fbpx
Generic filters
Parola esatta ...
Cerca nei titolo
Search in excerpt
Filtra per categoria
Codice Civile
Codice Penale

Controllo della posta elettronica aziendale del dipendente

Nel caso in cui il datore di lavoro non riesca a fornire la prova che i dati di matrice tecnologica posti a fondamento della procedura disciplinare siano stati legittimamente acquisiti, la sanzione prevista dall’ordinamento discende dalla previsione generale in materia di protezione della privacy secondo cui i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.

Pubblicato il 09 July 2023 in Diritto del Lavoro, Giurisprudenza Civile

La Corte di Appello di Milano confermava la pronuncia di primo grado, con cui era stata accertata l’illegittimità del licenziamento, intimato da Banca XXX Spa al dirigente YYY in data 8 maggio 2018, con condanna della società al pagamento di somme a titolo di indennità sostitutiva del preavviso, di indennità supplementare, di spettanze per incidenza sul TFR, oltre interessi e rivalutazione monetaria.

La Corte d’appello rammentava che il licenziamento faceva seguito a tre contestazioni disciplinari dell’1.2.2018, del 7.2.2018 e del 3.5.2018, con le quali era stata addebitata al lavoratore “una condotta di insubordinazione e di violazione dei doveri di diligenza e fedeltà nonché dei generali principi di correttezza e buona fede per avere intrattenuto rapporti e contatti con soggetti riferibili a realtà imprenditoriali in concorrenza (prima e seconda contestazione) e per essersi sottratto ad un accertamento tecnico preventivo, facendo così dubitare della genuinità della malattia posta a fondamento delle assenze (terza contestazione)”.

Evidenziava la Corte milanese che il primo giudice, premesso che gli elementi di prova relativi ai fatti oggetto delle prime due contestazioni disciplinari erano stati raccolti a seguito di attività investigativa di controllo della posta elettronica aziendale, cd. “digital forensics”, e di pedinamento, ne aveva ritenuto l’illegittimità “per totale carenza di allegazioni in ordine al motivo che aveva determinato una così vasta attività di indagine nonché, con specifico riferimento all’attività di digital forensics, per la per mancata acquisizione preventiva del consenso da parte del lavoratore al controllo della posta elettronica aziendale come prescritto dal regolamento aziendale […], che tra l’altro non risultava nemmeno portato a conoscenza del lavoratore né tantomeno dallo stesso sottoscritto per accettazione”.

Al cospetto dell’impugnazione proposta dalla società, la Corte territoriale riteneva, richiamando giurisprudenza di legittimità e della Corte europea dei diritti dell’uomo, che, nel caso in esame, non fossero state garantite “la proporzionalità e le garanzie procedurali contro l’arbitrarietà del datore di lavoro”.

Era mancata, innanzitutto, la “giustificazione del monitoraggio”, in quanto la società non aveva “dedotto né tantomeno provato alcunché in ordine ai motivi che hanno portato ad un’indagine così invasiva”.

Omissione che non poteva essere colmata “attraverso i motivi che hanno giustificato l’incarico investigativo riportati nella relazione”, tanto più che nel dossier investigativo, a giustificazione dell’incarico, si faceva riferimento a “circostanziate segnalazioni”, di cui però agli atti non risultava traccia, né potevano bastare “meri sospetti”.

Inoltre, il monitoraggio – secondo quanto accertato dalla Corte – aveva riguardato “indistintamente tutte le comunicazioni presenti nel pc aziendale in uso a YYY e senza limiti di tempo, dando vita così ad una indagine invasiva massiccia ed indiscriminata non giustificata”, con una violazione del diritto del lavoratore al rispetto della sua corrispondenza ancora più evidente considerando che “la società non ha provato di aver preliminarmente informato il lavoratore della possibilità che le comunicazioni che effettuava sul pc aziendale avrebbero potuto essere monitorate né del carattere e della portata del monitoraggio o del livello di invasività nella sua corrispondenza”.

