Controlli a distanza ed indagini investigative: perimetro, presupposti e condizioni d’utilizzabilità dei dati raccolti

Massima

Qualora i dati estrapolati da un sistema tecnologico che consente il controllo a distanza dei lavoratori siano immessi dallo stesso lavoratore, e costituiscano essi stessi l'espressione della condotta illecita contestata, non assume rilievo la disciplina di cui all'art. 4 Stat. lav., perché quel sistema non configura un mezzo di controllo adoperato dal datore di lavoro, ma il mezzo impiegato dal dipendente per porre in essere la condotta illecita.

In tema di indagini investigative poste in essere dal datore di lavoro, il fondato sospetto - oggettivamente sussistente e giustificato – è presupposto necessario per il loro avvio ma non vale a circoscriverne l'oggetto, fermo restando che le indagini non possono sconfinare in controlli sulla prestazione lavorativa, che non possono essere affidati a terzi estranei all'organizzazione datoriale.

L'indicazione del nominativo dei soggetti che in concreto hanno eseguito le indagini, se non riconducibili alla società di investigazione che ha ricevuto l'incarico, è un requisito di validità e di liceità di tali indagini, nonché di utilizzabilità del relativo esito.

L'inutilizzabilità dei dati derivante dalla loro illecita acquisizione è da ritenersi “assoluta”. In quanto tale, opera già in fase extraprocessuale e, quindi, sul piano sostanziale, nell'ambito del rapporto di lavoro subordinato, come limite al potere datoriale di assumere iniziative che siano basate sulle conoscenze fornite da quei dati.

Il caso

La falsa attestazione dei tempi e dei modi della prestazione mediante sistema tecnologico aziendale.

La vicenda concreta ha ad oggetto il licenziamento d'un dipendente, chiamato ad operare non presso una specifica sede di lavoro fissa ma presso diversi clienti ed impianti, cui era stata contestata la falsa attestazione di tempi e modi di esecuzione delle attività lavorative a lui assegnate, lo svolgimento di un complessivo orario di lavoro inferiore a quello contrattualmente dovuto, l'essersi dedicato durante l'orario di lavoro ad incombenze legate alla sfera personale e comunque estranee all'attività lavorativa.

La contestazione era stata formulata sulla base dei risultati dell'indagine investigativa avviata dal datore di lavoro dopo che l'esame dei dati immessi dal lavoratore nel sistema deputato alla segnalazione di tempi e modi della sua attività lavorativa aveva fatto sorgere il sospetto che quei dati fossero falsi.

Vittorioso in primo grado, il lavoratore è risultato soccombente nel giudizio svoltosi davanti alla Corte d'appello di Milano.

Ha quindi proposto ricorso per cassazione, deducendo, tra l'altro, l'inutilizzabilità dei dati appresi dal sistema tecnologico aziendale per difetto dell'informativa preventiva di cui all'art. 4, comma 3, Stat. lav.. Analoga sorte avrebbe dovuto riguardare anche gli esiti dell'indagine investigativa, dal momento che essa, avviata sulla base del sospetto che egli svolgesse attività per conto di un concorrente, si era di seguito concentrata su aspetti diversi, da cui era poi scaturito il procedimento disciplinare. Infine, i dati raccolti in sede investigativa sarebbero stati inutilizzabili anche perché, nel mandato investigativo, non sarebbero stati indicati i nominativi degli investigatori delegati all'esecuzione dell'indagine.

Le questioni giuridiche

Le indagini investigative e l'utilizzabilità del suo esito.

La pronuncia della Corte di cassazione coinvolge il perimetro applicativo dell'art. 4 Stat. lav., dedicato ai controlli a distanza del lavoratore, nonché i presupposti e i limiti delle indagini investigative alla luce degli artt. 2 e 3 Stat. lav.

Inoltre, con la presente sentenza, la Corte, per un verso, accredita con decisione la categoria dell'«utilizzabilità» anche nel processo civile e, per altro verso, previi chiarimenti in ordine alla qualificazione normativa della disciplina dedicata alle attività investigative, chiarisce le modalità con cui l'inutilizzabilità è destinata ad operare in ambito pre-processuale e processuale.

Le soluzioni giuridiche

La Cassazione ha analizzato i motivi di ricorso suddividendoli in due macroaree distinte.

In primo luogo, si è occupata delle doglianze relative al fatto che il datore di lavoro avrebbe compiuto un controllo a distanza e indagini investigative al di fuori dei presupposti previsti dalla legge.

