Lo scorso 12 novembre 2021 la Corte di Cassazione, con sentenza n. 33809, è tornata ad affrontare il tema dei controlli datoriali mediante l’utilizzo degli strumenti informatici, alla luce dei principi e delle restrizioni applicabili in materia di protezione dei dati personali. In particolare, la Suprema Corte ha confermato che tutti i dati contenuti nel pc assegnato al dipendente costituiscono patrimonio aziendale e che il datore di lavoro, nel rispetto dei doveri di correttezza, pertinenza e non eccedenza, ha la facoltà di acquisire ed utilizzare i dati lì contenuti ai fini disciplinari e difensivi, senza che ciò comporti di per sé una violazione della normativa privacy. Nel corso del tempo, seguendo l’evoluzione della normativa in materia di tutela dei dati personali, la giurisprudenza si è più volte pronunciata su queste tematiche, così da potersi oggi identificare i principi basilari su cui individuare il punto di equilibrio tra la facoltà di controllo del datore di lavoro e il diritto alla riservatezza dei dipendenti.

In proposito, la norma cardine è come noto l’articolo 4 dello Statuto dei Lavoratori (L. 300/1970); nella sua versione originale, ossia prima della modifica apportata dal Jobs Act (il D.lgs. 151/2015), la norma prevedeva due livelli di protezione della sfera privata del lavoratore “uno mediante la previsione del divieto assoluto di uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori non sorretto da ragioni inerenti all’impresa; l’altro, affievolito, ove le ragioni del controllo fossero state riconducibili ad esigenze oggettive dell’impresa, ferma restando l’attuazione del controllo stesso con l’osservanza di determinate «procedure di garanzia»” (in questo senso, Cass. 22 settembre 2021, n. 25732). Successivamente alla riforma attuata con il Jobs Act, il novellato articolo 4 ha riproposto il divieto di utilizzo di impianti audiovisivi e di altri strumenti dai quali derivi la possibilità di controllo a distanza dell’attività dei lavoratori. La norma poi ha confermato la deroga generale a questo divieto che, in presenza di accordo sindacale o in subordine autorizzazione dell’Ispettorato del Lavoro, giustifichi l’installazione di impianti e strumenti che consentano il controllo a distanza, purché motivato da (i) esigenze organizzative e produttive, (ii) salvaguardia della sicurezza sul lavoro e (iii) tutela del patrimonio aziendale. 

Una novità di grande impatto normativo (sebbene ridotto nella prassi e nella giurisprudenza da un approccio spiccatamente garantista) è stata invece introdotta dal secondo comma della norma novellata, prevedendo che il divieto generale (con obbligo di accordo o autorizzazione) non si applica agli strumenti utilizzati dai lavoratori per rendere la loro prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.

Fermo restando quanto precede, le informazioni raccolte per il tramite di controlli leciti, sempre ai sensi dell’art. 4 dello Statuto dei Lavoratori, sono utilizzabili a tutti i fini connessi al rapporto di lavoro (quindi anche quelli disciplinari), a determinate condizioni, ossia che: a) sia stata data adeguata informazione al lavoratore circa le modalità d’uso degli strumenti stessi e di effettuazione dei controlli e b) siano state rispettate le disposizioni di cui alla normativa in materia di protezione dei dati personali (attualmente rappresentata dal Regolamento (UE) 2016/679 e dal D.Lgs. 101/2018.

Continua a leggere la versione integrale pubblicata su Norme & Tributi Plus Diritto de Il Sole 24 Ore.

La Corte di Cassazione, con la sentenza n. 14862 del 15 giugno 2017, ha dichiarato legittimo il licenziamento disciplinare (pur confermando la conversione effettuata dalla corte d’appello da licenziamento per giusta causa in licenziamento per giustificato motivo soggettivo) intimato ad un dipendente che ha utilizzato la connessione all’Internet aziendale per fini personali  in modo sistematico (nello specifico n. 47 connessione nell’arco di 60 giorni per la durata complessiva di 45 ore). Così facendo il dipendente ha, per la Corte, violato gli obblighi di fedeltà, correttezza e buona fede che sottendono un normale rapporto di lavoro.  In questo contesto la Suprema Corte ha, altresì, osservato che non vi è stata alcuna lesione del diritto alla riservatezza del dipendente, essendosi la società “limitata a verificare l’esistenza di accessi indebiti alla rete ed i relativi tempi di collegamento, senza compiere alcuna analisi dei siti visitati dal dipendente durante la navigazione o della tipologia dei dati scaricatiti”. Così come la stessa ha ritenuto insussistente una qualsivoglia violazione dell’articolo 4 dello statuto dei lavoratori. Ciò in quanto tale violazione sussiste  allorquando il controllo riguarda lo svolgimento della prestazione ma non l’accertamento di eventuali illeciti del dipendente che possono ledere l’integrità patrimoniale dell’azienda, minando il suo normale funzionamento.