Il controllo del datore di lavoro sul pc del dipendente: quando è legittimo e quando viola la privacy? Il diritto alla tutela dell’interesse aziendale trova un limite nel diritto alla riservatezza del dipendente sul luogo di lavoro. La legge italiana accorda al dipendente una tutela piuttosto ampia per quanto riguarda la privacy sul luogo di lavoro, ricomprendendo nella previsione anche tirocinanti e apprendisti (D. Lgs. 9 aprile 2008, n. 81).

La norma di riferimento è l’art. 4 dello Statuto dei Lavoratori (l. 300/1970) la cui rubrica recita: “Impianti audiovisivi e altri strumenti di controllo”. Stando alla norma la possibilità di controllo a distanza dei lavoratori è legittima solo per “esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”. 

Il comma 2 di tale norma specifica, inoltre che il primo comma non può essere applicato per la verifica degli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (ad esempio il pc aziendale) e agli strumenti di registrazione degli accesi e delle presenze.

Un datore di lavoro può quindi leggere le mail e la corrispondenza di un dipendente? Può esercitare un controllo sul pc del lavoratore? Vediamolo nel dettaglio. 

Quando è lecito Il controllo della posta elettronica e dei dispositivi?

Come abbiamo visto la legge prevede un limite più sfumato su quei dispositivi che il dipendente utilizza per svolgere la prestazione lavorativa. È il caso dei tablet, degli smartphone e dei pc identificati come “aziendali”, cioè concessi dall’azienda in uso al dipendente come dispositivi per svolgere le proprie mansioni. 

Recentemente la Cassazione è intervenuta per chiarire ulteriormente il punto con la sentenza n.34092 del 12 novembre 2021. Il giudice delle leggi ha infatti ritenuto legittimi i controlli difensivi “in senso stretto”, ovvero quelli condotti sui singoli dipendenti e non sul complesso dei lavoratori. 

Inoltre, i controlli sono leciti se risultano mirati e se vengono effettuati sulla base di un legittimo e fondato sospetto del datore di lavoro in merito alla commissione di un illecito da parte del dipendente. 

Il datore di lavoro potrà quindi effettuare controlli sul pc del singolo dipendente nel caso sospetti che il lavoratore si sia reso responsabile di una condotta tale da ledere il rapporto di fiducia sottostante al rapporto di lavoro subordinato o di fatti lesivi degli interessi aziendali. 

I fatti illeciti per cui un datore potrà procedere al controllo difensivo sul singolo dipendente vanno per esempio dall’accesso abusivo ai sistemi informatici, alla detenzione e download di materiali pornografici o pedopornografici, di materiali coperti dal diritto d’autore o ancora la diffusione di informazioni sensibili o di segreti aziendali all’esterno. Si tratta di casi in cui il datore è quindi legittimato ad agire legalmente per tutelare l’immagine o il patrimonio della propria azienda e tale diritto viene ritenuto prevalente rispetto al diritto alla privacy del dipendente. 

Tali controlli possono avere ad oggetto i messaggi di posta elettronica scambiati dal dipendente tramite l’account aziendale, il pc o altro dispositivo mobile concesso in uso al lavoratore (ad esempio attraverso il monitoraggio dei log file). Possono inoltre costituire oggetto di controllo i cookies e la cronologia delle ricerche in internet. 

Nel caso in cui il dipendente utilizzi il pc personale per svolgere la propria mansione lavorativa i controlli potranno avvenire soltanto mediante accesso da remoto all’account aziendale e non materialmente sul dispositivo perché questo configurerebbe una lesione del diritto alla riservatezza. 

Puoi approfondire il tema nel nostro articolo dedicato: Quando il datore di lavoro può controllare le email del dipendente

I limiti fissati dalla legge

Un’altra sentenza molto recente della Cassazione, la n. 25732 del 22 settembre 2021, ha introdotto una distinzione piuttosto importante tra i controlli difensivi in senso lato – cioè quelli condotti sulla generalità dei dipendenti a scopi di tutela del patrimonio aziendale – e quelli in senso stretto, svolti sul singolo dipendente ex post, cioè diretti all’accertamento di una condotta illecita. 

