Interviene Cass. n° 25.732 del 22.09.2021, rel. Raimondi, nel caso di dipendente licenziata per giusta causa per aver usato il pc per accedere a siti internet di interesse privato (cioè non lavorativo) e per aver così fatto entrare virus nel sistema informatico aziendale.
La dipendente contesta la legittimità del controllo aziendale predisposto per raccogliere prove di ciò e lo fa spt. ex art. 4 Statuto lav..
La SC si pronuncia sul punto dopo ampio eseme della materia .
Effettua una premessa generale: centrale è il concetto di <controlli difesivi> e soprattutto il capire se siano ancora ammissibili dopo la rifoma ex legge 151 del 2015, art. 23.
Ebene: << 31. Occorre perciò distinguere tra i controlli a difesa del patrimonio aziendale che riguardano tutti i dipendenti (o gruppi di dipendenti) nello svolgimento della loro prestazione di lavoro che li pone a contatto con tale patrimonio, controlli che dovranno necessariamente essere realizzati nel rispetto delle previsioni dell’art. 4 novellato in tutti i suoi aspetti e “controlli difensivi” in senso stretto, diretti ad accertare specificamente condotte illecite ascrivibili – in base a concreti indizi – a singoli dipendenti, anche se questo si verifica durante la prestazione di lavoro. 32 Si può ritenere che questi ultimi controlli, anche se effettuati con strumenti tecnologici, non avendo ad oggetto la normale attività del lavoratore, si situino, anche oggi, all’esterno del perimetro applicativo dell’art. 4.>>
In particolare, poi, << 40 . Inoltre, e il punto è particolarmente rilevante nel caso in esame, per essere in ipotesi legittimo, il controllo “difensivo in senso stretto” dovrebbe quindi essere mirato, nonché attuato ex post, ossia a seguito del comportamento illecito di uno o più lavoratori del cui avvenuto compimento il datore abbia avuto il fondato sospetto, sicché non avrebbe ad oggetto lmattività” – in senso tecnico – del lavoratore medesimo. Il che è sostanzialmente in linea con gli ultimi approdi della giurisprudenza di questa Corte, più sopra richiamati, in materia di “controlli difensivi” nella vigenza della superata disciplina. (…) 44. Può, quindi, in buona sostanza, parlarsi di controllo ex post solo ove, a seguito del fondato sospetto del datore circa la commissione di illeciti ad opera del lavoratore, il datore stesso provveda, da quel momento, alla raccolta delle informazioni. 45. Facendo il classico esempio dei dati di traffico contenuti nel browser del pc in uso al dipendente, potrà parlarsi di controllo ex post solo in relazione a quelli raccolti dopo l’insorgenza del sospetto di avvenuta commissione di illeciti ad opera del dipendente, non in relazione a quelli già registrati>>.
Passa quindi ad applicare tale fattispecie astratta a quella concreta: <<46. Applicazione dei principi suesposti alla fattispecie in esame 46. Così ricostruito il quadro entro il quale i “controlli difensivi” tecnologici possono considerarsi ancora legittimi dopo la modifica dell’art. 4 dello Statuto dei lavoratori, si deve rilevare che la sentenza impugnata, nel ritenere l’esorbitanza della fattispecie litigiosa dall’art. 4 dello Statuto dei lavoratori, ha osservato che il controllo sul computer aziendale in uso alla C. è stato indotto dalla necessità di verificare l’origine del virus che aveva infettato il sistema informaticc della Fondazione criptando vari documenti e cartelle condivise, e di risolvere il problema; l’attività lavorativa, secondo la Corte di appello, è stata dunque sottoposta a verifica non durante il suo svolgimento, ma ex post e quale effetto indiretto di operazioni tecniche condotte su strumenti di lavoro appartenenti al datore di lavoro e finalizzate all’indifferibile ripristino del sistema informatico aziendale. In tale quadro, secondo la Corte territoriale, perderebbe quindi ogni importanza l’eccepita inutilizzabilità probatoria dei dati informatici acquisiti, inutilizzabilità ascritta dalla lavoratrice alla da lei allegata illecita acquisizione, presupposto da escludersi processualmente. 47. Se la statuizione della sentenza impugnata circa la serietà del sospetto di attività illecita indotto dalla scoperta del virus e dei danni da questo provocati può dirsi conforme alla necessità dell’accertamento del requisito del “fondato sospetto” della commissione di un illecito che i principi sopra ricostruiti assumono come presupposto della legittimità dei “controlli difensivi”, è evidente come sia mancata ogni indagine nella stessa decisione volta a stabilire se i dati informatici rilevanti, utilizzati poi in sede disciplinare, fossero stati raccolti prima o dopo l’insorgere del fondato sospetto, in violazione dei principi esposti. E’ pure mancata ogni valutazione circa il corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore>>.
Principio di diritto: “ Sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto. Non ricorrendo le condizioni suddette la verifica della utilizzabilità a fini disciplinari dei dati raccolti dal datore di lavoro andrà condotta alla stregua della L. n. 300 del 1970, art. 4, in particolare dei suoi commi 2 e 3“.