Le recenti pronunzie della Suprema Corte in materia di controlli a distanza

Con una serie di sentenze intervenute di recente, la Suprema Corte ha affrontato vari aspetti della disciplina contenuta nella nuova versione dell'art. 4 st. lav., fornendo soluzione a diverse questioni che hanno visto, in passato, divisa la dottrina e la giurisprudenza di merito.

Tra queste spicca, indubbiamente, quella della sopravvivenza, nel nuovo regime, della categoria dei cd. “controlli difensivi”, riconosciuta entro determinati limiti e nella sussistenza di precise condizioni; altro profilo problematico su cui la S.C. è pervenuta ad una risolutiva presa di posizione è quello concernente l'inammissibilità dei limiti di utilizzabilità delle informazioni posti nelle autorizzazioni amministrative, diversamente da quanto ritenuto in passato nell'ambito di un impianto normativo non sovrapponibile a quello attuale.

Nel nuovo scenario, tuttavia, alcuni punti - soprattutto quello riguardante il regime di utilizzabilità delle informazioni acquisite a seguito di controlli legittimi - non appaiono completamente definiti, così come qualche supplemento di riflessione sembrerebbe meritare il tema delle deduzioni in giudizio dei fatti costitutivi delle prerogative in vario modo legate alla complessa regolamentazione della citata disposizione statutaria.

Cass. del 12 novembre 2021, n. 34092, ha statuito, conformemente a Cass. 22 settembre 2021, n. 25732, che “In tema di cd. sistemi difensivi, sono consentiti, anche dopo la modifica dell'art. 4 st. lav. ad opera dell'art. 23 del d.lgs. n. 151 del 2015, i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all'insorgere del sospetto.

Nella specie, la S.C., in accoglimento del motivo di ricorso incentrato sulla violazione dell'art. 4 st. lav., ha cassato la pronunzia del giudice del gravame, sul rilievo che quest'ultimo, nel ritenere utilizzabili determinate informazioni poste a base della contestazione disciplinare ed acquisite tramite “file di log” in conseguenza di un “alert” proveniente dal sistema informatico, aveva omesso di indagare sull'esistenza di un fondato sospetto generato dall'“alert” in questione, di verificare se i dati informatici fossero stati raccolti prima o dopo l'insorgere del fondato sospetto, nonché di esprimere la necessaria valutazione circa il corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore”.

La pronunzia si segnala non solo perché si pone nel solco dell'orientamento inaugurato da Cass. 22 settembre 2021, n. 25732, cit., ma perché offre più di uno spunto di riflessione su aspetti sostanziali e processuali.

In primo luogo si tratta di stabilire se i controlli difensivi “finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti”, possano essere giustificati, ad esempio, anche per accertare una condotta di inadempimento del lavoratore inerente all'abuso dello strumento di lavoro, oppure al mancato uso della diligenza nell'esecuzione della prestazione.

Al riguardo potrebbe affermarsi che il riferimento alla categoria dei “beni estranei al rapporto di lavoro” induca a ritenere che le condotte che il controllo datoriale mira a prevenire, oltre a quelle “classiche” di appropriazione o danneggiamento del bene (o dell'immagine) aziendale, possano essere identificate in quelle di utilizzo improprio dello strumento di lavoro (ad esempio per fini personali), le quali comportano non solo una “consumazione” del bene per finalità non produttive, ma anche una dispersione del tempo che il lavoratore dovrebbe dedicare utilmente all'esecuzione della prestazione lavorativa a vantaggio del datore.

Sembrerebbe invece doversi in radice escludere che il datore possa porre in atto un controllo difensivo al fine di prevenire un inadempimento fondato sulla mancata adozione, ad opera del prestatore, della dovuta diligenza nello svolgimento della prestazione, perché, in tal caso, il controllo, vertendo proprio sull'attività lavorativa, si risolverebbe in un controllo “fine a se stesso”, che andrebbe incontro al divieto sancito anche dalla attuale versione della norma statutaria (come precisato dalla più volte richiamata Cass. 22 settembre 2021, n. 25732 e dalla sentenza qui in esame), non certo aggirabile mediante la prospettazione di mere esigenze difensive.

Tuttavia, come è agevole intuire, è assai labile il confine tra inadempimento da “mancata prestazione”, nel caso di abusivo utilizzo dello strumento di lavoro, ed inadempimento da “inesatta prestazione”, dovuta al mancato uso della dovuta diligenza (per omesso utilizzo delle procedure previste dal regolamento aziendale, ecc …).

