Controllo del dipendente: deve avvenire dopo il fondato sospetto di illecito
Introduzione
Con la sentenza in epigrafe (Sezione Lavoro, sentenza n. 25732 del 22 settembre 2021) la Suprema Corte di Cassazione affronta un delicato problema relativo all’esercizio del potere datoriale, laddove potenzialmente in conflitto con il diritto del lavoratore alla privacy. Si tratta di una tematica assai dibattuta e che incontra numerose difficoltà nella gestione pratica dei rapporti tra datore di lavoro e lavoratore, sicché il recente arresto della corte di Cassazione offre una lettura importante e tendenzialmente definitiva sul punto.
La pronuncia si svolge nelle forme di un’articolata e ricca disamina della disciplina dei cd. controlli difensivi, posti in essere dal datore di lavoro per verificare la condotta del suo dipendente. In particolare, il discrimine nella disciplina de qua è individuato nella modifica, operata dall’art. 23 del d.lgs. 14 settembre 2015, n. 151 (il cd. Jobs Act), all’art. 4 dello Statuto dei Lavoratori, che nel prosieguo avremo cura di illustrare.
Attraverso un raffinato argomentare, la Corte arriva all’individuazione del principio di diritto secondo cui “Sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o a evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto. Non ricorrendo le condizioni suddette, la verifica della utilizzabilità a fini disciplinari dei dati raccolti dal datore di lavoro andrà condotta alla stregua dell’art. 4 legge n. 300/1970, in particolare dei suoi commi 2 e 3”.
La vicenda oggetto della decisione
La vicenda trae origine da un ricorso avverso un licenziamento.
Specificamente, ai sensi dell’art. 1 co. 47, legge 28 giugno 2012, n. 92, la ricorrente impugnava dinanzi al Tribunale di Roma il licenziamento per giusta causa intimatole il 29 gennaio 2016 dalla Fondazione, perché se ne accertasse l’illegittimità e si decidesse per la reintegrazione nel posto di lavoro ai sensi dell’art. 18 della legge 20 maggio 1970 n. 300 e sue successive modificazioni. Se in prima istanza il Tribunale rigettava il ricorso, in sede di opposizione la ricorrente otteneva la pronuncia di illegittimità del recesso e la reintegrazione nel suo posto di lavoro.
Si vedano nello specifico quali erano le ragioni sostenute dalla ricorrente.
La Fondazione, a seguito del diffondersi di un virus informatico nella rete aziendale, aveva svolto un accertamento concretizzatosi nell’accesso al computer della lavoratrice: si era, così, appurato che un file, scaricato dalla ricorrente e conservato nella cartella download del disco fisso, aveva determinato il diffondersi del dannoso virus. Si era, inoltre, potuto verificare come la donna abitualmente accedesse a siti per esigenze estranee a quelle del proprio lavoro, così, evidentemente, interrompendo a più riprese la prestazione lavorativa.
Il datore di lavoro formulava numerose contestazioni, lamentando l’illegittimo impiego di mezzi informatici messi a disposizione dal datore di lavoro per l’esecuzione della prestazione lavorativa: la ricorrente ne avrebbe fatto un utilizzo a soli fini privati, in violazione di espresse previsioni contrattuali, nonché dei più elementari doveri di diligenza, correttezza e buona fede nell’esecuzione della prestazione. Si segnalavano, inoltre, i gravi danni cagionati al patrimonio aziendale sia dalla perdita dei dati, sia dall’impossibilità degli uffici ad accedere alle cartelle elettroniche danneggiate.
Si giungeva, pertanto, al licenziamento della lavoratrice. In sede di opposizione, il Tribunale, in funzione di giudice del lavoro, riteneva che l’acquisizione dei dati non si era risolta in un controllo a distanza (vietato dall’art. 4 legge n. 300 del 1970), dal momento che la verifica del datore di lavoro era stata finalizzata a bonificare il sistema informatico della Fondazione dal virus che ne poneva in pericolo il funzionamento: non vi era, a parere del Tribunale, alcun intento di sorvegliare l’adempimento della prestazione lavorativa.
E, purtuttavia, esso rilevava come gli accessi incriminati non fossero in via assoluta incompatibili con le mansioni della lavoratrice, anche per gli orari - spesso notturni in cui avvenivano - e in mancanza di qualunque contestazione da parte datoriale alla lavoratrice per il mancato rispetto di termini o la presenza di arretrati.
In conclusione il Tribunale riteneva che il comportamento posto in essere dalla lavoratrice non avesse potuto ledere irreparabilmente il rapporto di fiducia con l’ente e che il licenziamento si dovesse ritenere sproporzionato alle mancanze riscontrate. Veniva, dunque, decisa la reintegrazione nel posto di lavoro, ai sensi dell’art. 18 della legge n. 300 del 1970 nel testo antecedente all’entrata in vigore della legge n. 92/2012.
