Controlli difensivi e utilizzabilità nel processo civile dei dati raccolti in violazione della Legge sulla Privacy

Teresa Zappia
09 Marzo 2022

In materia di controlli del lavoratore, non può prescindersi dal bilanciamento tra il diritto di difesa del datore e quello di tutela della riservatezza del dipendente.
Massima

In materia di controlli del lavoratore, non può prescindersi dal bilanciamento tra il diritto di difesa del datore e quello di tutela della riservatezza del dipendente. Non è vietata la produzione in giudizio di documenti formati in violazione del codice della privacy, non estendendosi l'istituto processualpenalistico della inutilizzabilità anche al processo civile, fatto comunque salvo il rispetto dei principi di proporzionalità ed adeguatezza.

Fatto

La Corte di appello di Torino rigettava la domanda risarcitoria proposta dalla società datrice nei confronti del lavoratore, condannando la ricorrente al pagamento, in favore del predetto, dell'indennità di mancato preavviso. La Corte territoriale riteneva non provati gli addebiti di violazione dell'obbligo di fedeltà da parte del dipendente. Le conversazioni illegittimamente acquisite dalla società datrice, una volta riconsegnato dal dipendente il computer aziendale in dotazione, sul suo account privato Skype, non erano utilizzabili, essendo stato violato il principio di segretezza della corrispondenza (includente quella informatica o telematica), nonché della password personale di accesso del lavoratore, mai avendo la società ritenuto di fornirne una aziendale, nonostante l'impiego dell'applicativo Skype anche per lo svolgimento dell'attività lavorativa. Tali comportamenti, in difetto di consenso dell'interessato, non potevano ritenersi giustificati dall'art. 24 D.lgs. n.196/2003.

Avverso tale decisione presentava ricorso in Cassazione la società datrice, sostenendo la legittimità dell'attività di recupero dei documenti, dati ed informazioni contenuti, ma dolosamente cancellati dal lavoratore prima della riconsegna, nei dispositivi forniti allo stesso e rientranti nel patrimonio aziendale. Essendo i dati afferenti l'attività lavorativa, essi non costituirebbero corrispondenza privata “chiusa”. La password, inoltre, non era finalizzata alla protezione di dati personali, essendo essa funzionale alle comunicazioni aziendali. La ricorrente lamentava, infine, la lesione del proprio diritto di difesa, a fronte del grave danneggiamento dei beni aziendali.

La questione

Viola il principio di segretezza della corrispondenza il recupero dei dati dal computer aziendale operato dal datore per fini difensivi?

La soluzione della Corte

La Corte di Cassazione ha ritenuto fondato il ricorso.

Richiamando la giurisprudenza penale di legittimità, si è rammentato che integra gli estremi del delitto di cui all'art. 635bis c.p. anche la cancellazione che non escluda la possibilità di recupero dei dati se non con l'uso di particolari procedure. Nel caso esaminato la società datrice aveva dovuto affidate l'hard disk del computer - formattato dal resistente - ad un perito informatico al fine di recuperare una serie di conversazioni effettuate dal lavoratore sull'applicativo Skype.

Tanto premesso, la Corte ha ribadito che la produzione in giudizio di documenti contenenti dati personali è sempre consentita ove sia necessaria per esercitare il proprio diritto di difesa, anche in assenza del consenso del titolare e quali che siano le modalità con cui è stata acquisita la loro conoscenza. Tale facoltà di difendersi in giudizio, utilizzando gli altrui dati personali, deve comunque essere esercitata nel rispetto dei doveri di correttezza, pertinenza e non eccedenza previsti dall'art. 9, lett. a) e d), L. n. 675/1996, sicché la legittimità della produzione va valutata in base al bilanciamento tra il contenuto del dato utilizzato, cui va correlato il grado di riservatezza, con le esigenze di difesa. La Corte d'appello non aveva operato il dovuto bilanciamento tra i diritti in gioco, alla luce dell'art. 24, lett. f), D.lgs. n. 196/2003, precisandosi che il diritto di difesa non è limitato alla sola sede processuale, estendendosi a tutte quelle attività dirette ad acquisire prove in essa utilizzabili, ancor prima che la controversia sia stata formalmente instaurata.

Nel caso di specie, l'attività di recupero dei dati era stata compiuta dalla ricorrente in funzione del giudizio risarcitorio, sul presupposto della distruzione da parte del lavoratore di beni aziendali, quali appunto quelli memorizzati nel pc.

Relativamente alle prove precostituite, quali i documenti, si è rammentato come esse, una volta prodotte in giudizio, entrino nella decisione in virtù di un'operazione di semplice logica giuridica, con possibilità di contestazione solo ove siano state violate le regole rispettivamente processuali o di giudizio vigenti, senza che abbia rilievo una valutazione in termini di utilizzabilità, categoria propria del rito penale ed ignota al processo civile.

