Nell’ambito di una recentissima sentenza (Cass. 22 settembre 2021, n. 25732), la Corte di Cassazione ha fatto il punto sui principi che sono alla base dei controlli del lavoratore a distanza c.d. difensivi.
Il caso riguardava l’impugnazione di un licenziamento che era stato irrogato sulla base di elementi riscontrati della datrice di lavoro mediante accessi nel computer aziendale in uso della dipendente.
Più nel dettaglio, a seguito all’accertamento della diffusione di un virus nella rete aziendale, l’amministrazione del sistema informatico della datrice di lavoro aveva eseguito un accesso sul computer della lavoratrice, appurando che, nella cartella di download della ricorrente, era presente il file scaricato che aveva propagato il virus che, poi, diffondendosi, aveva danneggiato numerose cartelle della rete. In occasione del medesimo intervento erano emersi numerosi accessi, da parte della lavoratrice, a siti consultati per ragioni private, per un tempo lungo a tal punto da integrare una sostanziale interruzione della prestazione lavorativa.
La lavoratrice era stata così licenziata per giusta causa.
Le informazioni acquisite dalla datrice di lavoro potevano essere effettivamente utilizzate ai fini disciplinari?
Tale interrogativo ha posto il tema – espressamente reputato dalla Suprema Corte di “indubbio rilievo nomofilattico” - della compatibilità dei c.d. controlli difensivi, concetto elaborato, come è noto, dalla giurisprudenza in epoca precedente alla modifica dell’art. 4, dello Statuto dei lavoratori (introdotta dal d. lgs. n. 151/2015 e dal d. lgs. n. 185/2016, art. 5) con l’attuale assetto normativo.
Al fine di fornire una risposta esaustiva, la Corte si è dapprima soffermata sui controlli difensivi come intesi e disciplinati in epoca precedente alla modifica ora citata, ricordando che, nell’ambito della giurisprudenza di legittimità, la categoria dei c.d. controlli difensivi era stata elaborata al fine di consentire al datore di lavoro di contrastare comportamenti illeciti del personale.
Secondo tale indirizzo giurisprudenziale (cfr., tra le altre, Cass., 28 maggio 2018, n. 13266), questi controlli a distanza non erano assoggettati ai presupposti di legittimità stabiliti dall’art. 4 St. lav. in presenza di tre condizioni, le prime due necessarie e l’ultima eventuale:
Va precisato che, sebbene i controlli difensivi siano sottratti all’area di operatività dell’art. 4, comma 2, St. lav., la Suprema Corte ha sempre concordato nel ritenere che i medesimi non potessero comunque essere esercitati dal datore di lavoro al di fuori di regole di civiltà e di criteri ragionevoli volti a garantire, con l’impiego di determinati accorgimenti e cautele, un adeguato bilanciamento tra le esigenze di salvaguardia della dignità e riservatezza del dipendente e quelle di protezione, da parte del datore di lavoro, dei beni aziendali.
Non a caso, come ha rammentato la Corte nella pronuncia in commento, la disciplina dei controlli difensivi è stata ricostruita (anche) attraverso il richiamo ai principi di buona fede e correttezza (cfr. Cass. 27 maggio 2015, n. 10955), di proporzionalità (Cass. 18 luglio 2017, n. 17723) e pertinenza (Cass. 10 novembre 2017, n. 26682), sempre all’interno, ovviamente, dei confini delineati dalla normativa europea.
Venendo, poi, al cuore della motivazione relativo alla questione della sopravvivenza dei controlli difensivi nell’attuale regime normativo[1], nella nuova formulazione dell’art. 4 St. Lav. viene ribadita, implicitamente, la regola secondo la quale il controllo a distanza dell’attività dei lavoratori non è legittimo nel caso in cui non sia sorretto dalle esigenze indicate dalla norma stessa.
A questo proposito, va rammentato che ora, tra le esigenze da soddisfare mediante l’impiego dei dispositivi potenzialmente fonte di controllo, sono indicate, accanto a quelle organizzative e produttive ed a quelle relative alla sicurezza del lavoro, quelle di “tutela del patrimonio aziendale”.
