Inutilizzabili i controlli della posta elettronica aziendale del lavoratore in assenza degli idonei requisiti.
Corte di Cassazione, sentenza 18168 del 2023.
La Corte di Appello di Milano confermava la pronuncia di primo grado, con cui era stata accertata l'illegittimità del licenziamento intimato da una banca ad un dirigente.
La Corte di Appello, premesso che gli elementi di prova relativi ai fatti oggetto delle contestazioni disciplinari erano stati raccolti a seguito di attività investigativa di controllo della posta elettronica aziendale, e di pedinamento, ne aveva ritenuto l'illegittimità per totale carenza di allegazioni in ordine al motivo che aveva determinato una così vasta attività di indagine nonché per la per mancata acquisizione preventiva del consenso da parte del lavoratore al controllo della posta elettronica aziendale come prescritto dal regolamento aziendale.
La parte datoriale ha promosso ricorso per cassazione, respinto dalla Suprema Corte.
Occorre distinguere, tra i controlli a difesa del patrimonio aziendale che riguardano tutti i dipendenti nello svolgimento della loro prestazione di lavoro che li pone a contatto con tale patrimonio, controlli che dovranno essere realizzati nel rispetto delle previsioni dell'articolo 4 della Legge 300/1970 e controlli difensivi, diretti ad accertare specificamente condotte illecite ascrivibili, in base a concreti indizi a singoli dipendenti, anche se questo si verifica durante la prestazione di lavoro; questi ultimi controlli, anche se effettuati con strumenti tecnologici, non avendo ad oggetto la normale attività del lavoratore, si situano all'esterno del perimetro applicativo dell'articolo 4.
Il controllo difensivo deve essere mirato ed attuato ex post, ossia a seguito del comportamento illecito di uno o più lavoratori del cui avvenuto compimento il datore abbia avuto il fondato sospetto, perché solo a partire da quel momento il datore può provvedere alla raccolta di informazioni utilizzabili.
Sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all'insorgere del sospetto.
Configura una giustificazione legittima del controllo l'esistenza di un ragionevole sospetto circa la commissione di illeciti, mentre non è accettabile la posizione secondo cui anche il minimo sospetto di appropriazione illecita possa autorizzare l'installazione di strumenti occulti di videosorveglianza.
Nel caso in cui il datore di lavoro non riesca a fornire la prova che i dati di matrice tecnologica posti a fondamento della procedura disciplinare siano stati legittimamente acquisiti, la sanzione prevista dall'ordinamento discende dalla previsione generale in materia di protezione della privacy secondo cui i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.
Nel caso affrontato, la Corte di Appello ha accertato che la società non aveva dedotto nè tantomeno provato alcunché in ordine ai motivi che avevano condotto all'indagine sul pc del dipendente.
In nessun caso può essere giustificato un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore.
Il rilievo che, per i controlli difensivi in senso stretto, non opera la disciplina speciale dettata dall'articolo 4 dello Statuto, non significa che, laddove sia comunque riscontrabile un trattamento di dati personali del lavoratore, non occorra rispettare la disciplina generale prevista per la protezione di qualsiasi cittadino. Il complesso dei principi espressi nel Codice della privacy e nel Regolamento Europeo 2016/679 deve orientare il giudice nella delicata opera di bilanciamento e di delimitazione del confine tra l'interesse del lavoratore e l'interesse del datore di lavoro.
Il datore di lavoro, in sede di iniziativa di controllo per fini difensivi, è tenuto a compiere una valutazione relativa all'impatto concreto nei confronti della sfera personale dei lavoratori, alla stregua dei principi che regolano le modalità di trattamento dei dati personali.
La Corte di Appello ha, dunque, correttamente constatato la mancanza di giustificazione del monitoraggio, l'esistenza di un controllo che ha riguardato indistintamente tutte le comunicazioni presenti nel pc aziendale e senza limiti di tempo, l'assenza di prova di aver preliminarmente informato il lavoratore della possibilità che le comunicazioni che effettuava sul pc aziendale avrebbero potuto essere monitorate ed il mancato rispetto da parte della banca del regolamento interno sull'utilizzo della posta elettronica.
2 agosto 2023