I controlli difensivi occulti ed il corretto bilanciamento tra riservatezza ed esigenze investigative

La Corte d’Appello di Firenze, con la sentenza n. 684/2023, pubblicata in data 24 maggio 2024, ha affrontato il tema cruciale dei controlli difensivi del datore di lavoro.

Il caso riguardava tre ex dipendenti di una società di brokeraggio assicurativo, nei confronti dei quali il datore di lavoro aveva avanzato pretese risarcitorie per:

1. aver illegittimamente trasmesso segreti commerciali ad un’azienda concorrente (per la quale avevano tra l’altro iniziato a lavorare poco dopo aver rassegnato le loro dimissioni);

2. aver agito al fine di stornare clienti verso il loro nuovo datore di lavoro;

3. aver svolto per lungo tempo un’attività occulta di brokeraggio rivolta ai clienti della loro ex datrice di lavoro, contattando le compagnie a cui essa si riferiva e riscuotendo i relativi compensi all’insaputa della società.

Di tali condotte la società aveva iniziato a sospettare immediatamente dopo le dimissioni dei tre lavoratori, avendo riscontrato un numero anomalo di disdette da parte della clientela afferente alle sedi ove costoro operavano.

Gli illeciti erano stati poi confermati e circostanziati da una società informatica, che aveva effettuato verifiche sui computer in uso ai tre dipendenti, sui sistemi di memorizzazione dei dati e sulle caselle di posta elettronica.

Ciononostante, la Corte di Appello ha ritenuto inutilizzabili gli esiti delle suddette verifiche, in quanto le informazioni acquisite dopo le dimissioni dei lavoratori erano state già raccolte nel corso del rapporto, senza alcuna preliminare autorizzazione o informativa. Pertanto, essendo il trattamento iniziato prima che si palesassero i sospetti del datore, già solo l’acquisizione dei dati, ancor prima che il loro utilizzo avrebbe dovuto soggiacere alle regole imposte dall’art. 4 Stat. lav., senza poter invocare la “scriminante” del controllo difensivo.

La pronuncia in commento, dunque, offre spunti interessanti per ripercorrere la disciplina dei controlli difensivi, come risultante dopo la riforma operata dal D.lgs. n. 151/15, chiarendo a quali condizioni tali controlli possono considerarsi esclusi dal campo di applicazione dell’art. 4 Stat. lav.

Il perimetro di operatività dei controlli difensivi, infatti, è stato oggetto di molte revisioni dei propri confini, anche perché l’elaborazione operata da dottrina e giurisprudenza si è alimentata, da sempre, di una notevole discrasia fra rigore interpretativo e realismo empirico.

Già nella vigenza del vecchio testo dell’art. 4 Stat. lav., l’avvertita urgenza di ammettere un controllo a distanza occulto sui comportamenti illeciti dei dipendenti in danno dell’azienda si scontrava con il tenore testuale della norma, che categoricamente vietava, ovvero sottoponeva a procedura sindacale o amministrativa, l’installazione di qualsiasi impianto audiovisivo o altre apparecchiature con finalità, ovvero possibilità, di controllare a distanza l’attività dei lavoratori (F. Liso, Computer e controllo dei lavoratori, in GDLRI, 1986, 366 ss.; R. De Luca Tamajo, R. Imperiali D’Afflitto, C. Pisani, R. Romei, Nuove tecnologie e tutela della riservatezza dei lavoratori, Milano, 1988; P. Ichino, Diritto alla riservatezza e diritto al segreto nel rapporto di lavoro: la disciplina giuridica della circolazione delle informazioni nell’impresa, Milano, 1979).

Tuttavia, la giurisprudenza, mutuando precedenti formatisi sull’applicazione degli artt. 2 e 3 Stat. lav., aveva trovato una soluzione, distinguendo nettamente i controlli orientati a verificare il corretto svolgimento dell’attività lavorativa, sottoposti ai vincoli dell’art. 4 Stat. lav., da quelli volti a prevenire condotte illecite suscettibili di mettere in pericolo la sicurezza del patrimonio aziendale, che potevano essere effettuati all’insaputa del lavoratore (per tutte, si veda la sentenza capostipite di tale orientamento, Cass. 3 aprile 2002, n. 4746, in GL, 2002, n. 21, 10 ss.).

Pertanto, fin dalla prima fase di elaborazione, il controllo difensivo era tipicamente un controllo occulto, mediante il quale il datore di lavoro acquisiva segretamente quella conoscenza del misfatto ritenuta prodromica all’autotutela sul piano disciplinare.

