Limiti all'utilizzo dei dati acquisti mediante controlli c.d. difensivi: quando si applica l'art. 4, st. lav.?

Il nuovo art. 4, l. n. 300 del 1970, consente l'installazione di impianti dai quali possa derivare il controllo a distanza dei lavoratori ma a determinate condizioni e al solo fine di difendere il patrimonio aziendale.

Qualora dagli strumenti impiegati per rendere la prestazione lavorativa possa derivare anche un controllo, questo dovrà essere conforme al Codice della privacy, recte art. 11, d.lgs. n. 196 del 2003, ed il lavoratore dovrà esserne previamente informato.

Pubblichiamo sullo stesso tema il Focus di Riccardo Maraga, Utilizzabilità dei dati raccolti tramite l'uso di strumenti tecnologici da parte del dipendente: gli orientamenti della giurisprudenza

Un lavoratore impugnava il licenziamento disciplinare senza preavviso intimato dalla società datrice di lavoro la quale, dopo avere avuto notizia da un cliente dell'emissione nei suoi confronti di una fattura, in assenza della stipulazione del contratto con il candidato selezionato dalla società (documentazione richiesta dalla policy aziendale per la fatturazione), aveva proceduto ad effettuare un accertamento generale sull'operato dei dipendenti.

Mediante l'accesso alla posta elettronica aziendale del lavoratore ed al software aziendale PRS, si contestava a al lavoratore l'avere promosso tre fatturazioni attive di affari (di ricerca del personale) non perfezionatisi con la conclusione del contratto tra cliente e lavoratore selezionato.

A sostegno dell'impugnazione erano stati presentati diversi motivi, tra i quali l'inutilizzabilità, per violazione dell'art. 4, l. n. 300 del 1970, così come modificato dall'art. 23, d.lgs. n. 151 del 2015, dei dati tratti dalla mail personale del lavoratore e dal software aziendale PRS, nonché l'illegittimità del licenziamento per insussistenza giuridica dell'illecito disciplinare, essendo atti compiuti su autorizzazione e sollecitazione dei superiori gerarchici.

La convenuta chiedeva che la domanda fosse respinta sostenendo che il software PRS non fosse uno strumento di controllo, bensì un mero gestionale interno utilizzato dai consulenti per caricare informazioni e documenti e che l'email aziendale rientrava tra gli strumenti utilizzati per rendere la prestazione e il cui uso era oggetto di regolazione mediante una policy aziendale.

In ogni caso, ad avviso della resistente, non era possibile sostenere la inutilizzabilità delle informazioni acquisite in ragione della gravità ed effettiva sussistenza delle condotte.

È utilizzabile la prova che sia stata acquisita in modo illecito ossia, nel caso di specie, in violazione dell'art. 4, st. lav.?

È punibile come illecito disciplinare, anche mediante sanzione espulsiva, la condotta del lavoratore aderente alle indicazioni dei superiori gerarchici?

Il Tribinuale di Roma pone l'attenzione sulla modifica dell'art. 4, st. lav., il quale oggi consente espressamente l'installazione di impianti “dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori”, purché esso sia destinato ad un altro fine, quale anche la difesa del patrimonio aziendale. Si richiede inoltre che l'installazione venga previamente autorizzata con accordo sindacale o con provvedimento amministrativo dell'INL, e che il datore proceda ad informare il lavoratore dell'installazione e dei possibili controlli, i quali dovranno essere conformi alla normativa in materia di privacy, ossia essenzialmente ai principi di trasparenza, scopo legittimo e determinato, ex art. 11, d.lgs. n. 193 del 2006.

