I controlli aziendali c.d. difensivi: nozione e legittimazione
Secondo una sentenza recente della Suprema Corte (Cass. 22 settembre 2021, n. 25732), il datore di lavoro può eseguire un controllo sul computer aziendale di un singolo lavoratore se ha un fondato sospetto circa la commissione di un illecito da parte di quest’ultimo, a condizione che sia assicurato un corretto bilanciamento tra le esigenze di protezione dei beni aziendali e la tutela della dignità e della riservatezza del lavoratore e che, soprattutto, il controllo abbia ad oggetto dati acquisiti dopo l’insorgenza del sospetto.
Per una piena comprensione delle questioni e problematiche implicate da questa significativa decisione occorre ripercorrere la storia legislativa dell’art. 4, legge 300/1970 (statuto dei lavoratori) e, contestualmente, della intera materia.
Articolo 4 statuto vecchio testo
“1.È vietato l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori.
2. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti”.
La norma contemplava, in sostanza, due livelli di protezione della sfera privata del lavoratore: uno pieno, mediante la previsione del divieto assoluto di uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori non sorretto da ragioni inerenti all’impresa (ossia, il cd. controllo fine a sé stesso); l’altro affievolito, ove le ragioni del controllo fossero state riconducibili ad esigenze oggettive dell’impresa, ferma restando l’attuazione del controllo stesso con l’osservanza di determinate “procedure di garanzia”.
Questione centrale, dal punto di vista del tema che ha occupato la Corte in questa decisione, era verificare se l’esigenza di tutela del patrimonio aziendale potesse esonerare il datore di lavoro intenzionato ad installare apparecchiature di controllo a distanza indipendentemente dalla necessità di ottenere l’accordo sindacale o l’autorizzazione amministrativa.
La giurisprudenza di questa Corte ha elaborato, onde consentire al datore di lavoro di contrastare comportamenti illeciti del personale, la categoria dei c.d. “controlli difensivi“.
Secondo l’indirizzo giurisprudenziale più recente e più evoluto, “esulano dall’ambito di applicazione dell’art. 4, comma 2, St. lav. (nel testo anteriore alle modifiche di cui al D.Lgs. n. 151 del 2015, art. 23, comma 1) e non richiedono l’osservanza delle garanzie ivi previste, i “controlli difensivi” da parte del datore se diretti ad accertare comportamenti illeciti e lesivi del patrimonio e dell’immagine aziendale, tanto più se disposti ex post, ossia dopo l’attuazione del comportamento in addebito, così da prescindere dalla mera sorveglianza sull’esecuzione della prestazione lavorativa. (Nella specie, è stata ritenuta legittima la verifica successivamente disposta sui dati relativi alla navigazione in internet di un dipendente sorpreso ad utilizzare il computer di ufficio per finalità extralavorative)” (Cass., 28 maggio 2018, n. 13266).
Sebbene i “controlli difensivi” fossero sottratti all’area di operatività dell’originaria versione dell’art. 4, comma 2, St. lav., era chiaro nella giurisprudenza che essi non potevano comunque essere esercitati liberamente dal datore di lavoro al di fuori di regole di civiltà e di criteri ragionevoli volti a garantire, con l’impiego di determinati accorgimenti e cautele, un adeguato bilanciamento tra le esigenze di salvaguardia della dignità e riservatezza del dipendente e quelle di protezione, da parte del datore di lavoro, dei beni (in senso lato) aziendali.
Sicché la disciplina dei controlli in questione è stata ricostruita mediante il richiamo ai principi di buona fede e correttezza.
La questione della “sopravvivenza” dei “controlli difensivi” nel regime normativo fissato dalla nuova formulazione dell’art. 4 St. lav.
Il D.Lgs. 14 settembre 2015, n. 151, art. 23, prevede, per quanto qui interessa: “1. L’art. della L. 20 maggio 1970, n. 300, , è sostituito dal seguente: “Art. 4 (Impianti audiovisivi e altri strumenti di controllo). – 1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali. 2. La disposizione di cui al comma 1, non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze. 3. Le informazioni raccolte ai sensi dei commi 1 e 2, sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal D.Lgs. 30 giugno 2003, n. 196.”.
