I controlli difensivi devono essere mirati e giustificati. Non è consentito usare informazioni raccolte prima di un fondato sospetto per infliggere sanzioni disciplinari

Massima

I controlli difensivi in senso stretto sono legittimi solo se eseguiti in seguito all’insorgere di un sospetto fondato sulla commissione di un illecito da parte del lavoratore e devono riguardare in modo esclusivo i dati acquisiti successivamente a tale sospetto.

Il caso

La vicenda in questione riguarda il licenziamento intimato ad un dirigente, sulla base di informazioni acquisite mediante un controllo della posta elettronica aziendale. La necessità di svolgere tale controllo era scaturita da un “alert” inviato dal sistema informatico aziendale. In particolare, era stato contestato disciplinarmente l'inoltro all'esterno, a mezzo di posta elettronica aziendale, di documenti interni a contenuto riservato e strettamente confidenziale. L'elemento rilevante riscontrato dalla Corte territoriale è l'aver accertato che a seguito del predetto alert inviato dal sistema aziendale, la società aveva avviato, per il tramite di tecnici informatici, un controllo retroattivo, eseguito cioè su dati archiviati e memorizzati nel sistema in epoca anteriore al medesimo alert che aveva fatto emergere le prove di parte degli illeciti contestati. Sulla base di ciò i giudici di seconde cure hanno reso inutilizzabili ai fini disciplinari le informazioni acquisite dal datore di lavoro, intaccando il procedimento disciplinare e impedendo di trarre elementi di prova da fonti diverse come le giustificazioni rese dal dipendente. Nella loro decisione i giudici di seconde cure hanno stabilito che “in tema di controlli difensivi sono consentiti, anche dopo la modifica dell' art. 4 dello St. Lav. ad opera dell'art. 23 d.lgs. n. 151/2015, i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all'insorgere del sospetto”.

Avverso la sentenza della Corte d'Appello la società datrice di lavoro ha proposto ricorso per cassazione.

La questione

Il datore di lavoro ha la possibilità di ricercare nel passato lavorativo elementi di conferma del fondato sospetto ed utilizzarli per fini disciplinari?

Le soluzioni giuridiche

La Corte di Cassazione con l'Ordinanza n.807 del 13 gennaio 2025 ha confermato che il controllo retrospettivo, eseguito su dati precedenti all'alert, viola l'art.4 dello Statuto dei lavoratori, che consente esclusivamente controlli tecnologici successivi. Inoltre, l'inutilizzabilità di tali controlli non può essere sanata con la consegna dell'informativa privacy, poiché questa ha altre finalità e non legittima i controlli in contrasto con l'art.4 dello Statuto dei lavoratori.

Gli Ermellini hanno confermato la decisione presa dalla Corte territoriale, rilevando che i cosiddetti sistemi difensivi sugli strumenti digitali sono consentiti solo nel rispetto di alcuni specifici parametri. In particolare, affinché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali e le imprescindibili esigenze di tutelare la dignità e la riservatezza del lavoratore, il controllo può riguardare solo dati acquisiti successivamente al momento in cui è sorto il fondato sospetto. I controlli possono essere finalizzati alla tutela di beni estranei al rapporto di lavoro o a evitare comportamenti illeciti ma è necessario che vengano eseguiti solo in presenza di un fondato sospetto circa la commissione di un illecito.

La Corte ha esplicato i limiti del controllo difensivo sui dispositivi aziendali: le indagini eseguite dal datore di lavoro sulla posta elettronica aziendale del dipendente possono riguardare solo informazioni successive al momento in cui è sorto un “fondato sospetto” di un potenziale illecito, e non sono quindi ammesse ai fini disciplinari le indagini tecnologiche svolte su periodi antecedenti all'insorgenza di tale sospetto.

Nel caso considerato dalla sentenza, la società aveva avviato per il tramite dei tecnici informatici un controllo retrospettivo, eseguito cioè su dati archiviati e memorizzati nel sistema in epoca anteriore all'alert informativo: un comportamento, secondo la Cassazione, che si è posto in contrasto con l'articolo 4 dello Statuto dei lavoratori, che legittima unicamente controlli tecnologici ex post.

Il datore di lavoro non può quindi ricercare nel passato lavorativo elementi di conferma del fondato sospetto e non può utilizzare tali elementi a scopi disciplinari, in quanto ciò equivarrebbe a legittimare l'uso di dati probatori raccolti prima (e archiviati nel sistema informatico), a prescindere dal sospetto di condotte illecite da parte del dipendente.

