Controlli a distanza ex art. 4 St. Lav. e monitoraggio dell'uso di posta elettronica e di internet

L'attività di controllo del datore di lavoro non riguardante il corretto adempimento della prestazione lavorativa, non è soggetta alle garanzie procedurali di cui all'art. 4 St. L., quando è finalizzata ad accertare atti illeciti del lavoratore che non siano riconducibili al mero inadempimento dell'obbligazione lavorativa. Quando il controllo riguardi l'uso della posta elettronica e di internet, è sufficiente che il lavoratore sia a conoscenza della possibilità di tale controllo; che l'acquisizione dei dati avvenga con modalità non eccedenti le finalità della verifica, nell'osservanza dei criteri di proporzionalità, correttezza e pertinenza; che non siano utilizzabili misure e metodi meno invasivi.

Il caso riguarda un lavoratore che aveva inviato dal computer aziendale numerose e-mail offensive nei confronti di superiori e colleghi, accusati di inettitudine e scorrettezza, con l'uso di espressioni scurrili, qualificando negativamente anche l'azienda in quanto tale- e poi tentato di cancellarle dalla memoria del p.c.

Data la prassi aziendale (nota al lavoratore) di duplicare periodicamente tutti i dati contenuti nei p.c. aziendali, l'amministratore di sistema aveva segnalato l'anomalia del tentativo di cancellazione di alcuni files ed indotto nel datore il sospetto del compimento, da parte del lavoratore, di condotte illecite lesive di beni estranei all'esatto adempimento delle obbligazioni lavorative. Di qui il controllo sulle e-mail aziendali del lavoratore, da cui era scaturito il licenziamento impugnato.

La Corte di Appello, in riforma della sentenza, aveva respinto l'impugnativa, ritenendo incontestata la condotta nella sua materialità ed escludendo l'illegittimità dell'acquisizione dei messaggi di posta elettronica.

Avverso la sentenza di appello proponeva ricorso per Cassazione il lavoratore, deducendo, per quel che qui interessa, violazione e falsa applicazione degli art. 7 St. L. e 11 D. Lgs. n. 196/2003, in termini di mancata affissione del codice disciplinare e di violazione della disciplina sul trattamento dei dati personali, con inutilizzabilità dei messaggi.

La questione affrontata dalla Corte è se, in tema di controllo del lavoratore, le garanzie procedurali poste dall'art. 4 co. 2 St. L. -in fattispecie precedente la novella del D. Lgs. n. 151/2015- per l'installazione di impianti e apparecchiature di controllo richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, dai quali derivi la possibilità di verifica a distanza dell'attività dei lavoratori, trovino applicazione anche ai c.d. controlli difensivi, volti ad accertare comportamenti illeciti dei lavoratori che non riguardino l'esatto adempimento delle obbligazioni lavorative, bensì la tutela di beni estranei ad esse, quali il patrimonio e l'immagine aziendale, con particolare riferimento all'ipotesi in cui il controllo riguardi la posta elettronica o i siti web utilizzati dal lavoratore.

La risposta è stata negativa, avendo gli Ermellini confermato il precedente orientamento espresso da Cass., sez. lav.,Sent. n. 2722 del 23 febbraio 2012 (conf.: Cass., sez. lav., Sent. n. 10955 del 27 maggio 2015), secondo cui esula dal campo di applicazione della norma statutaria il caso in cui il datore abbia realizzato verifiche dirette ad accertare comportamenti del prestatore illeciti e lesivi del patrimonio e dell'immagine aziendale.

Ciò in quanto il “controllo difensivo” esercitato dal datore non riguarda l'esatto adempimento delle obbligazioni nate dal rapporto di lavoro, ma è destinato ad accertare una condotta che pone in pericolo i beni materiali ed immateriali dell'azienda, entrando in gioco il diritto del datore di tutelare il patrimonio aziendale, comprensivo della reputazione propria e dei propri dipendenti, accreditata presso il pubblico.

La sentenza richiama altra giurisprudenza di legittimità in tema di installazione di impianti ed apparecchiature di controllo a tutela del patrimonio aziendale, sempre assertiva della non applicabilità delle “garanzie concertative” di cui all'art. 4 co. 2.

Tra queste:

• una sentenza pronunciata in un caso in cui la condotta illecita di una lavoratrice era stata accertata con telecamera posta a presidio della cassaforte aziendale, sull'asserzione che ciò rispondeva a garanzie di sicurezza dei lavoratori operanti alla reception, vicino ad un possibile obiettivo di malfattori (Cass. sez. lav., Sent. n. 22662 del 8 novembre 2016);
• quella resa in un caso in cui la cui condotta illecita era stata accertata con telecamera installata in locali dove si erano verificati furti a danno dell'azienda, sul rilievo che non è ragionevole, in presenza di condotte illecite sanzionabili penalmente o con licenziamento, garantire al lavoratore una tutela maggiore di quella riconosciuta ai terzi estranei (Cass. sez. lav., Sent. n. 10636 del 2 maggio 2017);
• quella pronunciata in una ipotesi simile al caso in esame, di controlli mirati a verificare il corretto uso, da parte dei dipendenti, di strumenti di lavoro come i "personal computer" aziendali, con l'affermazione che tale prerogativa va esercitata nel rispetto della libertà e dignità dei lavoratori, nonché dei principi di correttezza, pertinenza e non eccedenza di cui all'art. 11 D. Lgs. n. 196/2003, potendo implicare il trattamento di informazioni personali “sensibili” (Cass. sez. lav., Sent. n. 22313 del 3 novembre 2016).

