Verifiche consentite solo per dati successivi all’insorgere del sospetto: esclusa l’acquisizione di ogni tipologia di documento e in violazione della normativa sulla privacy.
di Redazione —
Stop ai controlli “a tappeto” da parte dell’azienda sul computer dei lavoratori: verifiche, possono essere consentite per motivi disciplinari solo se riguardano dati successivi all’insorgere del sospetto. È esclusa, invece, l’acquisizione di ogni tipologia di documento precedente e in violazione della normativa sulla privacy. Sono queste le importanti conclusioni raggiunte dalla sezione lavoro della Corte di Cassazione, nella Sentenza 25732/21 del 22 settembre 2021, che ha accolto in parte il ricorso di una lavoratrice, in seguito all’accertamento della diffusione di un virus nella rete aziendale, l’amministrazione del sistema informatico dell’azienda aveva eseguito un accesso sul computer della lavoratrice, appurando che nella cartella di download del disco fisso era presente un file scaricato, infetto da virus, che, partito dal computer aziendale in uso alla lavoratrice, aveva iniziato a propagarsi nella rete dell’impresa, criptando i files all’interno di vari dischi di rete, rendendo gli stessi illeggibili e quindi inutilizzabili.
In occasione dell’intervento venivano in rilievo numerosi accessi, da parte della lavoratrice, a siti che all’evidenza erano stati visitati per ragioni private, per un tempo lungo, tale da integrare una sostanziale interruzione della prestazione lavorativa. La dipendente, licenziata per giusta causa, con conferma della Corte d’Appello della decisione espulsiva, adisce la Cassazione, dove contesta la decisione, per avere ritenuto utilizzabili, a fini disciplinari e comunque dimostrabili, le informazioni acquisite in violazione dei diritti di informativa e dei diritti stabiliti dal codice della privacy.
La Suprema corte, come informa Giovanni D’Agata, presidente dello “Sportello dei Diritti”, nel decidere la questione, ha affermato che «anche dopo la modifica dell’articolo 4 dello Statuto dei lavoratori si pone il problema della legittimità dei cosiddetti controlli difensivi.
Ebbene, ha spiegato la Cassazione, il controllo difensivo non dovrebbe riferirsi all’esame e all’analisi di informazioni acquisite in violazione delle prescrizioni di cui all’articolo 4 dello statuto dei lavoratori, poiché, in tal modo, l’area del controllo difensivo si estenderebbe a dismisura, con conseguente annientamento della valenza delle predette prescrizioni.
Il datore di lavoro, infatti, potrebbe, in difetto di autorizzazione o di adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli, nonché senza il rispetto della normativa sulla privacy, acquisire per lungo tempo e ininterrottamente ogni tipologia di dato, provvedendo alla relativa conservazione, e, poi, invocare la natura mirata (ex post) del controllo incentrato sull’esame e analisi di quei dati. In tal caso, il controllo non sembra potersi ritenere effettuato ex post, poiché esso ha inizio con la raccolta delle informazioni; quella che viene effettuata ex post è solo un’attività successiva di lettura e analisi che non ha, a tal fine, una sua autonoma rilevanza.
Può quindi parlarsi di controllo ex post solo ove, a seguito del fondato sospetto del datore circa la commissione di illeciti a opera del lavoratore, il datore stesso provveda, da quel momento, alla raccolta delle informazioni. Ne consegue che, il ricorso della lavoratrice, deve essere accolto in esecuzione del principio di diritto secondo cui “sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto. Non ricorrendo le condizioni suddette la verifica della utilizzabilità a fini disciplinari dei dati raccolti dal datore di lavoro andrà condotta alla stregua dell’art. 4 legge n. 300/1970, in particolare dei suoi commi 2 e 3”.».