Ne consegue che il controllo fine a sé stesso, eventualmente diretto ad accertare inadempimenti del lavoratore che attengano allo svolgimento della prestazione, continua ad essere vietato.
Poste tali premesse, la Suprema Corte si è soffermata sulla distinzione tra i controlli a difesa del patrimonio aziendale che riguardano tutti i dipendenti (o gruppi di dipendenti) - controlli che dovranno necessariamente essere realizzati nel rispetto delle previsioni dell’art. 4 - e “controlli difensivi” in senso stretto, diretti ad accertare specificamente condotte illecite ascrivibili, in base a concreti indizi, a singoli dipendenti.
Si può ritenere che questi ultimi controlli, anche se effettuati con strumenti tecnologici, non avendo ad oggetto la normale attività del lavoratore, si inseriscono, anche oggi, all’esterno del perimetro delineato dall’art. 4.
La Corte ha riaffermato il principio, già ricordato, secondo il quale in nessun caso può essere giustificato un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore.
Di sicuro interesse è il passaggio della motivazione nel quale viene evocata la giurisprudenza della Corte Europea dei Diritti dell’Uomo.
In particolare, la Corte di Cassazione ha richiamato l’art. 8 della Convenzione Europea dei diritti dell’uomo, relativo alla tutela della riservatezza,come interpretato, appunto, dalla CEDU, al fine di sottolineare la necessità di un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, e le imprescindibili tutele della dignità e della riservatezza del lavoratore.
Secondo la Corte, il controllo ‘difensivo in senso stretto’, per essere legittimo, dovrebbe essere attuato ex post, ossia a seguito del comportamento illecito di uno o più lavoratori del cui avvenuto compimento il datore abbia avuto il fondato sospetto, cosicché non avrebbe ad oggetto l’attività in senso tecnico del lavoratore medesimo.
Va da sé che tale controllo non dovrebbe riferirsi all’esame di informazioni acquisite in violazione dell’art. 4 dello Statuto.
Se così non fosse, si ammetterebbe la possibilità, per il datore di lavoro, di acquisire e conservare, per lungo tempo, ogni tipologia di dato, in difetto di autorizzazione e senza il rispetto della normativa sulla privacy, per poi invocare la natura mirata (ex post) del controllo incentrato sull’esame di quei dati.
Nella sostanza, si può, dunque, parlare di controllo ex post solo nel caso in cui, a seguito del fondato sospetto del datore circa la commissione di illeciti ad opera del lavoratore, il datore stesso provveda, da quel momento, alla raccolta delle informazioni.
A questo riguardo, è la stessa Corte a proporre un esempio, richiamando il caso dei dati di traffico contenuti nel browser del pc utilizzato dal dipendente. In questa ipotesi, si potrà parlare di controllo ex post solo in relazione a quelli raccolti dopo l’insorgenza del sospetto di avvenuta commissione di illeciti ad opera del dipendente, non in relazione a quelli già registrati.
Nel caso di specie, secondo la Cassazione, la Corte territoriale non avrebbe svolto alcuna indagine volta a stabilire se i dati informatici rilevanti, utilizzati poi in sede disciplinare, fossero stati raccolti prima o dopo l’insorgere del fondato sospetto della condotta illecita.
Inoltre, il Collegio territoriale avrebbe omesso ogni valutazione circa il corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali e le imprescindibili tutele della dignità e della riservatezza del lavoratore.
“The Big Brother is watching you”? Forse; ma (pur) sempre in un contesto di bilanciamento di interessi.
[1] Il d.lgs. n. 151/2014, all’art. 23, ha così previsto: “1. La L. 20 maggio 1970, n. 300, art. 4, è sostituito dal seguente: "Art. 4 (Impianti audiovisivi e altri strumenti di controllo). - 1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali. 2. La disposizione di cui al comma 1, non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze. 3. Le informazioni raccolte ai sensi dei commi 1 e 2, sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal D.Lgs. 30 giugno 2003, n. 196”.