Print Friendly, PDF & Email

Con la sentenza n. 25732 del 22 settembre 2021, la Suprema Corte di Cassazione si è pronunciata in materia di controlli sugli strumenti informatici aziendali e, nello specifico, in tema di bilanciamento tra gli interessi del datore di lavoro alla tutela del patrimonio aziendale, da un lato, e quello alla tutela della privacy del lavoratore, dall’altro.

Detta pronuncia si inserisce all’interno di un già ricco panorama giurisprudenziale in tema di controlli datoriali, che, negli anni, ne ha tracciato i limiti e i presupposti.

 I controlli del datore di lavoro: un quadro generale

Gli strumenti aziendali di messaggistica o e-mail e, in generale, gli strumenti informatici messi a disposizione dal datore di lavoro per lo svolgimento delle attività lavorative dovrebbero essere utilizzati dai dipendenti con modalità adeguate ai compiti ed alle responsabilità allo stesso assegnate, nel rispetto dei principi di correttezza e diligenza di cui agli artt. 1175, 1176, 2104 e 2105 del Codice civile, nonché delle precipue procedure, direttive ed eventuali codici etici aziendali in tema di sicurezza dei sistemi informatici e dei dati.

In tale contesto, al fine di comprendere se e sulla base di quali presupposti un datore di lavoro può lecitamente indagare o comunque prendere cognizione delle comunicazioni inviate o ricevute dal dipendente tramite l’utilizzo degli strumenti in commento, occorre innanzitutto tenere a mente la normativa giuslavoristica e privacy applicabile.

L’articolo 4 dello Statuto dei lavoratori

L’art. 4 della L. 300/1970 (il cosiddetto “Statuto dei lavoratori”) detta i presupposti di legittimità (e i limiti) del controllo dell’attività lavorativa del dipendente da parte del datore di lavoro, sancendo che è ammissibile un controllo del dipendente “per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale […] a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”.

Inoltre, ai sensi del comma 2 dell’art. in commento, il datore di lavoro può procedere ai predetti controlli anche in assenza di un accordo sindacale o di una autorizzazione amministrativa purché si tratti di strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (quali, ad esempio, pc, tablet e cellulari).

Alla luce di quanto sopra, le informazioni lecitamente raccolte – nel rispetto, quindi, dell’art. 4 dello Statuto – sono utilizzabili anche per sanzionare disciplinarmente il lavoratore.

Le pronunce del Garante privacy

In tale contesto si inseriscono le linee guida per posta elettronica e internet adottate dal Garante privacy[1], in cui è esplicitamente delineata la cornice entro la quale il datore di lavoro può muoversi al fine di preservare il patrimonio aziendale, tutelando al contempo la riservatezza e la libertà dei dipendenti.

In particolare, il Garante privacy ha stabilito che grava sul datore di lavoro l’onere di indicare:

  • le modalità di utilizzo degli strumenti messi a disposizione al dipendente; nonché
  • se e in quale misura lo stesso si riserva di effettuare controlli, anche saltuari o occasionali, su detti strumenti;
  • le ragioni legittime per le quali si riserva di effettuare i controlli di cui al precedente punto;
  • quali conseguenze, anche di tipo disciplinare, si riserva di trarre qualora constati che la posta elettronica e la rete internet sono utilizzate indebitamente.

 

Sul punto, infine, il Garante privacy si è più volte espresso ribadendo che in ogni caso il controllo sui sistemi in dotazione al lavoratore non può concretizzarsi in verifiche massive, prolungate e indiscriminate, lesive della libertà e della dignità dei dipendenti[2].

La giurisprudenza della Corte EDU

Sul tema oggetto di trattazione occorre dare rilievo, altresì, a una recente pronuncia della Corte Europea dei Diritto dell’Uomo[3], nell’ambito di un ricorso proposto da un cittadino al quale era stata negata dai giudici nazionali la nullità del licenziamento avvenuto sulla base del controllo delle comunicazioni del dipendente, per presunta violazione del suo diritto alla privacy.

In particolare, la CEDU ha ritenuto essenziale la predisposizione di una policy aziendale in difetto della quale nessun controllo datoriale appare legittimo, indicando analiticamente quale debba essere il contenuto della policy e quali tutele spettino in ogni caso al lavoratore, tra cui che:

  • il dipendente sia stato preventivamente informato della possibilità che il datore di lavoro controlli la corrispondenza e altre comunicazioni e dell’attuazione di tali misure;
  • il datore di lavoro abbia fornito motivazioni legittime per giustificare il monitoraggio delle comunicazioni e l’accesso ai loro contenuti effettivi;
  • siano state predisposte adeguate misure di salvaguardia in favore del lavoratore, in particolare quando le attività di controllo del datore di lavoro siano di natura intrusiva.

