SOMMARIO
1. Premessa
2. La giurisprudenza di legittimità più risalente sui controlli tramite agenzia investigativa
3. … (segue) e sui c.d. controlli difensivi
4. Il rafforzamento della tutela del lavoratore nell’attuale assetto della giurisprudenza di legittimità: i controlli difensivi “in senso stretto”
5. … (segue) considerazioni sull’applicabilità dei recenti approdi giurisprudenziali in materia di controlli difensivi “in senso stretto” anche ai controlli svolti tramite agenzie investigative
6. Violazione dei presupposti di legittimità dei c.d. controlli difensivi “in senso stretto” e (in)utilizzabilità della prova
7. Osservazioni conclusive
1. Premessa
Il tema dei controlli del datore di lavoro è uno degli ambiti in cui maggiormente si avverte l’importanza che, nella nostra materia, rivestono la persona del lavoratore e i diritti fondamentali che l’ordinamento gli riconosce in primis in quanto persona, con particolare riferimento alla libertà, alla dignità e alla riservatezza delle informazioni che lo riguardano (artt. 2, 3, 41 Cost.; Titolo I dello Statuto dei diritti dei lavoratori, l. 300/1970).
Si tratta di valori fondamentali anche nel contesto degli ordinamenti sovranazionali: la Carta dei diritti Fondamentali dell’Unione Europea tutela, in particolare, la dignità umana (art. 1), la libertà e la sicurezza (art. 6), la vita privata e familiare, il domicilio e le comunicazioni (art. 7), la protezione dei dati di carattere personale (art. 8). La Convenzione Europea dei Diritti dell’Uomo tutela, in particolare, il diritto al rispetto della vita privata e familiare, del domicilio e della corrispondenza (art. 8).
Il diretto collegamento tra la tutela del lavoratore e i diritti fondamentali deriva dal fatto che il rapporto di lavoro è uno dei principali ambiti ove trova esplicazione la personalità dell’individuo e questa consapevolezza permea sia la regolamentazione positiva sia la giurisprudenza: entrambe, sotto vari profili, hanno cercato di conformare le prerogative datoriali a questa peculiarità.
E tra le prerogative datoriali vi è, per l’appunto, il potere di controllo dell’attività dei lavoratori, non espressamente previsto in via generale, a differenza del potere di impartire direttive (art. 2086; art. 2094; art. 2104, comma 2; art. 2105 c.c.) e di quello disciplinare (art. 2106 c.c. e art. 7 Statuto), ma ritenuto coessenziale al potere direttivo, ontologicamente correlato alla posizione del datore nell’ambito dell’organizzazione di lavoro, nonché estrinsecazione della libertà di iniziativa economica privata (art. 41 Cost.) [1].
Di qui il lungo cammino che la legislazione e la giurisprudenza giuslavoristica, nei rispettivi ambiti, hanno percorso, e, come dimostrano i recenti arresti della Corte di Cassazione in materia, ancora continuano a percorrere alla ricerca di un corretto bilanciamento tra poteri di controllo del datore di lavoro e protezione del lavoratore, alla luce non solo del progresso tecnologico e dei moderni modelli organizzativi, ma anche delle sollecitazioni derivanti dal diritto e dalla giurisprudenza sovrannazionale [2].
Un lungo cammino che, sul piano normativo, si incentra sulle previsioni degli artt. 2, 3, 4, 5, 8 dello Statuto dei diritti dei lavoratori che, in funzione della tutela dei loro diritti di libertà e dignità, hanno posto limiti al potere di controllo datoriale, circoscrivendo l’impiego delle guardie giurate alla sola tutela del patrimonio aziendale, con espresso divieto di loro adibizione alla vigilanza sull’attività lavorativa (art. 2), in quanto controllo riservato al datore di lavoro e ai suoi collaboratori (art. 3); introducendo un obbligo di informazione dei lavoratori sui nominativi e sulle mansioni specifiche del personale addetto alla vigilanza dell’attività lavorativa (art. 3); regolamentando l’utilizzo degli impianti audiovisivi e degli altri strumenti dai quali possa derivare anche il controllo a distanza dell’attività dei lavoratori (art. 4); regolamentando, inoltre, gli accertamenti sullo stato di salute del dipendente (art. 5) e le “visite personali di controllo” (art. 6); vietando al datore di lavoro l’effettuazione di indagini sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione della sua attitudine professionale (art. 8).
Sul piano giurisprudenziale, si è cercato di circoscrivere – proprio sulla base dei richiamati principi statutari e di quelli generali, anche di matrice sovrannazionale – l’ambito di applicazione di forme di controllo datoriale non espressamente disciplinate, attraverso il progressivo affinamento di due elaborazioni teoriche, quella relativa ai controlli tramite agenzie investigative e quella relativa ai c.d. controlli difensivi.
2. La giurisprudenza di legittimità più risalente sui controlli tramite agenzia investigativa…
Sin dagli anni ’80 la giurisprudenza di legittimità ha chiarito che l’art. 2 dello Statuto, nel limitare l’impiego delle guardie giurate da parte del datore di lavoro a scopi di tutela del patrimonio aziendale, non esclude che tale finalità possa essere perseguita anche mediante l’attività di soggetti diversi, ed in particolare di agenzie di investigazione, “attesa – in difetto di specifiche limitazioni (stabilite dalla legge o dall’autorità) – la libertà della difesa privata” [3].
Si trattava, già in tali risalenti fattispecie, di controlli che erano ritenuti legittimi in quanto non aventi ad oggetto la prestazione lavorativa in sé e per sé considerata, ovverosia in quanto non funzionali alla verifica dell’impiego, da parte dei dipendenti, della diligenza richiesta nell'adempimento della prestazione lavorativa strettamente intesa (vigilanza riservata al datore di lavoro e ai suoi collaboratori dall’art. 3 dello Statuto), bensì in quanto funzionali ad accertare specifici illeciti (in genere di rilevanza penale), potenzialmente lesivi del patrimonio aziendale, già commessi o in corso di esecuzione, anche se connessi o occasionati dall’esecuzione della prestazione lavorativa. Se ne desume che, già all’epoca, il ricorso a tale tipologia di controlli conseguiva, in concreto, alla sussistenza quantomeno di un “sospetto” dell’avvenuta commissione di un illecito o della sussistenza di un illecito in corso di commissione, ancorché inizialmente tale circostanza non fosse esplicitamente assunta dalla giurisprudenza a presupposto di legittimità dei controlli medesimi.
Nella giurisprudenza successiva si è assistito ad una progressiva chiarificazione dei presupposti di legittimità del ricorso al controllo datoriale a mezzo di agenzia investigativa.
In particolare, pur non richiedendosi necessariamente che un illecito fosse già stato commesso, si è fatto riferimento alla sussistenza quantomeno di un “sospetto” o di una “mera ipotesi che illeciti siano in corso di esecuzione” [4], per il legittimo avvio del controllo. È, peraltro, significativo osservare che, in base alla descrizione della fattispecie concreta contenuta in alcune di tali risalenti sentenze, emerge che il “sospetto”, ancorché non ulteriormente qualificato, era fondato non su una mera rappresentazione soggettiva del datore di lavoro, ma su elementi oggettivamente riscontrabili (ad es. differenze inventariali che inducevano a supporre l’esistenza di furti/appropriazioni indebite).