Nel giro di pochi anni, però, con l’entrata in vigore del D.lgs. n. 196/03, sono sorti nuovi obblighi per il datore di lavoro, quale quello previsto dall’art. 13, di informare compiutamente l’interessato delle modalità e finalità di apprensione dei dati personali che gli appartengono, oppure quello di trattare i dati personali nel rispetto dei princípi di necessità, correttezza, pertinenza e non eccedenza.

Pertanto, a partire dal 2007, la Cassazione ha modificato il suo precedente orientamento, dando vita ad un’inedita tripartizione fra: a) controlli difensivi volti “ad accertare comportamenti illeciti dei lavoratori, quando tali comportamenti riguardino l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro e non la tutela dei beni estranei al rapporto stesso”; b) controlli difensivi in senso stretto, intenzionalmente volti “ad accertare comportamenti estranei al rapporto di lavoro illeciti o lesivi del patrimonio e dell’immagine aziendale e non […] l’inadempimento delle ordinarie obbligazioni contrattuali”; c) controlli difensivi per la prevenzione, in via generale ed assoluta, della perpetrazione di illeciti a danno del patrimonio aziendale ed aventi ad oggetto l’attività lavorativa  (Cass. 17 luglio 2007, n. 15892, in RGL, 2008, II, 358).

I primi vennero fatti rientrare nei controlli preterintenzionali di cui alla vecchia formulazione dell’art. 4, comma 2, Stat. lav.; quanto ai secondi, si continuò a ritenere che la loro legittimità potesse essere valutata ex post, senza alcun limite all’utilizzo di strumenti occulti, e quindi non solo a fronte dell’avvenuta perpetrazione di illeciti specifici già commessi, ma anche per l’esigenza di rilevarne il contenuto ovvero in ragione di una segnalazione, del solo sospetto o della mera ipotesi che illeciti siano in corso di esecuzione; i terzi restarono vietati ex artt. 4, comma 1, Stat. lav. e 11, comma 2, cod. privacy.

Si restava, dunque, fuori dal campo di applicazione dell’art. 4 Stat. lav. quando l’illecito era in grado di ledere interessi estranei al rapporto di lavoro e all’adempimento delle obbligazioni da esso nascenti, pur con la precisazione che l’accertamento doveva comunque avvenire “mediante modalità non eccessivamente invasive” e comunque tali da non determinare un «sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore» (tra le tante, Cass. 27 maggio 2015, n. 10955, in FI, 2015, I, 2316).

Con l’entrata in vigore del c.d. Jobs Act, il legislatore ha tentato di ripristinare la primazia del diritto positivo, optando per estendere la procedura sindacale o amministrativa per l’impiego di tutti gli strumenti di controllo dell’attività lavorativa volti alla tutela del patrimonio aziendale.

Senonché la riforma del 2015 non ha fugato tutte le incertezze interpretative, essendo ancora controverso in dottrina se la nozione di “tutela del patrimonio aziendale” abbia giuridificato, in tutto ovvero solo in parte, l’originaria categoria di matrice giurisprudenziale dei c.d. controlli difensivi, imponendo anche per questi ultimi gli oneri procedurali dell’art. 4 Stat. lav. (R. Del Punta, La nuova disciplina dei controlli a distanza sul lavoro (art. 23, D.lgs. n. 151/2015), in Riv. It. Dir. Lav., 2016, I, 77 e ss.; P. Tullini (a cura di), Controlli a distanza e tutela dei dati personali del lavoratore, Torino, 2017, 1 ss.; G. Proia, C. Pisani, A. Topo, Privacy e lavoro. La circolazione dei dati personali e i controlli nel rapporto di lavoro, Milano, 2022).

Secondo parte della dottrina, infatti, la nuova rotta impressa dal legislatore avrebbe messo la parola fine alla tormentata vicenda dei controlli difensivi, facendo confluire nella rinnovata disciplina della tutela del patrimonio aziendale ogni profilo frutto della precedente elaborazione giurisprudenziale.

Secondo altri, invece, il controllo difensivo potrebbe sopravvivere in ipotesi di particolare gravità, qualora serva a scongiurare il rischio concreto di gravi illeciti posti in essere, da uno o più lavoratori specificamente individuati, in occasione dello svolgimento della prestazione lavorativa.