Il D.Lgs. 24 settembre 2016, n. 185, art. 5, comma 2, dispone: “Alla L. 20 maggio 1970, n. 300, art. 4, comma 1, il terzo periodo è sostituito dai seguenti: In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi”.
La norma ribadisce implicitamente la regola che il controllo a distanza dell’attività dei lavoratori non è legittimo ove non sia sorretto dalle esigenze indicate dalla norma stessa. Sicché il controllo “fine a sé stesso”, eventualmente diretto ad accertare inadempimenti del lavoratore che attengano alla effettuazione della prestazione, continua ad essere vietato. Ciò non esclude, però, come si era ritenuto con riguardo alla superata disposizione dell’art. 4 St. lav., che ove il controllo sia invece legittimo, le informazioni raccolte in esito ad esso possano essere utilizzate dal datore di lavoro per contestare al lavoratore ogni sorta di inadempimento contrattuale.
La giurisprudenza di merito e la dottrina si sono poste la questione della eventuale sopravvivenza dei c.d. “controlli difensivi” dopo la modifica dell’art. 4 St. lav. ad opera del D.Lgs. n. 151 del 2015, art. 23. Né dall’una né dall’altra sono venute risposte univoche.
Va subito evidenziato, a tale riguardo, che i controlli aventi ad oggetto il patrimonio aziendale sono, ai sensi della nuova versione dell’art. 4 St. lav., assoggettati ai presupposti di legittimità ivi previsti, per cui si pone la questione se i “controlli difensivi” non debbano oramai ritenersi completamente attratti nell’area di operatività dell’art. 4 St. lav., avendo il legislatore indicato, tra le esigenze da soddisfare mediante l’impiego dei dispositivi potenzialmente fonte di controllo, accanto a quelle organizzative e produttive e a quelle relative alla sicurezza del lavoro, per l’appunto quelle di “tutela del patrimonio aziendale”, ovvero se anche sotto l’impero della nuova versione dell’art. 4 St. lav. debba continuare a riconoscersi ai “controlli difensivi” diritto di cittadinanza.
I controlli difensivi in senso lato ed in senso stretto
Ritiene la Suprema Corte che possa soccorrere in questo contesto la distinzione tra i “controlli difensivi” in senso lato e quelli in senso stretto.
Occorre perciò distinguere tra i controlli a difesa del patrimonio aziendale che riguardano tutti i dipendenti (o gruppi di dipendenti) nello svolgimento della loro prestazione di lavoro che li pone a contatto con tale patrimonio, controlli che dovranno necessariamente essere realizzati nel rispetto delle previsioni dell’art. 4 novellato in tutti i suoi aspetti e “controlli difensivi” in senso stretto, diretti ad accertare specificamente condotte illecite ascrivibili – in base a concreti indizi – a singoli dipendenti, anche se questo si verifica durante la prestazione di lavoro.
Si può ritenere che questi ultimi controlli, anche se effettuati con strumenti tecnologici, non avendo ad oggetto la normale attività del lavoratore, si situino, anche oggi, all’esterno del perimetro applicativo dell’art. 4.
In effetti, come è stato osservato, l’istituzionalizzazione della procedura richiesta dall’art. 4 per l’installazione dell’impianto di controllo sarebbe coerente con la necessità di consentire un controllo sindacale, e, nel caso, amministrativo, su scelte che riguardano l’organizzazione dell’impresa; meno senso avrebbe l’applicazione della stessa procedura anche nel caso di eventi straordinari ed eccezionali costituiti dalla necessità di accertare e sanzionare gravi illeciti di un singolo lavoratore.
Questa soluzione è stata accolta da parte della giurisprudenza di merito, ad esempio dal Tribunale di Roma con la sentenza 24 marzo 2017, www.dejure.it, secondo cui “È legittimo il controllo c.d. difensivo del datore di lavoro sulle strutture informatiche aziendali in uso al lavoratore, a condizione che esso sia occasionato dalla necessità indifferibile di accertare lo stato dei fatti a fronte del sospetto di un comportamento illecito e che detto controllo prescinda dalla pura e semplice sorveglianza sull’esecuzione della prestazione lavorativa essendo, invece, diretto ad accertare la perpetrazione di eventuali comportamenti illeciti”.
Ciò, naturalmente, non vuol dire che il datore di lavoro, in presenza di un sospetto di attività illecita, possa avere mano libera nel porre in essere controlli sul lavoratore interessato.
