Cassazione: consentiti i controlli difensivi in seguito alla diffusione di un virus nella rete aziendale

Con Sentenza n. 25732/2021 la Corte di Cassazione affronta il complesso tema dei controlli difensivi, confermandone di fatto la sopravvivenza anche dopo la modifica dell’art. 4 Statuto dei Lavoratori effettuata dal D.lgs. 151/2015 e dall’art. 5 D.lgs. n. 185 del 2016, distinguendo tra controlli difensivi in senso lato e quelli in senso stretto.

Controlli difensivi: il caso in analisi

Nel caso trattato dalla Corte Suprema, il controllo è consistito nell’accesso al computer del lavoratore in seguito alla diffusione di un virus nella rete aziendale.

In particolare, in seguito all’accertamento della diffusione del virus, l’amministrazione del sistema informatico del datore di lavoro aveva eseguito un accesso sul computer della lavoratrice, appurando che nella cartella di download del disco rigido era effettivamente presente un file scaricato che aveva propagato il virus che, partito dal computer aziendale in uso alla lavoratrice stessa, aveva iniziato a propagarsi nella rete aziendale, criptando i file all’interno di vari dischi di rete, rendendo gli stessi illeggibili e, pertanto, inutilizzabili.

In occasione dell’intervento, venivano rilevati numerosi accessi da parte della lavoratrice a siti visitati, per lungo tempo, per ragioni private, durante l’orario lavorativo.

La lavoratrice aveva adito altresì l’Autorità Garante per la Protezione dei Dati Personali che, con delibera 12.10.2016, aveva ordinato al datore di lavoro di astenersi dall’effettuare qualsiasi ulteriore trattamento dei dati acquisiti dalla cronologia del browser del computer aziendale in uso alla ricorrente e relativi al periodo oggetto dei controlli, eccettuata la mera conservazione degli stessi ai fini della loro eventuale acquisizione da parte giudiziaria.

Data Retention a fini di giustizia, perché il Garante privacy chiede una riforma

I controlli difensivi nel riformato assetto normativo

La Corte di Cassazione in questa sentenza affronta, innanzitutto, il tema della compatibilità dei c.d. “controlli difensivi”, così come definiti dalla giurisprudenza precedentemente alla modifica dell’art. 4 dello Statuto dei lavoratori ex D.lgs. n. 151/2015, con l’assetto normativo post-riforma.

L’originaria versione dell’art. 4 Statuto dei Lavoratori^[1] contemplava due livelli di protezione:

1. uno pieno, con il divieto assoluto di uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori non sorretto da ragioni inerenti all’impresa (ossia, il cd. controllo fine a sé stesso);
2. l’altro “affievolito”, ove le ragioni del controllo fossero riconducibili ad esigenze oggettive dell’impresa, ferma restando l’osservanza di determinate procedure di garanzia.

La norma contemperava l’esigenza di tutela dei lavoratori a non essere controllati a distanza e quella del datore di lavoro relativamente all’organizzazione, produzione e sicurezza del lavoro.

Per consentire al datore di lavoro di contrastare comportamenti illeciti del personale, la giurisprudenza ha elaborato la categoria dei c.d. “controlli difensivi”, diretti, secondo l’indirizzo giurisprudenziale più recente, ad accertare comportamenti illeciti e lesivi del patrimonio e dell’immagine aziendale, tanto più se disposti ex post, ossia dopo l’attuazione del comportamento in addebito, così da prescindere dalla mera sorveglianza sull’esecuzione della prestazione lavorativa.

Tali controlli esulano, dunque, dall’ambito di applicazione dell’art. 4, comma 2 dello Statuto dei lavoratori (testo pre-riforma) e non richiedono, quindi, l’osservanza delle garanzie ivi previste (si veda Cass. N. 13266/2018) quando:

1. l’iniziativa del datore di lavoro ha la finalità specifica di accertare determinati comportamenti illeciti del lavoratore;
2. gli illeciti da accertare sono lesivi del patrimonio o dell’immagine aziendale;
3. i controlli sono disposti ex post, ossia dopo l’attuazione del comportamento del lavoratore, così da prescindere dalla mera sorveglianza sull’esecuzione della prestazione lavorativa (si veda Cass. n. 19922/2016).

I controlli difensivi devono essere effettuati nel rispetto dei principi di buona fede e correttezza, al fine di garantire un adeguato bilanciamento tra le esigenze di salvaguardia della dignità e riservatezza del dipendente e quelle di protezione dei beni aziendali (si veda Cass n. 10955/2015).

In particolare, è necessario che l’attività di accertamento venga svolta con modalità non eccessivamente invasive, ma rispettose delle garanzie di libertà e dignità dei dipendenti rispettando i criteri di proporzionalità e pertinenza (si veda Cass n. 17723/2017).

La “sopravvivenza” dei controlli difensivi post-riforma

La Corte affronta il tema della sopravvivenza dei c.d. “controlli difensivi” dopo la modifica dell’art. 4 St. lav. ad opera dell’art. 23 del d.lgs. n. 151/2015^[2].

Anche dopo tale modifica, la normativa continua a prevedere che il controllo a distanza dell’attività dei lavoratori non è legittimo laddove non sia sorretto dalle esigenze indicate dalla norma stessa. Pertanto, il controllo “fine a sé stesso”, eventualmente diretto ad accertare inadempimenti del lavoratore che attengano alla effettuazione della prestazione, continua ad essere vietato.

