Con sentenza n. 18168 del 26 giugno 2023, la Corte di Cassazione ha nuovamente affrontato il tema dei limiti dei controlli datoriali attraverso l’utilizzo di strumenti informatici stabilendo l’illegittimità del licenziamento e l’inutilizzabilità delle prove raccolte a seguito di un controllo sulla posta elettronica aziendale di un dipendente effettuato dalla società datrice di lavoro in violazione, tra le altre, delle disposizioni in materia di protezione dei dati personali.

I fatti di causa

La vicenda processuale trae origine dalla contestazione disciplinare addebitata ad un lavoratore con la quale veniva contestata “una condotta di insubordinazione e di violazione dei doveri di diligenza e fedeltà nonché dei generali principi di correttezza e buona fede” perché, tra le altre, aveva intrattenuto rapporti con soggetti concorrenti. 

Gli elementi di prova relativi ai fatti contestati erano stati raccolti a seguito di una indagine indiscriminata effettuata dalla società sulla posta elettronica aziendale assegnata al lavoratore.

La Corte di Appello adita, confermando la pronuncia di primo grado, accertava l’illegittimità del licenziamento e condannava la società al pagamento di somme a titolo di indennità sostitutiva del preavviso, di indennità supplementare, nonché di spettanze per incidenza sul TFR.

La società soccombente ricorreva così in Cassazione.

I «controlli difensivi»

Con l’occasione, la Corte di Cassazione torna nuovamente sul tema dei cd. «controlli difensivi» riaffermando la distinzione tra a. i «controlli a difesa del patrimonio aziendale» e b. i «controlli difensivi in senso stretto».

a. I «controlli a difesa del patrimonio aziendale»

I «controlli a difesa del patrimonio aziendale» riguardano tutti i dipendenti (o gruppi di dipendenti) che nello svolgimento della prestazione lavorativa sono a contatto con il patrimonio aziendale e dovranno necessariamente essere realizzati nel rispetto, e nei limiti, di quanto disposto dall’art. 4 dello Statuto dei Lavoratori (L. 300/70).

b. I «controlli difensivi in senso stretto»

I «controlli difensivi in senso stretto», invece, sono diretti ad accertare specifiche condotte illecite ascrivibili, in base a indizi concreti, a singoli lavoratori e “si situano, ancora oggi, all’esterno del perimetro applicativo dell’art. 4”; tali controlli devono essere mirati ed attuati ex post, sollecitati, quindi, da episodi già occorsi “perché solo a partire da quel momento il datore può provvedere alla raccolta di informazioni utilizzabili”.

La decisione della Corte di Cassazione

Tornando al caso di specie, la Corte di Appello constatava che la società:

• non aveva addotto i motivi che giustificassero l’accesso ed il monitoraggio della casella di posta elettronica;
• aveva effettuato le proprie indagini “indistintamente [su] tutte le comunicazioni presenti nel pc aziendale in uso” senza, tra le altre, definire un limite temporale di ricerca;
• non aveva provato di aver preliminarmente informato il lavoratore riguardo alla possibilità che le comunicazioni potessero essere monitorate né “del carattere e della portata del monitoraggio o del livello di invasività nella sua corrispondenza”;
• aveva posto in essere le proprie condotte senza rispettare il regolamento aziendale disciplinante l’utilizzo della posta elettronica aziendale.

Poiché non è possibile “sottrarre alla disciplina generale della protezione dei dati personali il rapporto del lavoratore con il suo datore”, la stessa Corte Suprema – che richiama i principi fondanti la materia tra cui (i) i principi di minimizzazione e di proporzionalità; (ii) i principi di pertinenza e di non eccedenza rispetto ad uno scopo legittimo nonché (iii) i principi di trasparenza e correttezza – chiarisce che anche nell’ambito di un «controllo difensivo in senso stretto» è necessario assicurare “un corretto bilanciamento tra le esigenze datoriali di tutela dei beni e del patrimonio aziendale rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore”.

Per tutte queste ragioni, conclude la Corte, i giudici di seconde cure hanno correttamente valutato il bilanciamento tra le condotte poste in essere dalla società ed il conseguente grado di intrusione che si è creato nella vita privata del lavoratore.

La Suprema Corte rigetta il ricorso condannando la società ricorrente confermando l’illegittimità del licenziamento nonché l’inutilizzabilità dei dati illegittimamente acquisiti.

