Menu
Con sentenza n. 18168, depositata il 26 giugno 2023, la Corte di Cassazione si è pronunciata nuovamente sul tema dei controlli difensivi del datore di lavoro sulla posta elettronica aziendale. Nella fattispecie, una banca aveva licenziato un dirigente a seguito di un controllo indiscriminato sulla sua posta elettronica aziendale. La corte d’appello di Milano aveva dichiarato l’illegittimità dei controlli posti dalla banca.
Nello specifico la banca:
• non aveva allegato i “motivi che hanno portato ad un’indagine così invasiva”; • aveva controllato “indistintamente tutte le comunicazioni presenti nel pc aziendale in uso al lavoratore e senza limiti di tempo, dando vita così ad una indagine invasiva massiccia e indiscriminata non giustificata”;
• non aveva informato preventivamente il lavoratore “della possibilità che le comunicazioni che effettuava sul pc aziendale avrebbero potuto essere monitorate, né del carattere e della portata del monitoraggio o del livello di invasività nella sua corrispondenza”;
• non aveva acquisito “il consenso del lavoratore al controllo della posta elettronica aziendale”, come prescritto dal regolamento aziendale, della cui esistenza, peraltro, il lavoratore non ne era nemmeno a conoscenza.
Pertanto, la Cassazione confermava la sentenza, riportando il fatto nella sfera dell’art.4 Statuto dei lavoratori, congelando però la parte fondamentale di questo spinoso perimetro tra l’attività racchiusa nell’art.4 Statuto dei lavoratori per la tutela del patrimonio e i controlli difensivi effettuati ex-post. Nello specifico, La Corte spiegava la netta distinzione tra i controlli a difesa del patrimonio aziendale, che riguardano tutti i lavoratori e che devono essere realizzati nel rispetto dell’art. 4 Statuto dei Lavoratori e i controlli anche tecnologici diretti ad accertare specificamente condotte illecite ascrivibili – in base a concreti indizi – a singoli dipendenti (c.d. “controlli difensivi ex-post” ) che vivono “all’esterno del perimetro applicativo dell’art. 4 dello Statuto dei Lavoratori” e non richiedono il preventivo accordo sindacale o l’autorizzazione dell’ispettorato del lavoro.
Per quel che concerne i controlli difensivi in senso stretto, i giudici di legittimità ribadiscono che gli stessi sono consentiti solo
“in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto”.
Per casi analoghi riguardanti attività investigative nella sfera Digital, Excursus dispone internamente di una divisione Cyber & Digital Forensics, che si occupa anzitutto di valutare, congiuntamente al cliente, il perimetro operativo su cui stabilire il controllo difensivo, il quale, come più volte ribadito dalle varie Corti, avviene dopo aver scoperto un illecito che si starebbe perpetrando a danno dell’azienda. Anche l’attività di estrapolazione, dunque, assume in tale contesto un ruolo importante, in quanto viene svolta nella massima tutela della privatezza altrui, garantendo altresì la genuinità del dato digitale estrapolato.
