E’ stato licenziato, al termine del procedimento disciplinare, il dipendente pubblico a cui erano stati contestati numerosi accessi non autorizzati alla banca dati informatica per estrarre dati riguardanti persone ivi inserite (nel caso di specie, informazioni sui conti e sulle prestazioni previdenziali).

Nonostante l'impugnazione da parte del lavoratore, il licenziamento è stato confermato dal Giudice del lavoro in primo grado, dalla Corte d’Appello e, infine, dalla Suprema Corte di Cassazione, con la Sent. Sez. L n. 7272 Anno 2024 (Data pubblicazione: 19/03/2024).

• L’ACCESSO ILLECITO ALLE BANCHE DATI COME GIUSTA CAUSA DI LICENZIAMENTO

La sanzione disciplinare del licenziamento può essere comminata, all’esito del procedimento disciplinare, quando risulta accertato che il dipendente ha effettuato numerosi accessi non autorizzati alla banche dati per estrarre informazioni sulle persone inserite nelle banche dati medesime.

Nel caso deciso dalla Suprema Corte di Cassazione lo scorso mese di Marzo, il dipendente è stato licenziato dal datore di lavoro pubblico (Inps, al termine del procedimento disciplinare in cui gli erano stati contestati numerosi accessi non autorizzati alla banca dati informatica dell’Istituto per estrarre informazioni sui conti e sulle prestazioni previdenziali riguardanti persone ivi inserite.

A nulla è valsa l'impugnazione del lavoratore sul presupposto dell’illegittimità della sanzione disciplinare in quanto il Tribunale, in funzione di giudice del lavoro, ha respinto il ricorso e confermato il licenziamento. La stessa sorte è stata riservata al lavoratore da parte della Corte territoriale d’Appello e della Suprema Corte.

Risultano estremamente importanti e da tenere in grande considerazione le motivazioni per le quali il licenziamento è stato confermato in tutti i gradi di giudizio.

Queste motivazioni si fondano sulla possibilità per il datore di lavoro di effettuare, conformemente all'articolo 4 dello Statuto dei lavoratori, controlli a distanza sull'attività svolta dai dipendenti, anche per quanto concerne il trattamento dei dati personali.

• IL SUPERAMENTO DEL DIVIETO ASSOLUTO DI CONTROLLO A DISTANZA DELL’ATTIVITA’ DEI LAVORATORI: I C.D. CONTROLLI DIFENSIVI DEL DATORE DI LAVORO

L’art. 4 dello Statuto dei Lavoratori, nell’attuale formulazione risultante dalle modifiche introdotte dal d.lgs. n. 151 del 2015 e dal d.lgs. n. 185 del 2016, ha ormai superato il divieto assoluto, per il datore di lavoro pubblico, di effettuare il controllo a distanza dell’attività dei lavoratori.

Al riguardo il comma 1, indicando gli scopi per cui e le condizioni alle quali i controlli possono essere effettuati stabilisce che gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per:

- esigenze organizzative e produttive;

- la sicurezza del lavoro;

- la tutela del patrimonio aziendale.

Per tali finalità, gli impianti e altri strumenti di controllo a distanza possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo puo' essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di controllo possono essere installati previa autorizzazione delle sede territoriale dell'Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell'Ispettorato nazionale del lavoro.

I limiti sopra citati non si applicano:

• agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa;
• agli strumenti di registrazione degli accessi e delle presenze.

Le informazioni raccolte in forza dei controlli sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore:

• adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.

Ciò premesso, va rilevato che i controlli presi in considerazione dalla Suprema Corte con la sentenza n. 7272, che ha confermato il licenziamento del lavoratore, rientrano nella categoria dei:

• c.d. controlli difensivi del datore di lavoro.

Con tale definizione si intende fare riferimento a quelle forme di controllo del datore di lavoro che sono imprescindibili per garantire il buon funzionamento dell'organizzazione dell’ impresa o dell’ente, inclusi i profili della sicurezza dei lavoratori e della tutela del patrimonio materiale e immateriale.

Oltre ai controlli sugli accessi alle banche dati e sui dati e le informazioni estratti dalle banche dati medesime, rivestono la natura dei controlli difensivi del datore di lavoro, ad esempio, le forme di controllo sull'uso, da parte del lavoratore, di strumenti per la navigazione in internet e per la comunicazione telematica in ambito lavorativo.

Le numerose pronunce giurisprudenziali al riguardo, tra cui le recenti sentenze di legittimità, confermano non solo l'attualità ma anche l'importanza e la complessità assunta, nell'attuale contesto operativo, della materia dei controlli difensivi e, a tale riguardo, possono essere citate, tra le altre, le sentenze Cass. nn. 13266/2018; 25731/2021; 25732/2021; 34092/2021; 18168/2023.

I casi affrontati in questi precedenti sentenze fanno riferimento ad accertamenti difensivi finalizzati a tutelare il datore di lavoro ad esempio:

• contro danneggiamenti alle sue dotazioni provocati da virus informatici (Cass. n. 25732/2021);
• contro la fuoriuscita di informazioni commerciali riservate (Cass. n. 34092/2021);
• contro illeciti contatti di un dipendente con imprese concorrenti (18168/2023).