3. … (segue) e sui c.d. controlli difensivi
La teorica dei controlli c.d. difensivi si è sviluppata nella vigenza del testo dell’art. 4 dello Statuto anteriore alla novella del 2015 che non prevedeva la tutela del patrimonio aziendale tra le finalità che consentivano, nel rispetto delle garanzie procedurali ivi indicate (accordo sindacale o autorizzazione dell’Ispettorato del lavoro), l’installazione di impianti audiovisivi e di altre apparecchiature da cui potesse derivare, in via indiretta o c.d. “preterintenzionale”, il controllo a distanza dell’attività dei lavoratori, ma contemplava solo le esigenze organizzative e produttive o relative alla sicurezza del lavoro.
Secondo l’interpretazione giurisprudenziale consolidata [5], l’art. 4, nella formulazione ante novella del 2015, contemplava due livelli di protezione della sfera privata del lavoratore.
Un primo livello di tutela, c.d. “pieno”, era fondato sulla previsione del comma 1 del precedente testo, che vietava in modo assoluto l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori. Il c.d. controllo “diretto”, o “fine a se stesso” sulla prestazione lavorativa a mezzo della strumentazione in esame era, dunque, vietato in quanto, nel consentire un controllo impersonale e potenzialmente continuativo dei lavoratori, era ritenuto foriero di un ambiente lavorativo “disumano” ed eccessivamente stressante [6].
Un secondo livello di tutela, c.d. “affievolito”, era fondato sulla previsione del comma 2 del precedente testo, che ammetteva l’utilizzo delle predette apparecchiature, se giustificato da esigenze inerenti all’impresa oggettive e tipizzate dal legislatore (esigenze organizzative e produttive o ragioni di sicurezza sul lavoro) e nel rispetto dei citati vincoli procedurali, anche se tale installazione poteva consentire, in via indiretta, il controllo dell’attività lavorativa.
Il legislatore, dunque, pur riconoscendo che la vigilanza sul lavoro è necessaria nel contesto dell’organizzazione produttiva, ha, sin dagli anni ’70, cercato di salvaguardare la “dimensione umana” dell’ambiente di lavoro, incompatibile con una vigilanza continua e “anelastica”, tale da sopprimere ogni margine di riservatezza del lavoratore.
La precedente formulazione dell’art. 4 dello Statuto lasciava, tuttavia, irrisolto il problema della legittimità dei controlli del datore di lavoro a tutela del patrimonio aziendale, a fronte di illeciti commessi dal personale: l’esigenza di tutela del patrimonio aziendale non era, infatti, contemplata tra quelle dell’originario comma 2 dell’art. 4, né poteva prospettarsi una interpretazione analogica di tale articolo, anche in relazione alla sanzione penale da cui era (ed è) presidiato [7].
In ogni caso, si osservava che, anche laddove la tutela del patrimonio potesse essere ricompresa tra le esigenze produttive, viceversa contemplate dalla precedente formulazione dell’art. 4, nondimeno la necessità di applicare le garanzie procedurali (oltre alle correlate incertezze legate al raggiungimento dell’accordo sindacale o all’ottenimento dell’autorizzazione amministrativa e alle relative tempistiche), avrebbe sostanzialmente vanificato l’esigenza di attuare un controllo rapido e tale da consentire la conservazione del patrimonio del datore di lavoro a fronte di un illecito già commesso o in corso di esecuzione [8].
In tale contesto, la giurisprudenza ha elaborato la categoria dei c.d. controlli difensivi a tutela del patrimonio aziendale, individuando tre condizioni, due necessarie e una eventuale, in presenza delle quali si riteneva che gli accertamenti datoriali, ancorché attuati attraverso impianti audiovisivi o altri strumenti idonei a consentire il controllo a distanza del lavoratore, non soggiacessero ai presupposti previsti dall’art. 4.
La prima condizione necessaria era che il controllo datoriale avesse la finalità di accertare specifici comportamenti illeciti del lavoratore.
Il secondo presupposto necessario era che gli illeciti da accertare fossero lesivi del patrimonio o dell’immagine aziendale.
Il terzo presupposto era che i controlli fossero attuati ex post, dopo il verificarsi del comportamento illecito (requisito che consentiva di evitare che il controllo c.d. difensivo si trasformasse in una mera e generalizzata sorveglianza a distanza sull’attività lavorativa, in elusione dell’art. 4). Tale presupposto era, tuttavia, ritenuto meramente eventuale e veniva inteso in funzione confermativa della natura “difensiva” del controllo, sicché si riteneva che esso potesse anche mancare, essendo sufficiente il “mero sospetto” circa l’avvenuto compimento di illeciti.
Nonostante la categoria dei controlli difensivi, anche laddove esercitati a mezzo di strumenti tecnologici, fosse, dunque, collocata al di fuori del perimetro applicativo dell’art. 4, la giurisprudenza ha, comunque, sin da subito evidenziato che “in nessun caso può essere giustificato un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore” [9].
Sicché, al fine di soddisfare la medesima ratio di contenimento del potere datoriale in funzione della salvaguardia della dignità e della riservatezza del lavoratore sottesa alle previsioni statutarie, l’orientamento giurisprudenziale in esame è ricorso in prima battuta ai principi di correttezza e buona fede, onde evitare, anche nell’ambito dei c.d. controlli difensivi, che il controllo datoriale si estrinsecasse con modalità eccessivamente invasive.
In tale prospettiva limitativa del potere datoriale, in epoca più recente in alcune sentenze di legittimità si è richiesto, anziché il “mero sospetto”, il “ragionevole sospetto” dell’avvenuto compimento di un determinato illecito e si sono richiamati, in una prospettiva di bilanciamento tra le contrapposte esigenze, i criteri della adeguatezza, della proporzionalità, della pertinenza e non eccedenza rispetto all’obiettivo perseguito, desumibili dalla normativa sulla tutela della privacy. In tale, più moderna, prospettiva si sono ritenuti illegittimi i controlli ricadenti su aspetti personali e privati della vita del dipendente, estranei all’accertamento di uno specifico illecito [10].
La teorica dei controlli c.d. difensivi è stata, dunque, elaborata al fine di ricercare il bilanciamento delle contrapposte esigenze in un ambito - quello dell’utilizzo di impianti audiovisivi, e tecnologici in generale, a tutela del patrimonio aziendale – inizialmente non disciplinato dall’art. 4.
La “matrice” della costruzione giuridica che ne sta alla base è, peraltro, comune a quella dei controlli tramite agenzie investigative, anch’essi ritenuti legittimi in quanto non ricadenti negli ambiti disciplinati dallo Statuto (in quel caso, dagli artt. 2 e 3) e, in particolare, in quanto oggetto del controllo non era l’attività lavorativa in senso stretto ma l’illecito commesso dal dipendente, eventualmente in connessione con l’attività lavorativa, a pregiudizio del patrimonio aziendale [11].
Ed invero, la giurisprudenza ha espressamente riconosciuto che l’elaborazione della categoria dei controlli difensivi è derivata da quella sui controlli tramite agenzie investigative [12]. Anche la dottrina ha evidenziato la sovrapponibilità delle due tipologie di controllo [13], quanto a finalità (tutela del patrimonio e dell’immagine aziendale) e quanto a caratteristiche (carattere eminentemente occulto).
4. Il rafforzamento della tutela del lavoratore nell’attuale assetto della giurisprudenza di legittimità: i controlli difensivi “in senso stretto”
L’art. 23 del d.lgs. 151/2015 ha inciso profondamente sulla formulazione dell’art. 4 dello Statuto. Per quanto qui di specifico interesse, la tutela del patrimonio aziendale è stata inserita nel testo della disposizione tra le esigenze oggettive che consentono, alle condizioni ivi stabilite, l’installazione di impianti audiovisivi e di altri strumenti di controllo dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori.
A seguito di tale novella si è posta, dunque, la questione della “sopravvivenza” della categoria giurisprudenziale dei c.d. controlli difensivi alla luce del nuovo testo dell’art. 4.
