico sul predetto computer sono stati rilevati numerosi accessi a siti che, all’evidenza, risultavano visitati per ragioni private e per un tempo lungo, tale da integrare una sostanziale e rilevante interruzione della prestazione lavorativa.
A seguito della raccolta dei dati relativi a tali accessi, è stato avviato un procedimento disciplinare nei confronti della lavoratrice, cui seguiva il licenziamento per giusta causa; il giudice di primo grado, in fase di opposizione, accertava l’illegittimità del licenziamento, rilevando, da un lato, che l’acquisizione dei dati non rientrava nell’ambito di un controllo a distanza vietato dall’art. 4 Stat. Lav. (in quanto la verifica del datore di lavoro era finalizzata a bonificare il sistema informatico dal virus che ne aveva messo in pericolo il funzionamento, senza alcun intento di sorvegliare l’attività lavorativa svolta dalla dipendente) e, dall’altro, la non assoluta incompatibilità degli accessi (avvenuti parzialmente in orario notturno) con le mansioni della lavoratrice nonchè l’assenza di contestazioni da parte del datore di lavoro sul mancato rispetto di termini o di incombenze inerenti lavoro arretrato, con la conseguenza che il provvedimento espulsivo risultava sproporzionato rispetto alle mancanze contestate.
La Corte d’Appello, in sede di reclamo ed in riforma della sentenza di primo grado, rigettava tutte le domande, motivando tale decisione in considerazione dell’ingente numero di accessi attuati dalla dipendente, dell’intenzionalità della condotta e della violazione delle disposizioni impartite dal datore di lavoro (conosciute dalla lavoratrice) in merito all’utilizzo degli strumenti informatici, fermo restando che la Corte di merito, analogamente al giudice di prime cure, non ravvisava alcuna violazione dell’art. 4 Stat. Lav..
La lavoratrice ha impugnato la decisione innanzi alla Suprema Corte, rilevando, in particolare, che il datore di lavoro non avrebbe potuto utilizzare la cronologia dei dati di accesso ad internet dalla sua postazione, in quanto, in assenza di un’adeguata informazione riguardo le modalità di effettuazione dei controlli, l’utilizzo dei dati raccolti per finalità disciplinari sarebbe precluso, tenuto conto, peraltro, che il Garante della Privacy (adito dalla stessa lavoratrice) aveva pronunciato un provvedimento, confermato in sede giudiziale, che accertava la violazione degli obblighi di informativa e l’eccedenza del trattamento rispetto alle sue finalità, ordinando al datore di lavoro l’immediata interruzione del trattamento medesimo.
La Suprema Corte ha effettuato una ricostruzione della giurisprudenza in materia di controlli a distanza, considerando anche le pronunce successive alla modifica dell’art. 4 Stat. Lav. introdotta dall’art. 23 del d.lgs. n. 151/2015.
All’esito di tale disamina, la Suprema Corte ha affermato che, alla luce della nuova formulazione dell’art. 4 Stat. Lav., occorre distinguere tra controlli difensivi “in senso lato” e controlli difensivi “in senso stretto”.
La prima tipologia comprende i controlli a difesa del patrimonio aziendale che riguardano tutti i dipendenti (o gruppi di dipendenti) nello svolgimento della loro prestazione lavorativa, che devono essere necessariamente effettuati nel rispetto dell’art. 4 Stat. Lav., sicchè l’inosservanza delle prescrizioni ivi previste rende illegittimo il controllo ed inutilizzabili i dati raccolti; i controlli difensivi “in senso stretto” - che sono rivolti ad accertare condotte illecite specificamente ascrivibili, in base a concreti indizi, a singoli dipendenti - anche se effettuati con strumenti tecnologici, si pongono all’esterno del perimetro applicativo dell’art. 4 Stat. Lav., non avendo ad oggetto la normale attività del lavoratore.
A tal riguardo, infatti, è stato rilevato che “l’istituzionalizzazione della procedura richiesta dall’art. 4 per l’installazione dell’impianto di controllo sarebbe coerente con la necessità di consentire un controllo sindacale, e, nel caso, amministrativo, su scelte che riguardano l’organizzazione dell’impresa; meno senso avrebbe l’applicazione della stessa procedura anche nel caso di eventi straordinari ed eccezionali costituiti dalla necessità di accertare e sanzionare gravi illeciti di un singolo lavoratore”; peraltro, secondo quanto affermato dalla Suprema Corte, ciò non significa che il datore, ove sospetti la commissione di un’attività illecita, non sia sottoposto ad alcun limite nello svolgere il controllo sul lavoratore interessato, sicchè sussiste la necessità di “assicurare un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, con un contemperamento che non può prescindere dalle circostanze del caso concreto”.
In applicazione dei principi sopra individuati, la Corte di Cassazione ha quindi affermato che “per essere in ipotesi legittimo, il controllo “difensivo in senso stretto” dovrebbe quindi essere mirato, nonché attuato ex post, ossia a seguito del comportamento illecito di uno o più lavoratori del cui avvenuto compimento il datore abbia avuto il fondato sospetto, sicché non avrebbe ad oggetto l’attività - in senso tecnico - del lavoratore medesimo”.
Inoltre, la Suprema Corte ha precisato che il controllo non deve riferirsi all’esame ed all’analisi di informazioni acquisite in violazione delle prescrizioni di cui all’art. 4 Stat. Lav., poiché “in tal modo opinando, l’area del controllo difensivo si estenderebbe a dismisura, con conseguente annientamento della valenza delle predette prescrizioni” e, quindi, il datore di lavoro potrebbe, in difetto di autorizzazione e/o di adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli, nonché senza il rispetto della normativa sulla privacy, acquisire per lungo tempo ed ininterrottamente ogni tipologia di dato, provvedendo alla relativa conservazione e, successivamente, invocare la natura mirata (ex post) del controllo incentrato sull’esame ed analisi di tali dati; in tal caso, quindi, “il controllo non potrebbe ritenersi effettuato ex post, poiché esso ha inizio con la raccolta delle informazioni; quella che viene effettuata ex post è solo una attività successiva di lettura ed analisi che non ha, a tal fine, una sua autonoma rilevanza”.
In particolare, la Suprema Corte ha affermato che il controllo ex post può configurarsi “solo ove, a seguito del fondato sospetto del datore circa la commissione di illeciti ad opera del lavoratore, il datore stesso provveda, da quel momento, alla raccolta delle informazioni. Facendo il classico esempio dei dati di traffico contenuti nel browser del pc in uso al dipendente, potrà parlarsi di controllo ex post solo in relazione a quelli raccolti dopo l'insorgenza del sospetto di avvenuta commissione di illeciti ad opera del dipendente, non in relazione a quelli già registrati”.
In conclusione, non ricorrendo le condizioni sopra indicate, la verifica sull’utilizzabilità a fini disciplinari dei dati raccolti dal datore di lavoro deve essere condotta alla stregua dell’art. 4 Stat. Lav. e, in particolare, secondo quanto stabilito dai commi 2 e 3 della predetta norma, ovvero in presenza di un’adeguata informativa sulle modalità d’uso degli strumenti e di effettuazione dei controlli e, comunque, nel rispetto della normativa sulla privacy.