In secondo luogo, si è concentrata sulle difese con cui il lavoratore ha posto in luce l'inutilizzabilità dei dati a causa d'un'esecuzione scorretta dell'attività investigativa.

Sui controlli a distanza e le indagini investigative

Il primo gruppo di difese proposte dal lavoratore non ha colto nel segno.

A fronte della censura per cui i dati appresi dal sistema tecnologico utilizzato a livello aziendale non sarebbero stati utilizzabili per finalità disciplinari perché al lavoratore non sarebbe stata data adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196, la Corte ha ritenuto che la disciplina invocata, ed in generale quella di cui all'art. 4 Stat. lav., nella fattispecie fosse inconferente.

È giunta a questa conclusione considerando che i dati provenienti dal sistema in questione erano inseriti dallo stesso lavoratore e che la condotta censurata con la contestazione disciplinare era consistita, esattamente, nell'inserimento di dati falsi. Il sistema informatico, dunque, in questa specifica vicenda, non aveva funto da veicolo per un controllo datoriale sulla prestazione lavorativa, ma da mezzo che lo stesso dipendente aveva impiegato per raggirare il datore di lavoro.

In mancanza di deduzioni del ricorrente in ordine ad ipotetici errori di digitazione o all'incapacità d'utilizzo del sistema, la sua doglianza in ordine alla violazione dell'art. 4, comma 3, Stat. lav., oltre a rivelarsi meramente formale, è stata ritenuta inappropriata perché tesa a sussumere la vicenda concreta entro uno schema normativo differente da quello rilevante.

Detto altrimenti, il profilo posto in luce dalla Cassazione è quello per cui la disciplina dell'art. 4 Stat. lav. non assume rilievo allorché i dati appresi dal sistema informatico, ed inseriti dallo stesso dipendente, rappresentino non già il punto d'arrivo dell'indagine, bensì i fatti generatori del sospetto datoriale, scaturigine degli approfondimenti investigativi.

La Suprema Corte si è di seguito dedicata proprio alle indagini investigative rimesse dal datore di lavoro ad un'agenzia terza specializzata. A livello ricostruttivo, abbinando queste indagini ai controlli difensivi in senso stretto, ha richiamato i propri noti precedenti in materia, con cui è stata esclusa l'applicabilità dell'art. 4 Stat. lav. qualora i controlli siano finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti in presenza d'un fondato sospetto circa la commissione di un illecito (Cass., n. 25732/2021 e altre successive).

Considerando che nella fattispecie non era controverso che il datore di lavoro avesse avviato le indagini a fronte d'un fondato sospetto, ha rilevato che non risultavano violati nemmeno gli artt. 2 e 3. Stat. lav.

Ha in tal senso osservato che «le disposizioni dell'art. 2 Stat. lav., nel limitare la sfera di intervento di persone preposte dal datore di lavoro a tutela del patrimonio aziendale, non precludono a quest'ultimo di ricorrere ad agenzie investigative, purché queste non sconfinino nella vigilanza dell'attività lavorativa vera e propria, riservata dall'art. 3 Stat. Lav. direttamente al datore di lavoro e ai suoi collaboratori, restando giustificato l'intervento in questione non solo per l'avvenuta perpetrazione di illeciti e l'esigenza di verificarne il contenuto, ma anche in ragione del solo sospetto o della mera ipotesi che illeciti siano in corso di esecuzione». Dunque – ha proseguito la Corte -, «i controlli del datore di lavoro a mezzo di agenzia investigativa, riguardanti l'attività lavorativa del prestatore svolta anche al di fuori dei locali aziendali, sono legittimi ove siano finalizzati a verificare comportamenti che possano configurare ipotesi penalmente rilevanti od integrare attività fraudolente, fonti di danno per il datore medesimo, non potendo, invece, avere ad oggetto l'adempimento della prestazione lavorativa, in ragione del divieto di cui agli artt. 2 e 3  Stat. lav.».

Inoltre, nel fornire risposta alla difesa con cui il ricorrente aveva dedotto che il fondato sospetto sarebbe valso a circoscrivere anche l'ambito entro cui il datore di lavoro poteva svolgere indagini, sicché, avviate le indagini sul sospetto di atti di concorrenza, l'esito negativo della specifica verifica avrebbe dovuto determinare l'arresto delle stesse indagini, la Cassazione ha fornito un chiarimento di capitale importanza in ordine alla portata del fondato sospetto.