La Corte milanese ravvisava, poi, “la medesima assenza di una specifica motivazione a giustificazione dell’attività investigativa, con conseguente illegittimità dell’attività stessa, […] anche con riferimento all’attività di pedinamento, rispetto alla quale la società non aveva depositato nemmeno il conferimento dell’incarico”, rilevando, tra l’altro, “come gli incontri descritti nella relazione trovino nella prospettiva della società, come esposta nelle contestazioni disciplinari, una loro spiegazione solo alla luce della corrispondenza che, come sopra evidenziato, è stata acquisita illegittimamente, con la conseguente inutilizzabilità anche del dossier investigativo relativo al pedinamento”.

Per la cassazione di tale sentenza proponeva ricorso la banca, la quale eccepiva che il datore di lavoro può, “anche a fronte del solo sospetto e dell’esigenza, quindi, di evitare il compimento di condotte illecite, effettuare delle verifiche, anche per il tramite di agenzie investigative, dirette ad accertare comportamenti del prestatore illeciti e lesivi del patrimonio e dell’immagine aziendale”, in quanto tali modalità di controllo – riconducibili all’area dei c.d. “controlli difensivi in senso stretto” – restano estranee all’ambito di applicazione delle garanzie di cui all’art. 4 dello Statuto del Lavoratori.

Sosteneva la banca che, anche in ragione del “solo sospetto” o della “mera ipotesi” che “illeciti potessero essere in corso di esecuzione (considerato anche il settore di attività)” si potesse “legittimamente far controllare la posta elettronica aziendale del dipendente a fini difensivi”.

La Suprema Corte, chiamata a pronunciarsi sulla questione circa la compatibilità dei c.d. “controlli difensivi” (Cass. n. 4746 del 2002) con la modifica dell’art. 4 dello Statuto dei lavoratori recata dall’art. 23 del d.lgs. n. 151 del 2015 e successive integrazioni, ha affermato principi che possono essere sintetizzati come di seguito.

Occorre distinguere, “tra i controlli a difesa del patrimonio aziendale che riguardano tutti i dipendenti (o gruppi di dipendenti) nello svolgimento della loro prestazione di lavoro che li pone a contatto con tale patrimonio, controlli che dovranno necessariamente essere realizzati nel rispetto delle previsioni dell’art. 4 novellato in tutti i suoi aspetti e ‘controlli difensivi’ in senso stretto, diretti ad accertare specificamente condotte illecite ascrivibili – in base a concreti indizi – a singoli dipendenti, anche se questo si verifica durante la prestazione di lavoro”; questi ultimi “controlli, anche se effettuati con strumenti tecnologici, non avendo ad oggetto la normale attività del lavoratore”, si situano, ancora oggi, “all’esterno del perimetro applicativo dell’art. 4” (Cass. n. 25732/2021).

Per non avere ad oggetto una “attività –in senso tecnico– del lavoratore”, il controllo “difensivo in senso stretto” deve essere “mirato” ed “attuato ex post”, ossia “a seguito del comportamento illecito di uno o più lavoratori del cui avvenuto compimento il datore abbia avuto il fondato sospetto”, perché solo a partire “da quel momento” il datore può provvedere alla raccolta di informazioni utilizzabili (Cass. n. 25732/2021).

Tuttavia, anche “in presenza di un sospetto di attività illecita”, occorrerà, nell’osservanza della disciplina a tutela della riservatezza del lavoratore, e segnatamente dell’art. 8 della Convenzione europea dei diritti dell’uomo come interpretato dalla giurisprudenza della Corte EDU, “assicurare un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, con un contemperamento che non può prescindere dalle circostanze del caso concreto” (Cass. n. 25732/2021, in cui si richiama Cass. n. 26682 del 2017).

I tre profili sono compendiati nel finale principio di diritto che così statuisce:

“Sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto” (Cass. n. 25732/2021).

La banca invocava proprio la sussistenza di un “controllo difensivo in senso stretto” sul computer aziendale del dipendente.

Orbene, una volta consegnati al contraddittorio gli elementi che la parte datoriale adduce a fondamento dell’iniziativa di controllo tecnologico, spetterà al giudice valutare, mediante l’apprezzamento delle circostanze del caso, se gli stessi fossero indizi, materiali e riconoscibili, non espressione di un puro convincimento soggettivo, idonei a concretare il fondato sospetto della commissione di comportamenti illeciti.

