Una tematica di rilevante interesse per le aziende riguarda la possibilità di controllare l’uso (e talvolta l’abuso) del pc aziendale da parte dei dipendenti, con particolare riguardo alla posta elettronica ed agli accessi ad internet.
Nel caso preso in esame dalla Corte di Cassazione con la sentenza n. 25732/2021, una lavoratrice aveva impugnato il licenziamento per giusta causa intimatole dalla datrice di lavoro – una Fondazione – per aver utilizzato i mezzi informatici messi a sua disposizione per l’esecuzione della prestazione lavorativa a soli fini privati e in violazione delle disposizioni impartite in ordine all’utilizzo degli stessi.
In particolare, la Fondazione – avendo subito gravi danni alla rete informatica a causa di un virus – aveva effettuato alcuni accertamenti sui computer dei dipendenti, in occasione dei quali era emerso che il predetto virus era stato introdotto nella rete aziendale attraverso un file scaricato dalla dipendente da siti visitati per ragioni private, estranee all’attività lavorativa.
La Suprema Corte, investita della questione a seguito di ricorso presentato dalla dipendente, nel rilevare la piena legittimità dell’operato dell’azienda ha, innanzitutto, fatto chiarezza sul tema dei cosiddetti “controlli difensivi”.
Secondo la Corte Cassazione, infatti, ai fini della legittimità dei controlli effettuati sugli strumenti informatici in dotazione al dipendente, occorre distinguere tra controlli previsti dal novellato articolo 4 dello Statuto dei Lavoratori, dalle ipotesi di fondato sospetto della commissione di un illecito da parte del dipendente.
La prima tipologia di controlli – quelli previsti dall’articolo 4 della L.300/1970 – stabilisce che i dati raccolti dagli strumenti informatici di lavoro in dotazione ai dipendenti sono utilizzabili a tutti i fini connessi al rapporto di lavoro (e quindi anche a quelli disciplinari) alle seguenti condizioni: 1) che il datore di lavoro abbia predisposto una policy aziendale con la quale venga fornita adeguata informazione ai lavoratori circa gli strumenti che consentono il controllo a distanza, le modalità e le regole di utilizzo di tali strumenti, il tipo di controlli che potranno essere effettuati dall’azienda, i dati conservati e i soggetti abilitati ad accedervi, nonché le eventuali sanzioni che potranno essere comminate; 2) che sia rispettata la normativa sulla Privacy, nel senso che il trattamento dei dati deve essere conforme ai principi di necessità, correttezza, pertinenza e non eccedenza.
La seconda tipologia di controlli – effettuati nel caso in esame – scaturisce invece dalla necessità di accertare e sanzionare gravi illeciti di un singolo lavoratore che rimane estranea al perimetro applicativo dell’articolo 4 della L.300/70.
La Suprema Corte, tuttavia, è giunta ad affermare che, anche nell’ambito di questa seconda tipologia di controlli, il potere del datore di lavoro non sia, in ogni caso, illimitato ed indiscriminato ed infatti il controllo, anche tecnologico, posto in essere dal datore di lavoro in presenza di un fondato sospetto circa la commissione di un illecito, è lecito “purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto”.
Avv. Stefania Massarenti