Controlli difensivi, condotta illecita e trattamento dei dati

Affinché un controllo difensivo sia legittimo, occorre: 1) che vi sia stata preventiva informativa al lavoratore; 2) che il controllo muova da un fondato sospetto; 3) che esso attenga a dati raccolti dopo l'insorgenza di tale sospetto; 4) che tale controllo avvenga previo bilanciamento fra dignità e riservatezza del lavoratore ed interessi e beni aziendali dall'altra.

Occorre quindi che i controlli vengano esercitati nel rispetto dei principi di ragionevolezza e proporzionalità (Cass. 13266/2018) e che risultino pertinenti ovvero siano in rapporto di diretta e necessaria strumentalità all'esercizio del diritto di difesa (Cass. 31204/2021).

Una lavoratrice subordinata inoltrava via email a un dipendente di altra società cliente e talvolta concorrente della propria datrice di lavoro dati riservati e di rilievo strategico (risultati raggiunti ed obiettivi previsti) della società e, a sua volta, riceveva dal predetto dipendente informazioni circa trattative in corso fra altri colleghi di lavoro e fornitori terzi (tra cui una società che avrebbe poi assunto la ricorrente dopo il licenziamento).

Dal quel che si legge nell'ordinanza, l'azienda datrice di lavoro, ricevuto alert di una un'anomalia dal proprio sistema IT, affidava ad una società specializzata controlli generalizzati sugli strumenti dei dipendenti tramite ricerca per parole chiave e perveniva all'identificazione della lavoratrice.

La lavoratrice veniva licenziata e impugnava il recesso davanti al Tribunale del lavoro contestando la commissione della condotta che le era stata contestata e l'illegittimità dei controlli effettuati sulla sua email aziendale, in quanto effettuati in violazione dell'art. 4 legge 300/1970, non avendo ricevuto adeguata informativa sui controlli, e della normativa sulla protezione dei dati (GDPR e Dlgs. 196/2003), avendo la società conservato sine die tutti i dati della lavoratrice e a suo dire violato le linee guida del Garante della Privacy in tema di trattamento dati personali con specifico riferimento all'utilizzo degli strumenti di lavoro (art. 32.2, Linee Guida del Garante del 1° marzo 2007) .

Si tratta di valutare se nel caso di controllo non sulla corretta esecuzione della prestazione lavorativa nel corso del suo esercizio, ma di ricerca di responsabilità per anomalie successivamente accertate, sia comunque applicabile la garanzia prevista dall'ultimo comma dell'art. 4 Stat. Lav., per cui sia necessario che il lavoratore sia stato informato preventivamente sulla possibilità di raccolta dati e sulla possibilità di controllo di tali dati nel rispetto della riservatezza del lavoratore.

Il Tribunale di Genova ha accolto la domanda della lavoratrice disponendo la sua reintegrazione, ritenendo applicabile al caso l'art. 4 Stat. Lav. pur ritenendo la fattispecie rientrante tra i c.d. “controlli difensivi” (esclusi dalle garanzie di cui all'art. 4 Stat. Lav. in quanto controlli non sulla prestazione lavorativa, ma a difesa dell'azienda contro condotte illecite; da ultimo Cass. 12 novembre 2021, n. 34092 e Cass. 22 settembre 2021, n. 25732).

Secondo il giudice genovese non pare corretto applicare, in un caso come quello di specie, i principi espressi dalla giurisprudenza di legittimità che pone i controlli difensivi al di fuori dell'art. 4 Stat. Lav., senza limitazione alcuna, giungendo a stabilire che, anche laddove i controlli siano stati illegittimamente esercitati, i dati acquisiti possono essere fatti valere a qualsiasi fine, ivi compreso quello disciplinare (Cass. 34092/2021). Tali pronunce, si legge nell'ordinanza, non tengono conto dell'ultimo comma del nuovo art. 4 Stat. Lav. e dell'imprescindibile richiamo a due nuovi elementi, quali l'esistenza di un'informativa adeguata ed il rispetto del trattamento dei dati riservati.