La recente giurisprudenza di legittimità [14] ha risolto tale questione in senso affermativo, sulla base della distinzione tra controlli difensivi (id est controlli a difesa del patrimonio aziendale) “in senso lato” e “in senso stretto”.
I primi sono quelli rientranti nell’art. 4 novellato, in quanto, per effetto dell’installazione degli impianti in questione, riguardano indistintamente tutti i dipendenti (o gruppi di dipendenti) che, nello svolgimento dell’attività lavorativa, sono posti a contatto con l’oggetto della tutela (patrimonio aziendale). Tali controlli, quindi, rientrando nell’alveo applicativo dell’art. 4, devono rispettare i presupposti di legittimità ivi stabiliti.
I controlli difensivi “in senso stretto” sono, viceversa, diretti ad accertare specifiche condotte illecite lesive del patrimonio aziendale attribuibili – “in base a concreti indizi” – a singoli dipendenti, a prescindere dalla circostanza che l’illecito sia posto in essere durante la prestazione lavorativa o meno. Tali controlli, anche se effettuati con strumenti tecnologici, restano, anche a seguito della riforma dell’art. 4, al di fuori del suo perimetro applicativo [15].
Secondo la giurisprudenza in esame, dunque, l’art. 4 novellato - pur includendo la tutela del patrimonio aziendale nel novero delle esigenze che possono consentire l’utilizzo di strumenti tecnologici da cui derivi, quale effetto indiretto, il controllo dell’attività dei lavoratori - non elide l’esigenza a fronte della quale è stata originariamente elaborata la categoria dei controlli difensivi.
Inoltre, la giurisprudenza più recente, mantenendo fermo il principio per cui “in nessun caso può essere giustificato un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore”, ha compiuto significativi passi in avanti nel difficile bilanciamento tra i contrapposti interessi (controllo da parte del datore di lavoro da un lato, ed esigenze di tutela della dignità e della riservatezza del lavoratore dall’altro). La categoria dei controlli difensivi (“in senso stretto”) trova, oggi, una rinnovata e più strutturata sistematizzazione alla luce del quadro normativo in materia di tutela della privacy e della giurisprudenza EDU che ha interpretato in modo estensivo il concetto di “vita privata” di cui all’art. 8 della Convenzione, sino a ricomprendervi anche la “vita privata sociale” e la “vita professionale”.
In particolare, Cass. 18168/2023, relativa ad un caso concreto in cui era stata posta in essere una attività investigativa sia di tipo tecnologico (controllo della posta elettronica aziendale), sia di tipo non tecnologico (pedinamenti), ha confermato la distinzione tra controlli difensivi “in senso lato”, da ricondursi nell’ambito applicativo dell’art. 4 Statuto, e controlli difensivi “in senso stretto”, che restano al di fuori del predetto alveo applicativo “non avendo ad oggetto la normale attività del lavoratore” ma essendo “diretti ad accertare specificamente condotte illecite ascrivibili – in base a concreti indizi – a singoli dipendenti, anche se questo si verifica durante la prestazione di lavoro”.
La sentenza si segnala perché compie una approfondita esegesi dei presupposti di legittimità dei controlli difensivi “in senso stretto”.
Rispetto alla più risalente giurisprudenza, risultano invariate le prime due condizioni relative alla finalità del controllo (volto ad accertare specifici comportamenti illeciti del lavoratore) e dell’inerenza di tali illeciti al patrimonio o all’immagine aziendale.
Il passo in avanti nella tutela del lavoratore si coglie nel consolidamento strutturale del terzo presupposto: attuazione del controllo ex post, dopo l’insorgenza di un sospetto, non già “mero”, bensì, in recepimento della giurisprudenza EDU in materia di rispetto della “vita privata” anche nell’ambito del rapporto di lavoro, di un sospetto qualificato da un particolare grado di fondatezza (“fondato/ragionevole”). In tale prospettiva, il sospetto non può risiedere in un “puro convincimento soggettivo” del datore di lavoro, ma deve essere oggettivamente giustificato da indizi “materiali e riconoscibili” in base alle circostanze del caso concreto [16].
Il controllo deve essere attuato “ex post”: solo a partire dal momento in cui sussiste il “fondato sospetto” il datore di lavoro potrà porre in essere il controllo difensivo teso a raccogliere informazioni utilizzabili per contrastare il comportamento illecito.
Parte della dottrina [17] ha ravvisato delle criticità in ordine a questo profilo, evidenziando che in tal modo si addossano al datore di lavoro gli effetti negativi del compimento dell’illecito che ha originato il fondato sospetto legittimante l’inizio dei controlli. Controlli che, quindi, sarebbero utili solo per trovare elementi comprovanti la commissione di eventuali ulteriori illeciti.
Tuttavia – tenendo presente la ratio sottesa all’elaborazione giurisprudenziale del presupposto in esame, ovverosia quella di non consentire una dilatazione eccessiva dei controlli difensivi e di non rendere “a valle”, a seconda dei suoi esiti, lecito un controllo che, nel momento in cui è stato avviato, non lo era per difetto dei presupposti – potrebbe sostenersi che, se, al fine di evitare un controllo generalizzato sulla normale prestazione di lavoro, il controllo difensivo “in senso stretto” deve essere avviato dopo l’insorgenza di un fondato sospetto di illecito (già compiuto o in corso di esecuzione), e quindi se solo da quel momento è legittima la raccolta di dati, questo non esclude necessariamente che gli elementi raccolti da quel momento in poi siano di formazione anteriore o riguardino fatti accaduti prima.
In altri termini, potrebbe sostenersi che, se quello che si vuole evitare è che si legittimi, per così dire, “a valle”, sol perché si è effettivamente scoperta la prova di un illecito, un controllo difensivo che, quando è stato avviato, era illegittimo per mancanza di presupposti (per es. per l’insussistenza di un fondato sospetto, ma anche per le modalità con cui è stato posto in essere, v. infra), tale finalità non è vanificata dal fatto che, avviato il controllo in presenza di tutti i presupposti legittimanti, dopo il suo avvio venga acquisito un elemento probatorio anteriore, consentendo così, in ipotesi, la prova anche dell’illecito che ha legittimato l’avvio dei controlli [18].
Un ulteriore profilo di rafforzamento della tutela del lavoratore è rappresentato dal focus che la più recente giurisprudenza giuslavoristica ha effettuato con riferimento al bilanciamento tra i contrapposti interessi, alla stregua di un apprezzamento di tutte le circostanze del caso concreto.
Il passo in avanti compiuto dalla giurisprudenza in esame consiste nell’aver individuato le regole secondo cui effettuare tale bilanciamento, regole rivolte innanzitutto al datore di lavoro, onerato di “calibrare” l’impatto concreto dei controlli rispetto alla sfera personale del lavoratore e, in seconda battuta, rivolte al giudice, in sede di controllo giudiziale di tale calibrazione.
Laddove sia riscontrabile un trattamento di dati personali, il bilanciamento dovrà tener presente il complesso dei principi espressi, a tutela di qualsiasi cittadino, dal Codice della Privacy (d.lgs. 196/2003, come modificato dal d.lgs. 101/2018) e dal Regolamento UE 2016/679: proporzionalità, pertinenza, correttezza (anche sotto il profilo degli incombenti informativi), non eccedenza e minimizzazione.