Perché solo la sussistenza di essi costituisce riscontro oggettivo dell’autenticità dell’intento difensivo del controllo, non diretto, quindi, ad un generale monitoraggio dell’attività lavorativa di dipendenti, quanto piuttosto “mirato” ad accertare prefigurate condotte contra ius, non attinenti al mero inadempimento degli obblighi derivanti dalla prestazione lavorativa.

Peraltro, la nozione di “fondato sospetto”, affidata alla concretizzazione del giudice del merito, non risulta estranea al campo del diritto.

Il codice di procedura penale, ad esempio, consente l’intercettazione dei colloqui fra persone presenti (art. 266, comma 2) anche quando essi si svolgono nei luoghi di privata dimora nel caso in cui esista un fondato sospetto che si stia esercitando l’attività criminosa (cfr. Cass. pen. n. 36770 del 2003) nonché la perquisizione “quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza” (art. 247, comma 1-bis).

Anche in ambito extra-penale, sempre a titolo di esempio, in tema di controlli tributari, l’Ufficio finanziario, nella fase delle indagini dirette all’accertamento dell’evasione di imposta da parte di una società di capitali, è legittimato a richiedere agli istituti bancari l’accesso ai conti e depositi bancari formalmente intestati ai soci anche non amministratori e – in caso di ristretta compagine sociale – anche ai conti/depositi intestati ai loro familiari, qualora sussistano “fondati sospetti” che la società verificata abbia partecipato ad operazioni imponibili “soggettivamente” inesistenti volte a evadere l’imposta sul valore aggiunto (cfr. Cass. n. 12624 del 2012).

Così pure il titolare di un marchio tutelato nell’ambito dell’Unione europea non può opporsi al mero transito nel territorio della UE di prodotti che si assumono contraffatti, a meno che non si dimostri l’esistenza del fondato sospetto che detti prodotti siano destinati ad essere immessi in commercio (Cass. n. 22046 del 2016).

Proprio nella materia che qui occupa, poi, la giurisprudenza della Corte Edu (nel caso López Ribalda e altri c. Spagna, 17 ottobre 2019) ha ritenuto che costituisca una giustificazione legittima del controllo “l’esistenza di un ragionevole sospetto circa la commissione di illeciti”, mentre “non è accettabile la posizione secondo cui anche il minimo sospetto di appropriazione illecita possa autorizzare l’installazione di strumenti occulti di videosorveglianza”.

La perdurante ammissibilità di controlli datoriali di tipo difensivo sottratti all’operatività della disciplina dello Statuto dei lavoratori, anche dopo l’entrata in vigore del nuovo testo dell’art. 4, è riconosciuta dalla Suprema Corte anche in sede penale.

Si è di recente statuito che: “Non è configurabile la violazione della disciplina di cui agli artt. 4 e 38 legge n. 300 del 1970 – tuttora penalmente sanzionata in forza dell’art. 171 d.lgs. n. 196 del 2003, come modificato dalla legge n. 101 del 2018 – quando l’impianto audiovisivo o di controllo a distanza, sebbene installato sul luogo di lavoro in difetto di accordo con le rappresentanze sindacali legittimate o di autorizzazione dell’Ispettorato del lavoro, sia strettamente funzionale alla tutela del patrimonio aziendale, sempre che il suo utilizzo non implichi un significativo controllo sull’ordinario svolgimento dell’attività lavorativa dei dipendenti o resti necessariamente ‘riservato’ per consentire l’accertamento di gravi condotte illecite degli stessi” (Cass. pen. n. 3255 del 2021).

La Cassazione penale reputa persuasiva l’osservazione, comune anche alla giurisprudenza civile (si richiama Cass. n. 10636 del 2017), secondo la quale non risponderebbe ad alcun criterio logico-sistematico garantire al lavoratore – in presenza di condotte illecite sanzionabili penalmente – una tutela alla sua “persona” più intensa di quella riconosciuta ai terzi estranei all’impresa.