Il datore è tuttavia tenuto ad osservare alcuni limiti fissati dalla legge se intende servirsi dei dati acquisiti mediante il controllo in sede difensiva. 

I controlli infatti devono essere mirati all’accertamento del singolo fatto e devono essere condotti soltanto successivamente al comportamento illecito di un lavoratore, del quale il datore abbia un fondato sospetto. 

Gli accertamenti non possono avere ad oggetto la mera prestazione lavorativa dei dipendenti – salvo nel caso in cui dalla condotta non derivi, ad esempio, un rallentamento della prestazione lavorativa e quindi un danno agli interessi aziendali – e devono avere una durata limitata nel tempo. 

I dati raccolti devono essere conservati per il tempo strettamente necessario e non possono essere trasmessi a terzi o diffusi in alcun modo. Infine, deve sussistere un bilanciamento tra le esigenze di tutela degli interessi aziendali e il rispetto della dignità e riservatezza del lavoratore. 

Controlli difensivi sul Pc del dipendente: i casi di Genova, Arezzo e Cosenza

Ci si è a lungo chiesti se i controlli difensivi operati per la verifica su un dipendente specifico sospettato di condotta lesiva dei diritti del datore o dell’azienda fossero legittimi, soprattutto se condotti a sorpresa e senza informarne preventivamente il lavoratore. 

Sul tema, recentemente, è intervenuto il Tribunale di Genova con una sentenza emessa il 14 dicembre 2021. I giudici, recependo alcuni precedenti orientamenti della Cassazione, hanno stabilito che anche in tale ipotesi il datore di lavoro è tenuto a informare il proprio dipendente di tale possibilità. 

I controlli difensivi da parte del datore di lavoro sulla corrispondenza e-mail sono quindi illeciti se il dipendente non è stato informato di tale eventualità e se non muovono da un concreto e fondato sospetto della condotta illecita del dipendente. I dati raccolti devono inoltre essere stati raccolti dopo che sia sorto il sospetto sul dipendente. 

L’onere di informare i dipendenti circa le policy aziendali sui controlli grava sul datore di lavoro. Tuttavia, recentemente il tribunale di Cosenza, con la sentenza 4096 del 23 febbraio 2022, ha stabilito che, laddove la violazione da parte del dipendente è così grave da configurare il mancato rispetto degli obblighi di diligenza e fedeltà ex artt. 2104 e 2105 c.c. o la violazione di altre leggi nazionali l’esigenza informativa viene considerata come garantita dalla stessa pubblicità delle fonti normative. 

Il tribunale di Arezzo è invece intervenuto con la sentenza 134 del 14 aprile 2022 in merito alla pubblicazione online del codice disciplinare, riconoscendo ammissibile il ricorso di un dipendente sanzionato dal datore di lavoro e ritenendo insufficiente la pubblicazione del codice sul sito dell’azienda. Secondo l’orientamento dei giudici toscani, se il codice disciplinare affisso all’interno del luogo di lavoro è immediatamente visibile e conoscibile dal dipendente lo stesso non può dirsi della versione pubblicata sul sito aziendale che subordina la visibilità alla scelta del lavoratore di visionare proprio quella pagina web. 

L'agenzia investigativa Dogma ha maturato una significativa esperienza nell'acquisizione e presentazione di prove digitali (digital forensics) nell'ambito dei controlli difensivi, attività che risulta essere necessaria nei casi di contestazioni fondate su prove documentali.

Fonti:

L. 300/1970
D.Lgs 81/2008
Cass. n. 18302 del 2016
Cass. n. 25732 del 2021
Cass. 34092 del 12 novembre 2021