In questi casi, al fine di accertare siffatti comportamenti, il datore di lavoro ha visionato e utilizzato gli accessi del dipendente ai siti internet oppure il contenuto di conversazioni tra il dipendente e soggetti terzi, avvenute via e-mail o in chat.

In tutti i casi fino ad ora esaminati dal Supremo giudice, si è trattato di assicurare un corretto bilanciamento tra le opposte esigenze di protezione di interessi e di beni aziendali/istituzionali e le imprescindibili esigenze di tutela della dignità e della riservatezza dei lavoratori.

Tale bilanciamento è stato attuato mediante l'affermazione del principio che - come ricordato dalla Suprema Corte nella sentenza del marzo scorso - enuncia la modalità di attuazione del controllo sotto indicata.

• PRINCIPIO

Il controllo «difensivo in senso stretto» deve essere:

• «mirato»
• «attuato ex post», ossia «a seguito del comportamento illecito di uno o più lavoratori del cui avvenuto compimento il datore abbia avuto il fondato sospetto».

Applicando il principio sopra indicato al caso esaminato, la Suprema Corte, come testualmente riportato nella sentenza ha accertato che il lavoratore era stato preventivamente informato «delle modalità d’uso degli strumenti e di effettuazione dei controlli» e che gli accertamenti erano stati eseguiti solo ex post, ovverosia dopo la segnalazione, da parte della «Direzione Centrale Risorse Umane I.N.P.S.», del numero anomalo di accessi informatici effettuati con le credenziali del lavoratore.

Irrilevanti ai fini della legittimità dei controlli mirati e ex post sopracitati, sono state le circostanze sotto indicate da cui si rileva che:

• da un lato, l’informazione sulle «modalità … di effettuazione dei controlli» non ha coinciso con l’informazione sull'illiceità e sulla sanzionabilità di un comportamento;
• dall’altro lato, la segnalazione della Direzione Centrale Risorse Umane, non è una segnalazione esterna, bensì interna dell’ente, che pertanto aveva già effettuato controlli sull’anomalia degli accessi alla banca dati quando fu effettuata la segnalazione.

• IL CONTROLLO SUGLI ACCESSI ALLE BANCHE DATI COME CONTROLLO CHE ESULA DAI C.D. CONTROLLI DIFENSIVI DEL DATORE DI LAVORO E RIENTRA NEI CONTROLLI PER LA TUTELA DELLA PRIVACY

In pratica, nel bilanciamento tra esigenze di protezione di interessi e beni aziendali/istituzionali e imprescindibili esigenze di tutela della dignità e della riservatezza del lavoratori, i controlli preventivi effettuati dall’ente, nel caso esaminato, non solo non erano finalizzati al controllo dell’adempimento della prestazione del lavoratore, ma nemmeno erano volti alla protezione di interessi e beni aziendali bensì alla tutela dei dati personali delle persone inserite nella banca dati.

Al riguardo, va rilevato che l’ente (Inps) è il soggetto gestore e responsabile della banca dati in cui sono racchiuse informazioni riservate che riguardano i soggetti iscritti.

Proprio per tutelare la riservatezza dei dati e delle informazioni, l’ente ha effettuato doverosi controlli preventivi sugli accessi alle banche dati al fine di verificare la corretta gestione dei dati delle persone interessate dal trattamento.

Precisa la Suprema Corte che:

• la tutela della privacy viene sicuramente in rilievo nel caso di specie, ma si tratta della privacy delle persone che sono iscritte a vario titolo all’Inps e inserite nella banca dati, non quella del lavoratore dipendente, di cui non è stato attinto alcun dato personale, se non quello, appunto, dell’accesso non autorizzato alla banca dati.

I casi affrontati nelle citate precedenti sentenze del 2018, 2021 e 2023 sono molto diversi in quanto i controlli preventivi erano stati effettuati dal datore di lavoro, in quelle ipotesi, per un fine diverso dalla tutela della riservatezza delle persone inserite nelle banche dati.

Nella sentenza del marzo 2024, per contro, il caso giudicato ha riguardato controlli automatici effettuati dal datore di lavoro che hanno fondato il sospetto di un illecito disciplinare.

In definitiva, questi controlli automatici sono stati finalizzati alla doverosa tutela di soggetti terzi, per tali dovendosi intendere gli interessati, le cui informazioni personali sono inserite nella banca dati.

Si è trattato di controlli automatici che non hanno cagionato alcuna indagine sugli "stili" lavorativi, intesi come abitudini, gusti e comunicazioni del lavoratore dipendente.

Per questo motivo, secondo le affermazioni testuali della Suprema Corte:

- non era obbligatoria alcuna comunicazione preventiva al dipendente del fatto che l’Inps esercita un doveroso controllo – non sull’operato dei propri dipendenti, ma – sulla regolarità degli accessi alla banca dati di cui è responsabile, né tale controllo rientra tra i controlli difensivi «in senso stretto» che il datore di lavoro può adottare a tutela dei propri «interessi e beni aziendali», alle condizioni indicate nella giurisprudenza citata.