Cassazione: Nei controlli difensivi si possono raccogliere solo i dati successivi al sospetto di attività illecita

Con Sentenza 25732/21, la Corte di Cassazione ha emesso una importante sentenza in tema di controlli difensivi sui dipendenti e dei limiti imposti dalla normativa privacy e giuslavoristica.

In questa decisione, la Cassazione ha disposto che è possibile non osservare i limiti di cui all’art. 4 dello Statuto dei Lavoratori e gli obblighi di messa a disposizione dell’informativa privacy, solo su dati raccolti successivamente all’insorgere del sospetto di attività illecita.

Si tratta di un caso pre-GDPR dove si è discussa la legittimità del licenziamento per giusta causa di una dipendente che, a seguito di un attacco ransomware sul PC aziendale, ha subito dei controlli da parte dell’azienda per cui lavorava. In occasione di questo intervento venivano in rilievo numerosi accessi da parte della lavoratrice a siti che all’evidenza erano stati visitati per ragioni private. Alla dipendente non era stata fornita alcuna informativa privacy e non vi erano accordi sindacali sul punto. Inoltre, si trattava di dati relativi alla navigazione su Internet e file sul PC della dipendente che erano stati raccolti prima che il sospetto emergesse, anche se i controlli erano stati svolti successivamente. La ricorrente, per tal motivo, riteneva che il datore di lavoro non avrebbe potuto utilizzare quei dati a fini disciplinari in quanto vi era un ulteriore utilizzo per fini connessi al rapporto di lavoro che dovevano essere preclusi. Pertanto, secondo la ricorrente, non poteva essere provato ciò che si fonda su informazioni non utilizzabili.

La Cassazione ha cassato la sentenza della Corte territoriale con il seguente principio di diritto sui controlli difensivi: “Sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto”.

Ne consegue, che, secondo la Cassazione, i controlli devono essere disposti ex post, ossia dopo l’attuazione del comportamento sospetto, affinché si possano non osservare i limiti di cui all’art. 4 dello Statuto dei Lavoratori. Negli altri casi, gli obblighi privacy e giuslavoristici trovano comunque applicazione. È importante evidenziare che si tratta di una sentenza relativa ad eventi occorsi nel 2016 prima dell’entrata in vigore del GDPR che, come è noto, ha rafforzato gli obblighi di informazione e di definizione ex ante delle basi giuridiche del trattamento.

E’ da segnalare che si tratta di una sentenza relativa ad eventi avvenuti nel 2016 e quindi prima dell’inizio dell’applicabilità del GDPR. Il GDPR non prevede delle esenzioni rispetto all’obbligo di consegna dell’informativa privacy. Quindi la stessa conclusione potrebbe non essere raggiunta nell’attuale contesto normativo. In ogni caso, questa sentenza fornisce un segnale di allarme per le aziende che non hanno una policy sull’analisi delle email dei dipendenti, dei dati di navigazione e dei dispositivi elettronici. In mancanza di questa policy e di un accordo sindacale, sussiste il rischio che ci siano limitazioni rilevanti qualora si vogliano contestare delle condotte ai dipendenti.

Su un simile argomento può essere interessante l’articolo “Il Garante privacy sanziona sul monitoraggio di dipendenti sul posto di lavoro”.