L'inutilizzabilità a fini disciplinari dei dati acquisiti in questo modo non può essere sanata neanche dall'avvenuta consegna dell'informativa sulla privacy, essendo questo un adempimento obbligatorio che persegue ulteriori finalità, e come tale non è sufficiente per far diventare leciti i controlli eseguiti in contrasto con l'articolo 4 dello Statuto dei lavoratori.

Diversamente, secondo la Suprema Corte, verrebbe legittimato l'uso di dati probatori raccolti prima (ed archiviati nel sistema informatico), a prescindere dal sospetto di condotte illecite da parte del dipendente.

Un recente orientamento della Cassazione, in linea con quanto sostengono gli Ermellini nel caso analizzato, stabilì che deve essere assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali - correlate alla libertà di così la libertà di iniziativa economica privata e l'interesse alla tutela patrimoniale dell'impresa.

Rispetto alla posizione del lavoratore, i controlli datoriali sono gravati da una serie di vincoli, presupposti e regole che ne delimitano fortemente l'operatività.

In primis, come già evidenziato, nel caso di controlli difensivi in senso stretto, l'indagine del datore deve essere giustificata dall'insorgenza di un fondatore sospetto circa comportamenti illeciti da parte del lavoratore. Inoltre, i principi di necessità e proporzionalità rappresentano un ulteriore limite alle azioni di controllo dell'azienda. Il principio di necessità impone che le indagini siano strettamente indispensabili per accertare la condotta illecita. La proporzionalità richiede, invece, che il controllo sia adeguato rispetto allo scopo perseguito, evitando strumenti invasivi o sproporzionati rispetto alla gravità del sospetto.

Infine, vi è il divieto di operare accertamenti retroattivi rispetto all'insorgenza di elementi che lascino supporre il compimento di attività illecite da parte del lavoratore.

La sussistenza di tali limitazioni al potere datoriale potrebbero addirittura far sì che, in alcuni casi, il datore di lavoro non si trovi nelle condizioni per poter avviare un procedimento disciplinare; si tratta, in particolare, del caso di attività illecite realizzate e concluse dal lavoratore prima dell'insorgenza del sospetto, che difficilmente potrebbero essere dimostrate in assenza di verifiche anche retroattive e senza elementi di prova sorti successivamente al sospetto.

Quindi si puo' affermare che permangono alcuni dubbi sull'effettivo bilanciamento degli interessi delle rispettive parti.

Risulta, quindi, opportuno esaminare più approfonditamente il contesto al fine di individuare nuove soluzioni normative o giurisprudenziali che possano garantire tutte le posizioni coinvolte, adeguandole alla complessità delle sfide tecnologiche odierne ed al diritto del lavoro contemporaneo.

Osservazioni

L’Ordinanza analizzata stabilisce che il controllo difensivo ex post è lecito solo se successivo a un fondato sospetto di illecito. Il datore di lavoro, dunque, può utilizzare solo i dati acquisiti dopo il sospetto, escludendo quelli già presenti nel sistema informatico. La decisione tutela l’equilibrio tra la protezione aziendale e la privacy del lavoratore, evitando controlli retrospettivi indiscriminati cui, secondo il nuovo testo dell’art. 4 St. Lav., il lavoratore può essere controllato a distanza, con strumenti che non vengono usati per lo svolgimento della prestazione lavorativa, ma alle seguenti condizioni: lo strumento deve essere stato previamente autorizzato con accordo sindacale o dall’Ispettorato, nazionale o territoriale, del Lavoro; il controllo deve rispondere a esigenze quali quelle organizzative e produttive, di tutela del patrimonio aziendale e di sicurezza del lavoro; il datore deve aver previamente informato il lavoratore sulle modalità di uso e di effettuazione dei controlli che lo strumento consente; il controllo deve essere esperito in conformità alla normativa privacy, secondo i principî di necessità, correttezza, pertinenza e non eccedenza.

