di Laura Galas
Con una recentissima sentenza la Corte di Cassazione (22.9.2021 n. 25732) è nuovamente intervenuta al fine di chiarire la legittimità dei “controlli difensivi” posti in essere dal datore di lavoro, dopo l’insorgenza del sospetto di commissione di un illecito da parte del lavoratore.
Nel caso all’esame della Corte un virus proveniente dal pc di una lavoratrice aveva infettato l’intero sistema aziendale e l’attività di accertamento datoriale era stata finalizzata all’indefettibile ripristino del sistema informatico.
Nel corso delle verifiche sul pc della lavoratrice, da cui originava il virus, venivano in rilievo numerosi accessi a siti visitati per ragioni private, per lunghi periodi, tali da integrare una sostanziale interruzione della prestazione lavorativa, all’esito del quale la lavoratrice veniva licenziata.
Secondo l’elaborazione giurisprudenziale antecedente alla riforma dell’art. 4 Statuto dei Lavoratori (L. 300/1970), questa tipologia di controlli, pur estranei alle procedure disciplinate dall’art. 4, non potevano comunque essere esercitati liberamente, dovendo sottostare al necessario bilanciamento tra le esigenze di salvaguardia della dignità e riservatezza del dipendente e quelle di protezione dei beni aziendali.
Le attività di accertamento, dunque, dovevano essere esercitate con modalità non eccessivamente invasive, rispettose delle garanzie di libertà e dignità dei lavoratori, secondo canoni di correttezza e buona fede contrattuale. Il controllo poi, nel rispetto delle delibere del Garante della privacy, doveva risultare pertinente, non eccedente e proporzionale al fine perseguito.
Dopo l’entrata in vigore dell’art. 4 L. 300/1970 così come novellato dall’art. 23 D.lgs 151/2015 – che ha esteso le ragioni di utilizzo degli strumenti di controllo a distanza alla tutela del patrimonio aziendale – ci si era interrogati se i c.d. controlli difensivi, ovverosia quelli operati dai datori di lavoro sulle condotte dei dipendenti in presenza di presunti illeciti lesivi del patrimonio e disposti successivamente all’attuazione della condotta illecita, potessero ancora considerarsi estranei all’ambito di applicazione della suddetta norma.
La Corte, accogliendo la tesi affermativa, intende oggi distinguere tra i controlli a difesa del patrimonio aziendale che riguardano tutti i dipendenti (o gruppi di essi) nello svolgimento della loro prestazione lavorativa e che dovranno necessariamente essere realizzati con il rispetto delle previsioni e garanzie di cui all’art. 4 St. Lav (autorizzazione ai sensi del comma 1 o comunque informativa al lavoratore ai sensi del comma 3) dai “controlli difensivi in senso stretto”, ovvero quelli diretti ad accertare condotte illecite ascrivibili- in base a concreti indizi– a singoli dipendenti. Trattandosi in questo caso di eventi straordinari ed eccezionali costituiti dalla necessità di accertare e sanzionare gravi illeciti di un singolo lavoratore, detti controlli pur effettuati con l’ausilio di strumenti tecnologici sono- secondo la Corte- ancor oggi al di fuori dell’ambito di applicazione dell’art. 4 St. Lav.
Ciò non significa, tuttavia, che il datore di lavoro sia libero di attuare i controlli senza alcun limite.
Infatti, affinché i controlli difensivi in senso stretto siano legittimi e possano essere utilizzati in sede disciplinare essi dovranno:
- essere mirati a quel singolo accertamento;
- essere attuati ex post: le informazioni devono essere raccolte solo successivamente al comportamento illecito di uno o più lavoratori, del cui compimento il datore di lavoro abbia avuto fondato sospetto;
- non avere mai ad oggetto la mera prestazione lavorativa dei dipendenti;
- avere una durata limitata nel tempo e finalizzata alla raccolta del dato, che dovrà essere conservato il tempo strettamente necessario;
- presentare un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, e il rispetto della dignità e riservatezza del lavoratore.
Peraltro, la tesi della sopravvivenza dei controlli difensivi sotto il profilo della compatibilità con la tutela della riservatezza di cui all’art. 8 della Convenzione Europea dei diritti dell’uomo, trova conforto nella giurisprudenza della Corte Europea dei diritti dell’uomo, che nella sentenza 17.10.2019- caso Lopez Ribalda e altri c. Spagna- aveva ritenuto legittima l’installazione di strumenti occulti di videosorveglianza all’insaputa dei lavoratori da parte di un gestore di un supermercato che aveva riscontrato discrepanze tra le scorte di magazzino e gli incassi di fine giornata; la condotta veniva infatti ritenuta proporzionata rispetto al fine di tutelare l’interesse organizzativo e il patrimonio aziendale, in presenza di un ragionevole sospetto circa la commissione di illeciti connotati da gravità e della prefigurazione dell’entità dei danni economici che potevano derivarne.
Nel caso all’esame della Suprema Corte ciò che le corti di merito avevano omesso del tutto di verificare – – era se i dati utilizzati per il successivo provvedimento disciplinare fossero antecedenti o successivi al sospetto di avvenuta commissione di un illecito ad opera della lavoratrice e soprattutto se fosse stato garantito il bilanciamento tra gli interessi correlati alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e riservatezza del lavoratore.
La Corte di Cassazione rinviava, dunque, la causa alla Corte di Appello di Roma, che nel decidere dovrà attenersi al principio di diritto così enunciato e qualora accertasse che non sussistono i presupposti indicati dovrà operare “la verifica della utilizzabilità ai fini disciplinari dei dati raccolti dal datore di lavoro” sul pc della lavoratrice, nel rispetto delle prescrizioni di cui ai commi 2 e 3 dell’art. 4 L. 300/1970.
Se i dati utilizzati e posti a base del provvedimento disciplinare, infatti, fossero antecedenti al sospetto di commissione dell’illecito, andrà verificata la presenza di una dettagliata policy aziendale sull’impiego degli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e di adeguata informativa delle modalità d’uso degli stessi e dell’effettuazione dei controlli, tutto ciò sempre nel rispetto della normativa in materia di privacy.
In sintesi quindi è legittimo il controllo del datore di lavoro sul computer aziendale del dipendente, purchè successivo all’insorgere del fondato sospetto di commissione di un illecito e nel rispetto della dignita’ e riservatezza del lavoratore