Come noto l’art. 4 comma 1 dello Statuto dei lavoratori stabilisce che gli impianti audiovisivi ed altri strumenti di controllo possono essere installati per esigenze organizzative e produttive, per la sicurezza sul lavoro e per la tutela del patrimonio aziendale e che, per far ciò, occorre l’accordo con la rappresentanza sindacale aziendale (RSU o RSA) o, in caso di non raggiungimento dello stesso o, in assenza in azienda di qualunque struttura sindacale, va ottenuta l’autorizzazione dell’Ispettorato territoriale del Lavoro.
Secondo il successivo comma 2, introdotto dal D.lgs 151/2015 (parte del cosiddetto Jobs Act) tale procedura non si applica agli strumenti utilizzati dal lavoratore per rendere la propria prestazione ed a quelli di registrazione degli accessi e delle presenze.
Il comma 3 ricorda, infine, che, le informazioni raccolte sulla scorta delle previsioni sopra riportate, sono utilizzabili a tutti i fini connessi al rapporto di lavoro purché sia data adeguata informazione al lavoratore circa le modalità d’uso e di effettuazione dei controlli, nel rispetto delle previsioni di garanzia sulla privacy previste dal nostro ordinamento.
Veniamo al caso sul quale la Cassazione è intervenuta con la sentenza n. 25732/2021.
Un datore di lavoro, nel caso di specie una Fondazione, aveva subito un danno al proprio sistema informatico causato da un virus. Gli accertamenti conseguenti avevano portato alla conclusione che quest’ultimo si era inserito nella rete aziendale attraverso un file scaricato da una lavoratrice da un sito web estraneo all’attività normalmente svolta.
A seguito di ciò la dipendente è stata licenziata sulla base di due motivazioni:
- utilizzazione del pc aziendale per fini privati;
- forti danni causati al patrimonio aziendale a seguito del suo comportamento improvvido;
La lavoratrice aveva impugnato il provvedimento di recesso ed aveva, al contempo, ottenuto dal Garante per la privacy, un atto con il quale era stato intimato alla Fondazione di interrompere qualsiasi ulteriore trattamento dei dati personali.
Dopo le due sentenze di merito (che avevano prodotto decisioni contrastanti), la Cassazione ha fornito due distinti criteri in ordine ai controlli del datore di lavoro.
- nel tutelare il patrimonio aziendale, il datore di lavoro deve rispettare le previsioni dell’art. 4, per le quali, l’assenza delle specifiche modalità e procedure, comporta la piena illegittimità dei comportamenti datoriali.
- la commissione di un grave fatto illecito del lavoratore risulta essere però fuori da tale ambito, con la conseguenza che se si hanno fondati sospetti circa la commissione di un determinato grave comportamento, il datore può svolgere una serie di controlli pur se non ha fornito adeguata informazione sulle modalità d’uso e sulla effettuazione delle verifiche di controllo, come richiede il comma 3 dell’art. 4.
Tale potere, però, non è incondizionato e la Suprema Corte fissa paletti non valicabili che possono così sintetizzarsi:
- l’attività di controllo deve avvenire “a posteriori”, nel senso che deve esercitata successivamente al momento in cui si è avuto il fondato sospetto del comportamento illecito;
- la raccolta dei dati utilizzabile è, quindi, quella delle informazioni acquisite da quel momento e non può, in alcun modo, comprendere quelle antecedenti eventualmente acquisite ma per le quali non sono state rispettate le regole e l’iter previsto dall’art. 4.
In sintesi: il controllo sul pc aziendale in dotazione del dipendente, in presenza di una situazione di gravità e di danni è possibile, tuttavia non bisogna assolutamente dimenticare la tutela della dignità personale. Sussiste, secondo la Corte, la necessità di un bilanciamento tra le due esigenze e, soprattutto, il controllo senza informativa precedente che è, pur sempre, una forzatura rispetto al dettato normativo, deve riguardare l’acquisizione di dati successivi al sospetto.