Può il datore di lavoro controllare i dati di traffico contenuti nel browser del pc di un dipendente ai fini disciplinari? La Cassazione risponde affermativamente ma, superando i precedenti, afferma il principio secondo cui il controllo deve essere “mirato” nonché attivato ex post e, quindi, può riguardare esclusivamente dati di traffico contenuti nel browser successivamente alla commissione dell’illecito. Cass. n. 25732/2021
Il caso: a seguito della diffusione di un virus nella rete dei computer aziendali, che ha determinato il blocco dell’attività e determinato gravi danni, il datore di lavoro ha deciso di effettuare un controllo sull’intero sistema informatico aziendale. In particolare, il datore di lavoro ha deciso di effettuare l’accesso al computer di un dipendente, controllandone i dati di traffico del browser di tale computer: da tale controllo emergeva che il dipendente aveva scaricato un file contenente il virus che si era diffuso presso l’intera rete aziendale. Ne era scaturito un procedimento disciplinare, culminato in un licenziamento per giusta causa.
Il licenziamento era stato confermato dal Tribunale di Roma, nonché dalla Corte di appello capitolina, ma la Suprema Corte, nella sentenza qui commentata, ha cassato la sentenza con rinvio alla Corte di Appello in diversa composizione.
Perché la sentenza ci interessa: la sentenza sembra aver superato l’orientamento precedentemente formatosi in merito ai controlli difensivi attuati ex post, affermativo della legittimità di tali controlli purché non avvengano durante lo svolgimento dell’attività lavorativa, ma successivamente all’illecito commesso dal lavoratore. Più in dettaglio, secondo tale orientamento, al sorgere di un fondato dubbio sulla commissione di illeciti da parte del lavoratore, i controlli potevano inerire anche le condotte poste in essere in precedenza. La Corte di appello, in attuazione di tali principi, aveva affermato la legittimità dei controlli effettuati dal datore di lavoro sui dati di traffico del browser anteriore alla commissione dell’illecito da parte del lavoratore, dichiarando la legittimità del licenziamento. Di contro, e qui il motivo di interesse, il Supremo Collegio ha affermato l’illegittimità del licenziamento sostenendo che il controllo difensivo ex post deve avere ad oggetto non dati di traffico raccolti anteriormente all’illecito commesso, ma solo dati raccolti successivamente all’insorgere del fondato sospetto della commissione di illecito da parte del lavoratore (“… sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti … sempre che il controllo riguardi dati acquisti successivamente all’insorgere del sospetto”).
La Suprema Corte, con espresso riferimento alla normativa sulla Privacy, afferma la necessità di “autorizzazione e/o adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli” per la regolamentazione dell’acquisizione dei dati dei lavoratori (e per i conseguenti controlli) da parte del datore di lavoro.
