Con sentenza n. 18168 del 26 giugno 2023, la Corte di Cassazione ha nuovamente affrontato il tema dei limiti dei controlli datoriali attraverso l’utilizzo di strumenti informatici stabilendo l’illegittimità del licenziamento e l’inutilizzabilità delle prove raccolte a seguito di un controllo sulla posta elettronica aziendale di un dipendente effettuato dalla società datrice di lavoro in violazione, tra le altre, delle disposizioni in materia di protezione dei dati personali.

I fatti di causa

La vicenda processuale trae origine dalla contestazione disciplinare addebitata ad un lavoratore con la quale veniva contestata “una condotta di insubordinazione e di violazione dei doveri di diligenza e fedeltà nonché dei generali principi di correttezza e buona fede” perché, tra le altre, aveva intrattenuto rapporti con soggetti concorrenti. 

Gli elementi di prova relativi ai fatti contestati erano stati raccolti a seguito di una indagine indiscriminata effettuata dalla società sulla posta elettronica aziendale assegnata al lavoratore.

La Corte di Appello adita, confermando la pronuncia di primo grado, accertava l’illegittimità del licenziamento e condannava la società al pagamento di somme a titolo di indennità sostitutiva del preavviso, di indennità supplementare, nonché di spettanze per incidenza sul TFR.

La società soccombente ricorreva così in Cassazione.

I «controlli difensivi»

Con l’occasione, la Corte di Cassazione torna nuovamente sul tema dei cd. «controlli difensivi» riaffermando la distinzione tra a. i «controlli a difesa del patrimonio aziendale» e b. i «controlli difensivi in senso stretto».

a. I «controlli a difesa del patrimonio aziendale»

I «controlli a difesa del patrimonio aziendale» riguardano tutti i dipendenti (o gruppi di dipendenti) che nello svolgimento della prestazione lavorativa sono a contatto con il patrimonio aziendale e dovranno necessariamente essere realizzati nel rispetto, e nei limiti, di quanto disposto dall’art. 4 dello Statuto dei Lavoratori (L. 300/70).

b. I «controlli difensivi in senso stretto»

I «controlli difensivi in senso stretto», invece, sono diretti ad accertare specifiche condotte illecite ascrivibili, in base a indizi concreti, a singoli lavoratori e “si situano, ancora oggi, all’esterno del perimetro applicativo dell’art. 4”; tali controlli devono essere mirati ed attuati ex post, sollecitati, quindi, da episodi già occorsi “perché solo a partire da quel momento il datore può provvedere alla raccolta di informazioni utilizzabili”.

La decisione della Corte di Cassazione

Tornando al caso di specie, la Corte di Appello constatava che la società:

• non aveva addotto i motivi che giustificassero l’accesso ed il monitoraggio della casella di posta elettronica;
• aveva effettuato le proprie indagini “indistintamente [su] tutte le comunicazioni presenti nel pc aziendale in uso” senza, tra le altre, definire un limite temporale di ricerca;
• non aveva provato di aver preliminarmente informato il lavoratore riguardo alla possibilità che le comunicazioni potessero essere monitorate né “del carattere e della portata del monitoraggio o del livello di invasività nella sua corrispondenza”;
• aveva posto in essere le proprie condotte senza rispettare il regolamento aziendale disciplinante l’utilizzo della posta elettronica aziendale.

Poiché non è possibile “sottrarre alla disciplina generale della protezione dei dati personali il rapporto del lavoratore con il suo datore”, la stessa Corte Suprema – che richiama i principi fondanti la materia tra cui (i) i principi di minimizzazione e di proporzionalità; (ii) i principi di pertinenza e di non eccedenza rispetto ad uno scopo legittimo nonché (iii) i principi di trasparenza e correttezza – chiarisce che anche nell’ambito di un «controllo difensivo in senso stretto» è necessario assicurare “un corretto bilanciamento tra le esigenze datoriali di tutela dei beni e del patrimonio aziendale rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore”.

Per tutte queste ragioni, conclude la Corte, i giudici di seconde cure hanno correttamente valutato il bilanciamento tra le condotte poste in essere dalla società ed il conseguente grado di intrusione che si è creato nella vita privata del lavoratore.

La Suprema Corte rigetta il ricorso condannando la società ricorrente confermando l’illegittimità del licenziamento nonché l’inutilizzabilità dei dati illegittimamente acquisiti.

