Stop ai controlli “a tappeto” da parte dell’azienda sul computer dei lavoratori. Le verifiche, infatti, possono essere consentite per motivi disciplinari solo se riguardano dati successivi all’insorgere del sospetto. È esclusa, invece, l’acquisizione di ogni tipologia di documento precedente e in violazione della normativa sulla privacy. Sono queste le importanti conclusioni raggiunte dalla sezione lavoro della Cassazione nella sentenza 25732/21 del 22 settembre che ha accolto in parte il ricorso di una lavoratrice e sancito un nuovo principio di diritto.
Il principio di diritto stabilito dalla Cassazione
In seguito all’accertamento della diffusione di un virus nella rete aziendale l’amministrazione del sistema informatico dell’azienda aveva eseguito un accesso sul computer della lavoratrice, appurando che nella cartella di download del disco fisso era presente un file scaricato che aveva propagato il virus che, partito dal computer aziendale in uso alla lavoratrice, aveva iniziato a propagarsi nella rete dell’impresa, criptando i files all’interno di vari dischi di rete, rendendo gli stessi illeggibili e quindi inutilizzabili. In occasione dell’intervento venivano in rilievo numerosi accessi, da parte della lavoratrice, a siti che all’evidenza erano stati visitati per ragioni private, per un tempo lungo, tale da integrare una sostanziale interruzione della prestazione lavorativa. La dipendente era stata quindi licenziata per giusta causa e la corte d’appello aveva confermato la decisione espulsiva.
La vertenza è così giunta in Cassazione dove la dipendente ha contestato la decisione per avere ritenuto utilizzabili a fini disciplinari e comunque dimostrabili le informazioni acquisite in violazione dei diritti di informativa e dei diritti stabiliti dal codice della privacy. La Suprema corte, nel decidere la questione, ha affermato che anche dopo la modifica dell’articolo 4 dello Statuto dei lavoratori si pone il problema della legittimità dei cosiddetti controlli difensivi. Ebbene, ha spiegato la Cassazione, il controllo difensivo non dovrebbe riferirsi all’esame e all’analisi di informazioni acquisite in violazione delle prescrizioni di cui all’articolo 4 dello statuto dei lavoratori, poiché, in tal modo, l’area del controllo difensivo si estenderebbe a dismisura, con conseguente annientamento della valenza delle predette prescrizioni. Il datore di lavoro, infatti, potrebbe, in difetto di autorizzazione o di adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli, nonché senza il rispetto della normativa sulla privacy, acquisire per lungo tempo e ininterrottamente ogni tipologia di dato, provvedendo alla relativa conservazione, e, poi, invocare la natura mirata (ex post) del controllo incentrato sull’esame e analisi di quei dati.
In tal caso, il controllo non sembra potersi ritenere effettuato ex post, poiché esso ha inizio con la raccolta delle informazioni; quella che viene effettuata ex post è solo un’attività successiva di lettura e analisi che non ha, a tal fine, una sua autonoma rilevanza. Può quindi parlarsi di controllo ex post solo ove, a seguito del fondato sospetto del datore circa la commissione di illeciti a opera del lavoratore, il datore stesso provveda, da quel momento, alla raccolta delle informazioni. Ne consegue, ha concluso la Cassazione, evidenzia Giovanni D’Agata, presidente dello “Sportello dei Diritti” che il ricorso della lavoratrice deve essere accolto in esecuzione del principio di diritto secondo cui “sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto. Non ricorrendo le condizioni suddette la verifica della utilizzabilità a fini disciplinari dei dati raccolti dal datore di lavoro andrà condotta alla stregua dell’art. 4 legge n. 300/1970, in particolare dei suoi commi 2 e 3”.