Relativamente agli strumenti che vengano impiegati per rendere la prestazione, qualora dagli stessi possa derivare anche la possibilità di un controllo a distanza dell'attività dei lavoratori, sebbene non venga richiesta una previa autorizzazione, secondo i giudici della capitale non può escludersi l'informativa né la conformità al codice della privacy. In tale categoria devono includersi sia la posta elettronica che il software PRS trattandosi di strumenti che, pur avendo finalità lavorative, consentono il controllo a distanza dell'operato del lavoratore, respingendosi quindi la tesi della parte convenuta. Non ha soddisfatto le predette condizioni la policy prodotta dalla società, non contenente alcun riferimento al possibile svolgimento di attività di controllo, né sulle modalità dello stesso. È stata sostenuta la inutilizzabilità delle informazioni raccolte, dal momento che il testo novellato dell'art. 4, comma 3, St. lav. espressamente ne condizionata l'utilizzo al rispetto dell'obbligo di adeguata informazione sulle modalità d'uso degli strumenti e di effettuazione dei controlli.

Quindi, sebbene la nuova formulazione dell'art. suddetto non vieti in termini assoluti di operare un controllo sui lavoratori, vengono ad essere fissati, in modo chiaro e rigoroso, dei limiti sul quodomo di eseguire gli stessi, i quali non sono eludibili in base al criterio per cui, una volta scoperto ex post che il lavoratore ha commesso un illecito grave, l'esito del controllo risulta, sempre ex post, difensivo, perdendo rilievo come il datore ha acquisito quella informazione.

Tale soluzione non rappresenta una costante nella giurisprudenza. Sempre il Tribunale di Roma, con l'ord. 24 marzo 2017, confermata in parte qua dal medesimo Tribunale con la sentenza 22 marzo 2018, evidenziava innanzitutto l'assenza di una norma con quale venga espressamente fissato nel processo civile il principio di inutilizzabilità delle prove acquisite in violazione di legge, diversamente dall'art. 191, c.p.p. Analogamente si è espressa parte della dottrina, secondo la quale, inoltre, i limiti posti dall'art. 4 comma 3, st. lav., opererebbero solo nei confronti del datore di lavoro, mentre il giudice non sarebbe soggettivo passivo della norma (si oppone a tale posizione: A. Graziosi, Usi e abusi di prove illecite e di prove atipiche nel processo civile, in Riv. trim. dir. proc. civ., 2011, 693 ss.). Nel caso trattato, ad avviso dei giudici, il contenuto della policy aziendale appariva idoneo a garantire al lavoratore di essere informato circa possibili futuri controlli, nonché sulle modalità di effettuazione degli stessi.

Inoltre, l'attività posta in essere dal datore sulle strutture informatiche aziendali prescindeva da una pura e semplice sorveglianza della corretta esecuzione della prestazione da parte del lavoratore, essendo piuttosto diretta ad accertare, a fronte di sospetti in merito, eventuali condotte illecite dello stesso, poi in concreto riscontrate, idonee a ledere il patrimonio aziendale sotto il profilo della sua integrità, del regolare funzionamento e della sicurezza degli impianti (cfr. Cass. 1 ottobre 2012, n. 16622 e Cass. 15 giugno 2017, n. 14862). Secondo il Trib. tale ipotesi verrebbe a porsi al di fuori del perimetro applicativo dell'art. 4, st. lav., consentendo quindi c.d. controlli difensivi “occulti”, diretti all'accertamento di comportamenti illeciti diversi dal mero inadempimento della prestazione lavorativa (cfr. Cass. 17 febbraio 2015, n.3122. In tale occasione gli Ermellini hanno precisato che le garanzie procedurali imposte dall'art. 4, comma 2, st. lav. trovano applicazione ai controlli diretti ad accertare comportamenti illeciti dei lavoratori quando essi riguardino l'esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, non invece qualora interessino la tutela di beni estranei al rapporto stesso).

Si constata quindi una diversa posizione circa la riconducibilità o meno di determinate attività di controllo, recte aventi finalità estranee alla sorveglianza sulla prestazione lavorativa, nell'ambito operativo della disciplina statutaria.