Nel giudizio di seconde Cure, la Corte d’Appello di Roma ha accolto la ricostruzione dei fatti e, almeno in parte, le conclusioni del Tribunale, escludendo che fosse configurabile la violazione dell’art. 4 dello Statuto dei lavoratori, poiché il controllo sul computer aziendale della lavoratrice si era reso necessario per verificare l’origine del virus che aveva infettato il sistema informatico della Fondazione, criptando dati e causandone in parte irrimediabilmente la perdita. Invero, diversamente dal giudice di primo grado, la corte territoriale aveva ritenuto che il numero e la modalità degli accessi avesse una natura spiccatamente ludica e privata.
I numerosi accessi a internet per fini personali avrebbero determinato la frammentarietà e discontinuità della prestazione lavorativa, svilendo la qualità dei compiti affidati alla lavoratrice; è stata, inoltre, ritenuta verificata l’intenzionalità della condotta e proporzionata la sanzione per la violazione dell’art. 33 del contratto collettivo nazionale applicato al rapporto di lavoro.
La dipendente ricorreva in Cassazione, formulando tre motivi di impugnazione. Ricorderemo solamente il primo, dal momento che il secondo e il terzo sono stati ritenuti assorbiti nel primo dalla stessa corte di legittimità. Veniva denunciata la violazione e falsa applicazione dell’art. 2119 cod. civ., dell’art. 4 della legge 20 maggio 1970 n. 300, dell’art. 160, co. 6, del Codice della privacy, dell’art. 2702 e ss. cod. civ. e degli artt. 115 e 245 cod. proc. civ., per avere ritenuto utilizzabili a fini disciplinari e comunque dimostrabili le informazioni acquisite in violazione dei diritti di informativa e dei diritti stabiliti dal codice della privacy.
Il ragionamento della Corte di Cassazione
La Corte di legittimità articola il proprio ragionamento individuando una cesura normativa nella modifica operata all’art. 4 dello Statuto dei lavoratori.
Nella più risalente formulazione infatti, la norma prevedeva due livelli di protezione della sfera privata del lavoratore: un primo livello, pieno, vietava in maniera assoluta l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori, laddove tale controllo fosse fine a se stesso, ossia scollegato da ragioni inerenti all’impresa. Un secondo livello, meno intenso, consentiva il controllo nel caso in cui le ragioni fossero state riconducibili a esigenze oggettive dell’impresa, ferma restando l’attuazione del controllo stesso con l’osservanza di determinate “procedure di garanzia”.
Un orientamento della Suprema Corte (cfr. Cass., 28 maggio 2018, n. 13266) aveva avuto modo di sottolineare come i controlli datoriali a distanza, detti appunto ‘difensivi’, non fossero assoggettati ai presupposti di legittimità stabiliti dal previgente art. 4, co. 2, Statuto dei lavoratori, in presenza di due condizioni necessarie e di una condizione eventuale.
Era necessario che l’iniziativa datoriale avesse la finalità specifica di accertare determinati comportamenti illeciti del lavoratore e che le irregolarità da accertare fossero lesive del patrimonio o dell’immagine aziendale.
Era poi richiesto (ma la giurisprudenza interpretava la circostanza come mero evento confermativo) che i controlli fossero stati disposti ex post, ossia dopo l’attuazione del comportamento in addebito, così da prescindere dalla mera sorveglianza sull’esecuzione della prestazione lavorativa (cfr. Cass., 5 ottobre 2016, n. 19922).
Negli anni successivi la giurisprudenza di Cassazione aveva arricchito tale ricostruzione attingendo ai principi di buona fede e correttezza che avrebbero dovuto ispirare i controlli datoriali (cfr. Cass. 27 maggio 2015, n. 10955), e poi di proporzionalità (Cass. 18 luglio 2017, n. 17723) e pertinenza (Cass. 10 novembre 2017, n. 26682).
Con la modifica apportata all’art. 4 dello Statuto dei lavoratori, si ribadisce, nella sostanza, la regola che il controllo a distanza dell’attività dei lavoratori non può ritenersi legittimo laddove non sia sorretto dalle esigenze indicate dalla norma stessa. Ne consegue che il controllo ‘fine a se stesso’, eventualmente diretto ad accertare inadempimenti del lavoratore che attengano alla effettuazione della prestazione, continua a essere vietato.
Al contrario, laddove il controllo sia legittimo, le informazioni raccolte in esito a esso possono essere utilizzate dal datore di lavoro per contestare al lavoratore ogni sorta di inadempimento contrattuale.
È opportuno riportare il testo della disposizione, così come modificata dall’art. 23, d.lgs. 14 settembre 2015, n. 151, che prevede, per quanto qui interessa: “1. L’articolo 4 della legge 20 maggio 1970, n. 300 è sostituito dal seguente
«Art. 4 (Impianti audiovisivi e altri strumenti di controllo).
1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali.
2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.
3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.».
Successivamente, l’art. 5, comma 2, del d.lgs. 24 settembre 2016, n. 185, dispone: “All’articolo 4, comma 1, della legge 20 maggio 1970, n. 300 il terzo periodo è sostituito dai seguenti: «In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione delle (recte: ‘della’) sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi»”.