Nelle parole della Corte, «il sospetto – oggettivamente sussistente e giustificato – consente l'avvio delle indagini investigative e la loro legittimità, ma non ne limita affatto l'oggetto. Certo questo non può sconfinare in controlli sulla prestazione lavorativa, che non possono essere affidati a terzi estranei all'organizzazione datoriale. Ma nel caso in esame non si è verificato questo sconfinamento, atteso che i comportamenti scoperti a seguito delle predette indagini hanno avuto ad oggetto prestazioni rese in favore di terzi (non in concorrenza con il datore di lavoro) durante l'orario di lavoro o per scopi estranei all'attività di impresa datoriale. Quindi gli esiti di quelle indagini sono stati utilizzati dalla datrice di lavoro non per controllare la prestazione lavorativa (anche sotto il profilo della sua esattezza), bensì per accertare prima e dimostrare poi le falsità integranti “artifici e raggiri” tipici di un vero e proprio reato (truffa), posto in essere dal dipendente nel momento in cui trasmetteva i dati attraverso il sistema WFM».

Sull'utilizzabilità delle risultanze investigative

La seconda macrocategoria di censure scrutinata dalla Cassazione attiene alle conseguenze derivanti dalla mancata indicazione, in seno al mandato che ha conferito l'incarico di svolgere le indagini investigative, dei nominativi di coloro che se ne sarebbero effettivamente occupati.

Il Giudice di legittimità ha ritenuto questa censura fondata. Ha in tal senso richiamato la disciplina forgiata dall'autorizzazione n. 6 del 2016 del Garante per la protezione dei dati personali, in base alla quale «l'investigatore privato deve eseguire personalmente l'incarico ricevuto e non può avvalersi di altri investigatori non indicati nominativamente all'atto del conferimento dell'incarico oppure successivamente in calce a esso qualora tale possibilità sia stata prevista nell'atto di incarico», nonché dall'art. 8, comma 4, del provvedimento n. 60 del 2018 del Garante, a mente del quale «l'investigatore privato deve eseguire personalmente l'incarico ricevuto e può avvalersi solo di altri investigatori privati indicati nominativamente all'atto del conferimento dell´incarico, oppure successivamente in calce a esso qualora tale possibilità sia stata prevista nell'atto di incarico».

La Corte di cassazione ha quindi indicato che queste fonti, contenenti codici deontologici, hanno valenza normativa. La loro rilevanza di “fonti normative integrative” rimonta all'art. 12 del d.lgs. n. 196/2003, cui oggi fa eco l'art. 2-quater, comma 4, del d.lgs. cit., dal momento che entrambe le norme pongono l'osservanza delle regole deontologiche quale condizione essenziale di liceità del trattamento dei dati personali. Su quest'assunto, la Corte s'è espressa nel senso che «la qualificazione giuridica in termini di “illiceità” del trattamento qualora non rispettoso delle regole conformative dettate dai predetti codici, infatti, implica necessariamente la natura normativa (e inderogabile) della fonte violata».

Da qui la Corte ha considerato che, a mente dell'art. 2-decies, d.lgs. cit., «i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati, salvo quanto previsto dall'articolo 160-bis», il quale, a sua volta, prevede che «la validità, l'efficacia e l'utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali».

Sebbene la disciplina processuale civile, diversamente da quella penale, non contempli espressamente la categoria generale dell'utilizzabilità, la Corte ha ritenuto di confermare il proprio recente orientamento che assegna cittadinanza a questa figura anche nell'ambito in questione e, sulla base del tenore testuale dell'art. 2-decies predetto, ha ritenuto che esso abbia una portata assoluta, tale da precludere sia alle parti che al giudice di avvalersi del mezzo di prova elaborato illecitamente. Si tratta di una conclusione che la Corte ha tratto adottando un approccio funzionale, necessario per assecondare la ratio della norma, ossia scoraggiare la ricerca, l'acquisizione e più in generale il trattamento “abusivo” di dati personali.

E, proprio perché trattasi d'inutilizzabilità predicata in chiave assoluta, essa tende a connotare il mezzo di prova non solo allorché faccia ingresso nel processo, ma fin dal suo momento genetico e pre-processuale. Per questo, la Suprema Corte ha ritenuto che le risultanze investigative non potessero essere impiegate per verificare la veridicità dei dati inseriti dal lavoratore nel sistema informatico in uso. L'inutilizzabilità opera dunque sul piano della gestione del rapporto come limite al potere disciplinare del datore di lavoro, la cui iniziativa, adottata all'esito delle verifiche, è perciò viziata.