A sostegno del proprio argomentare il giudicante richiama e riporta alcuni passaggi della recente Cass. 34092/2021 che argomenta in merito al discrimine tra controlli difensivi in senso lato (quelli diretti alla protezione del patrimonio aziendale ex ante, coperti dalla garanzia di legge) e in senso stretto (quelli diretti a rilevare condotte pericolose ex post che esulano dalla garanzia statutaria) e ritiene che nella fattispecie l'azienda abbia travalicato il corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore.

Secondo il Tribunale, infatti, considerato il testo dell'art. 4 Stat. Lav. come riformato nel 2015, la garanzia di privacy di cui all'ultimo comma dell'art. 4 Stat. Lav. (obbligo di informativa e rispetto della normativa di Data Privacy) deve ritenersi sempre necessaria - quindi anche in ipotesi di controlli difensivi rispetto a condotte illecite aggressive del patrimonio aziendale - in quanto condizione minima di garanzia del trattamento dei dati del lavoratore.

La soluzione adottata nell'ordinanza in commento presenta alcune criticità sia sotto il profilo dei principi e del sistema privacy-giuslavoristico, sia sotto il profilo logico-giuridico.

La valutazione dell'operatività della normativa di Data Privacy e dell'art. 4 Stat. Lav. deve necessariamente partire dai necessari presupposti di applicabilità che, invero, prescindono dalla novella legislativa del 2015, ma che caratterizzano il sistema privacy-giuslavoristico fin dall'introduzione della normativa relativa alla protezione dei dati in Europa e in Italia. Ed il primo necessario presupposto da considerare è se l'attività cui il trattamento accede rientri e sia meritevole della protezione e delle garanzie per il trattamento stesso.

È principio acquisito (logico prima ancora che giuridico) che qualsiasi condotta umana suscettibile di conseguenze giuridiche sia meritevole di tutela da parte dell'ordinamento e possa utilizzare i rimedi che lo stesso offre, solo a condizione che sia lecita. Non potendo diversamente tutelare e proteggere gli autori di comportamenti che costituiscono violazioni di norme civili e/o penali.

Per quanto riguarda specificamente la materia di cui alla presente nota, il principio è acquisito e riconosciuto come comune bagaglio culturale della civiltà europea anche dalla giurisprudenza della CEDU che ammette limiti alla privacy individuale laddove contrasti con la protezione dei diritti e delle libertà altrui: “Although freedom of expression and confidentiality of communications are primary considerations and users of telecommunications and Internet services must have a guarantee that their own privacy and freedom of expression will be respected, such guarantee cannot be absolute and must yield on occasion to other legitimate imperatives, such as the prevention of disorder or crime or the protection of the rights and freedoms of others”. (ECHR, sentenza 2/12/2008 K.U. v. FINLAND - Application no. 2872/02).

Inoltre, la stessa CEDU, nel caso Barbulescu c. Romania (5 settembre 2017) stabilisce chiaramente che esiste sì un ambito di vita privata garantita al lavoratore sul luogo di lavoro, ma che esso non è infinito ed assoluto, e può essere ristretto dal datore di lavoro a patto che tale restrizione sia proporzionale all'interesse legittimo perseguito dal datore. In particolare, la CEDU stabilisce chiaramente che non è vietato il monitoraggio di comunicazioni del dipendente in sé, bensì che tale attività avvenga in assenza di salvaguardie contro abusi e indica una serie di criteri per valutare la proporzionalità del trattamento: 1. la trasparenza del monitoraggio, 2. l'estensione dello stesso ed il grado di intrusione della vita privata del dipendente, 3. la legittimità degli interessi sottesi al controllo, 4. la presenza di soluzioni alternative altrettanto efficaci, 5. le conseguenze per gli interessati, 6. la presenza di sufficienti salvaguardie per i lavoratori.

Nel caso Lopez Ribalda e altri c. Spagna (del 17 ottobre 2019) la CEDU indica che tali criteri non devono essere tutti sempre presenti, e stabilisce che l'installazione di videocamere nascoste - e dunque in assenza di una informativa verso i dipendenti sospettati di aver rubato merce - sia configurabile laddove svolta secondo canoni di ragionevolezza. Il requisito della trasparenza nell'effettuazione dei controlli, soddisfatto mediante l'informativa, è certamente fondamentale, specie nel rapporto di lavoro a causa della connaturata asimmetria tra le parti; tuttavia, la trasparenza non è l'unico criterio per valutare l'effettiva proporzionalità dell'installazione del sistema di controllo che non può prescindere dal contesto concreto.

