Il controllo tecnologico difensivo datoriale volto ad accertare comportamenti illeciti del personale soggiace -anche fuori dall’operatività dell’art. 4 St.Lav.- ai limiti imposti dalla normativa Privacy e dall’art. 8 CEDU, come interpretati dalla giurisprudenza che, in ambito nazionale, ha trovato un consolidamento di rilievo nomofilattico nella pronuncia della Cassazione n. 18168/2023.
Un passo indietro Prima di analizzare l'indicazione nomofilattica contenuta nella citata sentenza, occorre ricordare come il tema de quo sia stato oggetto di attenzione giurisprudenziale, già nella vigenza dell'originario articolo 4 St.Lav . La Cassazione aveva elaborato la categoria dei cd. controlli difensivi” , ponendoli fuori dell'articolo 4 St.Lav ., a condizione che i predetti controlli avessero la finalità specifica di accertare i comportamenti illeciti del lavoratore gli illeciti da accertare fossero lesivi del patrimonio e dell'immagine aziendale i controlli fossero stati disposti ex post anche sulla base di un mero sospetto. Anche se sottratti all'area di operatività dell'originario articolo 4, comma 2, St. Lav . i controlli difensivi non potevano essere liberamente esercitati dal datore dovendo, come affermato dalla giurisprudenza, rispettare i principi di buona fede, correttezza, proporzionalità e pertinenza Cass. civ. numero 10955/2015 , numero 17723/2017 , numero 26682/2017 . La modifica dell' articolo 4 St. Lav . per effetto del d.lgs.151/2015 , estendendo i presupposti di legittimità anche ai controlli aventi ad oggetto il patrimonio aziendale, ha fatto sorgere la questione della sopravvivenza o meno dei cd. controlli difensivi dopo la novella. I controlli difensivi oggi La Suprema Corte, con la sentenza numero 25732/2021 , ha optato per la sopravvivenza della categoria dei controlli difensivi, distinguendo tra quelli a difesa del patrimonio aziendale che dovranno essere realizzati nel rispetto dell'articolo 4 St.Lav ., e quelli difensivi in senso stretto, diretti ad accertare specificamente condotte illecite ascrivibili -in base a concreti indizi a singoli dipendenti, anche se questo si verifica durante la prestazione di lavoro . Atteso che questi ultimi controlli non hanno ad oggetto la normale attività del lavoratore, ma eventi straordinari/eccezionali costituiti dalla necessità di accer tare e sanzionare gravi illeciti del lavoratore, gli stessi si continuano a collocare all'esterno dell' articolo 4 St.Lav . Sulla base di questi principi la Cassazione, con la sentenza in commento, nel definire il concetto di concreti indizi” ha dato continuità all'arresto giurisprudenziale di cui alle sentenze numero 25732/2021 e numero 34092/2021 , superando l'orientamento che riteneva sufficiente ai fini della legittimità dei controlli difensivi il mero sospetto” del compimento di illeciti da parte del lavoratore, richiedendo, la sussistenza delle seguenti condizioni-presupposto di legittimità del controllo anche tecnologico finalizzato alla tutela dei beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, occorrendo a tal fine il fondato sospetto ” circa la commissione di un illecito da parte del lavoratore, non bastando il puro convincimento soggettivo il controllo difensivo mirato ed attuato ex post ” , ossia solo a seguito del comportamento illecito del lavoratore, potendo, solo da quel momento, il datore provvedere alla raccolta di informazioni utilizzabili nel procedimento disciplinare e in giudizio il corretto bilanciamento ” tra esigenze di protezione di interessi e beni aziendali correlate alla libertà di iniziativa economica rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, con un contemperamento che non può prescindere dall'apprezzamento di tutte le circostanze del caso concreto. Rispetto a quest'ultimo presupposto la Cassazione -adita dalla società datrice di lavoro per la riforma della sentenza della Corte milanese che aveva confermato l'illegittimità del licenziamento irrogato al lavoratore sottoposto ad un ingiustificato monitoraggio e ad una indagine massiccia ed indiscriminata di tutte le comunicazioni presenti sul pc aziendale fornisce con la sentenza in commento, indispensabili criteri valutativi, che possono rappresentare delle linee guida per la verifica di un corretto bilanciamento nel solco tracciato dalla Corte EDU , la Suprema Corte fissa utili regole per orientare, sia il datore, nella preventiva valutazione dell'impatto concreto del controllo difensivo nei confronti della sfera personale del lavoratore alla stregua del complesso dei principi espressi dal Codice Privacy e dal GDPR , sia, successivamente, il Giudice chiamato a verificare la correttezza del bilanciamento ai fini della legittimità degli stessi e delle prove acquisite attraverso i citati controlli. Come valutare correttamente il bilanciamento? Gli elementi-linee guida enucleati dalla Suprema Corte, per l'attuazione datoriale prima e per la verifica giudiziaria poi del corretto bilanciamento delle contrapposte esigenze sono preventiva informazione del lavoratore circa la possibilità che il datore adotti misure di monitoraggio, con indicazione chiara sulla natura della sorveglianza grado di invasività della sfera privata dei dipendenti, tenendo conto, in particolare, della natura più o meno privata del luogo in cui si svolge il monitoraggio, dei limiti spaziali e temporali di quest'ultimo, del numero di persone che hanno accesso ai suoi risultati esistenza di una giustificazione all'uso della sorveglianza alla sua estensione con motivi legittimi, con la precisazione che quanto più invadente è la sorveglianza, tanto più gravi sono le giustificazioni richieste valutazione, in base alle circostanze specifiche di ciascun caso, se lo scopo legittimo perseguito dal datore di lavoro potesse essere raggiunto causando una minore invasione nella sfera privata del dipendente verifica di come il datore abbia utilizzato i risultati della misura di monitoraggio e se serviti per raggiungere lo scopo dichiarato della misura offerta di adeguate garanzie al dipendente sul grado di invasività delle misure di sorveglianza mediante informazioni ai lavoratori interessati, o ai rappresentanti del personale circa l'attuazione e l'entità del monitoraggio, dichiarando l'adozione di tale misura a un organismo indipendente o mediante la possibilità di presentare reclamo. Sulla base di detti criteri, la Cassazione ha rigettato il ricorso datoriale confermando la sentenza della Corte territoriale che aveva ritenuto i nvasivo, massiccio e indiscriminato il controllo effettuato senza limiti di tempo di tutte le comunicazioni sul pc aziendale in uso al lavoratore ingiustificato il monitoraggio attuato in violazione del regolamento interno sull'utilizzo della posta elettronica, ed in assenza della prova di preventiva informazione del lavoratore circa la possibilità del monitoraggio, del carattere e della portata del monitoraggio o del livello di invasività.