Studio Legale Magnanelli and partners
Docente presso Ascheri Academy
Civile Sent. Sez. L Num. 7272 Anno 2024
La Suprema Corte si è già occupata in più occasioni dei c.d.
controlli difensivi del datore di lavoro, molto spesso collegati al tema
delle indagini sull’uso, da parte del dipendente, di strumenti per la
navigazione in internet e per la comunicazione telematica in ambito
lavorativo (v., tra le altre, Cass. nn. 13266/2018; 25731/2021;
25732/2021; 34092/2021; 18168/2023).
Tale giurisprudenza si è fatta carico del problema di assicurare un corretto bilanciamento tra
le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa
economica, e le imprescindibili tutele della dignità e della riservatezza del lavoratore,
affermando, tra l’altro, il principio che il controllo «difensivo in senso stretto» deve essere
«mirato» ed«attuato ex post», ossia «a seguito del comportamento illecito di uno
o più lavoratori del cui avvenuto compimento il datore abbia avuto il
fondato sospetto».
L'art. 4 dello Statuto dei Lavoratori, dopo le modifiche introdotte dal d.lgs.
n. 151 del 2015 e dal d.lgs. n. 185 del 2016, non prevede più un
divieto assoluto, per il datore di lavoro, di effettuare il controllo a
distanza dell’attività dei lavoratori, indicando – al comma 1 – gli
scopi per cui e le condizioni alle quali i controlli possono essere
effettuati. In ogni caso, tali limiti non si applicano, tra gli atri, «agli
strumenti utilizzati dal lavoratore per rendere la prestazione
lavorativa» (comma 2), fermo restando che l’utilizzabilità delle
informazioni acquisite «a tutti i fini connessi al rapporto di lavoro» è
subordinata alla «condizione che sia data al lavoratore adeguata
informazione delle modalità d’uso degli strumenti e di effettuazione
dei controlli e nel rispetto di quanto disposto dal decreto legislativo
30 giugno 2003, n. 196» (comma 3).
La Corte territoriale ha quindi ritenuto legittimi i controlli
effettuati dall’I.N.P.S. sugli accessi del suo dipendente alla banca
dati, rilevando che si tratta dei «c.d. controlli difensivi», finalizzati –
non a verificare l’esatto adempimento della prestazione lavorativa,
ma – ad accertare «condotte illecite lesive del patrimonio aziendale
ovvero pericolose per la sicurezza del luogo di lavoro». Quanto alla
adeguata informazione al lavoratore, si è ritenuta sufficiente la prova
che, al momento di ogni accesso, il sistema produceva un banner
contenente l’avvertimento che «l’accesso alle banche dati è
consentito esclusivamente per fini istituzionali» e che un uso
difforme avrebbe comportato sanzioni disciplinari.
Inoltre, la Corte d’Appello ha ritenuto che la fattispecie in
esame sia da considerare «estranea al campo di applicazione dell’art.
4 dello Statuto [dei Lavoratori]», perché l’I.N.P.S. avrebbe effettuato
i suoi accertamenti solo «ex post, ovvero dopo aver avuto notizia
della perpetrazione del comportamento contestato al dipendente».
Con la citata giurisprudenza si è confrontata, nella sentenza
impugnata, la Corte d’Appello , intendendo darvi seguito.
A tal fine ha accertato che il lavoratore era stato preventivamente
informato «delle modalità d’uso degli strumenti e di effettuazione dei
controlli» e che gli accertamenti erano stati eseguiti solo ex post,
ovverosia dopo la segnalazione, da parte della «Direzione Centrale
Risorse Umane I.N.P.S.», del numero anomalo di accessi informatici
effettuati con le credenziali del ricorrente.
Apparentemente l’argomentazione della Corte d’Appello
è criticabile (ed è stata, infatti, criticata dal ricorrente), perché, da
un lato, l’informazione sulle «modalità … di effettuazione dei
controlli» è cosa ben diversa dall’informazione sull’illeceità e sulla
sanzionabilità di un comportamento (tale essendo l’indicazione
contenuta nel banner valorizzato dalla Corte territoriale); dall’altro
lato, la segnalazione della «Direzione Centrale Risorse Umane
I.N.P.S.», non è una segnalazione esterna, bensì interna allo stesso
Istituto, che quindi aveva già effettuato controlli sull’anomalia degli
accessi alla banca dati quando fu effettuata la segnalazione.
Tuttavia, tali aspetti si rivelano irrilevanti, perché il caso qui in
esame è sensibilmente diverso rispetto a quelli affrontati nei citati
precedenti, che sono incentrati sul bilanciamento tra «esigenze di
protezione di interessi e beni aziendali» e «imprescindibili tutele della
dignità e della riservatezza del lavoratore».
In questo caso, i controll ipreventivi effettuati dall’I.N.P.S. non solo non erano finalizzati
al controllo dell’adempimento della prestazione del lavoratore, ma
nemmeno erano volti alla «protezione di interessi e beni aziendali».
L’I.N.P.S., infatti, quale gestore e responsabile della banca dati in cui
sono racchiuse informazioni riservate che riguardano i soggetti
iscritti, ha effettuato i doverosi controlli preventivi sugli accessi a
tutela delle persone interessate alla corretta gestione di quei dati.
La tutela della privacy viene sicuramente in rilievo nel caso di specie,
ma si tratta della privacy delle persone che sono iscritte a vario titolo
all’I.N.P.S. e inserite nella banca dati, non quella del lavoratore
dipendente, di cui non è stato attinto alcun dato personale, se non
quello, appunto, dell’accesso non autorizzato alla banca dati.
Nel caso di specie, invece, i controlli automatici effettuati
dall’I.N.P.S., all’esito dei quali si è sostanziato il fondato sospetto di
un illecito disciplinare, da un lato, erano volti alla doverosa tutela di
soggetti terzi (gli interessati, le cui informazioni personali sono
inserite nella banca dati); dall’altro lato, non hanno comportato
alcuna indagine sulle abitudini, sui gusti e sulle comunicazioni del
lavoratore dipendente.
Non era quindi obbligatoria alcuna comunicazione preventiva
al dipendente del fatto che l’I.N.P.S. esercita un doveroso controllo
– non sull’operato dei propri dipendenti, ma – sulla regolarità degli
accessi alla banca dati di cui è responsabile, né tale controllo rientra
tra i controlli difensivi «in senso stretto», che il datore di lavoro può
adottare a tutela dei propri «interessi e beni aziendali», alle
condizioni indicate nella giurisprudenza citata.