In seguito all’accertamento della diffusione di un virus nella rete aziendale, l’amministrazione del sistema informatico del datore di lavoro aveva eseguito un accesso sul computer della lavoratrice, appurando che nella cartella di download del suo disco fisso era presente un file scaricato che aveva propagato il virus che, partito dal computer aziendale in uso alla lavoratrice, aveva iniziato a propagarsi nella rete dell’azienda, criptando i files all’interno di vari dischi di rete, rendendo gli stessi illeggibili e quindi inutilizzabili. In occasione dell’intervento venivano in rilievo numerosi accessi - da parte della lavoratrice - a siti che all’evidenza erano stati visitati per ragioni private, per un tempo lungo, tale da integrare una sostanziale interruzione della prestazione lavorativa.

L’azienda contestava così alla lavoratrice:

a) L’impiego di mezzi informatici messi a disposizione dal datore di lavoro per l’esecuzione della prestazione lavorativa a soli fini privati ed in violazione delle disposizioni impartite in ordine all'utilizzo degli stessi nonché dei più elementari doveri di diligenza, correttezza e buona fede nell'esecuzione della prestazione;

b) la sostanziale interruzione in tutto il periodo di riferimento della prestazione lavorativa, visti tempi e quantità di navigazione per fini privati;

c) l’aver causato con il suo operato gravi danni al patrimonio aziendale sia per la perdita dei dati sia per l'impossibilità degli uffici della datrice di lavoro di accedere alle cartelle elettroniche danneggiate per tutto il tempo necessario al ripristino del sistema.

A seguito della contestazione di addebito, l’azienda licenziava la lavoratrice.

Il Tribunale - giudice del lavoro - ha reintegrato la lavoratrice nel posto di lavoro perché ha ritenuto che il di lei comportamento non fosse tale da ledere irreparabilmente il rapporto di fiducia tra le parti; il licenziamento era sproporzionato.

La Corte di Appello di Roma, in riforma della sentenza del Tribunale, non condividendone la motivazione, rigettava il ricorso della lavoratrice che condannava anche al pagamento delle spese di entrambi i gradi del giudizio. La Corte di Appello ha escluso che fosse configurabile a carico del datore di lavoro la violazione dell'art. 4 dello Statuto dei lavoratori atteso che, come già accertato dal Tribunale, il controllo sul computer aziendale della lavoratrice si era reso necessario per verificare l'origine del virus che aveva infettato il sistema informatico dell’azienda criptando dati e causandone in parte irrimediabilmente la perdita. Diversamente dal tribunale, la Corte ha accertato infatti che con il suo comportamento la lavoratrice aveva consapevolmente trasgredito alle indicazioni date dalla datrice di lavoro riguardo all’uso degli strumenti informatici, indicazioni delle quali era stata compiutamente resa edotta, così sottraendo energie alla prestazione lavorativa ed incrinando irrimediabilmente la fiducia datoriale in relazione alla correttezza del futuro adempimento della prestazione.

La controversia, per l’impugnazione della sentenza da parte della lavoratrice, è finita davanti alla Corte suprema di Cassazione, che, con una ricca e articolata disamina delle norme e dei precedenti giurisprudenziali, dopo aver analizzato la diversa disciplina che ha regolato la materia dei controlli a distanza che si è succeduta nel tempo (intervento modificativo del jobs act del 2016), ha riformato la sentenza della Corte di Appello. La Cassazione ha motivato la sua decisione rilevando che negli anni ha elaborato la categoria dei c.d. “controlli difensivi”, che consente al datore di lavoro di contrastare i comportamenti illeciti del personale.