Potrebbe al riguardo ritenersi che solo nel primo caso il bene aziendale è oggetto, in qualche modo, di danneggiamento in senso lato, poiché il suo utilizzo per fini estranei all'attività lavorativa ne comporta un'usura non giustificata, e, di conseguenza, un costo aggiuntivo che finisce per gravare indebitamente sul datore.

Occorre però conclusivamente chiedersi se, malgrado l'esigenza difensiva sia meritevole in astratto di protezione, una condotta di tal fatta possa giustificare, in un'ottica di bilanciamento di interessi, un controllo datoriale al di fuori del perimetro tracciato dall'art. 4 st. lav.

L'interrogativo introduce una seconda questione.

Se infatti può essere relativamente agevole per il giudice indagare sull'esistenza di un fondato sospetto, o di verificare se i dati siano stati raccolti prima o dopo l'insorgere del sospetto in questione, non poco ardua può rilevarsi la valutazione, in concreto, del corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, poiché qui entrano in campo fattori elastici e giudizi di valore non predefiniti. Si tratterà certamente di una valutazione da compiersi di volta in volta con riguardo al caso specifico - e solo la casistica giurisprudenziale potrà essere sul punto di effettivo ausilio -, sulla base di parametri che verosimilmente coincideranno con la durata e le modalità del controllo, in rapporto all'entità e gravità delle condotte del cui compimento si abbia avuto il sospetto e del pregiudizio ipoteticamente subito dal datore.

Infine, occorre stabilire se il “controllo difensivo” possa considerarsi una fattispecie autonoma ed in qual modo possa entrare a far parte del bagaglio cognitivo del giudice.

Nel caso deciso con la sentenza citata il lavoratore ricorrente aveva denunciato la violazione dell'art. 4 st. lav., sul presupposto che i dati fossero stati acquisiti illegittimamente; la S.C. ha allargato la propria indagine alla verifica circa la sussistenza, o meno, di legittimi controlli difensivi idonei a legittimare l'acquisizione dei predetti dati, benché, a quanto sembra emergere dalla pronunzia, la questione dei controlli in questione non fosse stata dedotta e dibattuta, neppure nei precedenti gradi di merito (avendo il giudice di appello ritenuto utilizzabili le informazioni acquisite tramite “file di log” perché ritenuti strumenti “non di lavoro”).

Ove, tuttavia, volesse ritenersi che, attualmente, la categoria dei controlli difensivi sia un'ipotesi normativa estranea a quella dell'art. 4 st. lav., costituente fattispecie autonoma, allora essa andrà dedotta in modo specifico, sin dal procedimento di primo grado, potendo approdare nel giudizio di legittimità solo in base ad una apposita denunzia, incentrata o sull'errata valutazione del giudice circa la ricorrenza o meno dei singoli parametri caratterizzanti, oppure sul mancato esame di fatti e circostanze decisivi da cui trarre la sussistenza o meno dei parametri stessi.

A mero titolo esemplificativo può farsi l'ipotesi del lavoratore che, in primo grado, deduca la illegittimità di un controllo difensivo per insussistenza del “fondato sospetto”, e, vedendo disattesa la sua prospettazione nei gradi di merito sul presupposto della sufficienza della sussistenza di mere esigenze difensive, denunzi in sede di legittimità il vizio, per non avere il giudice di merito ritenuto caratterizzante della fattispecie un determinato parametro (ossia il “fondato sospetto”).

Cass. 4 novembre 2021, n. 31778 ha affermato che “rientrano nell'ambito di applicazione dell'art. 4, comma 2, st.lav. (nel testo anteriore alle modifiche di cui all'art. 23, comma 1, del d.lgs. n. 151 del 2015), richiedendo quindi l'osservanza delle garanzie ivi previste, i controlli richiesti dalle esigenze organizzative e produttive ovvero dalla sicurezza sul lavoro, tra le quali rientra anche quella di assicurare la pubblicità ad una prova di esame indetta dalla Pubblica Amministrazione. (Nella specie, la S.C. ha respinto il ricorso del Ministero delle infrastrutture e dei trasporti avverso la sentenza della corte d'appello, che aveva qualificato come condotta antisindacale l'installazione, senza previa intesa sindacale, di apparecchiature per la ripresa audiovideo degli esami di guida)”.