 La giurisprudenza nazionale

Come si è anticipato, il panorama giurisprudenziale in materia di controlli datoriali è assai ricco.

Nello specifico, tenendo a mente l’art. 4 dello Statuto dei lavoratori, la Corte di Cassazione – Sezione Lavoro ha in diversi casi ritenuto legittimo il controllo effettuato dal datore di lavoro sugli strumenti aziendali in dotazione al dipendente (nonché il licenziamento di quest’ultimo a seguito di condotte scorrette “scoperte” grazie a tale attività di controllo) distinguendo tuttavia i casi in cui il controllo sia avvenuto ex post (ovvero dopo che siano emersi elementi di fatto tali da raccomandare l’avvio di un’indagine) ovvero ex ante.

I controlli ex ante si caratterizzano in quanto effettuati a prescindere da un precipuo comportamento del lavoratore tale da giustificare detti controlli.

Sul punto, la giurisprudenza ha ribadito la possibilità di effettuare controlli mirati a verificare il corretto utilizzo degli strumenti di lavoro[4], contemperando però l’interesse al controllo e la protezione della dignità e riservatezza dei lavoratori.

In particolari, i controlli in commento possono essere effettuati con mezzi a distanza ma alle seguenti cumulative condizioni:

  • l’impianto deve essere stato previamente autorizzato con accordo sindacale o dal CINL;
  • l’impianto deve avere una o più delle finalità (diverse da quelle di controllare i lavoratori) previste dal primo comma dell’art. 4 dello Statuto dei lavoratori;
  • il datore deve aver previamente informato il lavoratore che l’impianto è stato installato, e che vi si potranno esperire controlli;
  • il controllo deve essere esperito in conformità al Codice privacy.

Con riferimento ai primi due punti, i giudici hanno ribadito che dette regole non valgono per gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (quali il software PRS e la email aziendale), rispetto ai quali, pertanto, vi è esclusivamente le necessità di informare il lavoratore e rispettare le previsioni di cui al Codice privacy.

Diversamente, secondo la giurisprudenza antecedente alla riforma del 2015 che ha modificato il citato art. 4 dello Statuto dei lavoratori[5], esulavano dal campo di applicazione di quest’ultimo i controlli ex post – anche detti “controlli difensivi”  purché diretti da accertare comportamenti illeciti e lesivi del patrimonio e/o dell’immagine aziendale[6].

In particolare, i controlli difensivi non sarebbero assoggettati allo Statuto dei lavoratori tutti quei controlli effettuati in presenza delle seguenti condizioni:

  • la finalità specifica di accertare determinati comportamenti illeciti del lavoratore;
  • la lesività rispetto al patrimonio o all’immagine aziendali di detti illeciti;
  • l’effettuazione dei controlli ex post, ossia dopo l’attuazione del comportamento in addebito.

Tuttavia, a seguito della citata riforma, si è posto il problema di capire se i controlli difensivi in commento potessero essere considerati attratti sotto l’ombrello dell’art. 4 dello Statuto, posto che, ad oggi, lo stesso esplicitamente fa riferimento ai dispositivi utilizzati per la “tutela del patrimonio aziendale”.

In tale contesto si inserisce la recente pronuncia della Corte di Cassazione in commento, nella quale la stessa distingue tra controlli difensivi in senso stretto e controlli che riguardano tutti i dipendenti nello svolgimento della loro mansione che li pone a contatto con il patrimonio aziendale.

Quest’ultimi, a parere del Collegio, dovrebbero necessariamente avvenire nel rispetto delle previsioni dell’art. 4 dello Statuto, diversamente da quelli diretti ad accertare condotte illecite ascrivibili a singoli dipendenti.

Con riferimento a tale ultimo assunto, tuttavia, la Corte ha statuito che pur essendo consentiti controlli – anche tecnologici – è necessario in ogni caso effettuare un bilanciamento tra le esigenze di protezione di interessi e beni aziendali e quelle di tutela della dignità e riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto.

 

[1] Provvedimento n. 13 del 1°Marzo 2007.

[2] Ex pluribus, Provv. 53 del 1° febbraio 2018.

[3] Sentenza del 5 settembre 2017, CAUSA BĂRBULESCU c. ROMANIA.

[4] Ex pluribus, Tribunale Sez. lav. – Roma, 13/06/2018.

[5] D.lgs. n. 151/2015.

[6] Ex pluribus, Cass. n. 13266/2018.

 

Torna in alto