Tali principi, secondo la Corte di Cassazione, sono coerenti con i criteri di bilanciamento indicati ai giudici nazionali dalla giurisprudenza EDU, nella prospettiva di garantire il rispetto della “vita privata” anche in ambito lavorativo: - la preventiva informazione del lavoratore sul monitoraggio; - il grado di invasività nella sfera privata dei dipendenti (in relazione al luogo in cui si svolge il monitoraggio e alle persone che possono venire a conoscenza dei risultati); - l’esistenza di una giustificazione per il controllo, la cui pregnanza deve essere valutata in rapporto al grado di invasività del controllo in concreto attuato; - la possibilità di perseguire lo scopo con mezzi o modalità meno invasivi nella vita privata del dipendente; - le modalità con cui gli esiti del controllo sono stati utilizzati.
Non si tratta di un catalogo tassativo di condizioni che devono tutte necessariamente concorrere al fine della legittimità dei controlli in questione, bensì di parametri da utilizzare nel giudizio di bilanciamento, tenuto conto delle circostanze del caso concreto.
Alla luce di tale importante precisazione, rinvenibile non solo nella giurisprudenza della Corte di Cassazione, ma anche nella giurisprudenza EDU[19], potrebbe sostenersi che, in materia di controlli difensivi “in senso stretto” - a differenza di quanto stabilito dall’art. 4, comma 3, Statuto che richiede la preventiva e adeguata informazione del lavoratore quale condizione di utilizzazione dei dati raccolti con gli impianti audiovisivi e gli strumenti ivi contemplati - il controllo non potrà dirsi illegittimo sol perché non sia stata data l’informazione preventiva al lavoratore. Anzi, in considerazione della circostanza che i controlli difensivi “in senso stretto” sono generalmente, per loro natura, occulti, l’informativa preventiva potrebbe non risultare un idoneo criterio di bilanciamento nel singolo caso concreto, pena la vanificazione dello specifico controllo posto in essere (in presenza di tutti gli altri presupposti di legittimità sopra esaminati). E, del resto, non appare di significativa utilità, nella prospettiva della tutela del lavoratore, che il datore di lavoro lo abbia informato, in via generale e preventiva, della astratta possibilità di eseguire controlli difensivi “in senso stretto” all’emergere di fondati sospetti di illecito. Piuttosto, l’avvenuta informativa preventiva potrebbe essere un elemento decisivo di valutazione laddove il controllo difensivo “in senso stretto” si svolga su dati raccolti grazie alle apparecchiature e agli strumenti di lavoro contemplati dall’art. 4 Statuto: ed invero, la violazione della disciplina dell’art. 4 Statuto non potrebbe essere elusa attraverso lo strumento dei controlli difensivi (nemmeno se intesi “in senso stretto”) [20].
Del resto, anche alla luce del Regolamento UE sul trattamento dei dati personali, il diritto di informativa subisce limitazioni ed esclusioni, in particolare nel caso in cui l’informativa abbia l’effetto di “rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità” (legittime) per cui i dati sono trattati (art. 14, comma 5, lett. B).
Un possibile elemento di “contrappeso”, in favore delle esigenze datoriali, al descritto consolidamento delle garanzie del lavoratore nella elaborazione della categoria giurisprudenziale dei controlli difensivi “in senso stretto” è rappresentata dalla piena utilizzabilità dei dati raccolti a seguito di un controllo rispondente a tutti i presupposti di legittimità, senza limitazioni derivanti dalla tipologia di illecito il cui sospetto ha inizialmente costituito la “fonte d’innesco” del controllo. La giurisprudenza ha, infatti, recentemente chiarito che: “Il sospetto – oggettivamente sussistente e giustificato – consente l’avvio delle indagini investigative e la loro legittimità, ma non ne limita affatto l’oggetto. Certo questo non può sconfinare in controlli sulla prestazione lavorativa, che non possono essere affidati a terzi estranei all’organizzazione datoriale (art. 3 L. n. 300/1970). Ma nel caso in esame non si è verificato questo sconfinamento, atteso che i comportamenti scoperti a seguito delle predette indagini hanno avuto ad oggetto prestazioni rese in favore di terzi (non in concorrenza con Telecom Italia) durante l’orario di lavoro o per scopi estranei all’attività di impresa datoriale. Quindi gli esiti di quelle indagini sono stati utilizzati dalla datrice di lavoro non per controllare la prestazione lavorativa (anche sotto il profilo della sua esattezza), bensì per accertare prima e dimostrare poi le falsità integranti “artifici e raggiri” tipici di un vero e proprio reato (truffa), posto in essere dal dipendente nel momento in cui trasmetteva i dati attraverso il sistema WFM.” [21].
Con tale motivazione la Suprema Corte ha rigettato il motivo di doglianza secondo cui, poiché il fondato sospetto che aveva giustificato l’avvio delle “indagini cc.dd. difensive” (si trattava di un pedinamento tramite agenzia investigativa: per la riconducibilità anche dei controlli tramite agenzia ai controlli difensivi “in senso stretto”, v. paragrafo seguente) era relativo al compimento, da parte del dipendente, di attività in concorrenza con il datore di lavoro, i relativi esiti (negativi con riferimento allo svolgimento di attività in concorrenza) non avrebbero potuto essere utilizzati per contestare al dipendente un illecito diverso (svolgimento in orario di lavoro di attività in favore di terzi, ancorché non in concorrenza con il datore di lavoro).
Certamente nel caso deciso dalla Suprema Corte l’illecito supposto che ha costituito la fonte di innesco per i (legittimi) controlli era affine a quello che, in concreto, all’esito dei controlli medesimi, è stato accertato.
Ma il principio è stato delineato in via generale, in modo tale, quindi, da ricomprendere anche l’ipotesi in cui, avviato il controllo per un fondato/ragionevole sospetto di un illecito di un certo tipo, all’esito dei controlli se ne scopra (anche) uno di tipologia del tutto diversa, nemmeno sospettato nel momento di avvio dei controlli.
Del resto, una volta che, attraverso il rispetto dei sopra esaminati presupposti, i controlli difensivi (in senso stretto) sono stati legittimamente avviati, nel corretto bilanciamento degli interessi in gioco, per la legittima finalità di tutela del patrimonio aziendale a fronte di attacchi provenienti dall’interno dell’organizzazione, non sarebbe ragionevole limitare l’utilizzabilità da parte del datore di lavoro dei dati legittimamente raccolti sol perché gli esiti consentono di provare (anche) una tipologia di illecito in relazione al quale, al contrario di quello che ha innescato i controlli, non era in origine trapelato alcun elemento indiziario.
5. … (segue) considerazioni sull’applicabilità dei recenti approdi giurisprudenziali in materia di controlli difensivi “in senso stretto” anche ai controlli svolti tramite agenzie investigative
Attesa la comune matrice giurisprudenziale dei presupposti di legittimità dei controlli tramite agenzie investigative e dei controlli difensivi “in senso stretto”, si pone la questione dell’applicabilità della più recente elaborazione giurisprudenziale di cui si è dato conto nel precedente paragrafo anche ai controlli a mezzo agenzie investigative [22].
La risposta affermativa presuppone la possibilità di includere i controlli tramite agenzia investigativa nel novero dei controlli difensivi “in senso stretto” o comunque la ravvisabilità, anche nei controlli tramite agenzia investigativa, delle medesime esigenze di tutela del trattamento dei dati personali e della “vita privata” ex art. 8 CEDU sottesi ai recenti arresti giurisprudenziali in materia di controlli difensivi “in senso stretto”.
Entrambe le strade risultano percorribili.
Innanzitutto, è possibile ricondurre i controlli tramite agenzia investigativa alla categoria dei controlli difensivi “in senso stretto”, che appare idonea a ricomprendere sia i controlli difensivi (in senso stretto) di tipo tecnologico che quelli di tipo non tecnologico.