La sentenza si segnala perché precisa, correttamente, che la ripresa audiovideo degli esami di guida, anche ove disposta per assicurare la pubblicità, quale finalità prevista da una norma di legge (ossia il codice della strada), ad una prova di esame indetta dalla pubblica amministrazione, deve essere oggetto, integrando un controllo posto in essere per il soddisfacimento di esigenze contemplate dall'art. 4 st. lav., di autorizzazione sindacale o amministrativa. Ed infatti la trasparenza dell'esame, garantita dal sistema di pubblicità, non esclude che, ove l'Amministrazione decida di predisporre a tal fine un controllo a distanza, debbano essere comunque rispettati i requisiti di legittimità previsti dalla norma statutaria.

Vi è però da chiedersi se, ad esempio, in presenza di una norma che disciplinasse, oltre al fine da raggiungere, come nel caso, anche il mezzo, quale ad esempio un controllo a distanza, il precetto di cui all'art. 4 st. lav. continui ad operare oppure debba ritenersi derogato dalla norma in questione.

Qui la soluzione dipende dal contenuto della norma che impone il controllo a distanza; ove infatti la disposizione di legge fosse formulata in modo incondizionato, sembra arduo ipotizzare la necessità delle autorizzazioni ex art. 4 st. lav., giacché, in tal modo opinando, si finirebbe per ammettere (nell'ipotesi in cui, ad esempio, le autorizzazioni non fossero state concesse) la non operatività della predetta disposizione.

Cass. 9 novembre 2021, n. 32683, ha precisato che “l'autorizzazione amministrativa ex art. 4 st. lav. (nel testo anteriore alle modifiche di cui all'art. 23, comma 1, del d.lgs. n. 151 del 2015) all'installazione di impianti audiovisivi, contenente clausola che preveda limiti di utilizzabilità a fini disciplinari delle informazioni acquisite, conserva, ove i controlli siano stati effettuati successivamente alla data di entrata in vigore della novella legislativa - che sancisce l'utilizzabilità delle informazioni “a tutti i fini connessi al rapporto di lavoro” -, validità, in virtù del principio generale di conservazione degli atti giuridici, a condizione che la predetta clausola presenti, in relazione al contesto dell'atto in cui è inserita, profili di scindibilità e di autonomia, sì da potersi ritenere caducata per contrasto con la legge sopravvenuta, con conseguente non operatività dei predetti limiti di utilizzabilità. (Nella specie, la sentenza di merito aveva reputato legittimo il licenziamento intimato, in data successiva all'entrata in vigore della novella, ad un lavoratore che era stato ripreso nell'atto di sottrarre merce aziendale dalle telecamere di sicurezza, installate sulla base di un'autorizzazione amministrativa, rilasciata anteriormente alla modifica dell'art. 4 st. lav., che prevedeva il divieto di utilizzo delle immagini registrate per eventuali accertamenti sull'obbligo di diligenza da parte dei lavoratori o per l'adozione di provvedimenti disciplinari; la S.C. ha confermato la predetta sentenza precisando, in applicazione del suddetto principio, che l'autorizzazione amministrativa non poteva reputarsi idonea a rendere inutilizzabili le informazioni raccolte ai fini disciplinari)”.

La sentenza è importante perché, pur occupandosi delle sorti dell'autorizzazione - contenente limiti di utilizzabilità delle informazioni - emessa in data antecedente a quella di entrata in vigore della novella, perviene alla conclusione che nel regime vigente l'autorizzazione amministrativa non può contenere detti limiti di utilizzabilità.

Il problema consiste allora nello stabilire cosa accada ove l'autorizzazione amministrativa dovesse comunque prevedere i limiti in questione.

Al riguardo, nella richiamata sentenza si afferma che ove la clausola viziata sia da considerarsi inscindibile nell'ambito dell'atto autorizzativo, quest'ultimo viene interamente affetto da illegittimità; in caso contrario, qualora possa argomentarsi per la scindibilità della predetta clausola, la stessa è da considerarsi caducata e l'autorizzazione mantiene per il resto la sua validità, in ossequio al principio di conservazione degli atti giuridici, aventi, nel diritto amministrativo, una valenza rafforzata.

Ne deriva che, nella prima ipotesi, il controllo sarà illegittimo, in quanto effettuato in assenza di autorizzazione; nel secondo caso sarà per converso legittimo, e le informazioni con esso acquisite potranno essere utilizzate senza l'osservanza dei limiti stabiliti dall'autorizzazione.

E' agevole intuire che il giudizio circa la scindibilità o meno della clausola dell'autorizzazione contenente limiti di utilizzabilità - su cui non indugia la sentenza in esame perché l'intero testo dell'autorizzazione non era stato trascritto - è non poco complesso, poiché esso presuppone un'interpretazione dell'atto autorizzativo ad ampio raggio fondato su un dato ipotetico, ossia sull'eventuale rilascio, ad opera dell'Ispettorato, dell'atto in questione senza i limiti di utilizzabilità.