Questi Autori, in sostanza, preso atto che la tutela del patrimonio aziendale non poteva più essere una scriminante rispetto agli oneri procedurali dell’art. 4 Stat. lav., hanno concentrato le loro riflessioni sul diverso tema della natura illecita del comportamento, che legittimerebbe un controllo occulto sia quando sussista la possibilità di rilevarlo selettivamente, sia quando sia di portata offensiva tale da consentire un’autotutela da parte del datore.

La Cassazione, a partire dal 2021, sembra aver fatto proprio, nella sostanza, questo secondo orientamento, dando vita alla fondamentale distinzione fra controlli difensivi “in senso lato” e controlli difensivi “in senso stretto” (Cass. 23 settembre 2021, n. 25732; poi, in senso conforme, Cass. 3 giugno 2024, n. 15391; Cass. 19 marzo 2024, n. 7272; Cass. 27 febbraio 2024, n. 5209; Cass. 11 ottobre 2023, n. 28378, con nota di G.M.MARSICO, Sulla nullità in senso protettivo del licenziamento disciplinare basato su prove raccolte da un investigatore privato non indicato nominativamente; tra privacy, riservatezza e diritto alla difesa, in www.rivistalabor.it, 2 gennaio 2024; Cass. 26 giugno 2023, n. 18168, con nota di C.MUSELLA, Controlli difensivi verso l’eternità, sempre in www.rivistalabor.it, 22 ottobre 2023).

I primi si sostanziano in una difesa del patrimonio aziendale messa in atto con strumenti di controllo idonei a monitorare (anche) la prestazione lavorativa svolta da parte della generalità dei dipendenti o di gruppi di essi; i secondi, invece, sono rivolti ad accertare condotte illecite specificamente ascrivibili, in base a concreti indizi, a singoli dipendenti.

Solo i controlli difensivi “in senso lato”, secondo la Cassazione, dovrebbero essere effettuati nel rispetto degli oneri procedurali dell’art. 4, comma 1, Stat. lav., mentre gli altri, non avendo ad oggetto la normale attività del lavoratore, si porrebbero al di fuori del perimetro della norma statutaria.

Ciò perché “l’istituzionalizzazione della procedura richiesta dall’art. 4 per l’installazione dell’impianto di controllo sarebbe coerente con la necessità di consentire un controllo sindacale e, nel caso, amministrativo, su scelte che riguardano l’organizzazione dell’impresa; meno senso avrebbe l’applicazione della stessa procedura anche nel caso di eventi straordinari ed eccezionali costituiti dalla necessità di accertare e sanzionare gravi illeciti di un singolo lavoratore”, fermo restando il “corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, con un contemperamento che non può prescindere dalle circostanze del caso concreto”.

Nell’ottica del giudice di legittimità, dunque, il fatto che il monitoraggio sia circoscritto ai lavoratori, singolarmente considerati, diventa il presupposto stesso di legittimità di un controllo occulto, dovendosi altrimenti soggiacere agli oneri procedurali previsti per i controlli “indiscriminati” a tutela del patrimonio aziendale.

Una volta superato questo primo vaglio, però, la Cassazione avverte la preoccupazione che “il datore di lavoro, in presenza di un sospetto di attività illecita, possa avere mano libera nel porre in essere controlli sul lavoratore interessato” e, dunque, precisa che il controllo occulto deve essere “attuato ex post”, nel senso che la raccolta delle informazioni dovrebbe avvenire soltanto a seguito del comportamento illecito del cui avvenuto compimento il datore abbia avuto il fondato sospetto. Altrimenti, continua la sentenza “Il datore di lavoro, infatti, potrebbe, in difetto di autorizzazione e/o di adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli, nonché’ senza il rispetto della normativa sulla privacy, acquisire per lungo tempo ed ininterrottamente ogni tipologia di dato, provvedendo alla relativa conservazione, e, poi, invocare la natura mirata (ex post) del controllo incentrato sull’esame ed analisi di quei dati”.

Inoltre, continua la Suprema Corte, il controllo deve essere “mirato”, nel senso che “in nessun caso può essere giustificato un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore”, il che riecheggia il fair balance fatto proprio dalla giurisprudenza comunitaria sopra citata.

L’impostazione seguita dalla Suprema Corte appare condivisibile, poiché da un lato, non trascura l’esigenza del datore di reagire a comportamenti deprecabili del lavoratore, avvalendosi anche delle nuove tecnologie di controllo; dall’altro, si preoccupa di tracciare confini precisi entro cui è ammesso il controllo occulto.