Un tanto è stato già rilevato dalla giurisprudenza, si veda la sentenza Cass. 17723/17 che ha espressamente qualificato il controllo tramite agenzia investigativa come “controllo difensivo”: “si tratta di un'attività investigativa svolta da un'agenzia privata e connessa ad una specifica indagine su pretese violazioni di un dipendente in relazione a compiti esterni fuori sede, indagine che ricade nella figura del "controllo difensivo" da parte del datore di lavoro in una sfera eccedente i luoghi di lavoro (cfr. Cass. 26 novembre 2014, n. 25162 e molte ancora)”.
Del resto, più di recente, Cass. 25732/21 ha espressamente dato atto che la giurisprudenza sui controlli difensivi è “derivata” da quella sui controlli tramite agenzia investigativa, così ponendo in rilievo la loro comune matrice concettuale: “30. Si è osservato che la giurisprudenza ammissiva dei "controlli difensivi" nella vigenza del vecchio testo dell'art. 4 St. lav, e quindi della legittimità del controllo anche in assenza del preventivo accordo sindacale o dell'autorizzazione amministrativa, dato che oggetto del controllo sarebbe stata non già l'attività lavorativa, bensì l'illecito commesso durante la prestazione lavorativa, derivava da quella che ammette, ai sensi dell'art. 3 St. lav., i controlli occulti tramite agenzie investigative diretti ad accertare condotte penalmente rilevanti dei lavoratori in occasione della prestazione (Cass., 22 maggio 2017, n. 12810; Cass., 4 dicembre 2014, n. 25674; Cass., 4 marzo 2014, n. 4984).”.
Ancor più di recente, Cass. 28378/2023 ha dichiarato tout court di applicare i principi elaborati dalla giurisprudenza in materia di controlli difensivi “in senso stretto” di tipo tecnologico di cui alla citata Cass. 25732/21 anche in relazione ad una fattispecie che aveva ad oggetto un controllo consistito in un pedinamento tramite agenzia investigativa.
La Corte, in quel caso, pur non qualificando espressamente come controlli difensivi (in senso stretto) quelli espletati a mezzo di agenzia investigativa, ha richiamato i recenti arresti in materia di controlli difensivi svolti a mezzo di impianti tecnologici e i relativi presupposti di legittimità: - controllo finalizzato alla “tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti”; - “presenza di un fondato sospetto circa la commissione di illecito”; - “corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore”; - la condizione che “il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto” [23].
In secondo luogo, anche nei controlli tramite agenzia investigativa vengono in rilievo le medesime esigenze di tutela del trattamento dei dati personali e di rispetto della “vita privata” ex art. 8 CEDU, sottesi ai recenti arresti giurisprudenziali in materia di controlli difensivi “in senso stretto”.
In particolare, anche il controllo tramite agenzia investigativa pone il problema della tutela dei “dati personali”, ovverosia delle informazioni riferite al lavoratore attenzionato [24], come riconosciuto da Cass. 17723/17: “…. Condivisibili appaiono invece le considerazioni in ordine al doveroso rispetto da parte anche di un'Agenzia investigativa, in relazione ad un controllo cosiddetto "difensivo" disposto dal datore di lavoro ed eseguito al di fuori della sfera lavorativa propriamente intesa, delle norme di cui al d. Igls. n. 196/2003 …”.
Ed invero, dalla valenza generale della normativa sul trattamento dei dati personali discende che essa deve essere rispettata anche laddove vengano disposti controlli a mezzo di una agenzia investigativa che implicano il trattamento di “dati” del (ovverosia informazioni riferibili al) lavoratore.
Tale conclusione è confermata dalla circostanza che il Garante per il trattamento dei dati personali, avvalendosi dei poteri conferitigli dal d.lgs. 196/2003 (si vedano il previgente art. 12 e i vigenti artt. 2 quater e 154 bis) ha emanato un provvedimento recante “Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria” (Provvedimento 60/2008), a mente del quale, tra le altre previsioni, è stabilito che “L‘atto d’incarico deve menzionare in maniera specifica il diritto che si intende esercitare in sede giudiziaria, …..nonché i principali elementi di fatto che giustificano l´investigazione e il termine ragionevole entro cui questa deve essere conclusa”. Previsione che conferma che anche i controlli tramite agenzia investigativa devono essere svolti per una finalità lecita (l’esercizio di un diritto, in particolare in sede giudiziaria), devono mantenersi nei limiti della pertinenza rispetto a tale finalità, possono essere disposti solo a seguito dell’insorgenza di un fondato sospetto di illecito, basato su elementi oggettivi e riscontrabili (al punto che nel mandato devono essere indicati i “principali elementi di fatto che giustificano l’investigazione”) e devono mantenersi nei limiti della proporzionalità, anche sul piano dell’estensione temporale dell’indagine (essendo richiesta l’indicazione del “termine ragionevole entro cui questa deve essere conclusa”).
Alle regole deontologiche che il Garante è autorizzato ad emanare è riconosciuta valenza normativa (essendo prevista anche la loro pubblicazione in Gazzetta Ufficiale), ed in particolare quella di “fonti normative integrative” [25]. Il loro rispetto è “condizione essenziale per la liceità e la correttezza del trattamento dei dati personali” (v. previgente art. 12, comma 3, d.lgs. 196/2003, nonché l’attuale art. 2 quater, comma 4). Ne consegue l’applicabilità del principio iura novit curia e l’obbligo per il giudice di individuarle e farne applicazione, anche in difetto di allegazione della parte interessata.
Infine, anche i controlli tramite agenzia investigativa pongono il problema della conciliabilità delle esigenze datoriali con il rispetto della “vita privata” del lavoratore, secondo la tutela accordata dall’art. 8 Cedu, come interpretato dalla giurisprudenza EDU.
Ed invero, come chiarito, in particolare, dalla sentenza della Corte EDU Barbulescu v. Romania, l’articolo 8 della Convenzione, attraverso l’utilizzo dell’espressione “vita privata”, intende tutelare il diritto allo sviluppo personale dell’individuo, sia nel senso dello sviluppo della sua personalità che dello sviluppo dell’autonomia personale. In tale prospettiva, dall’art. 8 si ricava anche il diritto a condurre una “vita sociale privata”, ovverosia la tutela della riservatezza dell’individuo anche rispetto alle relazioni sociali che egli sceglie di intrattenere. E, tra queste relazioni, devono essere incluse anche quelle che si instaurano nell’ambito professionale, tenuto conto “che per la maggior parte delle persone la vita lavorativa rappresenta una significativa, se non la più importante, possibilità di sviluppare rapporti con il mondo esterno”.
In definitiva, i referenti normativi Statutari di partenza tenuti presente dalla giurisprudenza nell’elaborazione delle due tipologie di controlli in esame sono diversi, ma le finalità e le esigenze coinvolte sono le medesime: sia per il controllo tramite agenzie investigative, sia per i controlli difensivi (“in senso stretto”) di tipo tecnologico, la giurisprudenza ha ragionato innanzitutto “in negativo” o “per esclusione”, evidenziando l’estraneità dei primi agli artt. 2 e 3 dello Statuto e l’estraneità dei secondi all’art. 4 dello Statuto. Ma, a ben vedere, i profili di estraneità ai divieti/limiti Statutari ed in forza dei quali le due tipologie di controllo sono state ritenute ammissibili risultano comuni: entrambe sono poste in essere dal datore di lavoro in chiave difensiva rispetto alla tutela del patrimonio e in relazione a eventuali specifici illeciti commessi da singoli dipendenti. Inoltre, con riferimento ad entrambe le tipologie di controlli viene in rilevo la necessità di tutelare la dignità e la riservatezza del lavoratore, sia sotto il profilo della tutela dei dati personali, sia sotto il profilo della tutela della sua “vita privata”, come sopra delineata.