La problematica, per il futuro, a seguito della qui richiamata sentenza, non dovrebbe più porsi, perché lo stesso Ispettorato dovrebbe orientare la propria linea di azione in conformità alla regola per cui la previsione di utilizzabilità delle informazioni è oggi nella sola disponibilità del legislatore.

Resta da dire che lo schema concettuale adottato dalla Suprema Corte ha consentito di risolvere la controversia nel senso della utilizzabilità dei dati raccolti dal datore in esito ai disposti controlli, malgrado la sussistenza di limiti di utilizzabilità previsti nell'autorizzazione ministeriale, essendo risultata affetta da illegittimità sopravvenuta, a seguito dello “ius superveniens”, la clausola, ritenuta fino a prova contraria scindibile, che tali limiti conteneva.

Cass. 12 novembre 2021, n. 33809, ha statuito che “In materia di trattamento dei dati personali, il diritto di difesa in giudizio, che prevale su quello di inviolabilità della corrispondenza, consentendo, ai sensi dell'art. 24, lett. f), del d.lgs. n. 196 del 2003, di prescindere dal consenso della parte interessata, a condizione che i dati siano trattati esclusivamente per tale finalità e per il periodo strettamente necessario al suo perseguimento, non è limitato alla pura e semplice sede processuale, ma si estende a tutte quelle attività dirette ad acquisire prove in essa utilizzabili, ancor prima che la controversia sia stata formalmente instaurata. (In applicazione di tale principio, la S.C. ha ritenuto legittima l'attività di recupero dei dati, cancellati dal dipendente prima della riconsegna del computer avuto in dotazione e integranti patrimonio aziendale, dopo la cessazione del rapporto di lavoro, in funzione del giudizio risarcitorio intentato dall'azienda nei confronti del dipendente medesimo)”; ed ha aggiunto che “La produzione in giudizio di documenti contenenti dati personali è sempre consentita ove necessaria per esercitare il proprio diritto di difesa, anche in assenza del consenso del titolare e quali che siano le modalità con cui è stata acquisita la loro conoscenza; tuttavia, poiché la facoltà di difendersi in giudizio utilizzando gli altrui dati personali va esercitata nel rispetto dei doveri di correttezza, pertinenza e non eccedenza previsti dagli artt. 4 e 11 del d.lgs. n. 196 del 2003, la legittimità della produzione va valutata in base al bilanciamento tra il contenuto del dato utilizzato, cui va correlato il grado di riservatezza, e le esigenze di difesa”.

La richiamata sentenza affronta un tema complesso, che può essere rettamente inteso solo una volta illustrata in sintesi la vicenda.

Una società propone domanda risarcitoria nei confronti di un ex dipendente per voci patrimoniali varie e per danno all'immagine e alla reputazione professionale, in ragione della violazione dell'obbligo di fedeltà, in un periodo in cui egli era ancora in servizio, mediante una serie di condotte del cui compimento la predetta società viene a conoscenza sulla base di alcune conversazioni scritte acquisite sull'account privato Skipe, una volta riconsegnato dal dipendente il computer aziendale in dotazione. La Corte di appello ritiene non utilizzabili le predette informazioni, sul rilievo che esse siano state acquisite in violazione della segretezza della corrispondenza. La società ricorre per cassazione assumendo, tra l'altro, che l'acquisizione delle conversazioni era avvenuta in esito ad una legittima attività di recupero di documenti, dati e informazioni, contenuti, e dolosamente cancellati dal lavoratore prima della riconsegna, nei dispositivi aziendali, datigli in dotazione e pure integranti patrimonio aziendale, dopo la cessazione del rapporto di lavoro e quindi rientrati nella disponibilità giuridica della società stessa.

La S.C. cassa la sentenza di merito pervenendo alla conclusione che l'attività di recupero dei dati, cancellati dal lavoratore prima della riconsegna del computer avuto in dotazione e integranti patrimonio aziendale, dopo la cessazione del rapporto di lavoro (e qui, in parentesi, la S.C. cita un suo precedente in materia di controlli difensivi), è stata compiuta dalla società in funzione del giudizio risarcitorio, sul presupposto della distruzione da parte del dipendente di beni aziendali, quali appunto quelli memorizzati nel computer.

