La Corte di cassazione con l’ordinanza n. 807 del 13 gennaio 2025 affronta nuovamente il tema dei controlli difensivi sulle e-mail. A tale proposito ha ribadito che le indagini eseguite dal datore di lavoro sulla posta elettronica aziendale utilizzata dal dipendente possono riguardare solo le informazioni successive al momento in cui è insorto un “fondato sospetto” circa la commissione di un illecito. Diversamente, non sono ammesse né inutilizzabili le indagini tecnologiche svolte su periodi antecedenti all’insorgenza di tale sospetto.
La vicenda fattuale e di primo grado
La vicenda nasce dal licenziamento intimato da un datore di lavoro a un proprio dirigente, sulla base di informazioni acquisite mediante un controllo della posta elettronica aziendale.
La necessità di svolgere tale controllo era sorta a seguito di un “alert” inviato dal sistema informatico aziendale; la ricerca svolta dal datore di lavoro aveva avuto ad oggetto i file di log relativi alle e-mail inviate dal dirigente in un momento antecedente rispetto al fondato sospetto creato da questo alert informativo.
In primo grado, il Tribunale ha dichiarato illegittimo il licenziamento, ritenendo che il controllo aziendale fosse avvenuto in violazione dell’art. 4 dello Statuto dei Lavoratori.
Poiché il monitoraggio ha riguardato dati archiviati prima dell’insorgere di un fondato sospetto, il loro utilizzo a fini disciplinari è stato considerato illecito.
La società ha impugnato la sentenza, portando il caso alla Corte d’Appello di Milano.
In particolare, la Corte d’Appello di Milano, giudicando in sede di rinvio dalla Corte di Cassazione, ha confermato la sentenza di primo grado che aveva dichiarato illegittimo il licenziamento per difetto di giustificatezza, ribadendo che:
- i controlli aziendali hanno violato l’art. 4 dello Statuto dei Lavoratori, poiché sono stati eseguiti su dati archiviati prima dell’insorgere del sospetto generato dall’alert dell’8 febbraio 2017;
- le informazioni raccolte prima del sospetto non potevano essere utilizzate a fini disciplinari;
- la violazione dell’art. 4 invalida l’intero procedimento disciplinare, impedendo l’utilizzo delle giustificazioni rese dal dipendente in risposta alla contestazione;
- neppure l’avvenuta informativa sulla privacy portasse a giudicare leciti i controlli eseguiti in contrasto con l’art. 4 dello Statuto.
Il controllo della posta elettronica e i limiti dello Statuto dei Lavoratori (come modificato dal Jobs Act del 2015)
L’articolo 4 dello Statuto dei Lavoratori (Legge n. 300/1970) disciplina i controlli a distanza dei lavoratori da parte del datore di lavoro.
Dopo la modifica introdotta dal D.Lgs. n. 151/2015, l’articolo prevede:
1) Divieto di controllo a distanza indiscriminato
Il datore di lavoro non può installare strumenti di controllo per verificare l’attività dei lavoratori, a meno che non vi sia un motivo legittimo.
2) Eccezioni
I controlli sono ammessi se gli strumenti sono installati per:
- esigenze organizzative e produttive,
- sicurezza sul lavoro,
- tutela del patrimonio aziendale.
In questi casi, gli strumenti possono essere installati previo accordo sindacale o, in assenza di accordo, con autorizzazione dell’Ispettorato del Lavoro.
3) Strumenti di lavoro e registrazione accessi
Gli strumenti utilizzati dal lavoratore per svolgere la propria attività (PC, email aziendale, badge, ecc.) e i sistemi di registrazione degli accessi e delle presenze non richiedono autorizzazione, ma i lavoratori devono essere informati sulle modalità d’uso e sul trattamento dei dati.
4) Limiti all’uso dei dati raccolti
I dati raccolti attraverso questi strumenti possono essere usati a fini disciplinari solo se il lavoratore è stato preventivamente informato sulle modalità di raccolta e utilizzo.
Nel caso considerato dalla sentenza, la società aveva avviato per il tramite dei tecnici informatici un controllo retrospettivo, eseguito cioè su dati archiviati e memorizzati nel sistema in epoca anteriore all’alert informativo: un comportamento, secondo la Cassazione, che si è posto in contrasto con l’articolo 4 dello Statuto dei lavoratori, che legittima unicamente controlli tecnologici ex post.
Il datore di lavoro non può quindi ricercare nel passato lavorativo elementi di conferma del fondato sospetto e non può utilizzare tali elementi a scopi disciplinari, in quanto ciò equivarrebbe a legittimare l’uso di dati probatori raccolti prima (e archiviati nel sistema informatico), a prescindere dal sospetto di condotte illecite da parte del dipendente.
L’inutilizzabilità a fini disciplinari dei dati acquisiti in questo modo non può essere sanata neanche dall’avvenuta consegna dell’informativa sulla privacy, essendo questo un adempimento obbligatorio che persegue altre finalità, e come tale non è sufficiente per far diventare leciti i controlli eseguiti in contrasto con l’articolo 4 dello Statuto dei lavoratori.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.
