Il datore di lavoro può controllare il PC aziendale del dipendente?

19 Ottobre 2021

Con una recentissima sentenza la Corte di Cassazione (22.9.2021 n. 25732) è nuovamente intervenuta al fine di chiarire la legittimità dei “controlli difensivi” posti in essere dal datore di lavoro, dopo l’insorgenza del sospetto di commissione di un illecito da parte del lavoratore.

Nel caso all’esame della Corte un virus proveniente dal pc di una lavoratrice aveva infettato l’intero sistema aziendale e l’attività di accertamento datoriale era stata finalizzata all’indefettibile ripristino del sistema informatico.
Nel corso delle verifiche sul pc della lavoratrice, da cui originava il virus, venivano in rilievo numerosi accessi a siti visitati per ragioni private, per lunghi periodi, tali da integrare una sostanziale interruzione della prestazione lavorativa, all’esito del quale la lavoratrice veniva licenziata.

Secondo l’elaborazione giurisprudenziale antecedente alla riforma dell’art. 4 Statuto dei Lavoratori (L. 300/1970), questa tipologia di controlli, pur estranei alle procedure disciplinate dall’art. 4, non potevano comunque essere esercitati liberamente, dovendo sottostare al necessario bilanciamento tra le esigenze di salvaguardia della dignità e riservatezza del dipendente e quelle di protezione dei beni aziendali.

Le attività di accertamento, dunque, dovevano essere esercitate con modalità non eccessivamente invasive, rispettose delle garanzie di libertà e dignità dei lavoratori, secondo canoni di correttezza e buona fede contrattuale. Il controllo poi, nel rispetto delle delibere del Garante della privacy, doveva risultare pertinente, non eccedente e proporzionale al fine perseguito.

Dopo l’entrata in vigore dell’art. 4 L. 300/1970 così come novellato dall’art. 23 D.lgs 151/2015 – che ha esteso le ragioni di utilizzo degli strumenti di controllo a distanza alla tutela del patrimonio aziendale – ci si era interrogati se i c.d. controlli difensivi, ovverosia quelli operati dai datori di lavoro sulle condotte dei dipendenti in presenza di presunti illeciti lesivi del patrimonio e disposti successivamente all’attuazione della condotta illecita, potessero ancora considerarsi estranei all’ambito di applicazione della suddetta norma.

La Corte, accogliendo la tesi affermativa, intende oggi distinguere tra i controlli a difesa del patrimonio aziendale che riguardano tutti i dipendenti (o gruppi di essi) nello svolgimento della loro prestazione lavorativa e che dovranno necessariamente essere realizzati con il rispetto delle previsioni e garanzie di cui all’art. 4 St. Lav (autorizzazione ai sensi del comma 1 o comunque informativa al lavoratore ai sensi del comma 3) dai “controlli difensivi in senso stretto”, ovvero quelli diretti ad accertare condotte illecite ascrivibili- in base a concreti indizi– a singoli dipendenti. Trattandosi in questo caso di eventi straordinari ed eccezionali costituiti dalla necessità di accertare e sanzionare gravi illeciti di un singolo lavoratore, detti controlli pur effettuati con l’ausilio di strumenti tecnologici sono- secondo la Corte- ancor oggi al di fuori dell’ambito di applicazione dell’art. 4 St. Lav.

Ciò non significa, tuttavia, che il datore di lavoro sia libero di attuare i controlli senza alcun limite.

Infatti, affinché i controlli difensivi in senso stretto siano legittimi e possano essere utilizzati in sede disciplinare essi dovranno:

essere mirati a quel singolo accertamento;
essere attuati ex post: le informazioni devono essere raccolte solo successivamente al comportamento illecito di uno o più lavoratori, del cui compimento il datore di lavoro abbia avuto fondato sospetto;
non avere mai ad oggetto la mera prestazione lavorativa dei dipendenti;
avere una durata limitata nel tempo e finalizzata alla raccolta del dato, che dovrà essere conservato il tempo strettamente necessario;
presentare un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, e il rispetto della dignità e riservatezza del lavoratore.

Peraltro, la tesi della sopravvivenza dei controlli difensivi sotto il profilo della compatibilità con la tutela della riservatezza di cui all’art. 8 della Convenzione Europea dei diritti dell’uomo, trova conforto nella giurisprudenza della Corte Europea dei diritti dell’uomo, che nella sentenza 17.10.2019- caso Lopez Ribalda e altri c. Spagna- aveva ritenuto legittima l’installazione di strumenti occulti di videosorveglianza all’insaputa dei lavoratori da parte di un gestore di un supermercato che aveva riscontrato discrepanze tra le scorte di magazzino e gli incassi di fine giornata; la condotta veniva infatti ritenuta proporzionata rispetto al fine di tutelare l’interesse organizzativo e il patrimonio aziendale, in presenza di un ragionevole sospetto circa la commissione di illeciti connotati da gravità e della prefigurazione dell’entità dei danni economici che potevano derivarne.

Nel caso all’esame della Suprema Corte ciò che le corti di merito avevano omesso del tutto di verificare – – era se i dati utilizzati per il successivo provvedimento disciplinare fossero antecedenti o successivi al sospetto di avvenuta commissione di un illecito ad opera della lavoratrice e soprattutto se fosse stato garantito il bilanciamento tra gli interessi correlati alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e riservatezza del lavoratore.

La Corte di Cassazione rinviava, dunque, la causa alla Corte di Appello di Roma, che nel decidere dovrà attenersi al principio di diritto così enunciato e qualora accertasse che non sussistono i presupposti indicati dovrà operare “la verifica della utilizzabilità ai fini disciplinari dei dati raccolti dal datore di lavoro” sul pc della lavoratrice, nel rispetto delle prescrizioni di cui ai commi 2 e 3 dell’art. 4 L. 300/1970.

Se i dati utilizzati e posti a base del provvedimento disciplinare, infatti, fossero antecedenti al sospetto di commissione dell’illecito, andrà verificata la presenza di una dettagliata policy aziendale sull’impiego degli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e di adeguata informativa delle modalità d’uso degli stessi e dell’effettuazione dei controlli, tutto ciò sempre nel rispetto della normativa in materia di privacy.

In sintesi quindi è legittimo il controllo del datore di lavoro sul computer aziendale del dipendente, purchè successivo all’insorgere del fondato sospetto di commissione di un illecito e nel rispetto della dignita’ e riservatezza del lavoratore

Cookie	Durata	Descrizione
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_149298432_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	past	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.

Cookie	Durata	Descrizione
AnalyticsSyncHistory	1 month	No description
CookieLawInfoConsent	1 year	No description
li_gc	2 years	No description

Il datore di lavoro può controllare il PC aziendale del dipendente?

Potrebbe interessarti anche:

Liquidazione del danno morale: non rilevano fatti e avvenimenti sopravvenuti

Vacanza rovinata: responsabile anche l’agenzia di viaggi che ha fatto affidamento solo sul depliant del tour operator

Veicolo privo di assicurazione: il passeggero può farsi risarcire direttamente dalla compagnia del responsabile civile