.png){kind=logo}
La Corte di Cassazione ha emesso nuovamente un pronunciamento sul tema dei controlli effettuati dal datore di lavoro sulla posta elettronica aziendale. Con la sentenza n. 18168 depositata il 26 giugno 2023, la Corte ha confermato l'illegittimità del licenziamento di un dirigente bancario per sospetto di infedeltà e ha ribadito il principio di diritto esposto nei suoi precedenti (Cassazione n. 25732 del 2021, Cassazione n. 34092 del 2021) sui limiti dei controlli del datore di lavoro nei confronti dei propri dipendenti.
In questo specifico caso, una banca aveva terminato il rapporto di lavoro con un responsabile a seguito di un'indagine senza discriminazioni sulla sua corrispondenza elettronica aziendale.
La Corte d'Appello di Milano ha stabilito che il monitoraggio era illegale perché la banca non aveva assicurato "la giusta proporzione e le garanzie procedurali contro l'arbitrarietà del datore di lavoro".
In particolare, la banca:
- Non aveva incluso i "motivi che hanno provocato un'indagine così invasiva";
- Aveva controllato "indiscriminatamente tutte le comunicazioni presenti nel computer aziendale in uso "al dipendente" senza limiti di tempo, dando luogo così a un'indagine invasiva massiccia e indiscriminata non giustificata";
- Non aveva informato preventivamente il dipendente "della possibilità che le comunicazioni effettuate sul computer aziendale potessero essere monitorate né del carattere e dell'entità del monitoraggio o del livello di invasività nella sua corrispondenza";
- Non aveva ottenuto il consenso del dipendente per il controllo della posta elettronica aziendale come richiesto dal regolamento aziendale, di cui il dipendente, peraltro, non era nemmeno a conoscenza.
Quindi, la Corte di Cassazione ha confermato la sentenza in base ai seguenti punti.
La Corte innanzitutto richiama l'importante distinzione tra i controlli per la difesa del patrimonio aziendale che riguardano tutti i lavoratori e che devono essere effettuati nel rispetto dell'articolo 4 dello Statuto dei Lavoratori (previa accordo sindacale o autorizzazione dell'ispettorato del lavoro) e i controlli anche tecnologici volti a verificare specificamente comportamenti illeciti attribuibili - sulla base di indizi concreti - a singoli dipendenti (cosiddetti "controlli difensivi in senso stretto") che si trovano "all'esterno del perimetro applicativo dell'art. 4" dello Statuto dei Lavoratori e non richiedono preventivo accordo sindacale o autorizzazione dell'ispettorato del lavoro.
Riguardo ai controlli di difesa in senso stretto, i giudici di legittimità confermano che questi sono consentiti solo “in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all'insorgere del sospetto”.
Il controllo deve, quindi, essere “mirato” sul singolo lavoratore ed “attuato ex post”, ossia a seguito del comportamento illecito del lavoratore, in quanto “solo a partire da quel momento il datore può provvedere alla raccolta di informazioni utilizzabili…non essendo possibile l'esame e l'analisi di informazioni precedentemente assunte in violazione delle prescrizioni di cuiall'art.4 St. lav.”.
La Corte sottolinea, inoltre, che a causa del principio di vicinanza della prova, è il datore di lavoro che ha l'onere di fornire la prova, il quale deve “allegare prima e provare poi le specifiche circostanze che lo hanno indotto ad attivare il controllo tecnologico ex post, considerato che solo tale "fondato sospetto" consente al datore di lavoro di porre la sua azione al di fuori del perimetro di applicazione diretta dell'art. 4”.
Nello specifico, deve trattarsi di “indizi, materiali e riconoscibili, non espressione di un puro convincimento soggettivo, idonei a concretare il fondato sospetto della commissione di comportamenti illeciti.”
Quanto alla nozione di “fondato sospetto”, la Corte cita alcuni riferimenti utili alla sua definizione ed in particolare la giurisprudenza della Corte EDU secondo cui “l'esistenza di un ragionevole sospetto circa la commissione di illeciti", mentre "non è accettabile la posizione secondo cui anche il minimo sospetto di appropriazione illecita possa autorizzare l'installazione di strumenti occulti di videosorveglianza”.
Infine, richiamando quanto stabilito dalla Corte EDU nel caso Barbulescu c. Romania, la Corte di Cassazione fornisce indicazioni sugli elementi che il giudice italiano può considerare nel bilanciare i controlli difensivi "in senso stretto", precisamente:
- L'informazione del lavoratore riguardo alla possibilità che il datore di lavoro adotti misure di monitoraggio, dovrebbe essere chiara sulla natura della sorveglianza e comunicata prima della sua attuazione;
- Il livello d’invasività nella privacy dei dipendenti, considerando soprattutto il grado di intimità del luogo in cui avviene il monitoraggio, i limiti di spazio e tempo imposti, e il numero di persone che possono accedere ai suoi risultati;
- L'esistenza di una ragione valida per l'utilizzo della sorveglianza e per il suo aumento in modo legittimo, con l'importante dettaglio che quanto più invasiva è la sorveglianza, tanto più serie devono essere le giustificazioni richieste;
- La valutazione, a seconda delle circostanze specifiche di ogni caso, determina se il datore di lavoro possa raggiungere il legittimo obiettivo perseguendo una minore intrusione nella vita privata del dipendente;
- Verifica di come il datore di lavoro abbia impiegato i risultati del monitoraggio e se siano stati utili per raggiungere l'obiettivo dichiarato della misura;
- La fornitura di adeguate garanzie al dipendente riguardo al livello di invasività delle misure di sorveglianza, attraverso la comunicazione di informazioni ai lavoratori interessati o ai rappresentanti del personale sulle modalità e l'entità della sorveglianza, dichiarando l'implementazione di tali misure a un organismo indipendente o concedendo la possibilità di presentare un reclamo.
Per implementare correttamente un sistema aziendale di gestione della posta elettronica é necessario interventire anche dal punto di vista organizzativo / legale. E' necessario implementare un regolamentoe interno per "utilizzo della posta elettronica e degl strumenti informatici".
Se desideri approfondire e redarre correttamente un Regolamento Interno