Innanzitutto, va riaffermato il principio, già richiamato, espresso dalla giurisprudenza di questa Corte formatasi nel vigore della precedente formulazione dell’art. 4 dello Statuto dei lavoratori, secondo cui in nessun caso può essere giustificato un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore (Cass. n. 15892 del 2007, cit.; Cass. n. 4375 del 2010; Cass. n. 16622 del 2012; Cass. n. 9904 del 2016; Cass. n. 18302 del 2016).
Occorrerà dunque, nel rispetto della normativa Europea, e segnatamente dell’art. 8 della Convenzione Europea dei diritti dell’uomo come interpretato dalla giurisprudenza della Corte Europea dei diritti dell’uomo, assicurare un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, con un contemperamento che non può prescindere dalle circostanze del caso concreto (Cass. 26682/2017).
Inoltre, e il punto è particolarmente rilevante nel caso in esame, per essere in ipotesi legittimo, il controllo “difensivo in senso stretto” dovrebbe quindi essere mirato, nonché attuato ex post, ossia a seguito del comportamento illecito di uno o più lavoratori del cui avvenuto compimento il datore abbia avuto il fondato sospetto, sicché non avrebbe ad oggetto l’attività – in senso tecnico – del lavoratore medesimo. Il che è sostanzialmente in linea con gli ultimi approdi della giurisprudenza di questa Corte, più sopra richiamati, in materia di “controlli difensivi” nella vigenza della superata disciplina.
Occorre però chiarire cosa si intenda per tale controllo. Esso, infatti, non dovrebbe riferirsi all’esame ed all’analisi di informazioni acquisite in violazione delle prescrizioni di cui all’art. 4 St. lav., poiché, in tal modo opinando, l’area del controllo difensivo si estenderebbe a dismisura, con conseguente annientamento della valenza delle predette prescrizioni.
Il datore di lavoro, infatti, potrebbe, in difetto di autorizzazione e/o di adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli, nonché senza il rispetto della normativa sulla privacy, acquisire per lungo tempo ed ininterrottamente ogni tipologia di dato, provvedendo alla relativa conservazione, e, poi, invocare la natura mirata (ex post) del controllo incentrato sull’esame ed analisi di quei dati.
In tal caso, il controllo non sembra potersi ritenere effettuato ex post, poiché esso ha inizio con la raccolta delle informazioni; quella che viene effettuata ex post è solo una attività successiva di lettura ed analisi che non ha, a tal fine, una sua autonoma rilevanza.
Può, quindi, in buona sostanza, parlarsi di controllo ex post solo ove, a seguito del fondato sospetto del datore circa la commissione di illeciti ad opera del lavoratore, il datore stesso provveda, da quel momento, alla raccolta delle informazioni.
Facendo il classico esempio dei dati di traffico contenuti nel browser del pc in uso al dipendente, potrà parlarsi di controllo ex post solo in relazione a quelli raccolti dopo l’insorgenza del sospetto di avvenuta commissione di illeciti ad opera del dipendente, non in relazione a quelli già registrati.
Con la pronuncia in commento, la Suprema Corte distingue, dunque, tra:
- controlli difensivi in senso lato, che richiedono il rispetto delle garanzie previste dall’art. 4, perché riguardano tutti i dipendenti nello svolgimento della prestazione di lavoro che li pone a contatto con il patrimonio aziendale;
- controlli difensivi in senso stretto, che invece esulano dall’art. 4, anche se effettuati con strumenti tecnologici, perché non hanno ad oggetto la normale attività del lavoratore, ma sono diretti ad accertare specifiche condotte illecite ascrivibili, in base a concreti indizi, a singoli dipendenti.
Tale ultima categoria di controlli è dunque sempre mirata, in relazione ad uno specifico comportamento del dipendente, e viene eseguita ex post, in un momento successivo all’insorgenza del fondato sospetto, risultando legata ad un evento eccezionale e straordinario che richiede l’accertamento di gravi illeciti commessi dal singolo lavoratore e si situa, anche oggi, all’esterno del perimetro applicativo dell’art. 4.
Articolo a cura di Pasquale Dui
Avvocato - Partner presso DV-LEX DUI VERCESI & PARTNERS Studio Legale - Professore a contratto di diritto del lavoro - Revisore Legale - Giornalista pubblicista