In relazione alla disciplina sui controlli a distanza dell’attività dei lavoratori, sancita dall’articolo 4 dello Statuto, la giurisprudenza della Corte di Cassazione ha sviluppato la tesi dei cosiddetti “controlli difensivi” per sottrarre alla procedura dell’accordo sindacale o dell’autorizzazione amministrativa, quei controlli tramite apparecchiature, effettuati dal datore in presenza di fondati sospetti della commissione di illeciti estranei alla prestazione lavorativa, da parte di propri dipendenti.

Due recenti sentenze della Cassazione hanno arricchito l’elaborazione giurisprudenziale su questo delicato tema finalizzato all’individuazione di «un adeguato bilanciamento tra le esigenze di salvaguardia della dignità e riservatezza del dipendente e quelle di protezione, da parte del datore di lavoro, dei beni (in senso lato) aziendali». Una di queste, in particolare, ha affrontato l’interessante questione se tale istituto possa ritenersi ancora applicabile dopo la riforma del citato articolo 4 ad opera del Jobs Act .

Legittimità dei controlli difensivi dopo la riforma

La Cassazione con sentenza n. 25732 del 2021 ha confermato la legittimità dei controlli difensivi anche dopo la modifica dell’art. 4 dello Statuto, modifica effettuata dall’art. 23 del D.lgs. n. 151/2015 e dall’art. 5 del D.lgs. n. 185/2016.

Fatti

I fatti che hanno portato alla decisione della Cassazione hanno riguardato il controllo effettuato da un datore che è acceduto, tramite il proprio amministratore di sistema, al computer di una lavoratrice per verifiche resesi necessarie in seguito alla diffusione di un virus nella rete aziendale (ransomware) che aveva criptato i file all’interno di vari dischi di rete, rendendo gli stessi illeggibili e inutilizzabili.

In occasione dell’accertamento (incident analysis), veniva appurato che il file infetto risiedeva nella cartella di download del pc della lavoratrice e, contemporaneamente, venivano rilevati numerosi accessi da parte di quest’ultima a siti visitati per ragioni private, per lungo tempo e durante l’orario lavorativo. A seguito di ciò viene irrogato alla dipendente un provvedimento di licenziamento.

Contenzioso dinanzi al Garante

La lavoratrice, inizialmente, si rivolge al Garante che – con delibera del 12/10/2016 (doc. web n. 5867780) – ritiene il trattamento dei dati posto in essere dal datore di lavoro mediante il controllo, non conforme ai principi di necessità, correttezza, pertinenza e non eccedenza (di cui all’art. 11 del codice previgente, applicabile al tempo dei fatti) in quanto:

• non era stata fornita alla lavoratrice «un’informativa specifica» riguardo alle modalità di controllo e di acquisizione delle informazioni originate dagli accessi a internet
• le ampie modalità di controllo dei dati «con particolare riguardo al servizio di posta elettronica aziendale, [risultano] in contrasto con le indicazioni contenute nello stesso disciplinare il quale, a tale proposito, prevede che, nel caso di anomalie riscontrate con riguardo all’utilizzo del suddetto servizio, le verifiche funzionali all’individuazione delle cause possano intervenire con riguardo a “dati aggregati riferiti all’intera struttura ovvero su singole aree” e concludersi con l´invio di un avviso generalizzato a tutti gli utenti ovvero circoscritto ai dipendenti afferenti all´area o settore dal quale è originata l´anomalia».

L’autorità, pertanto, ordina al datore di lavoro di astenersi «dall’effettuare alcun ulteriore trattamento dei dati acquisiti secondo le modalità sopra descritte, eccettuata la mera conservazione degli stessi ai fini della loro eventuale acquisizione da parte dell’autorità giudiziaria».