Viene fatta salva altresì la compatibilità con la giurisprudenza della Corte Europea dei diritti dell’uomo, che aveva introdotto il principio del c.d. fair balance tra le opposte esigenze del datore e del lavoratore (in particolare, Corte EDU 5 settembre 2017, Bărbulescu c. Romania e Corte EDU 17 ottobre 2019, López Ribalda et al. c. Spagna. Ma si veda, anche. Corte EDU 22 febbraio 2018, Libert c. Francia; Corte EDU 18 novembre 2017, Antović e Mirković c. Montenegro; Corte EDU 2 marzo 2009, K.U. c. Finland).

Applicando, infatti, l’art. 8 della Convenzione EDU, che impone all’interprete di raggiungere un equilibrio fra i contrapposti diritti nel rispetto dei principi di ragionevolezza e proporzionalità, la Corte aveva ritenuto legittime talune invasioni della sfera di riservatezza, valorizzando elementi quali la temporaneità dell’indagine, la sua estensione nello spazio, nonché la “platea” di lavoratori interessati; l’esistenza ex ante di fondati sospetti che giustificassero l’indagine; la circostanza che i risultati dell’indagine siano stati utilizzati o no per conseguire esclusivamente il fine al quale l’indagine mirava; la possibilità di realizzare, o no, la finalità investigativa con un’indagine meno invasiva; nel caso di indagine effettuata mediante video sorveglianza, la circostanza che essa abbia riguardato o no luoghi di lavoro pubblici o aperti al pubblico, ove l’aspettativa di riservatezza è inevitabilmente minore.

Nello stesso senso della Cassazione si sono pronunciati anche numerosi giudici di merito, escludendo dall’ambito di applicazione del comma 1 dell’art. 4 Stat. lav. i controlli volti ad “impedire la perpetrazione di comportamenti illeciti” (Trib. Milano 13 maggio 2019, n. 17778, in RIDL, 2019, II, 643; Trib. Roma 26 marzo 2019, inedita; Trib. Torino, 19 settembre 2018, n. 1664, inedita; Trib. Padova, ord. 19 gennaio 2018, in DRI, 2019, 1, 302; Trib. Roma, 24 marzo 2017, in DRI, 2018, 264, confermata in appello da CdA Roma, 22 marzo 2019, n. 1331, inedita; CdA Roma, 14 ottobre 2019, in Lav. Prev. Oggi, 2020, 172; Trib. La Spezia, 25 novembre 2016, in DRI, 2019, 303 ss.; Trib. Torino, 19 settembre 2018, n. 1664, inedita).

La pronuncia della Corte fiorentina qui in commento si pone, dunque, nel solco della suddetta giurisprudenza, poiché, dopo aver correttamente individuato il perimetro dei controlli difensivi estranei all’applicazione dell’art. 4 Stat. lav., ha correttamente escluso che la fattispecie concreta vagliata fosse riconducibile a tale ipotesi, poiché la raccolta delle informazioni era stata anteriore al sorgere dei sospetti da parte del datore di lavoro.

Semmai, l’unico appunto che può essere mosso è che, nel caso di specie, le informazioni erano state raccolte da un personal computer, e cioè da uno strumento che i lavoratori utilizzavano per rendere la prestazione.

Tali strumenti, dunque, a differenza di quanto affermato dalla sentenza, non dovevano essere pre- autorizzati con le modalità previste dal comma 1 dell’art. 4 Stat. lav., stante l’operatività dell’esimente prevista dal successivo comma 2.

Nei fatti, tuttavia, poco sarebbe cambiato, perché anche gli strumenti di lavoro sono comunque soggetti all’obbligo di preventiva autorizzazione del comma 3 dell’art. 4 Stat. lav., che nella specie pure era stato omesso, per cui le informazioni raccolte dai personal computer sarebbero ugualmente risultate inutilizzabili dal datore di lavoro.

Ancora una volta, dunque, l’analisi della prassi giurisprudenziale mette in luce l’importanza di una corretta informazione sulle modalità d’uso degli strumenti e di effettuazione dei controlli, cui non sempre le aziende prestano la dovuta attenzione, anche perché non confidano abbastanza nell’invece fondamentale funzione deterrente dell’informativa stessa.

Roberto Maurelli, dottore di ricerca e avvocato in Roma

Visualizza il documento: App. Firenze, 24 maggio 2024, n. 684-2023

Scarica il commento in PDF

L’articolo I controlli difensivi occulti ed il corretto bilanciamento tra riservatezza ed esigenze investigative sembra essere il primo su Rivista Labor – Pacini Giuridica.