In conclusione, se, alla luce di quanto precede, i due costrutti esegetici sono sovrapponibili [26], al punto che la categoria dei controlli difensivi è storicamente derivata dall’elaborazione giurisprudenziale sui controlli a mezzo di agenzia investigativa e questi ultimi costituiscono, nella sostanza, una tipologia di controllo difensivo “in senso stretto” (in particolare di natura non tecnologica), dovrebbe coerentemente concludersi che anche i controlli tramite agenzia investigativa sono assoggettati agli stessi presupposti di legittimità elaborati dalla più recente giurisprudenza per la categoria dei controlli difensivi “in senso stretto”.
In tale prospettiva, deve ritenersi che anche i controlli tramite agenzia investigativa possono essere disposti a tutela del patrimonio o dell’immagine aziendale solo a seguito dell’insorgenza di un fondato/ragionevole sospetto di illecito commesso da un dipendente o da un gruppo di dipendenti, nel rispetto della normativa sul trattamento dei dati personali e con modalità tali da realizzare un corretto bilanciamento dei contrapposti interessi, tenuto conto delle circostanze del caso concreto, secondo gli “indici di bilanciamento” desunti dalla giurisprudenza Edu in tema di rispetto della vita privata ex art. 8 CEDU.
Se la linea di sviluppo che si coglie nelle citate recenti sentenze di legittimità verrà confermata, la considerazione unitaria dei controlli difensivi “in senso stretto”, sia di matrice tecnologica che di matrice non tecnologica (come i controlli a mezzo agenzia investigativa realizzati attraverso appostamenti e pedinamenti), rappresenterà un ulteriore passo in avanti nella tutela della dignità e della riservatezza del lavoratore.
6. Violazione dei presupposti di legittimità dei c.d. controlli difensivi “in senso stretto” e (in)utilizzabilità della prova
L’onere di allegare e provare il rispetto dei presupposti di legittimità del controllo difensivo “in senso stretto” incombe sul datore di lavoro, trattandosi di fatti costitutivi del relativo potere [27].
Si tratta di un onere che investe, innanzitutto, le circostanze su cui si basa il “fondato/ragionevole sospetto”, che devono essere temporalmente collocate, al fine di individuare il momento a partire dal quale le informazioni raccolte sono utilizzabili nel procedimento disciplinare e, successivamente, in giudizio. Inoltre, l’onere in discorso include anche le circostanze che evidenziano l’avvenuto bilanciamento, da parte del datore di lavoro, delle contrapposte esigenze, a seguito della valutazione dell’impatto concreto dei controlli nei confronti della sfera personale del lavoratore interessato, nonché l’attuazione dei controlli nel rispetto dei principi di proporzionalità, pertinenza, non eccedenza e minimizzazione [28].
In caso di mancato assolvimento dell’onere della prova, si ritiene che, risolvendosi il controllo in una violazione dei principi generali in materia di trattamento dei dati personali, la sanzione sia quella prevista dal relativo corpus normativo: l’inutilizzabilità degli elementi raccolti [29].
A tal proposito, va rilevato che, sin dall’originaria stesura dell’art. 11 del Codice della Privacy, l’inutilizzabilità non conseguiva a qualsivoglia violazione della disciplina in materia, ma solo alle violazioni della “disciplina rilevante” (v. testo art. 11, comma 2, d.lgs. 196/2003 prima delle modifiche apportate dal d.lgs. 101/2018) [30].
L’attuale disciplina (v. art. 2 decies d.lgs. 196/2003) [31] ha mantenuto la limitazione della sanzione dell’inutilizzabilità alla “disciplina rilevante” in materia, ma ha introdotto, attraverso il rinvio all’art. 160 bis del medesimo testo normativo, la clausola di salvaguardia delle disposizioni processuali di riferimento [32].
A fronte di tale disciplina normativa, il primo interrogativo attiene all’individuazione della “disciplina rilevante” che determina la sanzione dell’inutilizzabilità.
Appare, allo stato, ragionevole l’orientamento secondo il quale l’inutilizzabilità non consegue a qualsiasi violazione della disciplina in materia di trattamento dati, ma solo alla violazione delle norme “di maggior peso, in quanto aventi carattere centrale nell’ambito della complessa normativa” e direttamente correlate agli interessi sostanziali tutelati da tale corpus normativo [33].
Il secondo interrogativo, stante l’introduzione della clausola di salvaguardia delle disposizioni processuali di riferimento ad opera della novella del 2018, attiene alla latitudine del concetto di inutilizzabilità, ed in particolare alla questione se l’inutilizzabilità sussista anche nell’ambito del processo civile, ancorché il codice di procedura civile, a differenza del codice di procedura penale, non preveda la categoria giuridica dell’“inutilizzabilità”. Vale la pena puntualizzare che l’interrogativo non si pone laddove risulti applicabile, ratione temporis, l’art. 11, comma 2, d.lgs. 196/2003, il quale prevedeva una inutilizzabilità “assoluta” (senza limiti, né clausole di salvezza) [34].
Quanto alla disciplina introdotta dal combinato disposto degli artt. 2 decies e 160 bis, vi sono argomenti sia di natura processuale che di natura sostanziale che portano a concludere per l’inutilizzabilità della prova raccolta in violazione della “disciplina rilevante” in materia di trattamento dei dati personali anche in sede processualcivilistica.
L’approccio “processuale”, pur escludendo l’applicazione diretta o analogica dell’art. 191 c.p.p. [35], ha evidenziato che, anche se non espressamente disciplinata dal codice di procedura civile, la categoria dell’inutilizzabilità della prova o dell’atto processuale è ricavabile secondo una interpretazione sistematica dell’intero ordinamento processuale [36].
Si è evidenziata, inoltre, una esigenza di coerenza sistematica tra i vari rami dell’ordinamento, non potendosi ammettere che, da un lato, sul piano del regime della tutela dei dati personali, un determinato trattamento venga qualificato come “illecito”, ma, dall’altro lato, l’ordinamento processuale consenta l’ingresso nel giudizio civile e, dunque, l’utilizzabilità quali prove, di circostanze apprese attraverso un trattamento illecito di dati personali. Consentire alla parte processuale di trarre vantaggio, sul piano della prova, da una attività illecita (illecito trattamento di dati) risulterebbe contrario ai principi sul giusto processo (art. 111 Cost.) [37].
Sul piano sostanziale, si è rilevato che il diritto alla protezione dei dati personali costituisce un diritto assoluto e una libertà fondamentale della persona ex artt. 1 e 2 d.lgs. 196/2003 ed ex art. 1 Regolamento UE. In tale prospettiva, la condotta illecita consistente nella violazione di un diritto fondamentale previsto da una norma di diritto sostanziale (acquisizione di un dato che non poteva essere acquisito) non potrebbe divenire lecita in sede processuale, attraverso l’utilizzazione, quale prova, di quel dato nei confronti di chi ha subito la predetta violazione [38]. A ragionare diversamente, l’utilizzo probatorio “integrerebbe proprio quel pregiudizio che la norma di divieto intende impedire a tutela del diritto dello stesso soggetto cui la legge intende apprestare la protezione”.
Sicché non si tratterebbe tanto di individuare sul piano processuale la categoria, non espressamente prevista, dell’inutilizzabilità della prova, ma, a monte, proprio della impossibilità di configurare come prove (nemmeno sub specie di prove atipiche) elementi conoscitivi acquisiti in modo tale da ledere una libertà fondamentale.