Osservazioni

La pronuncia in commento offre coordinate interpretative utili ad affrontare la tematica dei controlli del datore di lavoro rispetto all'ipotesi di condotte illecite da parte del dipendente.

L'analisi della Corte contribuisce a delineare il perimetro della disciplina di cui all'art. 4 Stat. Lav. e, al contempo, arricchisce il quadro interpretativo in ordine ai presupposti e alle modalità dei controlli di cui la parte datoriale può avvalersi.

Il perimetro dell'art. 4 Stat. lav.

È senz'altro interessante notare che la fattispecie in commento ha tratto l'abbrivio dall'impiego d'un sistema suscettibile, in astratto, di consentire il controllo a distanza della prestazione del lavoratore, il quale era chiamato, mediante il sistema medesimo, a fornire dati utili a ricostruire tempi e modi del suo operato. Nondimeno, la fattispecie è risultata al di fuori del campo d'applicazione dell'art. 4 Stat. Lav. e la censura del lavoratore, tesa a segnalare l'omissione delle informazioni prodromiche all'utilizzo dei dati di cui al comma 3 della stessa disposizione, è stata ritenuta irrilevante. La Corte è giunta a questo esito valorizzando una sfumatura: i dati estrapolati dal sistema non erano l'esito del controllo ma l'oggetto del controllo successivo. Si tratta d'una valutazione convincente, anche perché i dati in questione non sono stati direttamente impiegati ad alcun fine, onde l'irrilevanza delle informazioni di cui all'art. 4, comma 3.

D'altra parte, una diversa ricostruzione sarebbe in contrasto con il potere datoriale di avviare controlli su quanto attestato dal lavoratore in ordine alla sua prestazione.

A suffragio di questa conclusione, la Suprema Corte ha valorizzato anche la circostanza che si trattasse di dati inseriti consapevolmente dallo stesso lavoratore. Si tratta, a sommesso avviso dello scrivente, d'una considerazione pleonastica e, rispetto ad altre vicende, contraddittoria. Il fatto che i dati siano inseriti dal lavoratore non pare avere alcun rilievo, specie se si considera che, in tema di controlli difensivi in senso stretto, il panorama giurisprudenziale è sempre più ricco di vicende in cui il controllo attiene esattamente all'esame di dati, informazioni o comunicazioni (si pensi alle e-mail) provenienti dal lavoratore “controllato”. La valorizzazione del “mittente” non pare possa in alcun modo spostare i termini della questione, risolvibile – anche con maggiore efficacia – con la semplice osservazione della dinamica concreta, nella specie avulsa da quella di cui all'art. 4 Stat. Lav.

Le indagini investigative: presupposti e limiti

Altro aspetto d'interesse affrontato dalla pronuncia in commento è quello relativo al potere del datore di lavoro d'intraprendere attività d'indagine investigativa nei confronti del dipendente.

È noto che, in base all'art. 2 Stat. Lav., «il datore di lavoro può impiegare le guardie particolari giurate, di cui agli articoli 133 e seguenti del testo unico approvato con Regio decreto 18 giugno 1931, n. 773, soltanto per scopi di tutela del patrimonio aziendale. Le guardie giurate non possono contestare ai lavoratori azioni o fatti diversi da quelli che attengono alla tutela del patrimonio aziendale. È fatto divieto al datore di lavoro di adibire alla vigilanza sull'attività lavorativa le guardie di cui al primo comma, le quali non possono accedere nei locali nei quali si svolge tale attività, durante lo svolgimento della stessa, se non eccezionalmente per specifiche e motivate esigenze attinenti ai compiti di cui al primo comma».

Si abbina a tale disposizione quella del successivo art. 3 Stat. Lav., a mente del quale «i nominativi e le mansioni specifiche del personale addetto alla vigilanza dell'attività lavorativa debbono essere comunicati ai lavoratori interessati».

