Il Decreto Legislativo 14 settembre 2015, n. 151, articolo 23, prevede: “1. La L. 20 maggio 1970, n. 300, articolo 4, è sostituito dal seguente: “Art. 4 (Impianti audiovisivi e altri strumenti di controllo). – 1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali.
In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in piu’ regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente piu’ rappresentative sul piano nazionale. In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali.
2.La disposizione di cui al comma 1, non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze. 3. Le informazioni raccolte ai sensi dei commi 1 e 2, sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal Decreto Legislativo 30 giugno 2003, n. 196.”.
Il Decreto Legislativo 24 settembre 2016, n. 185, articolo 5, comma 2, dispone: “Alla L. 20 maggio 1970, n. 300, articolo 4, comma 1, il terzo periodo è sostituito dai seguenti: In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione delle (recte: della) sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi”.
La norma ribadisce implicitamente la regola che il controllo a distanza dell’attività dei lavoratori non è legittimo ove non sia sorretto dalle esigenze indicate dalla norma stessa. Sicché il controllo “fine a sé stesso”, eventualmente diretto ad accertare inadempimenti del lavoratore che attengano alla effettuazione della prestazione, continua ad essere vietato.
Ciò non esclude, però, come si era ritenuto con riguardo alla superata disposizione dell’articolo 4 Statuto dei Lavoratori, che ove il controllo sia invece legittimo, le informazioni raccolte in esito ad esso possano essere utilizzate dal datore di lavoro per contestare al lavoratore ogni sorta di inadempimento contrattuale.
La giurisprudenza di merito e la dottrina si sono poste la questione della eventuale sopravvivenza dei c.d. “controlli difensivi” dopo la modifica dell’articolo 4 Statuto dei Lavoratori ad opera del Decreto Legislativo n. 151 del 2015, articolo 23.
Né dall’una né dall’altra sono venute risposte univoche.
Va subito evidenziato, a tale riguardo, che i controlli aventi ad oggetto il patrimonio aziendale sono, ai sensi della nuova versione dell’articolo 4 Statuto dei Lavoratori, assoggettati ai presupposti di legittimità ivi previsti, per cui si pone la questione se i controlli difensivi non debbano oramai ritenersi completamente attratti nell’area di operatività dell’articolo 4 Statuto del Lavoratori, avendo il legislatore indicato, tra le esigenze da soddisfare mediante l’impiego dei dispositivi potenzialmente fonte di controllo, accanto a quelle organizzative e produttive e a quelle relative alla sicurezza del lavoro, per l’appunto quelle di tutela del patrimonio aziendale, ovvero se anche sotto l’impero della nuova versione dell’articolo 4 Statuto dei Lavoratori debba continuare a riconoscersi ai controlli difensivi diritto di cittadinanza.
Ritiene la Suprema Corte che possa soccorrere in questo contesto la distinzione tra i controlli difensivi in senso lato e quelli in senso stretto.
Si è osservato che la giurisprudenza ammissiva dei controlli difensivi nella vigenza del vecchio testo dell’articolo 4 Statuto dei Lavoratori, e quindi della legittimità del controllo anche in assenza del preventivo accordo sindacale o dell’autorizzazione amministrativa, dato che oggetto del controllo sarebbe stata non già l’attività lavorativa, bensì l’illecito commesso durante la prestazione lavorativa, derivava da quella che ammette, ai sensi dell’articolo 3 Statuto del Lavoratori, i controlli occulti tramite agenzie investigative diretti ad accertare condotte penalmente rilevanti dei lavoratori in occasione della prestazione (Cass., 22 maggio 2017, n. 12810; Cass., 4 dicembre 2014, n. 25674; Cass., 4 marzo 2014, n. 4984).
Se ne è tratta la conclusione che questa tesi sembra difficilmente armonizzabile con la disciplina dei controlli tecnologici contenuta nell’articolo 4 proprio per le modalità di funzionamento di tali controlli.
A differenza di un incarico ad un’agenzia investigativa, che può essere limitato ai soli accertamenti necessari ad verificare l’eventuale illecito del singolo dipendente ed essere ritenuto legittimo proprio perché così circoscritto, l’impiego di controlli tecnologici attraverso un sistema informatico che tenga traccia di tutti i dati relativi all’attività di lavoro svolta dall’insieme dei dipendenti sarebbe privo di ogni selettività e non sarebbe ammissibile, perché non orientato specificamente sull’attività illecita, ma in modo indifferenziato sulle prestazioni rese da tutti i lavoratori.
Occorre perciò distinguere tra i controlli a difesa del patrimonio aziendale che riguardano tutti i dipendenti (o gruppi di dipendenti) nello svolgimento della loro prestazione di lavoro che li pone a contatto con tale patrimonio, controlli che dovranno necessariamente essere realizzati nel rispetto delle previsioni dell’articolo 4 novellato in tutti i suoi aspetti e controlli difensivi in senso stretto, diretti ad accertare specificamente condotte illecite ascrivibili – in base a concreti indizi – a singoli dipendenti, anche se questo si verifica durante la prestazione di lavoro.