La Corte, pertanto, ha cassato con rinvio la sentenza impugnata.

Osservazioni

La sentenza in commento affronta nuovamente il problema della legittimità dei controlli difensivi e della conseguente utilizzabilità dei dati acquisiti nei confronti del lavoratore. La questione è tornata ad essere oggetto di discussione dottrinale e giurisprudenziale in seguito alla modifica dell'art. 4 St. Lav.

In base alla precedente formulazione, era vietata al datore l'installazione di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività del lavoratore. Tuttavia, sussistendo esigenze oggettive dell'impresa, suddetti strumenti potevano essere installati solo previo accordo con le rsa o, in difetto, con autorizzazione dell'Ispettorato del lavoro.

La realtà pratica pose in evidenza una specifica fattispecie connotata dall'attuazione di controlli dei lavoratori a seguito di sospetti circa la perpetrazione di condotte illecite in seno all'azienda. Sul punto la giurisprudenza, pur consapevole della potenziale riconducibilità della situazione alle “esigenze produttive” o “di sicurezza del lavoro”, aveva evidenziato la sostanziale difficoltà di richiedere l'avvio della negoziazione con le rappresentanze sindacali – con le tempistiche e le possibili limitazioni conseguenti -a fronte dell'urgenza di procedere all'accertamento delle suddette condotte. La giurisprudenza, pertanto, aveva escluso l'applicabilità dell'art. 4 St. Lav. ai c.d. controlli c.d. difensivi, la cui configurabilità nel caso concreto veniva ad essere subordinata alla sussistenza di due condizioni: l'iniziativa datoriale doveva avere la finalità specifica di accertare determinati comportamenti illeciti del lavoratore, al fine di ovviare al rischio di controlli “a pioggia”; gli illeciti dovevano essere lesivi del patrimonio o dell'immagine aziendale. Una terza condizione, sebbene solo eventuale, veniva individuata nell'avvio dei controlli ex post, ossia successivamente al comportamento addebitato, sebbene fosse sufficiente il mero ragionevole sospetto.

Tali controlli difensivi dovevano comunque svolgersi nel rispetto dei principi di buona fede e correttezza, potendo essere attuati mediante modalità non eccessivamente invasive, proporzionate, adeguate e pertinenti, garantendo in ogni caso la dignità e la riservatezza del lavoratore.

L'art. 23 D.lgs. n. 151/2015 ha modificato la disciplina in materia, includendo tra le esigenze legittimanti l'installazione di strumenti di controllo – previo accordo con le rappresentanze sindacabili ovvero autorizzazione dell'Ispettorato – anche quelle connesse alla tutela del patrimonio aziendale, sicché anche i controlli difensivi dovrebbero, oggi, essere ricondotti alla disciplina del nuovo art. 4 St. Lav.

Sul punto, tuttavia, si è distinto tra controlli difensivi “in senso stretto” e “in senso lato”, riconducendo a quest'ultimi quelli operati nei confronti della generalità dei dipendenti, con conseguente applicazione dell'art. 4 St. Lav. Da tale disciplina, invece, anche se effettuati con i medesimi strumenti, sarebbero esclusi quelli diretti ad accertare specificamente condotte illecite ascrivibili a singoli lavoratori, non avendo ad oggetto la normale attività da questi svolta. Secondo una parte della dottrina, inoltre, il concetto di controllo difensivo non è assimilabile a quello di controllo effettuato a salvaguardia dei beni aziendali, essendo quest'ultimo determinato da esigenze diverse da quelle di accertamento dei comportamenti illeciti, così distinguendosi tra controlli difensivi ex ante ed ex post: nel primo caso sussisterebbe una generale necessità di protezione, che, rendendo continuo e costante il controllo, richiederebbe l'applicazione dell'art. 4 St. Lav.; nel secondo caso, invece, derivando l'esigenza di controllo da elementi specifici e contingenti, non potrebbero operare le medesime limitazioni.

Ulteriore elemento che la nuova disposizione impone di valorizzare, accanto alla finalità del controllo, è la tipologia del mezzo utilizzato dal datore. L'iter procedurale di cui al primo comma dell'art. 4, infatti non trova applicazione ove si tratti di strumenti adoperati per lo svolgimento della prestazione o di sistemi di rilevazione di accessi e presenze.