Nell'interpretazione consolidata della Corte di cassazione, le due disposizioni appena menzionate non precludono il potere dell'imprenditore di ricorrere alla collaborazione di soggetti esterni, come un'agenzia investigativa, fermo restando che il controllo non può riguardare, in nessun caso, l'adempimento dell'obbligazione contrattuale del lavoratore, la quale, in quanto riconducibile all'attività lavorativa, è sottratta a tale vigilanza. Il controllo esterno, quindi, deve limitarsi agli atti illeciti del lavoratore non riconducibili al mero inadempimento dell'obbligazione e le stesse agenzie, per operare lecitamente, non devono sconfinare nella vigilanza dell'attività lavorativa vera e propria, riservata, dall'art. 3 dello Statuto, direttamente al datore di lavoro e ai suoi collaboratori. Può quindi ammettersi solo l'intervento giustificato dall'avvenuta perpetrazione di illeciti e dall'esigenza di verificarne il contenuto, anche laddove vi sia solo un sospetto o la mera ipotesi che illeciti siano in corso di esecuzione. Ai controlli al di fuori dei confini indicati osta, del resto, non solo il principio di buona fede, ma anche la previsione di cui all'art. 4 Stat. Lav., espressiva del divieto di controllo occulto sull'attività lavorativa anche nel caso di prestazioni lavorative svolte al di fuori dei locali aziendali (Cass., n. 3590/2011; Cass., n. 15867/2017; Cass., n. 25287/2022).

La sentenza in esame si presenta coerente con questo quadro ricostruttivo e contribuisce ad arricchirlo con la precisazione che il “fondato sospetto” richiesto quale condizione necessaria per l'avvio di indagini non vale anche a limitarne l'oggetto. Qualora le verifiche intraprese non confermino il sospetto, ma rivelino comunque il compimento d'un'attività illecita, il datore di lavoro potrà tenerne conto, con il solo limite invalicabile per cui l'oggetto dell'investigazione non può consentire controlli sulla prestazione lavorativa da parte di soggetti terzi rispetto all'organizzazione datoriale.

Le indagini investigative: modalità d'esecuzione.

Nella dinamica della pronuncia assume tuttavia un ruolo cruciale quanto indicato in ordine alla rilevanza dei codici deontologici e alle regole ivi fissate, a tutela della riservatezza, in merito all'esecuzione delle investigazioni.

Con estrema chiarezza espositiva, la Corte ha infatti considerato che la previsione di cui all'art. 2-quater, comma 4, del d.lgs. 196/2003, imponendo l'osservanza delle regole deontologiche quale condizione essenziale di liceità del trattamento dei dati personali, attribuisce a quelle regole caratura di fonti normative integrative. Se così non fosse, secondo la Corte, non potrebbe parlarsi di illiceità in occasione della loro violazione.

Sul piano delle conseguenze, la Suprema Corte ha impostato la propria ricostruzione sugli artt. 2-decies e 160-bis, d.lgs. cit., in base ai quali i dati acquisiti in violazione della disciplina sul trattamento sono inutilizzabili, secondo le disposizioni processuali rilevanti caso per caso.

È noto che nell'universo processuale civile non è contemplata, in termini generali, la categoria dell'inutilizzabilità, ma da tempo va consolidandosi, presso la giurisprudenza della Cassazione, l'orientamento che ne predica la cittadinanza (si v. a G. ALLIERI, Controlli difensivi in senso stretto: presupposti, onere della prova e inutilizzabilità dei dati illecitamente raccolti, in questa Rivista, 31 agosto 2023).

Collocandosi nel solco così tracciato, la sentenza in esame compie un passo ulteriore e chiarisce che la sanzione forgiata dall'art. 2-decies, d.lgs. cit., ha una portata assoluta, tale da precludere sia alle parti che al giudice di avvalersi del mezzo di prova elaborato illecitamente.

Si tratta di una conclusione in linea con la ratio legis, opportunamente valorizzata dalla Corte.

E, proprio perché trattasi d'inutilizzabilità predicata in chiave assoluta, essa tende a connotare il mezzo di prova non solo allorché faccia ingresso nel processo, ma fin dal suo momento genetico e pre-processuale. Per questo, la Suprema Corte ha ritenuto che le risultanze investigative non potessero essere impiegate per verificare la veridicità dei dati inseriti dal lavoratore nel sistema informatico in uso. L'inutilizzabilità opera dunque sul piano della gestione del rapporto come limite al potere disciplinare del datore di lavoro, la cui iniziativa, adottata all'esito delle verifiche, è perciò viziata, rendendo del tutto insussistente il fatto contestato, come già emerso, per esempio, in una recente pronuncia di merito (si v. G. ALLIERI, Controlli difensivi in senso stretto: presupposti applicativi e utilizzo dei dati illecitamente raccolti a fondamento probatorio del licenziamento, in questa Rivista, 25 ottobre 2023).