La Suprema Corte, con la sentenza 23 febbraio 2012, n. 2722 (in Lav. giur., 2012, 5, 507) ha distinto tra controlli difensivi ex post e controlli difensivi ex ante. I primi verrebbero avviati in seguito all'emersione di elementi tali da rendere necessaria un'indagine retrospettiva sull'operato del/i dipentente/i, e sarebbero quindi estranei alla disciplina dell'art. 4, st. lav., proprio in ragione del difetto di una preordinazione, interessando l'accertamento non il corretto adempimento della prestazione lavorativa ma comportamenti illeciti e lesivi di beni estranei al rapporto di lavoro, quale ad esempio anche l'immagine dell'azienda (cfr. C. di Cass. 28 maggio 2018, n. 13266). Un controllo, quindi, puntuale e non continuo.

I secondi, invece, verrebbero ad interessare quegli strumenti che il datore dispone ex ante a tutela del patrimonio aziendale, indipendentemente dalla commissione o dal sospetto di condotte illecite del lavoratore, e intrinsecamente suscettibili di consentire il controllo della prestazione lavorativa. Tale fattispecie non potrebbe essere posta al di fuori del perimetro applicativo della disciplina statutaria.

In merito alla seconda questione, ossia la possibilità di fondare un licenziamento disciplinare sul comportamento del dipendente il quale sia stato autorizzato o sollecitato da superiori gerarchici, si rinvia a due pronunce della Suprema Corte, recte ord. 2 ottobre 2018 n. 23878 e sent. 28 settembre 2018, n. 23660. Con la prima gli Ermellini, relativamente al contenuto concreto della clausola della “giusta causa” ex art. 2119, c.c., hanno affermato che nella valutazione del comportamento del lavoratore non può non essere tenuto in conto l'ambito lavorativo nel quale lo stesso ha operato, incidendo la sussistenza di una prassi aziendale illecita, a conoscenza dei superiori gerarchici, sul disvalore della condotta sul piano soggettivo. La seconda pronuncia, invece, ha evidenziato la non operatività nel rapporto di lavoro della scriminante ex art. 51, c.p., escludendosi l'impossibilità per il lavoratore di opporre il rifiuto a pratiche scorrette, supinamente violando i doveri di diligenza e fedeltà nei confronti della parte datoriale.

Sul tema della utilizzabilità o meno delle prove illecite nel processo civile è difficile individuare una posizione univoca sia in dottrina che in giurisprudenza (v. C. Gamba, Il controllo a distanza delle attività dei lavoratori e l‘utilizzabilità delle prove, in LLI, Vol. 2, n. 1, 2016, 120 ss.).

Certamente non è preteribile l'inclusione tra le finalità giustificanti l'installazione di impianti di sorveglianza anche quella della tutela del patrimonio aziendale. Tale elemento positivo porta a preferire la tesi secondo la quale l'utilizzo dei dati raccolti richiede, a monte, il rispetto dei limiti fissati ai commi 1 e 2 dell'art. 4, st. lav. Ciò anche per quella categoria di controlli c.d. difensivi, propendendosi per un rifiuto della distinzione a seconda delle ragioni che hanno determinato il datore all'avvio di un'attività investigativa, soprattutto in considerazione del diffuso utilizzo da parte del lavoratore di strumenti tecnologici che, sebbene siano indirizzati ad “esigenze produttive”, possono consentire un controllo sull'adempimento della prestazione. Quindi, qualora i dati acquisiti in violazione dei suddetti limiti vengano posti a giustificazione di un recesso per inadempimento degli obblighi aventi fonte nel rapporto di lavoro, si dovrebbe escludere la possibilità di farne uso, configurandosi un controllo occulto vietato. Viceversa, se si sostenesse l'incondizionata utilizzabilità, non soltanto si creerebbe una illogica discrepanza tra processo penale e civile, ma la violazione dell'art. prefato verrebbe ad essere privata di qualsiasi effetto concretamente dissuasivo (A. Sitzia, Personali computer e controlli “tecnologici” del datore di lavoro nella giurisprudenza, in Argomenti Dir. Lav., 2017, 3, 804).

P. TULLINI (a cura di), Controlli a distanza e tutela dei dati personali del lavoratore, Giappichelli Editore, Torino, 2017;

A. LEVI (a cura di), Il nuovo art. 4 sui controlli a distanza. Lo

Statuto dei Lavoratori