Dunque, nell’attuale formulazione dell’articolo 4 dello Statuto dei Lavoratori anche i controlli aventi ad oggetto la tutela del patrimonio aziendale sono assoggettati ai presupposti di legittimità ivi previsti. Si è posta, pertanto, la questione se i controlli difensivi debbano ormai ritenersi completamente attratti nell’area di operatività dell’art. 4 St. lav. Sul punto si è pronunciata negli ultimi due anni più volte la Cassazione che, al contrario, ha sostenuto la sopravvivenza dei controlli difensivi.

In particolare, i giudici di legittimità distinguono tra: controlli a difesa del patrimonio aziendale che riguardano tutti i dipendenti (o gruppi di dipendenti) nello svolgimento della prestazione lavorativa che li pone a contatto con tale patrimonio; controlli difensivi «in senso stretto», diretti ad accertare specificamente condotte illecite ascrivibili – in base a concreti indizi – a singoli dipendenti, anche se queste si verificano durante lo svolgimento della prestazione di lavoro.

Mentre i primi dovranno necessariamente essere realizzati nel rispetto delle previsioni del nuovo art. 4, i secondi, anche se effettuati con strumenti tecnologici, non avendo ad oggetto l’attività del lavoratore, si situano all’esterno del perimetro applicativo dell’art. 4.

Ciò, naturalmente, non vuol dire che il datore di lavoro, in presenza di un sospetto di attività illecita, possa controllare liberamente il lavoratore: in nessun caso può essere giustificato un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore. Come precisato dalla Suprema Corte «occorrerà, nel rispetto della normativa europea e dell’art. 8 della Convenzione europea dei diritti dell’uomo come interpretato dalla giurisprudenza della Corte europea, assicurare un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, con un contemperamento che non può prescindere dalle circostanze del caso concreto». L’ art. 4 dello Statuto dei lavoratori stabilisce che per gli strumenti di lavoro e per quelli di registrazione degli accessi e delle presenze che consentono il controllo a distanza non sono necessari l’accordo sindacale né l’autorizzazione amministrativa. Inoltre, i dati raccolti dagli strumenti di lavoro in dotazione ai dipendenti sono utilizzabili a tutti i fini connessi al rapporto di lavoro (quindi, anche a quelli disciplinari) a due condizioni: predisposizione di una policy aziendale che dia adeguata informazione ai lavoratori circa gli strumenti che consentono il controllo a distanza, le modalità e le regole di utilizzo di tali strumenti, il tipo di controlli che potranno essere effettuati dall’azienda, i dati conservati e i soggetti abilitati ad accedervi, nonché le eventuali sanzioni che potranno essere comminate al dipendente/trasgressore; rispetto della normativa privacy, nel senso che il trattamento dei dati deve essere conforme ai principî di necessità, correttezza, pertinenza e non eccedenza.

Sia che si tratti di controlli difensivi in senso stretto sia che si tratti di controlli difensivi in senso ampio, è indispensabile che le imprese abbiano una policy ex art. 4, in linea con quanto previsto dalla norma citata, e rispettino la normativa in materia di privacy.

Ai fini della presente analisi pare opportuno parlare del concetto di “fondato sospetto” che non è compiutamente definito dalla giurisprudenza, la quale, tuttavia, propende per un’interpretazione restrittiva dello stesso. Non sarebbe, quindi, sufficiente un mero sospetto, in quanto lo stesso dovrebbe essere ragionevole e fondato su specifici elementi fattuali. Pertanto, un “fondato sospetto” si riscontrerebbe in tutte quelle ipotesi in cui la minaccia di una condotta colpevole posta in essere dal dipendente sia suscettibile di una valutazione fattuale immediata e connessa a fatti penalmente rilevanti, o comunque, idonei a cagionare considerevoli pregiudizi economici o danni ingenti al patrimonio aziendale, ossia laddove sussistano elementi concreti, anteriori al controllo, che suggeriscano che il lavoratore stia ponendo in essere un determinato comportamento illecito.

L’onere della prova grava, conseguentemente, sul datore di lavoro: sia perché solo tale sospetto consente l’azione datoriale al di fuori del perimetro di applicazione dell’art. 4 dello Statuto dei Lavoratori, sia perché incombe su di lui la dimostrazione del complesso degli elementi che fondano il licenziamento. Il datore di lavoro dovrà, pertanto, essere in grado di ricostruire il momento in cui ha avuto la notizia che ha fatto sorgere il sospetto, la sua fonte e le circostanze concrete entro cui abbia eseguito gli approfondimenti necessari per attribuire fondatezza al sospetto stesso.