Laddove, invece, il controllo sia legittimo, le informazioni raccolte in esito ad esso possono essere utilizzate dal datore di lavoro per contestare al lavoratore ogni tipologia di inadempimento contrattuale.

I controlli aventi ad oggetto il patrimonio aziendale sono assoggettati ai presupposti di legittimità previsti dallo stesso art. 4.

Le differenti tipologie

Nel valutare se i “controlli difensivi” debbano ritenersi completamente attratti nell’area di operatività dell’art. 4 St. lav., ovvero se si debbano continuare a riconoscere i “controlli difensivi” come delineati dalla giurisprudenza, la Corte distingue tra controlli difensivi in senso lato e quelli in senso stretto:

• i controlli in senso lato sono quelli effettuati a difesa del patrimonio aziendale e che riguardano tutti i dipendenti, nello svolgimento della loro prestazione di lavoro. Questi devono essere realizzati nel rispetto delle previsioni dell’art. 4 Statuto dei Lavoratori;
• i controlli difensivi in senso stretto sono quelli diretti ad accertare specificamente condotte illecite ascrivibili a singoli dipendenti sulla base di indizi concreti.

I controlli difensivi in senso stretto si situano, secondo la sentenza in esame, all’esterno del perimetro applicativo dell’art. 4 St. Lav. In effetti, i controlli difensivi attengono a eventi straordinari ed eccezionali costituiti dalla necessità di accertare e sanzionare gravi illeciti di un singolo lavoratore.

A favore di questo orientamento la sentenza 24 marzo 2017 del Tribunale di Roma, secondo cui “È legittimo il controllo c.d. difensivo del datore di lavoro sulle strutture informatiche aziendali in uso al lavoratore, a condizione che esso sia occasionato dalla necessità indifferibile di accertare lo stato dei fatti a fronte del sospetto di un comportamento illecito e che detto controllo prescinda dalla pura e semplice sorveglianza sull’esecuzione della prestazione lavorativa essendo, invece, diretto ad accertare la perpetrazione di eventuali comportamenti illeciti”.

La Corte ritiene coerente con questo orientamento anche la giurisprudenza della Corte europea dei diritti dell’uomo e, in particolare, la sentenza del 17 ottobre 2019, nel caso Lòpez Ribalda e altri c. Spagna, in cui la Corte europea aveva osservato che: “[…] se non è accettabile la posizione secondo cui anche il minimo sospetto di appropriazione illecita possa autorizzare l’installazione di strumenti occulti di videosorveglianza, tuttavia l’esistenza di un ragionevole sospetto circa la commissione di illeciti connotati da gravità e la prefigurazione dell’entità dei danni economici che possono derivarne, così come avvenuto nel caso concreto, possono costituire una giustificazione legittimante sufficiente grave”.

Naturalmente, il datore di lavoro dovrà sempre rispettare la dignità e la riservatezza del lavoratore, nel rispetto della normativa europea e, in particolare, dell’art. 8 della Convenzione europea dei diritti dell’uomo, assicurando un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali e il rispetto della dignità e della riservatezza del lavoratore.

La Corte evidenzia, altresì, quelle che devono essere le caratteristiche dei controlli difensivi perché possano essere considerati legittimi. In particolare, evidenzia che il controllo difensivo in senso stretto:

1. dovrebbe essere mirato;
2. dovrebbe essere attuato ex post, ossia a seguito del comportamento illecito di uno o più lavoratori del cui compimento il datore abbia avuto concreti indizi o un fondato sospetto. La Corte precisa che può parlarsi di controllo ex post solo laddove, a seguito del fondato sospetto della commissione di illeciti ad opera del lavoratore, il datore provveda, da quel momento, alla raccolta delle informazioni.
3. non dovrebbe riferirsi all’esame e all’analisi di informazioni acquisite in violazione delle prescrizioni di cui all’art. 4 St.lav. Non è ammissibile, quindi, la verifica di informazioni acquisite ex ante e conservate per lungo tempo ed ininterrottamente; ad esempio con riferimento ai dati di traffico contenuti nel browser del pc del dipendente, potrà parlarsi di controllo ex post solo in relazione alle informazioni raccolte dopo l’insorgenza del sospetto di illecito ad opera del dipendente, non in relazione a quelle già registrate in precedenza.

In conclusione

Sono consentiti i controlli posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto.

NOTE

1. Art. 4 St.lav. pre D.lgs 151/2015. “1. È vietato l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori. 2. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’spettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti. 3. Per gli impianti e le apparecchiature esistenti, che rispondano alle caratteristiche di cui al secondo comma del presente articolo, in mancanza di accordo con le rappresentanze sindacali aziendali o con la commissione interna, l’Ispettorato del lavoro provvede entro un anno dall’entrata in vigore della presente legge, dettando all’occorrenza le prescrizioni per l’adeguamento e le modalità di uso degli impianti suddetti. […]”. ↑

2. Art. 4 St. lav. “1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali. 2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze. 3. Le informazioni raccolte ai sensi dei commi 1e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione delle (recte: “della”) sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi”. ↑