Alcuni elementi utili ad orientare il bilanciamento del giudice italiano in caso di «controlli difensivi in senso stretto»

Richiamando la giurisprudenza della Corte Europea dei Diritti dell’Uomo (nello specifico, caso Barbulescu c. Romania, 5 settembre 2017), la Cassazione ha indicato gli elementi utili ad orientare il bilanciamento del giudice italiano nei casi di «controlli difensivi in senso stretto»:

• l’informazione al lavoratore circa la possibilità che il datore di lavoro adotti misure di monitoraggio;
• il grado di invasività nella sfera privata dei dipendenti, tenendo contro, tra le altre, della natura più o meno privata del luogo in cui si svolge il monitoraggio, dei limiti spaziali e temporali del monitoraggio, nonché del numero di soggetti che hanno accesso ai suoi risultati;
• l’esistenza di una giustificazione all’uso della sorveglianza e alla sua estensione con motivi legittimi;
• la valutazione, in base alle circostanze specifiche di ciascun caso, se lo scopo legittimo perseguito dal datore di lavoro potesse essere raggiunto causando una minore invasione della vita privata;
• la verifica di come il datore abbia utilizzato i risultati e se siano serviti per raggiungere lo scopo dichiarato;
• l’offerta di adeguate garanzie al dipendente sul grado di invasività delle misure di sorveglianza.

Altri insights correlati:

• Posta elettronica aziendale: il diritto di difesa in giudizio del datore di lavoro non può pregiudicare il diritto del lavoratore alla tutela dei dati personali
• Licenziamento per giusta causa: illegittimo il controllo della chat aziendale in assenza di adeguata informazione – De Luca & Partners (delucapartners.it)

L’Autorità Garante per la Protezione dei Dati Personali, con il “Provvedimento n. 216 del 4 dicembre 2019”, ha confermato una già consolidata posizione secondo cui, il datore di lavoro che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e accede alle mail contenute nella casella di posta, commette un illecito.

Il caso

Una società ricorreva al giudice del lavoro avverso un ex dipendente poiché questi proponeva prodotti in diretta concorrenza con i suoi. Le informazioni a suffragio del ricorso erano state raccolte dalla società ricorrente accendendo all’indirizzo di posta elettronica dell’ex dipendente anche successivamente all’interruzione del rapporto di lavoro.

Il lavoratore presentava così reclamo al Garante per la protezione dei dati personali, eccependo che la società sua ex datrice di lavoro non aveva disattivato il suo account di posta ed aveva acceduto ai messaggi ricevuti.

La società, nel resistere al reclamo presentato dal lavoratore, ha affermato che la mancata disattivazione dell’account e il contestuale inoltro delle mail sull’indirizzo del responsabile della funzione di Information Technology, erano state disposte poiché (i) l’ex dipendente non aveva provveduto ad inviare ai clienti una comunicazione con i nuovi riferimenti aziendali. Aggiungendo, inoltre, che (ii) era stata aperta solo la corrispondenza contente messaggi di lavoro e non anche quelli personali e che (iii) l’ex dipendente fosse a conoscenza della “prassi aziendale” secondo cui il datore di lavoro, dopo la cessazione del rapporto, avrebbe controllato la corrispondenza a lui diretta.

Preso atto che i fatti oggetto del reclamo sono antecedenti all’entrata in vigore del Regolamento UE 2016/679 e che le informazioni venivano rese ai dipendenti in forma orale, il Garante ha comunque dichiarato illecito il reiterato utilizzo dell’account individuale aziendale di un soggetto non facente più parte di quella organizzazione aziendale.

Il Garante, infatti, ha affermato che il datore di lavoro deve agire in conformità ai principi di liceità, necessità e proporzionalità, i quali rappresentano le fondamenta della materia della protezione dei dati personali, disponendo la rimozione degli account di posta elettronica aziendali riconducibili a persone identificate o identificabili. Contestualmente alla chiusura dell’account, secondo l’Autorità, il datore di lavoro è tenuto, se necessario, a dotarsi di sistemi automatici volti ad informare i terzi e a fornire a questi ultimi indirizzi alternativi a cui rivolgersi. Inoltre, il datore di lavoro deve adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante tutto il periodo in cui il sistema automatico è attivo.

Secondo quanto disposto nel Provvedimento, è l’implementazione di adeguate misure tecniche ed organizzative che consente di contemperare, da un lato, l’interesse del titolare (alias il datore di lavoro) ad accedere alle informazioni a lui necessarie per proseguire la gestione dell’attività lavorativa e, dall’altro, assicurare il rispetto della legittima aspettativa del lavoratore alla riservatezza sulla corrispondenza. E, a parere del Garante, proprio l’adozione di un regolamento interno in base al quale vengono condivise con dipendenti le informazioni sulla gestione tecnica ed organizzativa adottate, rientra tra le corrette misure da implementare.