Alla luce della modifica normativa, la giurisprudenza di legittimità coglie l’occasione, nella sentenza qui commentata, per distinguere tra controlli difensivi in senso lato e controlli preventivi in senso stretto.
I primi sono controlli a difesa del patrimonio aziendale, riguardano tutti i dipendenti nello svolgimento della loro prestazione di lavoro laddove a contatto con tale patrimonio, e dovranno necessariamente essere realizzati nel rispetto delle previsioni del nuovo art. 4 Statuto dei Lavoratori.
I secondi, invece, sarebbero finalizzati ad accertare le condotte illecite ascrivibili a singoli dipendenti, sulla base di specifici indizi, anche se questo si verifica durante la prestazione di lavoro. Si tratterebbe di strumenti e di procedure che esulano dal perimetro applicativo dell’art. 4 Statuto dei Lavoratori, non avendo ad oggetto la normale attività del lavoratore anche quando si avvalgono di strumenti tecnologici (cfr. Tribunale di Roma con la sentenza 24 marzo 2017, in Diritto delle relazioni industriali, 2018, II, 265).
E, d’altra parte, la compatibilità tra l’esistenza dei controlli de quibus e la normativa in materia di privacy rappresenta un’acquisizione della giurisprudenza europea, se soltanto si vuole ricordare la pronuncia della Corte europea dei diritti dell’uomo che, il 17 ottobre 2019, nel caso Lòpez Ribalda e altri c. Spagna, aveva sostenuto che, se da un lato non è accettabile la tesi secondo la quale anche il minimo sospetto di appropriazione illecita possa autorizzare l’installazione di strumenti occulti di videosorveglianza, dall’altro lato, l’esistenza di un ragionevole sospetto circa la commissione di atti illeciti connotati da gravità, nonché la prefigurazione dell’entità dei danni economici che possono derivarne, sono in grado di rappresentare una giustificazione legittimante di peso sufficiente grave.
Nelle sentenza in epigrafe, la Corte di Cassazione si pone nel solco della precedente lettura giurisprudenziale e ritiene che il controllo difensivo in senso stretto debba in ogni caso essere “mirato”, ossia attuato ex post, quale conseguenza del comportamento illecito di uno o più lavoratori del cui avvenuto compimento il datore abbia avuto il fondato sospetto: in altre parole, non può avere ad oggetto una generica ‘attività’ – in senso tecnico – del lavoratore.
Le conclusioni della Corte
Alla luce di quanto sopra esposto la Corte di Cassazione formula le proprie conclusioni circa il ricorso proposto dalla dipendente.
Il giudice di legittimità conferma la lettura della corte territoriale che aveva sottolineato la serietà del sospetto di attività illecita determinato dalla scoperta del virus, nonché del timore dei danni cagionati dal virus medesimo: tali elementi rendevano l’attività del datore di lavoro conforme alla necessità dell’accertamento del requisito del fondato sospetto della commissione di un illecito.
Tuttavia, nel giudizio di secondo grado sarebbe mancata la verifica del momento in cui tale raccolta fosse avvenuta. Sarebbe stato, cioè, essenziale comprendere se i dati informatici rilevanti, da utilizzarsi in sede disciplinare, fossero stati raccolti prima o dopo l’emergere del sospetto: nel primo caso sarebbe configurabile una violazione dei principi posti a tutela del lavoratore.
Inoltre, sarebbe mancata anche una valutazione in merito al corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali (a porsi in relazione ai principi di libertà di iniziativa economica) e quelle di tutela della dignità e della riservatezza del lavoratore.
In questa precisazione risiede la ratio dell’accoglimento del ricorso e, sebbene la Corte di Cassazione non condivida la tesi dell’illegittimità dei controlli difensivi, sostenuta dalla ricorrente, tuttavia precisa come l’erroneità della statuizione della sentenza impugnata risieda proprio nella mancanza dei presupposti della legittimità del controllo difensivo, non comprendendosi il momento della loro esecuzione.
La Corte, dunque, ha avuto la possibilità di ribadire un orientamento che già la giurisprudenza precedente aveva cautamente ma nitidamente tracciato: esso si può sintetizzare nella necessità di due presupposti perché i controlli difensivi possano ancora ritenersi legittimi. Anzitutto la necessità che vi sia un “fondato sospetto” di commissione di un illecito, formatosi sulla base di eventi già verificatisi. In secondo luogo, che il controllo sia svolto in un momento successivo al sorgere del predetto “fondato sospetto”.
In tale prospettiva la decisione in epigrafe rappresenta un tassello importante nel cammino del difficile contemperamento di principi costituzionali, in una prospettiva auspicabile in cui la buona fede e la correttezza dei rapporti contrattuali, nella delicata declinazione dei rapporti di lavoro, rappresentano i principi guida per l’interprete e per gli operatori.