Sulla natura dei controlli difensivi la Cassazione ha affermato che la sua giurisprudenza “ha evidenziato, da un lato, che la disposizione statutaria fa parte di quella complessa normativa diretta a contenere in vario modo le manifestazioni del potere organizzativo e direttivo del datore di lavoro che, per le modalità di attuazione incidenti nella sfera della persona, si ritengono lesive della dignità e della riservatezza del lavoratore, sul presupposto - espressamente precisato nella relazione ministeriale - che la vigilanza sul lavoro, ancorché necessaria nell’organizzazione produttiva, vada mantenuta in una dimensione umana, e cioè non esasperata dall’uso di tecnologie che possono rendere la vigilanza stessa continua e anelastica, eliminando ogni zona di riservatezza e di autonomia nello svolgimento del lavoro. Si è altresì precisato, d’altro canto, che la garanzia procedurale prevista per impianti ed apparecchiature ricollegabili ad esigenze produttive contempera l’esigenza di tutela del diritto dei lavoratori a non essere controllati a distanza e quello del datore di lavoro, o, se si vuole, della stessa collettività, relativamente alla organizzazione, produzione e sicurezza del lavoro, individuando una precisa procedura esecutiva e gli stessi soggetti ad essa partecipi.

Per la Cassazione “esulano dall’ambito di applicazione dell’art. 4, comma 2, St. lav. (nel testo anteriore alle modifiche di cui al D.Lgs. n. 151 del 2015, art. 23, comma 1) e non richiedono l’osservanza delle garanzie ivi previste, i “controlli difensivi” da parte del datore se diretti ad accertare comportamenti illeciti e lesivi del patrimonio e dell'immagine aziendale, tanto più se disposti ex post, ossia dopo l’attuazione del comportamento in addebito, così da prescindere dalla mera sorveglianza sull’esecuzione della prestazione lavorativa. (Nella specie, è stata ritenuta legittima la verifica successivamente disposta sui dati relativi alla navigazione in Internet di un dipendente sorpreso ad utilizzare il computer di ufficio per finalità extralavorative).

I “controlli difensivi” devono essere “disposti ex post, ossia dopo l’attuazione del comportamento in addebito, così da prescindere dalla mera sorveglianza sull'esecuzione della prestazione lavorativa; la sussistenza di tale presupposto offre plausibile attestazione della veridicità dell'intento datoriale, che, diversamente, non sarebbe, quale elemento facente parte della sfera interna del datore, agevolmente sindacabile (Cfr., al riguardo, Cass., 5 ottobre 2016, n. 19922, che ha ritenuto illegittimo il controllo effettuato mediante GPS installato sulle vetture in uso ai lavoratori, in quanto predisposto ex ante ed in via generale ben prima che si potessero avere sospetti su una eventuale violazione da parte del lavoratore licenziato).

I “controlli difensivi” non possono comunque “essere esercitati liberamente dal datore di lavoro al di fuori di regole di civiltà e di criteri ragionevoli volti a garantire, con l'impiego di determinati accorgimenti e cautele, un adeguato bilanciamento tra le esigenze di salvaguardia della dignità e riservatezza del dipendente e quelle di protezione, da parte del datore di lavoro, dei beni (in senso lato) aziendali.

La nuova formulazione dell’art. 4 dello Statuto dei lavoratori introdotta dal Jobs act del 2016 ribadisce implicitamente la regola che il controllo a distanza dell'attività dei lavoratori non è legittimo ove non sia sorretto dalle esigenze indicate dalla norma stessa. Sicché il controllo "fine a se stesso", eventualmente diretto ad accertare inadempimenti del lavoratore che attengano alla effettuazione della prestazione, continua ad essere vietato. Ciò non esclude, però, come si era ritenuto con riguardo alla superata disposizione dell'art. 4 St.lav., che ove il controllo sia invece legittimo, le informazioni raccolte in esito ad esso possano essere utilizzate dal datore di lavoro per contestare al lavoratore ogni sorta di inadempimento contrattuale.

La giurisprudenza nella vigenza del vecchio testo dell'art. 4 St. lav, ha ammesso la legittimità dei “controlli difensivi” anche e in assenza del preventivo accordo sindacale o dell'autorizzazione amministrativa, ed ha ammesso anche i controlli occulti tramite agenzie investigative diretti ad accertare condotte penalmente rilevanti dei lavoratori in occasione della prestazione.