Il datore di lavoro esercita sul lavoratore, oltre il potere direttivo e disciplinare, anche il potere di controllo volto a verificare l'esatto adempimento della prestazione.

In particolare, il datore può controllare che il lavoratore usi la diligenza dovuta (art. 2104, co. 1, c.c.), osservi le disposizioni ricevute (art. 2104, co. 2, c.c.), rispetti gli obblighi di fedeltà su di esso gravanti (art. 2105 c.c.), anche in vista dell'esercizio del potere disciplinare in caso di inosservanza di tali obblighi (artt. 2106 c.c. e 7 St. L.).

Si tratta di un potere non assoluto, che incontra il limite del necessario rispetto di diritti fondamentali del lavoratore, come la dignità e la riservatezza.

A tal fine lo St. L. ha circoscritto con precisione i limiti, soggettivi ed oggettivi, entro i quali il datore può esercitare il potere di controllo, in particolare distinguendo le forme di esercizio del controllo (art. 4 St. L.).

Per quanto riguarda le modalità, l'art. 4 vieta espressamente l'utilizzo di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività lavorativa (c.d. controlli intenzionali); la ratio sta nella potenzialità lesiva di tale forma di controllo sulla dignità e la riservatezza del lavoratore, a causa della sua tendenziale permanenza e intrusività. E' ricompresa qualsiasi forma di controllo a distanza che sottragga al lavoratore margini di spazio e tempo nei quali poter ragionevolmente confidare di non essere osservato, ascoltato o comunque “seguito” nei propri movimenti.

Il co. 2 dell'art. 4 consente, invece, l'utilizzo di tali apparecchiature quando, pur comportando indirettamente un controllo sull'attività dei dipendenti, sia richiesto da esigenze organizzative, produttive ovvero di sicurezza del lavoro. Il controllo non è l'obiettivo primario del datore, ma costituisce un'inevitabile conseguenza dell'uso dell'apparecchiatura (c.d. controllo preterintenzionale). Ai fini della legittimità del controllo è necessario che l'utilizzo delle apparecchiature sia oggetto di uno specifico accordo con le RSA o, in mancanza, con la commissione interna. In difetto di accordo provvede l'Ispettorato del Lavoro dettando, ove occorra, le modalità d'uso di tali impianti.

L'art. 4 St. L. è stato elaborato nel 1970, sicchè va oggi riletto alla luce della moderna tecnologia, ricomprendendo tra le “altre apparecchiature di controllo” anche i programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi ad internet.

Di un controllo difensivo legittimo è certamente più difficile parlare quando sia effettuato sulla posta elettronica o sui siti web, perché il comportamento lesivo realizzato dal lavoratore è necessariamente attuato durante lo svolgimento della prestazione lavorativa, con la conseguenza che il controllo sulle modalità di utilizzo dei suddetti strumenti si traduce in un controllo indiretto sull'attività del lavoratore.

La rigidità del divieto posto dall'art. 4 ha indotto la giurisprudenza ad elaborare orientamenti tesi a stemperarne la portata.

Ad un primo orientamento che riteneva che i dati relativi alle navigazioni in internet e alla posta elettronica fossero inutilizzabili se ricavati da controlli avvenuti in violazione dell'art. 4 co. 2 (ossia senza previo accordo sindacale o provvedimento della DTL), si è sostituita la più recente giurisprudenza in commento, che ha ritenuto necessario il rispetto delle garanzie procedurali di cui all'art. 4 St. L. solo nel caso di controlli tesi ad accertare condotte illegittime dei lavoratori riguardanti l'esatto adempimento delle obbligazioni discendenti da contratto e non, invece, quando il datore abbia posto in essere verifiche dirette ad accertare condotte del prestatore illecite e lesive del patrimonio o dell'immagine aziendale.

In tali casi l'esercizio del controllo va sempre coordinato con le disposizioni del D. Lgs. 196/2003, che si propone di tutelare il diritto alla riservatezza di tutti coloro i cui dati personali siano passibili di diffusione a terzi.

Con riferimento all'utilizzo della posta elettronica e di internet da parte dei dipendenti, il Garante per la privacy -sull'affermazione che si tratta di attività qualificabili come trattamento di dati personali rilevanti ai sensi del C.P.- ha adottato uno specifico provvedimento, la deliberazione n. 13 del 1° marzo 2007, per dettare specifiche linee guida per posta elettronica ed internet.

Esse affermano l'opportunità di adottare un disciplinare interno che fissi chiaramente quali sono le corrette modalità di utilizzo degli strumenti a disposizione e se, in che misura e con quali modalità siano effettuati controlli, tenendo conto della disciplina applicabile in tema di informazione, concertazione e consultazione delle organizzazioni sindacali.

Da ultimo l'art. 4 St. L. è stato “aggiornato” dal D. Lgs. n. 151/2015, proprio sulla spinta dei controlli tecnologici resi possibili dal massiccio avvento dell'informatica nel mondo del lavoro e dei principi affermati dal Codice Privacy.

In sintesi la novella ha: 1) implicitamente confermato il divieto assoluto di controlli a distanza “intenzionali”; 2) ribadito la legittimità di quelli preterintenzionali, quando preceduti da accordo con RSU o RSA; 3) escluso la necessità di tale garanzia per il controllo degli strumenti tecnologici utilizzati per la prestazione lavorativa (e per quelli di registrazione di accessi e presenze); 4) consentito l'utilizzazione delle informazioni così raccolte a tutti i fini connessi al rapporto di lavoro, alla nuova e decisiva condizione che venga data al lavoratore adeguata informazione delle modalità di uso degli strumenti e di effettuazione dei controlli, nel rispetto di quanto disposto dal D. Lgs. n. 196/2003.