Le conclusioni che precedono sono confermative della ratio dell’inutilizzabilità prevista dal Codice Privacy, secondo la lettura della più recente giurisprudenza: “scoraggiare la ricerca, l’acquisizione e, più in generale il trattamento “abusivi” di dati personali e per realizzare questa funzione il rimedio previsto dal legislatore è quello di impedirne la realizzazione dello scopo (id est la successiva utilizzazione di quei dati)” [39].
Coerentemente, a fronte dell’“inutilizzabilità” degli elementi conoscitivi acquisiti in violazione delle disposizioni in materia di trattamento dei dati personali, non dovrebbe risultare ammissibile la prova testimoniale [40], trattandosi di circostanze che, già sul piano sostanziale, non potevano essere acquisite.
7. Osservazioni conclusive
In uno sguardo d’insieme, sembra possibile affermare che se, da un lato, la novellazione dell’art. 4 Statuto ha accolto istanze datoriali di ampliamento del ricorso a strumenti tecnologici che consentono anche il controllo a distanza dell’attività dei lavoratori (si pensi all’inserimento nell’attuale comma 1 dell’esigenza di tutela del patrimonio, alla sottrazione degli strumenti di lavoro e di rilevazione di accessi e presenze alle garanzie procedurali del comma 1, alla espressa previsione dell’utilizzabilità dei dati legittimamente raccolti “a tutti i fini connessi al rapporto di lavoro”), dall’altro lato, l’evoluzione giurisprudenziale in materia di controlli difensivi (“in senso stretto”), inclusivi, per quanto precede, dei controlli tramite agenzia investigativa, si è mossa nella direzione del rafforzamento della tutela dei lavoratori, in un contesto di accresciuta sensibilità per i temi del rispetto del trattamento dei loro dati personali e della loro “vita privata/professionale”, veicolati dal diritto e dalla giurisprudenza sovrannazionali.
Il risultato di tali evoluzioni è un rinnovato interesse per una tematica “tradizionale”, le cui moderne coordinate si possono dire tracciate con chiarezza dalla giurisprudenza di legittimità sin qui esaminata.
Il compito, senz’altro non facile, di applicare gli esposti principi ai casi concreti spetterà, essenzialmente, al giudice del merito che dovrà maneggiare con cautela concetti “elastici” quali quello di “fondato/ragionevole” sospetto di illecito e i parametri di bilanciamento dei contrapposti interessi, prestando attenzione a tutte le peculiarità della vicenda da ricondurre a sintesi, alla luce del principio per cui l'iniziativa economica privata non può svolgersi in modo da recare danno alla libertà e alla dignità umana (art. 41 Cost.).
[1] Su tali profili, v. Dessì, Il controllo a distanza sui lavoratori. Il nuovo art. 4 Stat. lav., Napoli, 2017, 12 ss.
[2] Il riferimento è, in particolare, a Cass. 25732/21, Cass. 18168/2023, Cass. 28378/2023, i cui approdi verranno ampiamente esposti nel prosieguo.
[3] Si veda, in tal senso, Cass. 2042/1983. Conformi, Cass. 2697/84; Cass. 4271/1985; Cass. 2813/1989; Cass. 10313/98.
[4] In tal senso, Cass. 18821/2008, relativa, peraltro, ad una fattispecie in cui il sospetto non era una mera rappresentazione soggettiva del datore di lavoro, ma si fondava su riscontri oggettivi (differenze inventariali che lasciavano supporre la perpetrazione di furti/appropriazioni indebite). Si vedano, altresì, Cass. 3590/2011; Cass. 4984/2014; Cass. 848/15; Cass. 20433/16; Cass. 15867/17; Cass. 15094/2018.
[5] Si veda la compiuta ricostruzione operata da Cass. 25732/21. In dottrina, sul tema, v. Di Paola, I controlli sui lavoratori, Milano, 2022, 3 ss.; Maresca, Controlli tecnologici e tutele del lavoratore nel nuovo art. 4 St. lav., in AA.VV., Controlli a distanza e tutela dei dati personali del lavoratore, a cura di Tullini, Torino, 2017; Marazza, I controlli a distanza del lavoratore di natura “difensiva”, ivi, 27 ss.
[6] Su tali profili, v. Dessì, Il controllo a distanza sui lavoratori, cit., 4 ss.; Di Paola, I controlli sui lavoratori, cit., 6 ss.; Carinci, Il controllo a distanza sull’adempimento della prestazione di lavoro, in AA.VV., Controlli a distanza e tutela dei dati personali del lavoratore, a cura di Tullini, Torino, 2017, 48 ss.
[7] Si vedano le considerazioni contenute nell’excursus storico svolto da Cass. 25732/21.
[8] Si osservava, inoltre, che “non corrisponde ad alcun criterio logico-sistematico garantire al lavoratore, in presenza di condotte illecite sanzionabili penalmente o con sanzione espulsiva, una tutela maggiore di quella riconosciuta ai terzi estranei all'impresa” v. Cass 10636/17.
[9] Cosi Cass. 15892/2007; Cass. 4375/2010; Cass. 16622/2012; Cass. 9904/2016; Cass. 18302/2016.
[10] Si veda Cass. 26682/2017 e i precedenti ivi richiamati, tra cui Cass. 22313/2016.
[11] Per tale considerazione, si veda Cass. 25732/2021.
[12] V. Cass. 25732/2021.
[13] Tursi, Note minime in tema di controlli difensivi del datore, onere della prova e utilizzabilità delle prove illecitamente acquisite nel processo, in Labour & Law Issues, 2023, pag. 7 ss. dell’estratto.
[14] Si vedano Cass. 25732/2021; Cass. 18168/2023. In dottrina, Romei, Il “ragionevole sospetto” in Cassazione, in Lav. Dir. Europa, 1/2023.
[15] Si è, inoltre, precisato che la categoria dei controlli difensivi non autorizza l’acquisizione e l’utilizzo di informazioni ottenute in violazione delle prescrizioni dell’art. 4, perché in tal modo si estenderebbe eccessivamente l’area del controllo difensivo con elusione della portata precettiva dell’art. 4 medesimo (Cass. 25732/21).
[16] Sul punto, v. Cass. 18168/2023 che richiama la sentenza della Corte EDU Lopez Ribalda e altri c. Spagna, 17 ottobre 2019, nella parte in cui ha chiarito che, ai fini del rispetto dell’art. 8 CEDU, “non è accettabile la posizione secondo cui anche il minimo sospetto di appropriazione illecita possa autorizzare l’installazione di strumenti occulti di videosorveglianza”. Analoghe considerazioni si rinvengono nella sentenza della Corte EDU Barbulescu c. Romania, 5 settembre 2017.
[17] Romei, Il “ragionevole sospetto” in Cassazione, cit., 13 dell’estratto, che evidenzia come “… un conto è il momento dal quale il controllo difensivo può attivarsi; altro conto è la sua estensione nel tempo…. il ragionevole sospetto legittima il controllo difensivo ed anche occulto, ne costituisce la ragione sostanziale, ma non anche la ragione della limitazione temporale. Il pericolo di una acquisizione lunga ed ininterrotta di dati è eliminato dalla esistenza di un ragionevole sospetto. Ma una volta che tale condizione sia soddisfatta il controllo dovrebbe poter avvenire senza alcuna limitazione temporale, proprio perché legittimato dall’esistenza di un sospetto”.
[18] La prospettiva interpretativa è controversa. In senso contrario, con riferimento alla precisazione “non in relazione a quelli già registrati” parrebbe porsi il seguente passaggio di Cass. 25732/21: “Facendo il classico esempio dei dati di traffico contenuti nel browser del pc in uso al dipendente, potrà parlarsi di controllo ex post solo in relazione a quelli raccolti dopo l'insorgenza del sospetto di avvenuta commissione di illeciti ad opera del dipendente, non in relazione a quelli già registrati”.