Si può ritenere che questi ultimi controlli, anche se effettuati con strumenti tecnologici, non avendo ad oggetto la normale attività del lavoratore, si situino, anche oggi, all’esterno del perimetro applicativo dell’articolo 4.
In effetti, come è stato osservato, l’istituzionalizzazione della procedura richiesta dall’articolo 4 per l’installazione dell’impianto di controllo sarebbe coerente con la necessità di consentire un controllo sindacale, e, nel caso, amministrativo, su scelte che riguardano l’organizzazione dell’impresa; meno senso avrebbe l’applicazione della stessa procedura anche nel caso di eventi straordinari ed eccezionali costituiti dalla necessità di accertare e sanzionare gravi illeciti di un singolo lavoratore.
Questa soluzione è stata accolta da parte della giurisprudenza di merito, ad esempio dal Tribunale di Roma con la sentenza 24 marzo 2017, in Diritto delle relazioni industriali” 2018, II, 265, secondo cui “E’ legittimo il controllo c.d. difensivo del datore di lavoro sulle strutture informatiche aziendali in uso al lavoratore, a condizione che esso sia occasionato dalla necessità indifferibile di accertare lo stato dei fatti a fronte del sospetto di un comportamento illecito e che detto controllo prescinda dalla pura e semplice sorveglianza sull’esecuzione della prestazione lavorativa essendo, invece, diretto ad accertare la perpetrazione di eventuali comportamenti illeciti”.
Inoltre, la tesi della sopravvivenza dei controlli difensivi, sotto il profilo della sua compatibilità con la tutela della riservatezza di cui all’articolo 8 della Convenzione Europea dei diritti dell’uomo, trova conforto nella giurisprudenza della Corte Europea dei diritti dell’uomo che, in particolare nella sentenza di Grande Camera del 17 ottobre 2019, nel caso Lopez Ribalda e altri c. Spagna.
Si trattava di una fattispecie nella quale il gestore di un supermercato, dopo aver riscontrato discrepanze tra le scorte di magazzino e gli incassi di fine giornata, e sospettando che ciò dipendesse da illecite condotte appropriative di beni e/o denaro aziendale poste in essere da uno o piu’ dipendenti, aveva installato all’interno del negozio dei dispositivi di videoripresa all’insaputa dei lavoratori, in posizione utile alla sorveglianza generalizzata ed indistinta di tutto il personale di volta in volta addetto al bancone di cassa, in tal modo appurando che le condotte sospettate si verificavano effettivamente.
La Corte Europea ha ritenuto la legittimità dell’iniziativa datoriale, in quanto proporzionata rispetto al fine (in sé legittimo) di tutelare l’interesse organizzativo-patrimoniale del datore di lavoro, ritenendo quindi che le corti nazionali avessero correttamente valutato che le misure adottate a tutela della privacy dei ricorrenti erano appropriate.
La Corte Europea ha osservato che: “(…) se non è accettabile la posizione secondo cui anche il minimo sospetto di appropriazione illecita possa autorizzare l’installazione di strumenti occulti di videosorveglianza, tuttavia l’esistenza di un ragionevole sospetto circa la commissione di illeciti connotati da gravità e la prefigurazione dell’entità dei danni economici che possono derivarne, cosi’ come avvenuto nel caso concreto, possono costituire giustificazione legittimante di peso sufficiente grave”.
Ciò, naturalmente, non vuol dire che il datore di lavoro, in presenza di un sospetto di attività illecita, possa avere mano libera nel porre in essere controlli sul lavoratore interessato.
Innanzitutto, va riaffermato il principio formatasi nel vigore della precedente formulazione dell’articolo 4 dello Statuto dei lavoratori, secondo cui in nessun caso può essere giustificato un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore (Cass. n. 15892 del 2007, cit.; Cass. n. 4375 del 2010, cit.; Cass. n. 16622 del 2012, cit.; Cass. n. 9904 del 2016; Cass. n. 18302 del 2016, cit.).
Occorrerà dunque, nel rispetto della normativa Europea, e segnatamente dell’articolo 8 della Convenzione Europea dei diritti dell’uomo come interpretato dalla giurisprudenza della Corte Europea dei diritti dell’uomo, assicurare un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, con un contemperamento che non può prescindere dalle circostanze del caso concreto (Cass. 26682/2017).