Alcuni elementi utili ad orientare il bilanciamento del giudice italiano in caso di «controlli difensivi in senso stretto»

Richiamando la giurisprudenza della Corte Europea dei Diritti dell’Uomo (nello specifico, caso Barbulescu c. Romania, 5 settembre 2017), la Cassazione ha indicato gli elementi utili ad orientare il bilanciamento del giudice italiano nei casi di «controlli difensivi in senso stretto»:

• l’informazione al lavoratore circa la possibilità che il datore di lavoro adotti misure di monitoraggio;
• il grado di invasività nella sfera privata dei dipendenti, tenendo contro, tra le altre, della natura più o meno privata del luogo in cui si svolge il monitoraggio, dei limiti spaziali e temporali del monitoraggio, nonché del numero di soggetti che hanno accesso ai suoi risultati;
• l’esistenza di una giustificazione all’uso della sorveglianza e alla sua estensione con motivi legittimi;
• la valutazione, in base alle circostanze specifiche di ciascun caso, se lo scopo legittimo perseguito dal datore di lavoro potesse essere raggiunto causando una minore invasione della vita privata;
• la verifica di come il datore abbia utilizzato i risultati e se siano serviti per raggiungere lo scopo dichiarato;
• l’offerta di adeguate garanzie al dipendente sul grado di invasività delle misure di sorveglianza.

Altri insights correlati:

• Posta elettronica aziendale: il diritto di difesa in giudizio del datore di lavoro non può pregiudicare il diritto del lavoratore alla tutela dei dati personali
• Licenziamento per giusta causa: illegittimo il controllo della chat aziendale in assenza di adeguata informazione – De Luca & Partners (delucapartners.it)

Lo scorso 12 novembre 2021 la Corte di Cassazione, con sentenza n. 33809, è tornata ad affrontare il tema dei controlli datoriali mediante l’utilizzo degli strumenti informatici, alla luce dei principi e delle restrizioni applicabili in materia di protezione dei dati personali. In particolare, la Suprema Corte ha confermato che tutti i dati contenuti nel pc assegnato al dipendente costituiscono patrimonio aziendale e che il datore di lavoro, nel rispetto dei doveri di correttezza, pertinenza e non eccedenza, ha la facoltà di acquisire ed utilizzare i dati lì contenuti ai fini disciplinari e difensivi, senza che ciò comporti di per sé una violazione della normativa privacy. Nel corso del tempo, seguendo l’evoluzione della normativa in materia di tutela dei dati personali, la giurisprudenza si è più volte pronunciata su queste tematiche, così da potersi oggi identificare i principi basilari su cui individuare il punto di equilibrio tra la facoltà di controllo del datore di lavoro e il diritto alla riservatezza dei dipendenti.

In proposito, la norma cardine è come noto l’articolo 4 dello Statuto dei Lavoratori (L. 300/1970); nella sua versione originale, ossia prima della modifica apportata dal Jobs Act (il D.lgs. 151/2015), la norma prevedeva due livelli di protezione della sfera privata del lavoratore “uno mediante la previsione del divieto assoluto di uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori non sorretto da ragioni inerenti all’impresa; l’altro, affievolito, ove le ragioni del controllo fossero state riconducibili ad esigenze oggettive dell’impresa, ferma restando l’attuazione del controllo stesso con l’osservanza di determinate «procedure di garanzia»” (in questo senso, Cass. 22 settembre 2021, n. 25732). Successivamente alla riforma attuata con il Jobs Act, il novellato articolo 4 ha riproposto il divieto di utilizzo di impianti audiovisivi e di altri strumenti dai quali derivi la possibilità di controllo a distanza dell’attività dei lavoratori. La norma poi ha confermato la deroga generale a questo divieto che, in presenza di accordo sindacale o in subordine autorizzazione dell’Ispettorato del Lavoro, giustifichi l’installazione di impianti e strumenti che consentano il controllo a distanza, purché motivato da (i) esigenze organizzative e produttive, (ii) salvaguardia della sicurezza sul lavoro e (iii) tutela del patrimonio aziendale. 

Una novità di grande impatto normativo (sebbene ridotto nella prassi e nella giurisprudenza da un approccio spiccatamente garantista) è stata invece introdotta dal secondo comma della norma novellata, prevedendo che il divieto generale (con obbligo di accordo o autorizzazione) non si applica agli strumenti utilizzati dai lavoratori per rendere la loro prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.

Fermo restando quanto precede, le informazioni raccolte per il tramite di controlli leciti, sempre ai sensi dell’art. 4 dello Statuto dei Lavoratori, sono utilizzabili a tutti i fini connessi al rapporto di lavoro (quindi anche quelli disciplinari), a determinate condizioni, ossia che: a) sia stata data adeguata informazione al lavoratore circa le modalità d’uso degli strumenti stessi e di effettuazione dei controlli e b) siano state rispettate le disposizioni di cui alla normativa in materia di protezione dei dati personali (attualmente rappresentata dal Regolamento (UE) 2016/679 e dal D.Lgs. 101/2018.

Continua a leggere la versione integrale pubblicata su Norme & Tributi Plus Diritto de Il Sole 24 Ore.