[19] Si richiama il seguente passaggio della già citata sentenza Edu Lopez Ribalda: “L’obbligo di fornire preventiva informazione agli individui oggetto di monitoraggio circa l’estensione di tale monitoraggio, costituisce soltanto uno dei molteplici criteri che devono essere presi in considerazione al fine di valutare la proporzionalità della misura adottata nel caso concreto …. Tuttavia, se una tale informazione preventiva risulta mancante, l’adozione di misure di salvaguardia individuabili sulla base degli ulteriori criteri di valutazione rilevanti assume una maggiore importanza ai fini della valutazione spettante alla Corte …”.
Del resto, anche nella citata sentenza Barbulescu, nella decisione della Corte Edu non ha pesato solo l’omessa informativa preventiva che il datore di lavoro, in base al regolamento aziendale, avrebbe dovuto dare al lavoratore in relazione ad applicazioni di messaggistica, ma sono state valorizzate anche le seguenti ulteriori circostanze: le autorità nazionali non avevano valutato il grado di invasività del monitoraggio delle comunicazioni del dipendente (il datore di lavoro era venuto a conoscenza anche di circostanze personali e relative alla vita affettiva del dipendente), non avevano valutato la sussistenza di specifiche ragioni giustificatrici del monitoraggio, né avevano valutato la possibilità di ricorso a mezzi meno invasivi. Sicché la Corte Edu ha ritenuto sussistente la violazione dell’articolo 8 della Convenzione poiché non era stata assicurata, nemmeno in sede giurisdizionale, “un’adeguata protezione al diritto del ricorrente al rispetto della sua vita privata e della sua corrispondenza” e poteva ritenersi che le autorità nazionali “conseguentemente non siano pervenute a un giusto equilibrio degli interessi in gioco”.
[20] V. Cass. 25732/21: “41. 0ccorre però chiarire cosa si intenda per tale controllo. Esso infatti non dovrebbe riferirsi all'esame ed all'analisi di informazioni acquisite in violazione delle prescrizioni di cui all'art. 4 St.lav., poiché, in tal modo opinando, l'area del controllo difensivo si estenderebbe a dismisura, con conseguente annientamento della valenza delle predette prescrizioni”.
[21] V. Cass. 28378/2023.
[22] Cass. 18168/2023 si è pronunciata, come detto, con riferimento ad una fattispecie in cui, tramite agenzia investigativa, erano stati svolti controlli difensivi in senso stretto di tipo tecnologico e anche pedinamenti. La Corte ha enunciato principi generali in materia di controlli difensivi in senso stretto, in alcuni passaggi citando espressamente i controlli di tipo tecnologico, in altri senza apparentemente distinguere tra le due tipologie di controlli che nel caso concreto venivano in rilievo.
[23] Ed invero, dalla lettura della sentenza Cass. 25732/21 emerge che è stata valutata la sussistenza di un “fondato sospetto” di illecito (svolgimento da parte del lavoratore, durante l’orario di lavoro fuori sede, di attività non inerenti alla prestazione lavorativa o in concorrenza con il datore di lavoro), basato su elementi oggettivi e riscontrabili (la circostanza che il lavoratore, contravvenendo alle indicazioni del datore di lavoro, operasse all’esterno dei locali aziendali sempre senza divisa e senza esporre il tesserino), indicati anche nel mandato all’agenzia investigativa.
[24] Ed invero, il Regolamento UE, all’art. 2, definisce il suo ambito materiale di applicazione come segue: “Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”.
L’art. 4 definisce: - “dato personale”: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)”; - “trattamento”: “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”; - “archivio”: “qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”.
[25] Cass. 28378/2023 che richiama Cass. 12834/2014
[26] Tursi, Note minime in tema di controlli difensivi del datore, cit., pag. 9 dell’estratto.
[27] Cass.18168/2023 che richiama anche il principio di vicinanza della prova; Cass. 28378/2023.
[28] Anche per tale considerazione, v. Cass. 18168/2023.
[29] Si veda Cass. 17723/2017, secondo la quale la “violazione dei principi fissati dal cosiddetto "codice della privacy" del 2003 condurrebbe alla inutilizzabilità processuale ed ancor prima disciplinare dei dati. Una soluzione opposta porrebbe il sistema interno in tensione con una disciplina di derivazione sovranazionale; peraltro nel complesso dibattito dottrinario che ha seguito la revisione dell'art. 4 L. n. 300/1970 che ha reso la norma più permissiva ma ha richiamato circa l'utilizzabilità delle informazioni raccolte la regolamentazione sulla privacy la prevalenza degli Autori hanno sottolineato che questo richiamo è ad abundantiam, solo a fini di rafforzamento della certezza del diritto, perché l'obbligo di rispettare tale normativa sussisteva anche prima”. In senso conforme, Cass. 18168/2023.
[30] L’originario testo dell’art. 11, comma 2, era il seguente: “2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati”.
[31] L’attuale testo dell’art. 2 decies prevede: “1. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati, salvo quanto previsto dall'articolo 160-bis.”.
[32] L’art. 160 bis d.lgs. 196/2003, rubricato: “Validità, efficacia e utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento” prevede: “1. La validità, l'efficacia e l'utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali.”.
[33] Di Paola, I controlli sui lavoratori, cit., 171.
[34] Sul punto Cass. 28378/2023.
[35] Sul punto, Cass. 8459/2020 che sottolinea la “diversa rilevanza degli interessi che vengono in questione nel giudizio penale (status libertatis) ed in quello civile, nel quale il Giudice non incontra i limiti della "tipicità" del mezzo probatorio”, posto che nel giudizio civile le prove atipiche sono tendenzialmente ammissibili e utilizzabili (salvo che il mezzo di prova costituisca ex se lesione di un diritto fondamentale della persona) e la questione che si pone attiene alla maggiore o minore efficacia probatoria riconosciuta loro dal prudente apprezzamento del giudice del merito. L’art. 191 c.p.p. prevede: “1. Le prove acquisite in violazione dei divieti stabiliti dalla legge non possono essere utilizzate. 2. L'inutilizzabilità è rilevabile anche di ufficio in ogni stato e grado del procedimento”.
[36] Così Cass. 28378/2023 che richiama il regime delle preclusioni istruttorie ex art. 182 c.p.c.; il regime della nullità degli atti ex art. 157 c.p.c.; la giurisprudenza secondo cui il mancato rispetto del termine – ordinatorio – per ottemperare all’istanza di esibizione ex art. 210 c.p.c. non comporta l’inutilizzabilità della produzione documentale fuori termine; la giurisprudenza in materia di inutilizzabilità della scrittura privata disconosciuta ove non sia raggiunta la prova della provenienza dalla parte che l’ha disconosciuta.
[37] V. Cass. 28378/2023.
[38] Si veda Cass. 8459/2020 che ha evidenziato che “Il principio che stabilisce la estraneità dalle fonti di prova - anche atipiche - di quelle acquisite con modalità tali da ledere le libertà fondamentali e costituzionalmente garantite, quali la libertà personale, il diritto alla segretezza della corrispondenza, la inviolabilità del domicilio, è stato ripetutamente affermato da questa Corte” dovendo affermarsi il “principio secondo cui rimane precluso l'accesso a quelle prove la cui acquisizione concreti una diretta lesione di interessi costituzionalmente tutelati riferibili alla parte contro cui la prova viene utilizzata”.
[39] V. Cass. 28378/2023.
[40] In tale prospettiva, v. Cass. 33367/2021.