Infatti, nel caso Lopez Ribalda, informare i sospettati dell'installazione occulta, avrebbe fatto venire meno l'efficacia ed effettività del controllo stesso: “the provision of information to any staff member might well have defeated the purpose of the video-surveillance, which was to discover those responsible for the thefts but also to obtain evidence for use in disciplinary proceedings against them”.

Benché non si possa sostenere che ogni qualvolta vi sia anche il minimo sospetto di comportamento non conforme si possano installare strumenti di controllo all'insaputa del lavoratore, la CEDU avalla il ragionamento della corte spagnola che accetta che, in caso di fondato sospetto di seri illeciti, è possibile ipotizzare un controllo sui lavoratori effettuato senza la dovuta informativa e dunque comprimendo l'aspettativa di privacy degli stessi.

Nello stesso senso, inoltre, si è espresso il Data Protection Working Party (WP29) nell'Opinion 8 del 13 ottobre 2001 e nel “Working document on the surveillance of electronic communications in the workplace” del 29.05.2002. Nel primo documento, infatti, stabilisce che “any monitoring, […] must be a proportionate response by an employer to the risks it faces taking into account the legitimate privacy and other interests of workers”.

Nel secondo documento, il WP29 ribadisce che, benché via sia una aspettativa di privacy del lavoratore anche sul luogo di lavoro, questa debba essere bilanciato con i legittimi interessi del datore tra cui, in particolare, proteggersi contro i danni che i lavoratori stessi possono causargli: “Workers do not abandon their right to privacy […] at the doors of the workplace. […] However, this right must be balanced with other legitimate rights and interests of the employer […]. These rights and interests constitute legitimate grounds that may justify appropriate measures to limit the worker's right to privacy. The clearest example of this would be those cases where the employer is victim of a worker's criminal offence.”

Anche la nostra giurisprudenza penale ritiene che non si possa dubitare che la tutela apprestata dal legislatore postuli la liceità dell'attività svolta in ambito privato, potendo, diversamente, l'intrusione nell'altrui privacy ritenersi comunque coonestata, tanto più in presenza di un diritto, il cui esercizio si intenda garantire o la cui violazione si voglia accertare o prevenire (Cass. Pen. 25453/11).

Tornando alla fattispecie su cui il Tribunale di Genova si è pronunciato, una condotta come quella tenuta dalla lavoratrice può far ritenere che sussistano plurimi inadempimenti e violazioni delle obbligazioni contrattuali di fedeltà (artt. 2105 c.c.) e delle norme a tutela della riservatezza delle informazioni e dei segreti aziendali, suscettibili, in presenza dei relativi requisiti, anche di valutazione penale sotto plurimi profili (connessi alla sottrazione e diffusione di informazioni e segreti aziendali e alla violazione del domicilio digitale aziendale), con impatti anche sulla responsabilità d'impresa ex D.Lgs. 231/2001 (si consideri ad es. l'art. 24 di tale norma in relazione ai delitti informativi e trattamento illecito di dati di terzi).

Sostenere che, nella predetta situazione, l'azienda non possa condurre le necessarie verifiche una volta raggiunta dall'alert di anomalie registrato dai propri sistemi di IT (e quindi ex post rispetto alla condotta illecita) per proteggere i propri asset e la propria organizzazione da comportamenti illeciti che potrebbero comportare una propria responsabilità sociale d'impresa, in assenza di informazione preventiva, appare ultroneo, illogico e contrario ai principi della nostra civiltà.

Esemplificando, è come se si ritenesse necessaria la preventiva informazione all'autore di un furto che potrebbe essere identificato qualora commetta degli illeciti, illustrandogli quali siano i sistemi di controllo che sono stati adottati.

Quindi, in sintesi, qui iure suo utitur neminem laedit e iniuria non fit volenti: chi si pone in posizione illecita non ha diritto alla copertura della privacy e alle regole di garanzia dell'art. 4 Stat. Lav.