Ciò che qualifica gli strumenti di lavoro, anch'essi potenzialmente idonei ad attuare un controllo del lavoratore, è l'esistenza di una relazione "attiva" tra lavoratore e strumento utilizzato per rendere la prestazione. Nel caso esaminato dalla Corte, sebbene tale aspetto non sia stato particolarmente evidenziato, il controllo era stato operato sul pc aziendale mediante l'accesso all'account Skype del lavoratore. Sia l'hardware che il software – cui accesso era protetto da una password personale - erano impiegati per l'esercizio della prestazione dal dipendente, con conseguente applicabilità del secondo comma dell'art. 4 St. Lav.

Alle considerazioni sopra riportate è collegata la questione dell'utilizzabilità dei dati raccolti in violazione della Legge e, per quel che qui rileva, del Codice privacy. In proposito occorre distinguere tra processo civile e penale: mentre in quest'ultimo vige la regola della inutilizzabilità delle prove acquisite in violazione di legge (art. 191 c.p.p.) analoga previsione non è rinvenibile nella disciplina processuale civile.

L'art. 2-decies D.lgs. n. 196/2003, nel vietare l'utilizzo dei dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali, fa espressamente salvo quanto previsto dall'art. 160-bis il quale riserva alle “pertinenti disposizioni processuali” la disciplina della validità, dell'efficacia e dell'utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di Legge o di Regolamento. Il difetto di una disposizione processualcivlistica che vieti l'utilizzo di prove formate o assunte in violazione del diritto alla privacy lascia, pertanto, la questione aperta.

Sul punto, nella decisione in commento, l'accento è stato posto su due aspetti: la non estensibilità dell'art. 191 c.p.p. al processo civile; l'imprescindibile bilanciamento tra diritto di difesa e tutela della riservatezza, sub specie segretezza della corrispondenza. Si rinviene, dunque, un'applicazione del c.d. “criterio di gerarchia mobile”, per il quale il giudice deve procedere, di volta in volta, all'individuazione dell'interesse da privilegiare a seguito di un'equilibrata comparazione tra i diritti in gioco, così evitando che la piena tutela dell'uno pregiudichi il nucleo essenziale dell'altro.

Il considerando n. 4 GDPR prevede che il diritto alla protezione dei dati non è una prerogativa assoluta, ma deve essere contemperato con altri diritti fondamentali. In ogni caso si evidenzia che, anche ove si ammettesse che la produzione in giudizio di dati personali è sempre consentita per l'esercizio del diritto di difesa, ciò dovrà avvenire nel rispetto dei principi di proporzionalità, adeguatezza e necessità. In merito appare utile richiamare la posizione assunta dalla Corte EDU secondo la quale è necessario valorizzare alcune condizioni: la preventiva emersione di concreti indizi tali da segnalare la presenza di illeciti in atto da parte dei dipendenti; l'effettuazione del controllo al limitato e unico scopo di accertare gli illeciti; le modalità proporzionate e coerenti con tale esclusiva finalità; l'interruzione della sorveglianza occulta una volta terminata l'indagine.

Per approfondire

F. Brizzi, L'irrilevanza penale dei controlli difensivi attuati mediante videosorveglianza sul luogo di lavoro, Ilpenalista.it, 19 marzo 2021

C. Coscia, Le modifiche all'art. 4 Stat. Lav.: dignità e riservatezza del lavoratore continuano a prevalere sulla tutela del patrimonio aziendale, Dir. Pen. e Proc., 2018, 7, pp. 871 ss.

E. Gramano, La rinnovata (ed ingiustificata) vitalità della giurisprudenza in materia di controlli difensivi, in Dir. Rel. Ind., 2018, 1, pp. 265 ss.

R. Pettinelli, Controlli difensivi: storia di un anacronismo, in Arg. Dir. Lav., 2018, 6, pp. 1587 ss.

C. Favretto, Controlli difensivi sul pc aziendale: l'area grigia della libertà e della dignità del lavoratore quale limite al potere datoriale, in Arg. Dir. Lav., 2017, 2, pp. 441 ss.

C. Gamba, Il controllo a distanza delle attività dei lavoratori e l'utilizzabilità delle prove, in Labour & Law Issues, 2016, 1, pp. 127 ss.

I. Alvino, I nuovi limiti al controllo a distanza dell'attività dei lavoratori nell'intersezione fra le regole dello Statuto dei lavoratori e quelle del Codice della privacy, in Labour & Law Issues, 2016, 1, pp. 1 ss.

A. Maresca, Jobs Act, come conciliare potere di controllo e tutela della dignità e riservatezza del lavoratore, in Forum Tuttolavoro (web), 2016

G. Riccio, Antagonismo fra diritto alla privacy e diritto alla difesa e criteri di bilanciamento, in Argomenti dir. lav., 2011, pp. 168 ss.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.