ABSTRACT – La Corte di Cassazione ha confermato la sopravvivenza dei c.d. “controlli difensivi” nell’attuale assetto normativo, a seguito della modifica dell’art. 4 dello Statuto dei lavoratori in tema di controlli a distanza dell’attività lavorativa recata dal D.lgs. n. 151 del 2015 e dal D.lgs. n. 185 del 2016.
Con una recente sentenza, la Corte di Cassazione ha affermato il seguente principio di diritto: “Sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto”.[1]
La fattispecie concreta oggetto della decisione in commento riguarda una contestazione disciplinare, scaturita in licenziamento, avanzata nei confronti di una dipendente per l’impiego da parte della stessa di mezzi informatici aziendali a fini privati, condotta che, oltre ad avere causato l’indebita interruzione della prestazione lavorativa, ha portato alla diffusione di un virus nella rete informatica della società con conseguente danno al patrimonio aziendale.
Proprio a seguito dell’accertamento di tale diffusione, il datore di lavoro aveva eseguito un accesso sul computer in uso alla lavoratrice, appurando che il virus si era propagato da tale strumento e rilevando, nella medesima occasione, numerosi accessi a siti web per ragioni che esulavano dall’ambito lavorativo.
Nell’impugnare il proprio licenziamento, la dipendente ha contestato, tra il resto, l’utilizzabilità a fini disciplinari delle informazioni acquisite dalla Società in occasione della ricerca dell’origine del virus informatico, stante l’assenza di una adeguata informativa sulle modalità di effettuazione dei controlli, informativa richiesta dall’art. 4, comma 3, St. lav. affinché i dati possano essere utilizzati a tutti i fini connessi al rapporto di lavoro.
La Corte ha escluso che il datore di lavoro avesse violato l’art. 4 St. lav. in ragione della necessità della società di tutelare i dati contenuti nella rete aziendale colpita dal virus e di verificare l’origine di quest’ultimo, affermando, dunque, che non era precluso l’uso dei dati ottenuti dal datore di lavoro – e allegati in giudizio – poiché oggetto di un controllo a distanza non soggetto ai limiti di cui all’art. 4 St. lav. in quanto riconducibile ai c.d. “controlli difensivi”.
Al fine di pervenire a tale conclusione, la Corte ha, anzitutto, compiuto un excursus sull’istituto dei “controlli difensivi”, partendo dalla disciplina dei controlli a distanza di cui all’art. 4 St. lav. nella versione precedente alla riforma del 2015.
Il vecchio testo dell’art. 4 St. lav. stabiliva – ricostruisce la Corte – due livelli di tutela della sfera privata del dipendente: il primo, attraverso la previsione del divieto assoluto di uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori se non sorretto da ragioni d’impresa (ossia il c.d. controllo fine a sé stesso) e il secondo – ove le ragioni del controllo fossero state riconducibili a esigenze oggettive d’impresa – tramite la previsione del necessario espletamento di determinate “procedure di garanzia”.
In tale contesto, la giurisprudenza di legittimità aveva, dunque, creato la classe dei “controlli difensivi”, ammessi in deroga alle procedure di garanzia previste dall’art. 4 St. lav., per dare al datore di lavoro un mezzo di protezione in caso di attività illecite poste in essere dai propri dipendenti a danno del patrimonio aziendale.
Per quanto fosse fondamentale tutelare il patrimonio aziendale, i controlli difensivi avrebbero comunque potuto essere posti in essere in deroga all’art. 4 St. lav. solo in presenza di tre condizioni, due necessarie e una soltanto eventuale.[2]
Quanto ai primi due requisiti, occorreva, per un verso, che l’iniziativa datoriale fosse finalizzata specificatamente all’accertamento di determinati comportamenti illeciti del lavoratore e, per altro verso, che gli illeciti da accertare fossero lesivi del patrimonio o dell’immagine aziendale.
Il terzo e ultimo presupposto, come detto solo eventuale, consisteva invece nella circostanza per cui i controlli datoriali fossero stati disposti ex post, vale a dire dopo la concreta messa in atto dell’attività oggetto di addebito, così da essere giocoforza slegati dalla mera sorveglianza sull’esecuzione della prestazione lavorativa. Il carattere eventuale del terzo presupposto derivava dalla sua funzione di mera conferma della effettività del controllo difensivo, bastando il semplice sospetto circa l’esecuzione di comportamenti illeciti, senza che l’accezione difensiva dello stesso venisse a mancare.
A seguito della novella legislativa del 2015 – osserva la Corte – l’art. 4 St. lav. ha tra il resto ribadito implicitamente la regola che il controllo a distanza dell’attività dei lavoratori non è legittimo ove non sorretto dalle esigenze indicate dalla norma. La nuova formulazione dell’art. 4 st. lav. ha, tuttavia, suscitato non pochi dubbi sulla sopravvivenza, o meno, dei controlli difensivi a causa dell’inserimento della “tutela del patrimonio aziendale” tra le esigenze, elencate dal primo comma della norma, per le quali possono essere impiegati – alle condizioni di legittimità ivi definite – gli strumenti dai quali derivi anche la possibilità di controllo a distanza. La “tutela del patrimonio aziendale” rappresenta, infatti, la ragione stessa per la quale la giurisprudenza ha creato l’istituto dei controlli difensivi, sicché potrebbe ora sostenersi che i controlli difensivi siano ormai attratti nell’area di operatività dell’art. 4 St. lav. e che debbano, dunque, sottostare alla relativa disciplina di legge.
Al fine di sciogliere tale nodo, la Corte ha distinto tra i c.d. controlli difensivi “in senso lato” e i c.d. controlli difensivi “in senso stretto”: i primi sono quelli tesi alla difesa del patrimonio aziendale, mirati indistintamente ai dipendenti nella loro generalità; i secondi, invece, sono quelli volti all’accertamento di comportamenti illeciti di singoli dipendenti.
Ebbene, ad avviso della Corte, i controlli difensivi “in senso lato” devono necessariamente essere attuati secondo quanto previsto dall’art. 4 St. lav., mentre quelli “in senso stretto”, non avendo a oggetto l’attività del lavoratore, non rientrano nel campo di applicazione dell’art. 4 St. lav. nonostante vengano posti in essere tramite l’uso di strumenti tecnologici. Attributo sostanziale che caratterizza e rende legittimo il controllo difensivo in senso stretto è la sua esistenza ex post e, quindi, la sua esecuzione – solo e soltanto – dopo il comportamento illecito posto in essere dal lavoratore del cui avvenuto compimento il datore di lavoro abbia avuto il fondato sospetto, non avendo, dunque, a oggetto l’attività lavorativa del dipendente in generale.
In conclusione viene, quindi, osservato che il controllo ex post non può riguardare l’esame e l’analisi di dati acquisiti in violazione dell’art. 4 St. lav. e quindi prima del sorgere del “fondato sospetto”; diversamente opinando, il campo di applicazione del controllo difensivo si estenderebbe oltre ogni ragionevole limite, concedendo al datore di lavoro il potere di controllare i propri dipendenti ininterrottamente per lunghi periodi di tempo per poi, solo dopo (i.e. ex post), dichiarare la natura mirata del controllo in modo da renderlo diretto alle informazioni che, caso per caso, potrebbero interessare il datore di lavoro per fini disciplinari.
[1] Così, Cass. civ., sez. lav., 22 settembre 2021, n. 25732.
[2] Cass. Civ., sez. lav., 28 maggio 2018, n. 13266.
Foto: Auguste Renoir, Bal au moulin de la Galette, 1876