Il profilo maggiormente problematico attiene, nel caso, alla riconosciuta liceità dell'acquisizione delle informazioni in esito a quello che è stato un vero e proprio controllo, come tale rientrante nell'area di applicabilità dell'art. 4 st. lav.

Sul punto, la S.C. sembra ricomprendere l'attività di acquisizione dei dati nell'ambito dei controlli difensivi, come emerge dal richiamo fatto, in motivazione - pur in parentesi -, ad una sua precedente statuizione in materia.

Tuttavia, l'utilizzabilità di informazioni già raccolte in precedenza non sembrerebbe rispondere al paradigma dei controlli in questione, in quanto, come visto, in tale ambito l'utilizzabilità è consentita con riguardo a dati raccolti successivamente all'insorgere del fondato sospetto.

Non può però escludersi che il richiamo alla figura dei controlli difensivi sia stato, nel caso, meramente rafforzativo di una conclusione già raggiunta per altre vie, avuto riguardo all'impostazione della causa, nell'ambito della quale non sembra esser venuta in rilievo la violazione dell'art. 4 st. lav., ad esempio in punto di omissione delle informative di cui al comma 3 (ivi comprese quelle del Regolamento Privacy), oppure dei parametri inerenti alla predetta figura, ma solo la questione della violazione dell'obbligo di segretezza.

In ogni caso, ove effettivamente la Corte avesse inteso ricondurre l'acquisizione delle predette informazioni ad un legittimo controllo difensivo, risulterebbe risolto un altro problema di non poco conto, in materia di correlazione tra finalità del controllo difensivo ed utilizzazione delle informazioni raccolte.

Nel caso, infatti, il controllo sarebbe stato effettuato al fine di salvaguardare il patrimonio aziendale, mentre le informazioni sono state utilizzate in giudizio per far valere danni scaturenti dalla violazione di un obbligo di fedeltà evidenziatasi sulla base delle predette informazioni. Il che dovrebbe equivalere a dire che, in presenza di un legittimo controllo difensivo, tutte le informazioni acquisite - e non solo quelle che si riferiscono alla condotta al cui accertamento il controllo era preordinato - possono essere fatte valere ad ogni fine connesso al rapporto di lavoro.

Secondo Cass. 9 novembre 2021, n. 32760, “A seguito della modifica dell'art. 4, comma 2, st. lav., ad opera dell'art. 23, comma 1, del d.lgs. n. 151 del 2015, gli elementi raccolti dal datore di lavoro mediante gli strumenti impiegati dal dipendente per rendere la prestazione lavorativa o mediante gli strumenti di registrazione degli accessi e delle presenze possono essere utilizzati anche per la verifica, a fini disciplinari, della diligenza del dipendente medesimo nello svolgimento dell'attività lavorativa”.

Il che dovrebbe implicare, quanto agli strumenti di lavoro, che gli elementi acquisiti - ovviamente sulla base di un controllo non “fine a se stesso” - possono essere utilizzati anche ove il datore non abbia comunicato una preventiva informativa al lavoratore circa l'impiego a fini disciplinari di detti elementi (ferma restando, deve ritenersi, la necessità delle informative di cui all'art. 4, comma 3, st.lav., e 12 e ss. del “Regolamento Privacy”, in relazione alla “raccolta” delle informazioni).

Potrebbe sul punto sostenersi che, con riguardo ai soli strumenti di lavoro, il cd. principio di finalità scolpito dagli artt. 13 e 14 del “Regolamento Privacy” - nei quali è previsto, da un lato, che l'informativa da rendersi all'interessato deve tra l'altro indicare le finalità del trattamento cui sono destinati i dati personali e, dall'altro, che qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa finalità - sia, con riguardo alla fase della utilizzazione delle informazioni a fini disciplinari, in radice rispettato, in quanto il nesso di compatibilità di cui all'art. 5 del predetto “Regolamento” (nella parte in cui è previsto che “I dati personali sono (...) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”) è da ritenersi insito nella destinazione degli strumenti stessi all'esecuzione della prestazione.

In buona sostanza, in tal caso, il lavoratore sarebbe consapevole - una volta reso edotto delle modalità del controllo - che un utilizzo incompatibile con la predetta destinazione non può che condurre, automaticamente, ad un inadempimento ordinariamente sanzionabile sul piano disciplinare.

Si tratta, a questo punto, di verificare se una tale conclusione possa essere esportata nell'ambito dei controlli ex art. 4, comma 1, st. lav., e se sì in che misura; sulla questione occorrerà vedere, pertanto, come si muoverà la giurisprudenza.