logo logo
Illegittimi i controlli ex post sui dispositivi dei lavoratori

Illegittimi i controlli ex post sui dispositivi dei lavoratori

  • 12 Giugno 2024
  • Pubblicazioni
La Corte d’Appello di Firenze, con sentenza 24 maggio 2024 n. 684, ha chiarito che il datore di lavoro non può procedere a controlli ex post sulle dotazioni informatiche utilizzate dai dipendenti; anche la semplice archiviazione dei dati sulla memoria remota dei dispositivi informatici, infatti, costituisce una forma di controllo a distanza sull’attività lavorativa. All'indomani dell'entrata in vigore della riforma del 2015, buona parte degli operatori avevano applaudito all'apparente ribaltamento di prospettiva impresso dal legislatore, che – oltre ad eliminare il divieto generale ed espresso di impiegare impianti audiovisivi ed altri strumenti similari per finalità esclusivamente di controllo a distanza dei lavoratori – aveva escluso la necessità di acquisire l'autorizzazione sindacale o amministrativa in relazione “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze” (art. 4, c. 2, St. Lav.), adeguando così la disposizione di legge all'evoluzione tecnologica (la legge 300/1970, infatti, era stata emanata in un'epoca in cui gli strumenti di controllo sull'attività lavorativa erano costituiti, tutt'al più, da telecamere, microfoni, segnalatori acustici, ecc., ed in funzione di questi strumenti era stata pensata e scritta la norma). Ben presto, però, sono emersi i nodi lasciati irrisolti dal legislatore, che hanno aperto letteralmente le porte ad una nuova lettura iper-garantista dell'art. 4 St. Lav. Emblematico è il caso della lettura che è stata data al comma 2 in relazione agli strumenti di lavoro che, in base alla lettera della norma, dovrebbero essere liberamente utilizzati dal datore di lavoro anche senza la previa autorizzazione sindacale o amministrativo. L'Ispettorato del Lavoro, con la Circolare n. 2 del 7 novembre 2016, si è subito premurato di circoscrivere l'operatività di questa previsione di legge a quei soli strumenti che risultino strettamente funzionali a rendere la prestazione lavorativa. Cosa sia essenziale, come si può intuire, non sempre è chiaro (specialmente per chi non conosce troppo bene l'ambito di operatività dell'azienda), ma l'Ispettorato si è comunque spinto a precisare che tra di essi non possono di regolare rientrare gli impianti di geolocalizzazione; questi impianti, infatti, al di là di casi particolari, costituirebbero non uno strumento di lavoro ma “… un elemento aggiunto agli strumenti di lavoro, non utilizzati in via primaria ed essenziale per l'esecuzione dell'attività lavorativa ma, per rispondere ad esigenze ulteriori di carattere assicurativo, organizzativo, produttivo o per garantire la sicurezza del lavoro”. A questa interpretazione ha fatto da eco molto presto anche il Garante per la Privacy, che – con verifica preliminare del 16 marzo 2017 – ha sancito che gli strumenti di lavoro sono tutti quei dispositivi che vengono “utilizzati in via primaria ed essenziale per l'esecuzione dell'attività lavorativa”, ovvero che risultino “direttamente preordinati all'esecuzione della prestazione lavorativa”. Si assiste dunque al tentativo di introdurre un inedito controllo esterno sulle scelte imprenditoriali che si fonda sull'ondivaga distinzione tra strumenti di lavoro “essenziali” ossia “strettamente funzionali” a rendere la prestazione lavorativa (e quindi sottratti all'applicazione dell'obbligo di autorizzazione sindacale o amministrativa) e strumenti di lavoro non essenziali o accessori, che possono sì essere utilizzati dal datore di lavoro ma solo previo accordo con le rappresentanze sindacali o previo rilascio di espressa autorizzazione amministrativa. Distinzione assai ardua e labile, questa, che lascia aperte le porte a dubbi e criticità interpretative difficilmente districabili dagli operatori. Altro tema critico (o meglio sarebbe dire “criptico”) è quello connesso al concetto di controlli difensivi. Nella giurisprudenza formatasi prima della riforma del 2015, si riteneva che il datore di lavoro fossero libero di attuare controlli avverso comportamenti illeciti del lavoratore che fossero estranei