La tematica dei controlli effettuati dal datore di lavoro è assistita da numerose garanzie, dato il potenziale profilarsi di ingiustificate invasioni della sfera personale del lavoratore.
L’art. 4 L. n. 300/1970 prevede, infatti, che gli strumenti di controllo a distanza possono essere installati previo accordo con le rappresentanze sindacali; in mancanza di accordo, gli stessi impianti potranno essere predisposti previa autorizzazione dell’Ispettorato nazionale del lavoro.
La norma sopra citata è stata riformata dal D.Lgs. n. 151/2015 (cd. Jobs Act), il quale ha ampliato le possibilità di utilizzo degli impianti di sorveglianza – previ gli accordi e le autorizzazioni sopra citate – includendovi la possibilità di installarli al fine di tutelare il patrimonio aziendale.
Sulla scorta di tale novità, la Corte di Cassazione ha distinto due casistiche. Il datore di lavoro dovrà stipulare gli accordi o ottenere le autorizzazioni di cui all’art. 4 L. n. 300/1970 in caso di controlli a tutela del patrimonio aziendale che riguardino tutti i dipendenti nello svolgimento della loro prestazione di lavoro.
Qualora, invece, il datore di lavoro nutra un fondato sospetto, sulla base di concreti indizi, circa la commissione di illeciti da parte di singoli dipendenti, non si applicheranno le garanzie di cui allo Statuto dei Lavoratori; di conseguenza, il datore di lavoro non dovrà ottenere alcun accordo o autorizzazione, e si parlerà, in tal caso, di controlli difensivi “in senso stretto”. È necessario, tuttavia, che il controllo difensivo in senso stretto sia mirato e attuato solo a seguito – e non prima – della commissione di un illecito da parte del dipendente, rispetto al quale il datore abbia un fondato sospetto.
Inoltre, il fatto che i controlli difensivi in senso stretto si pongono al di fuori del campo di applicazione dell’art. 4 L. n. 300/1970 non significa che essi non debbano rispettare comunque determinati limiti.
La Corte di Cassazione, con sentenza n. 18168 del 26/06/2023, ha, infatti, reputato illegittimi i controlli effettuati da un istituto bancario sulla casella di posta elettronica aziendale di un dirigente. Il datore di lavoro, all’esito dei controlli, aveva licenziato il dipendente per violazione dei doveri di diligenza e fedeltà, in quanto aveva intrattenuto rapporti con realtà imprenditoriali concorrenti.
A seguito della pronuncia di illegittimità del licenziamento da parte della Corte d’Appello di Milano, la banca aveva effettuato ricorso in cassazione sostenendo la liceità dei controlli effettuati, in quanto ad essi non si sarebbe dovuto applicare l’art. 4 L. n. 300/1970.
La Corte di Cassazione sottolinea che, in presenza di un fondato sospetto circa la commissione di un illecito da parte del dipendente, seppur il datore di lavoro non debba ottenere autorizzazioni o stipulare accordi, è comunque necessario assicurare un corretto bilanciamento tra l’esigenza di protezione dei beni aziendali e la tutela della dignità e della riservatezza del lavoratore. In particolare, dovranno comunque essere rispettate le prescrizioni dettate dalla normativa in materia di privacy.
Nel Regolamento europeo generale sulla protezione dei dati (GDPR) si afferma, infatti, che il trattamento dei dati è da considerarsi lecito nella misura in cui è finalizzato al perseguimento di un legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano, rispetto a tale interesse, le libertà fondamentali del soggetto sottoposto a controlli.
In definitiva, anche qualora i controlli fossero finalizzati alla tutela del patrimonio aziendale, essi non potrebbero portare all’annullamento di ogni forma di garanzia della dignità e della riservatezza del lavoratore.
Il bilanciamento tra interesse del datore di lavoro e diritti del lavoratore trova un equilibrio, da un lato, nell’obbligo imposto al datore di lavoro di fornire prova della sussistenza del fondato sospetto circa la condotta del lavoratore; dall’altro lato, nel contenimento dei controlli, che devono essere mirati esclusivamente alla tutela del patrimonio aziendale.
Qualora il datore di lavoro non riesca a provare la sussistenza del fondato sospetto, i dati personali acquisiti attraverso i controlli non potranno essere utilizzati.
La banca, nel caso di specie, aveva effettuato i controlli sulla base di non meglio precisate segnalazioni, non idonee a costituire un fondato e concreto sospetto. Peraltro, l’indagine si era concentrata indistintamente su tutte le comunicazioni presenti sul pc aziendale del dipendente e senza limiti di tempo, non essendo stato il lavoratore neanche informato della possibilità che la propria casella di posta elettronica potesse essere soggetta a monitoraggio.
Per cui, considerato che le e-mail erano da considerarsi inutilizzabili ai fini disciplinari poiché illegittimamente acquisite, la Cassazione rigetta il ricorso confermando l’illegittimità del licenziamento.
Foto di Miguel Á. Padriñán