Ma questa giurisprudenza “sembra difficilmente armonizzabile con la disciplina dei controlli tecnologici contenuta nell'art. 4 proprio per le modalità di funzionamento di tali controlli. A differenza di un incarico ad un’agenzia investigativa, che può essere limitato ai soli accertamenti necessari ad verificare l’eventuale illecito del singolo dipendente ed essere ritenuto legittimo proprio perché così circoscritto, l’impiego di controlli tecnologici attraverso un sistema informatico che tenga traccia di tutti i dati relativi all’attività di lavoro svolta dall'insieme dei dipendenti sarebbe privo di ogni selettività e non sarebbe ammissibile, perché non orientato specificamente sull'attività illecita, ma in modo indifferenziato sulle prestazioni rese da tutti i lavoratori.”

Continua la Cassazione che “Occorre perciò distinguere tra i controlli a difesa del patrimonio aziendale che riguardano tutti i dipendenti (o gruppi di dipendenti) nello svolgimento della loro prestazione di lavoro che li pone a contatto con tale patrimonio, controlli che dovranno necessariamente essere realizzati nel rispetto delle previsioni dell'art. 4 novellato in tutti i suoi aspetti e “controlli difensivi” in senso stretto, diretti ad accertare specificamente condotte illecite ascrivibili - in base a concreti indizi - a singoli dipendenti, anche se questo si verifica durante la prestazione di lavoro”.

Per la Cassazione “Si può ritenere che questi ultimi controlli, anche se effettuati con strumenti tecnologici, non avendo ad oggetto la normale attività del lavoratore, si situino, anche oggi, all'esterno del perimetro applicativo dell’art. 4”.

Il datore di lavoro, infatti, potrebbe, in difetto di autorizzazione e/o di adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli, nonché senza il rispetto della normativa sulla privacy, acquisire per lungo tempo ed ininterrottamente ogni tipologia di dato, provvedendo alla relativa conservazione, e, poi, invocare la natura mirata (ex post) del controllo incentrato sull'esame ed analisi di quei dati.

In tal caso, il controllo non sembra potersi ritenere effettuato ex post, poiché esso ha inizio con la raccolta delle informazioni; quella che viene effettuata ex post è solo una attività successiva di lettura ed analisi che non ha, a tal fine, una sua autonoma rilevanza.

Può, quindi, in buona sostanza, parlarsi di controllo ex post solo ove, a seguito del fondato sospetto del datore circa la commissione di illeciti ad opera del lavoratore, il datore stesso provveda, da quel momento, alla raccolta delle informazioni.

Facendo il classico esempio dei dati di traffico contenuti nel browser del pc in uso al dipendente, potrà parlarsi di controllo ex post solo in relazione a quelli raccolti dopo l'insorgenza del sospetto di avvenuta commissione di illeciti ad opera del dipendente, non in relazione a quelli già registrati.

Su queste riflessioni giuridiche la Cassazione ha affermato che la Corte d’Appello alla quale la causa è stata rinviata per il riesame, dovrà attenersi al seguente principio di diritto che ritiene essere stata violato nella sentenza impugnata:

“Sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all'insorgere del sospetto.

Non ricorrendo le condizioni suddette la verifica della utilizzabilità a fini disciplinari dei dati raccolti dal datore di lavoro andrà condotta alla stregua della L. n. 300 del 1970, art. 4, in particolare dei suoi commi 2 e 3”.

Questa sentenza della Corte di Cassazione apre scenari che devono indurre a considerare attentamente l’utilizzo dell’informatica in azienda con i connessi controlli che con questo utilizzo si si possono realizzare sul lavoratore e sulla sua attività lavorativa. Le aziende, per poter utilizzare ai fini disciplinari contro il lavoratore i dati raccolti dagli strumenti informatici, hanno l’obbligo di adempiere in modo scrupoloso tutte le prescrizioni previste dalla nuova norma del 2016 introdotta dal Jobs act. Senza l’osservanza di queste norme quelle prove non possono essere utilizzate. Tra questi obblighi primeggia quello di dare adeguata e completa informazione ai lavoratori.