alle obbligazioni contrattuali ma comunque lesivi del patrimonio aziendale. Addirittura la Corte di Cassazione aveva ritenuto ammissibili i controlli difensivi occulti, chiarendo che l'operatività dell'art. 4 St. Lav. doveva ritenersi limitata unicamente a quei controlli aventi ad oggetto l'attività lavorativa del dipendente e non anche quelli diretti (anche con mezzi occulti) a tutelare beni aziendali o ad impedire comportamenti illeciti dei lavoratori (Cass. 27 maggio 2015 n. 10955, relativa ad un licenziamento per giusta causa intimato ad un dipendente che – grazie alla creazione di un profilo facebook falso – era stato sorpreso a chattare continuamente sui social network in orario notturno). La categoria dei controlli difensivi, è come è noto, è sopravvissuta anche alla riforma del 2015. La Corte di Cassazione, con la sentenza n. 25732 del 2021, ha però ritenuto opportuno distinguere tra i “controlli difensivi” in senso lato – cioè quei controlli che riguardano tutti i dipendenti (o gruppi di dipendenti) nello svolgimento della loro prestazione di lavoro – e i “controlli difensivi” in senso stretto, “…diretti ad accertare specificamente condotte illecite ascrivibili – in base a concreti indizi – a singoli dipendenti”. Questa seconda tipologia di controllo, secondo la Cassazione, può essere attuata anche al di fuori delle garanzie previste dall'art. 4 L. 300/1970, ma non può avere natura meramente esplorativa, poiché potendo essere attivata solo qualora sussista un “fondato sospetto” circa la possibile commissione di illeciti da parte del dipendente; inoltre, è sempre necessario che i controlli vengano effettuati con modalità rispettose della riservatezza e della dignità del lavoratore, che devono essere bilanciate con le esigenze di tutela del patrimonio aziendale legittimamente azionabili dal datore di lavoro. Il caso deciso dalla Corte fiorentina.
Veniamo dunque al caso deciso dalla Corte d'Appello di Firenze con la sentenza n. 684 del 2023, pubblicata in data 24 maggio 2024: tre dipendenti di una società di brokeraggio assicurativo erano stati accusati:
  1. di aver illegittimamente trasmesso segreti commerciali ad un'azienda concorrente (per la quale avevano tra l'altro iniziato a lavorare poco dopo aver rassegnato le loro dimissioni);
  2. di aver agito al fine di stornare clienti verso il loro nuovo datore di lavoro;
  3. di aver svolto per lungo tempo un'attività occulta di brokeraggio rivolta ai clienti della loro ex datrice di lavoro, contattando le compagnie a cui essa si riferiva e riscuotendo i relativi compensi all'insaputa della società. Per tali ragioni, la società si era opposta ai decreti ingiuntivi ottenuti dai lavoratori per il pagamento delle spettanze di fine rapporto, formulando domanda riconvenzionale al fine di ottenere il risarcimento dei maggiori danni subiti a causa di quanto sopra.

La società sosteneva di aver scoperto le condotte illecite dei dipendenti grazie a dei controlli effettuati sui dispostivi informatici che venivano utilizzati dagli stessi per rendere le loro prestazione lavorativa; detti controlli, secondo quanto sostenuto dalla società, erano stati attivati dopo aver ricevuto un numero anomalo di disdette da parte della clientela afferente alle sedi di competenza dei tre dipendenti dimissionari e dopo aver avuto notizia, sempre pochi mesi dopo le dimissioni dei lavoratori, del passaggio di un suo storico cliente alla nuova società datrice di lavoro dei tre. Le verifiche avevano consentito di accertare le condotte illecite dei dipendenti, consistite come già detto nella diffusione di documenti riservati (elenchi della clientela, compagnie di riferimento, polizze con relative scadenze, importo dei premi), nello storno di clientela verso il nuovo datore di lavoro dei tre dimissionari e nello svolgimento di attività occulta di intermediazione assicurativa. La Corte fiorentina ha tuttavia ravvisato l'illegittimità di questi controlli (e, di conseguenza, anche l'inutilizzabilità delle informazioni acquisite) in quanto “la società … non avrebbe estratto e utilizzato dati raccolti prima dei fatti, bensì dati, completamente estranei all'attività lavorativa, dei quali i sistemi