Sui controlli a distanza tra necessità di “informativa” ed esigenze di “difesa”

L’utilizzo della strumentazione informatica (tablet, smartphone, pc, etc.) negli ambienti di lavoro costituisce, ormai, condizione essenziale e imprescindibile per poter rendere la propria prestazione lavorativa.

Conseguenza di ciò è che, per il tramite di quella strumentazione, si assiste ad un massivo scambio di dati e informazioni che qualunque datore di lavoro, giocoforza, è interessato a controllare a distanza onde prevenire, oppure sanzione, possibili comportamenti non corretti, se non illeciti, da parte del proprio personale dipendente.

Orbene, la norma che disciplina le modalità con cui questi controlli possono avere luogo è contenuta nell’art. 4 della legge n. 300/1970 (come innovato dal d.lgs. n. 151/2015, facente parte del pacchetto legislativo noto come “Jobs Act”) e subordina, in linea generale, l’effettuazione di controlli a distanza alla previa sottoscrizione di un accordo sindacale aziendale o, laddove non siano costituite organizzazioni sindacali in azienda, al previo rilascio di specifica autorizzazione da parte dell’Ispettorato del Lavoro territorialmente competente, e ciò anche laddove tali controlli siano finalizzati alla sola tutela del patrimonio aziendale (cfr. art. 4, comma 1, cit.).

Una volta raggiunto l’accordo od ottenuta l’autorizzazione, sarà poi necessario rendere apposita informativa ai dipendenti ai sensi dell’art. 4, comma 3, legge n. 300/1970 e dei provvedimenti resi dal Garante della Privacy in materia. Diversamente, nessun controllo potrà essere effettuato e nessuna informazione potrà essere raccolta.

Le procedure sindacali e amministrative sopra descritte non si applicano agli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, anche se informatici, così come agli strumenti destinati alla registrazione delle presenze. A tal proposito, infatti, la raccolta e l’utilizzo ad ogni fine – incluso quello disciplinare – delle informazioni ricavabili da siffatti strumenti sono subordinati al solo rilascio dell’informativa di cui si è detto poc’anzi. Diversamente, ogni trattamento di quelle informazioni è illecito.

Questo, in estrema sintesi, lo scenario legale in cui devono essere contestualizzate due recenti sentenze rese dalla Corte di Cassazione in materia di controlli a distanza, con un particolare focus sui contenuti dell’informativa che il datore di lavoro è chiamato a rendere ai propri lavoratori e sulla possibilità, per il medesimo datore di lavoro, di organizzare controlli difensivi.

In particolare, con una prima sentenza (Cass. Civ., Sez. Lav., n. 25731/2021), la Suprema Corte ha affrontato il caso di una lavoratrice licenziata per aver diffuso frasi ritenute offensive dal proprio datore di lavoro per mezzo di una chat aziendale, dopo che la stessa chat era stata chiusa e sottoposta ad alcune verifiche. In proposito i Giudici di legittimità, pur escludendo la natura offensiva delle frasi contestate così come un utilizzo improprio di strumenti aziendali, si sono soffermati su ciò che l’informativa consegnata alla lavoratrice in merito all’utilizzo della chat aziendale era inadeguata; addirittura, i controlli sembrerebbero aver avuto inizio prima del rilascio dell’informativa stessa.

In quel caso, la mancanza di un’informativa adeguata circa l’utilizzo della chat si è rivelata una considerazione assorbente rispetto all’esigenza e possibilità del datore di lavoro di effettuare dei c.d. “controlli difensivi” sulle apparecchiature aziendali anche alla luce del nuovo art. 4 della legge n. 300/1970 (tali controlli, invero, erano ritenuti ammissibili nell’ambito del vecchio art. 4 cit.).

Il tema dei controlli difensivi è stato, invece, affrontato dai Giudici di legittimità con l'altra sentenza (Cass. Civ., Sez. Lav., sentenza n. 25732/2021), nell’ambito di un caso riguardante il licenziamento di una lavoratrice che, attraverso un utilizzo improprio dei pc aziendali – e, in particolare, con una navigazione su siti internet non sicuri – aveva provocato il blocco dei sistemi informatici per effetto di un virus. Alla luce di ciò, i medesimi Giudici si sono interrogati sulla legittimità, anche nel panorama legislativo sopra descritto, dei controlli che il datore di lavoro decida di effettuare sul proprio patrimonio aziendale allo scopo di difenderlo contro simili eventualità.

Per rispondere a tale interrogativo, la Cassazione ha anzitutto distinto i controlli che riguardano tutti i dipendenti che lavorano a contatto col patrimonio aziendale (e, quindi, ne utilizzano i relativi beni, anche informatici), i quali controlli – a detta della Cassazione stessa – rientrano nell’ambito del nuovo art. 4, comma 1, cit. e necessitano dell’accordo sindacale o dell’autorizzazione dell’Ispettorato, dai controlli “diretti ad accertare specificamente condotte illecite ascrivibili – in base a concreti indizi – a singoli dipendenti, anche se questo si verifica durante la prestazione di lavoro”.

Quest’ultima tipologia di controlli, infatti, prescinde dal costante monitoraggio dello svolgimento della prestazione lavorativa – eventualità che il nuovo art. 4 della legge n. 300/1970 vuole evitare – traendo origine da singole condotte ritenute sospette a patto che, precisa la Cassazione, il sospetto sia “ragionevole”. Ciò in conformità ad una certa giurisprudenza europea, cui la Cassazione sembra aver aderito (Corte Europea diritto dell’Uomo, Grand Chamber, 17 ottobre 2019, Lòpez Ribalda e altri c. Spagna).

In presenza di tale requisito, il controllo difensivo sembra potersi ritenere ammesso anche nell’ambito del nuovo art. 4 cit.. Senza dimenticare, ammoniscono i Giudici di legittimità, che tale tipologia di controlli deve pur sempre basarsi su un adeguato bilanciamento tra la protezione dei beni aziendali e il diritto alla riservatezza del lavoratore.

In particolare, precisa la Cassazione, è necessaria un’informativa che dia adeguata notizia “delle modalità d’uso degli strumenti e di effettuazione dei controlli”, evitando meccanismi che consentano di “acquisire per lungo tempo ed ininterrottamente ogni tipologia di dato, provvedendo alla relativa conservazione, e, poi, invocare la natura mirata (ex post) del controllo incentrato sull’esame ed analisi di quei dati”.

Il lavoro informatizzato sembra, finalmente, aver attratto l’importanza e attenzione che merita.