Sono state richiamate a sostegno pronunce adottate nel vigore del precedente testo dell’art. 4 St. lav. (v. Cass. pen. n. 8042 del 2006), oltre alla elaborazione giurisprudenziale in tema di utilizzabilità come prove nel processo penale dei risultati delle videoriprese effettuate sul luogo di lavoro a tutela del patrimonio aziendale, in assenza di previo accordo con le rappresentanze sindacali competenti e di previa autorizzazione dell’Ispettorato del lavoro, secondo cui “sono utilizzabili nel processo penale, ancorché imputato sia il lavoratore subordinato, i risultati delle videoriprese effettuate con telecamere installate all’interno dei luoghi di lavoro ad opera del datore di lavoro per esercitare un controllo per tutelare il patrimonio aziendale messo a rischio da possibili comportamenti infedeli dei lavoratori, in quanto le norme dello Statuto dei lavoratori poste a presidio della loro riservatezza non proibiscono i cosiddetti controlli difensivi del patrimonio aziendale e non giustificano pertanto l’esistenza di un divieto probatorio” (cfr. Cass. pen. n. 2890 del 2015; Cass. pen. n. 34842 del 2011; Cass. pen. n. 20722 del 2010).

Nel caso in cui il datore di lavoro non riesca a fornire la prova che i dati di matrice tecnologica posti a fondamento della procedura disciplinare siano stati legittimamente acquisiti, la sanzione prevista dall’ordinamento discende dalla previsione generale in materia di protezione della privacy secondo cui “i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati” (art. 11, comma 2, d.lgs. n. 196 del 2003, nella formulazione vigente all’epoca dei fatti).

La radicale inutilizzabilità delle informazioni assunte in violazione della disciplina a tutela della riservatezza del lavoratore è già stata affermata dalla Suprema Corte – avuto riguardo alla precedente stesura dell’art. 4 St. Lav. – in ipotesi di dati volti a provare l’inadempimento contrattuale del dipendente in sede disciplinare (Cass. n. 19922 del 2016 e Cass. n. 16622 del 2012).

Nella fattispecie all’attenzione del Collegio, la Corte territoriale aveva accertato che la società non aveva “dedotto né tantomeno provato alcunché in ordine ai motivi” che avevano condotto all’indagine sul pc del dipendente, non trovandosi traccia agli atti neanche delle “circostanziate segnalazioni” genericamente dedotte nella relazione investigativa.

Pertanto, conformemente ai principi innanzi espressi, la Corte milanese aveva respinto il motivo di appello con cui la banca, invece, negava sussistere “in capo alla società alcun onere di allegazione e/o probatorio in relazione alla ‘giustificazione’ della propria determinazione di far effettuare le indagini a carico del proprio dirigente”, con conseguente declaratoria di inutilizzabilità dei dati così illegittimamente acquisiti al fine di giustificare il licenziamento.

In nessun caso può essere giustificato un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore” (Cass. n. 25732/2021), dunque, anche nel caso di controllo difensivo “in senso stretto” lecito, occorre comunque sia “assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore” (analogamente Cass. n. 34092/2021).

Corte di Cassazione, Sezione Lavoro, Sentenza n. 18168 del 26 giugno 2023

La selezione delle sentenze e la raccolta delle massime di giurisprudenza è a cura di Carmine Paul Alexander TEDESCO, Avvocato a Milano, Pesaro e Benevento.

Desideri approfondire l'argomento ed avere una consulenza legale?

Prenota un appuntamento. La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza / conference call e si svolge in tre fasi.

Prima dell'appuntamento: analisi del caso prospettato. Si tratta della fase più delicata, perché dalla esatta comprensione del caso sottoposto dipendono il corretto inquadramento giuridico dello stesso, la ricerca del materiale e la soluzione finale.

Durante l’appuntamento: disponibilità all’ascolto e capacità a tenere distinti i dati essenziali del caso dalle componenti psicologiche ed emozionali.

Al termine dell’appuntamento: ti verranno forniti gli elementi di valutazione necessari e i suggerimenti opportuni al fine di porre in essere azioni consapevoli a seguito di un apprezzamento riflessivo di rischi e vantaggi. Il contenuto della prestazione di consulenza stragiudiziale comprende, difatti, il preciso dovere di informare compiutamente il cliente di ogni rischio di causa. A detto obbligo di informazione, si accompagnano specifici doveri di dissuasione e di sollecitazione.

Carmine Paul Alexander TEDESCO - Avvocato
Desideri approfondire l’argomento ed avere una consulenza legale?

Articoli correlati