informatici aziendali avevano tenuto automaticamente traccia nel corso dei rapporti di lavoro, anche in adempimento di obblighi di conservazione attinenti all'attività di intermediazione assicurativa svolta”. Ad avviso della Corte, dunque, ad essere vietato sarebbe anche solo il semplice immagazzinamento dei dati sulla memoria remota dei dispositivi elettronici utilizzati dai dipendenti, anche ove ciò avvenga per impostazione predefinita del sistema e non per volontà del datore di lavoro; il fatto che il controllo venga operato a posteriori e dopo l'insorgere del “fondato sospetto”, in altri termini, non scriminerebbe l'illegittima archiviazione automatica dei dati effettuata senza l'accordo sindacale o in difetto di autorizzazione amministrativa. A parere di chi scrive, la posizione assunta dalla Corte d'Appello di Firenze rischia di produrre una eccessiva dilatazione delle tutele previste dall'art. 4 St. Lav. che finisce a conti fatti per trovare applicazione anche a casi che, a ben vedere, dovrebbero suggerire un più ragionevole bilanciamento tra le esigenze di protezione del patrimonio aziendale e il diritto alla riservatezza dei lavoratori. Estendere l'applicazione della normativa sui controlli a distanza anche all'archiviazione dei dati operata in automatico dai sistemi informatici, infatti, sembra contraddire innanzitutto la regola prevista dal comma 2 dell'art. 4 St. Lav. che come accennato sopra ha previsto uno status speciale per i controlli effettuati sugli strumenti di lavoro in uso presso i dipendenti. Infatti, pare difficile negare che i personal computer su cui erano stati effettuati i controlli dichiarati illegittimi dalla Corte fiorentina potessero rientrare tra gli strumenti di lavoro “strettamente essenziali” allo svolgimento della prestazione. A conti fatti, dunque, la posizione assunta dalla sentenza in esame finirebbe per rendere impraticabile qualsiasi forma di controllo difensivo attuato ex post! Dall'altro lato, poi, il ragionamento proposto dalla Corte fiorentina sembra anche andare contro il consolidato orientamento giurisprudenziale secondo cui “la produzione in giudizio di documenti contenenti dati personali è sempre consentita ove sia necessaria per esercitare il proprio diritto di difesa, anche in assenza del consenso del titolare e quali che siano le modalità con cui è stata acquisita la loro conoscenza” purché tale facoltà venga esercitata “…nel rispetto dei doveri di correttezza, pertinenza e non eccedenza” prevista dalla normativa in materia di protezione dei dati personali (Cass. 20 settembre 2013 n. 21612). Non stupisce dunque che la Corte di Cassazione, in diverse occasioni, abbia seguito una diversa via, ritenendo legittimi i controlli operati ex post dal datore di lavoro al fine di recuperare i dati cancellati dal dirigente prima della riconsegna del personal computer ricevuto in dotazione dall'azienda (Cass. 12 novembre 2021 n. 33809), accertare l'impiego del personal computer per finalità extralavorative e in particolare per dedicarsi al gioco d'azzardo in orario di lavoro (Cass. 28 maggio 2018 n. 13266), o per altre finalità similari, comunque rispondenti alla necessità di far valere un diritto in sede giudiziaria o di tutelare il patrimonio aziendale. In questo quadro, però, è quanto mai opportuno che i datori di lavoro prestino la loro massima attenzione alla redazione delle informative sul trattamento dei dati personali e delle policy sull'utilizzo dei dispositivi informatici, nelle quali è bene che vengano descritte tutte le possibili forme di controllo che potranno essere effettuate dall'azienda, anche a posteriori, al fine di verificare la commissione di eventuali condotte illecite a danno dell'azienda. Questa documentazione, come è stato osservato dalla giurisprudenza, non può risolversi in mero adempimento burocratico ma “…deve essere esaustiva e adeguata e tale non può essere considerata l'indicazione di istruzioni relative all'uso dello strumento tecnologico, non accompagnate dalla specifica individuazione delle modalità di utilizzo che comportano l'acquisizione dei dati” (Trib. Torino 19 settembre 2018 n. 1664; Trib. Padova 22 gennaio 2018).

Fonte: QUOTIDIANO PIU' - GFL