Con sentenza n. 18168 del 26 giugno 2023, la Corte di Cassazione ha nuovamente affrontato il tema dei limiti dei controlli datoriali attraverso l’utilizzo di strumenti informatici stabilendo l’illegittimità del licenziamento e l’inutilizzabilità delle prove raccolte a seguito di un controllo sulla posta elettronica aziendale di un dipendente effettuato dalla società datrice di lavoro in violazione, tra le altre, delle disposizioni in materia di protezione dei dati personali.
I fatti di causa
La vicenda processuale trae origine dalla contestazione disciplinare addebitata ad un lavoratore con la quale veniva contestata “una condotta di insubordinazione e di violazione dei doveri di diligenza e fedeltà nonché dei generali principi di correttezza e buona fede” perché, tra le altre, aveva intrattenuto rapporti con soggetti concorrenti.
Gli elementi di prova relativi ai fatti contestati erano stati raccolti a seguito di una indagine indiscriminata effettuata dalla società sulla posta elettronica aziendale assegnata al lavoratore.
La Corte di Appello adita, confermando la pronuncia di primo grado, accertava l’illegittimità del licenziamento e condannava la società al pagamento di somme a titolo di indennità sostitutiva del preavviso, di indennità supplementare, nonché di spettanze per incidenza sul TFR.
La società soccombente ricorreva così in Cassazione.
I «controlli difensivi»
Con l’occasione, la Corte di Cassazione torna nuovamente sul tema dei cd. «controlli difensivi» riaffermando la distinzione tra a. i «controlli a difesa del patrimonio aziendale» e b. i «controlli difensivi in senso stretto».
a. I «controlli a difesa del patrimonio aziendale»
I «controlli a difesa del patrimonio aziendale» riguardano tutti i dipendenti (o gruppi di dipendenti) che nello svolgimento della prestazione lavorativa sono a contatto con il patrimonio aziendale e dovranno necessariamente essere realizzati nel rispetto, e nei limiti, di quanto disposto dall’art. 4 dello Statuto dei Lavoratori (L. 300/70).
b. I «controlli difensivi in senso stretto»
I «controlli difensivi in senso stretto», invece, sono diretti ad accertare specifiche condotte illecite ascrivibili, in base a indizi concreti, a singoli lavoratori e “si situano, ancora oggi, all’esterno del perimetro applicativo dell’art. 4”; tali controlli devono essere mirati ed attuati ex post, sollecitati, quindi, da episodi già occorsi “perché solo a partire da quel momento il datore può provvedere alla raccolta di informazioni utilizzabili”.
La decisione della Corte di Cassazione
Tornando al caso di specie, la Corte di Appello constatava che la società:
- non aveva addotto i motivi che giustificassero l’accesso ed il monitoraggio della casella di posta elettronica;
- aveva effettuato le proprie indagini “indistintamente [su] tutte le comunicazioni presenti nel pc aziendale in uso” senza, tra le altre, definire un limite temporale di ricerca;
- non aveva provato di aver preliminarmente informato il lavoratore riguardo alla possibilità che le comunicazioni potessero essere monitorate né “del carattere e della portata del monitoraggio o del livello di invasività nella sua corrispondenza”;
- aveva posto in essere le proprie condotte senza rispettare il regolamento aziendale disciplinante l’utilizzo della posta elettronica aziendale.
Poiché non è possibile “sottrarre alla disciplina generale della protezione dei dati personali il rapporto del lavoratore con il suo datore”, la stessa Corte Suprema – che richiama i principi fondanti la materia tra cui (i) i principi di minimizzazione e di proporzionalità; (ii) i principi di pertinenza e di non eccedenza rispetto ad uno scopo legittimo nonché (iii) i principi di trasparenza e correttezza – chiarisce che anche nell’ambito di un «controllo difensivo in senso stretto» è necessario assicurare “un corretto bilanciamento tra le esigenze datoriali di tutela dei beni e del patrimonio aziendale rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore”.
Per tutte queste ragioni, conclude la Corte, i giudici di seconde cure hanno correttamente valutato il bilanciamento tra le condotte poste in essere dalla società ed il conseguente grado di intrusione che si è creato nella vita privata del lavoratore.
La Suprema Corte rigetta il ricorso condannando la società ricorrente confermando l’illegittimità del licenziamento nonché l’inutilizzabilità dei dati illegittimamente acquisiti.
Alcuni elementi utili ad orientare il bilanciamento del giudice italiano in caso di «controlli difensivi in senso stretto»
Richiamando la giurisprudenza della Corte Europea dei Diritti dell’Uomo (nello specifico, caso Barbulescu c. Romania, 5 settembre 2017), la Cassazione ha indicato gli elementi utili ad orientare il bilanciamento del giudice italiano nei casi di «controlli difensivi in senso stretto»:
- l’informazione al lavoratore circa la possibilità che il datore di lavoro adotti misure di monitoraggio;
- il grado di invasività nella sfera privata dei dipendenti, tenendo contro, tra le altre, della natura più o meno privata del luogo in cui si svolge il monitoraggio, dei limiti spaziali e temporali del monitoraggio, nonché del numero di soggetti che hanno accesso ai suoi risultati;
- l’esistenza di una giustificazione all’uso della sorveglianza e alla sua estensione con motivi legittimi;
- la valutazione, in base alle circostanze specifiche di ciascun caso, se lo scopo legittimo perseguito dal datore di lavoro potesse essere raggiunto causando una minore invasione della vita privata;
- la verifica di come il datore abbia utilizzato i risultati e se siano serviti per raggiungere lo scopo dichiarato;
- l’offerta di adeguate garanzie al dipendente sul grado di invasività delle misure di sorveglianza.
Altri insights correlati:
- Posta elettronica aziendale: il diritto di difesa in giudizio del datore di lavoro non può pregiudicare il diritto del lavoratore alla tutela dei dati personali
- Licenziamento per giusta causa: illegittimo il controllo della chat aziendale in assenza di adeguata informazione – De Luca & Partners (delucapartners.it)