Non va infatti dimenticato che, nel caso Barbulescu c. Romania, sentenza della Grande Camera del 5 settembre 2017, la Corte Europea dei diritti dell’uomo, chiamata a pronunciarsi – in relazione al detto articolo 8 – con riguardo ad una vidensa in cui un datore di lavoro aveva sottoposto a controllo il software aziendale Yahoo Messenger in uso al lavoratore, onde verificarne un indebito utilizzo, ha fornito una interpretazione estensiva del concetto di vita privata, tanto da includervi la vita professionale, così ritenendo che lo Stato rumeno avesse tenuto un comportamento non conforme alle garanzie accordate dalla norma della Convenzione, per avere le Corti nazionali omesso di accertare se il lavoratore avesse ricevuto una preventiva informazione dal suo datore di lavoro della possibilità che le sue comunicazioni su Yahoo Messenger potessero essere controllate; inoltre, per non avere valutato se il lavoratore medesimo fosse stato posto a conoscenza della natura e della estensione del controllo o del grado di intrusione nella vita e nella corrispondenza privata; infine, per non avere accertato le specifiche ragioni che giustificavano l’adozione di dette misure di controllo e se il datore di lavoro avrebbe potuto utilizzare misure meno intrusive, né se l’accesso al contenuto delle comunicazioni fosse stato compiuto senza che il lavoratore ne avesse consapevolezza.
Inoltre, e il punto è particolarmente rilevante nel caso in esame, per essere in ipotesi legittimo, il controllo difensivo in senso stretto dovrebbe quindi essere mirato, nonché attuato ex post, ossia a seguito del comportamento illecito di uno o più lavoratori del cui avvenuto compimento il datore abbia avuto il fondato sospetto.
Occorre però chiarire cosa si intenda per tale controllo. Esso, infatti, non dovrebbe riferirsi all’esame ed all’analisi di informazioni acquisite in violazione delle prescrizioni di cui all’articolo 4 Statuto dei Lavoratori, poiché, in tal modo opinando, l’area del controllo difensivo si estenderebbe a dismisura, con conseguente annientamento della valenza delle predette prescrizioni.
Il datore di lavoro, infatti, potrebbe, in difetto di autorizzazione e/o di adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli, nonché senza il rispetto della normativa sulla privacy, acquisire per lungo tempo ed ininterrottamente ogni tipologia di dato, provvedendo alla relativa conservazione, e, poi, invocare la natura mirata (ex post) del controllo incentrato sull’esame ed analisi di quei dati.
In tal caso, il controllo non sembra potersi ritenere effettuato ex post, poiché esso ha inizio con la raccolta delle informazioni; quella che viene effettuata ex post è solo una attività successiva di lettura ed analisi che non ha, a tal fine, una sua autonoma rilevanza.
Può, quindi, in buona sostanza, parlarsi di controllo ex post solo ove, a seguito del fondato sospetto del datore circa la commissione di illeciti ad opera del lavoratore, il datore stesso provveda, da quel momento, alla raccolta delle informazioni.
Facendo il classico esempio dei dati di traffico contenuti nel browser del pc in uso al dipendente, potrà parlarsi di controllo ex post solo in relazione a quelli raccolti dopo l’insorgenza del sospetto di avvenuta commissione di illeciti ad opera del dipendente, non in relazione a quelli già registrati.
Il controllo ex post non può riferirsi all’esame ed all’analisi di informazioni acquisite in violazione delle prescrizioni di cui all’articolo 4 Statuto dei Lavoratori prima dell’insorgere del fondato sospetto, poiché, in tal modo opinando, l’area del controllo difensivo si estenderebbe a dismisura, con conseguente annientamento della valenza delle predette prescrizioni.
Il datore di lavoro, infatti, potrebbe, in difetto di autorizzazione e/o di adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli, nonché senza il rispetto della normativa sulla privacy, acquisire per lungo tempo ed ininterrottamente ogni tipologia di dato, provvedendo alla relativa conservazione, e, poi, invocare la natura mirata (ex post) del controllo incentrato sull’esame ed analisi di quei dati.
Il principio di diritto è il seguente:
Sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto.
Corte di Cassazione, Sezione Lavoro, Sentenza n. 25732 del 22 settembre 2021
La selezione delle sentenze e la raccolta delle massime di giurisprudenza è a cura di
Carmine Paul Alexander TEDESCO, Avvocato a Milano, Pesaro e Benevento.
Desideri approfondire l'argomento ed avere una consulenza legale?
Prenota un appuntamento.
La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza / conference call e si svolge in tre fasi.
Prima dell'appuntamento: analisi del caso prospettato. Si tratta della fase più delicata, perché dalla esatta comprensione del caso sottoposto dipendono il corretto inquadramento giuridico dello stesso, la ricerca del materiale e la soluzione finale.
Durante l’appuntamento: disponibilità all’ascolto e capacità a tenere distinti i dati essenziali del caso dalle componenti psicologiche ed emozionali.
Al termine dell’appuntamento: ti verranno forniti gli elementi di valutazione necessari e i suggerimenti opportuni al fine di porre in essere azioni consapevoli a seguito di un apprezzamento riflessivo di rischi e vantaggi. Il contenuto della prestazione di consulenza stragiudiziale comprende, difatti, il preciso dovere di informare compiutamente il cliente di ogni rischio di causa. A detto obbligo di informazione, si accompagnano specifici doveri di dissuasione e di sollecitazione.