NEWS

Il controllo sulla posta elettronica aziendale deve rispettare i diritti del lavoratore

La Corte di Cassazione è tornata nuovamente a pronunciarsi sul tema dei controlli difensivi del datore di lavoro sulla posta elettronica aziendale. Con sentenza n. 18168 depositata il 26 giugno 2023 la Corte, nel confermare l’illegittimità del licenziamento di un dirigente bancario per sospetto di infedeltà, ha confermato il principio di diritto espresso nei suoi precedenti (Cassazione n. 25732 del 2021, Cassazione n. 34092 del 2021) sui limiti dei controlli del datore di lavoro nei confronti dei propri dipendenti.

Avv. Matteo Maria Perlini

(Nella foto: l'Avv. Matteo Maria Perlini)

Nel caso di specie, una banca aveva licenziato un dirigente a seguito di un controllo indiscriminato sulla sua posta elettronica aziendale.

La Corte d’Appello di Milano aveva dichiarato il monitoraggio illegittimo, in quanto la banca non aveva garantito “la proporzionalità e le garanzie procedurali contro l’arbitrarietà del datore di lavoro”.

In particolare, la banca:

- non aveva allegato i “motivi che hanno portato ad un’indagine così invasiva”;
- aveva controllato “indistintamente tutte le comunicazioni presenti nel pc aziendale in uso” al lavoratore “e senza limiti di tempo dando vita così ad una indagine invasiva massiccia ed indiscriminata non giustificata”;
- non aveva informato preventivamente il lavoratore “della possibilità che le comunicazioni che effettuava sul pc aziendale avrebbero potuto essere monitorate né del carattere e della portata del monitoraggio o del livello di invasività nella sua corrispondenza”;
- non aveva acquisito il consenso del lavoratore al controllo della posta elettronica aziendale come prescritto dal regolamento aziendale della cui esistenza, peraltro, il lavoratore non era nemmeno a conoscenza.

La sentenza è stata, quindi, confermata dalla Corte di Cassazione sulla base dei seguenti rilievi.

La Cassazione è tornata nuovamente a pronunciarsi sul tema dei controlli difensivi del datore di lavoro sulla posta elettronica aziendale

La Corte richiama innanzitutto la distinzione tra i controlli a difesa del patrimonio aziendale che riguardano tutti i lavoratori e che devono essere realizzati nel rispetto dell’art. 4 Statuto dei Lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro) e i controlli anche tecnologici diretti ad accertare specificamente condotte illecite ascrivibili - in base a concreti indizi – a singoli dipendenti (c.d. “controlli difensivi in senso stretto” ) che sono “all'esterno del perimetro applicativo dell'art. 4” dello Statuto dei Lavoratori e non richiedono il preventivo accordo sindacale o l’autorizzazione dell’ispettorato del lavoro.

Per quanto riguarda i controlli difensivi in senso stretto i giudici di legittimità ribadiscono che gli stessi sono consentiti solo “in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all'insorgere del sospetto”.

Il controllo deve, quindi, essere “mirato” sul singolo lavoratore ed “attuato ex post”, ossia a seguito del comportamento illecito del lavoratore, in quanto “solo a partire da quel momento il datore può provvedere alla raccolta di informazioni utilizzabili … non essendo possibile l'esame e l'analisi di informazioni precedentemente assunte in violazione delle prescrizioni di cui all'art.4 St. lav.”.

La Corte sottolinea, poi, che anche in virtù del principio di vicinanza della prova, l’onere probatorio spetta al datore di lavoro, il quale deve “allegare prima e provare poi le specifiche circostanze che lo hanno indotto ad attivare il controllo tecnologico ex post, considerato che solo tale "fondato sospetto" consente al datore di lavoro di porre la sua azione al di fuori del perimetro di applicazione diretta dell'art. 4”.

Nello specifico, deve trattarsi di “indizi, materiali e riconoscibili, non espressione di un puro convincimento soggettivo, idonei a concretare il fondato sospetto della commissione di comportamenti illeciti.”

Quanto alla nozione di “fondato sospetto”, la Corte cita alcuni riferimenti utili alla sua definizione ed in particolare la giurisprudenza della Corte EDU secondo cui “l'esistenza di un ragionevole sospetto circa la commissione di illeciti", mentre "non è accettabile la posizione secondo cui anche il minimo sospetto di appropriazione illecita possa autorizzare l'installazione di strumenti occulti di videosorveglianza”.

Infine, richiamando quanto stabilito dalla Corte EDU nel caso Barbulescu c. Romania, la Corte di Cassazione indica gli elementi utili ad orientare il bilanciamento del giudice italiano nei casi di controlli difensivi “in senso stretto”, e precisamente: i) l’informazione del lavoratore circa la possibilità che il datore di lavoro adotti misure di monitoraggio, con la precisazione che la stessa dovrebbe, in linea di principio, essere chiara sulla natura della sorveglianza ed essere precedente alla sua attuazione; ii) il grado di invasività nella sfera privata dei dipendenti, tenendo conto, in particolare, della natura più o meno privata del luogo in cui si svolge il monitoraggio, dei limiti spaziali e temporali di quest'ultimo, nonché del numero di persone che hanno accesso ai suoi risultati; iii) l’esistenza di una giustificazione all'uso della sorveglianza e alla sua estensione con motivi legittimi, con la precisazione che quanto più invadente è la sorveglianza, tanto più gravi sono le giustificazioni richieste; iv) la valutazione, in base alle circostanze specifiche di ciascun caso, se lo scopo legittimo perseguito dal datore di lavoro potesse essere raggiunto causando una minore invasione della vita privata del dipendente; v) la verifica di come il datore di lavoro abbia utilizzato i risultati della misura di monitoraggio e se siano serviti per raggiungere lo scopo dichiarato della misura; vi) l’offerta di adeguate garanzie al dipendente sul grado di invasività delle misure di sorveglianza, mediante informazioni ai lavoratori interessati o ai rappresentanti del personale circa l'attuazione e l'entità del monitoraggio, dichiarando l'adozione di tale misura a un organismo indipendente o mediante la possibilità di presentare reclamo.

Note Autore

Matteo Maria Perlini Matteo Maria Perlini

Avvocato Cassazionista presso Studio Legale Perlini, Data Protection Officer, Delegato Federprivacy per la provincia di Frosinone, membro del Gruppo di Lavoro per la tutela della privacy nella gestione del personale - Web: www.studiolegaleperlini.it

Prev Rilasciata la Data Processing Assessment Check List scaricabile gratuitamente dal sito di Inveo group
Next Accesso dati sui beni da pignorare, firmata intesa tra Agenzia delle Entrate e Ministero della Giustizia

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy