Nullo il licenziamento basato su di un accesso illecito da parte del datore di lavoro all’email del dipendente

L’Avv. Paolo Repetto, laureato Bocconi CLMG 2008, è oggi titolare dell’omonimo Studio Legale sito in Novi Ligure, e si occupa di tematiche legale al diritto del lavoro e della previdenza, oltre che al diritto civile.

Una recente sentenza, pubblicata il 14 febbraio 2024, del Tribunale del Lavoro di Roma ha affrontato l’annosa questione inerente l’accesso illecito da parte datoriale all’email del dipendente.

La pronuncia in questione ha sancito la nullità del licenziamento per giusta causa irrogato da una compagnia aerea al dirigente laddove, come nel caso di specie, basato su un accesso illecito alla corrispondenza del dipendente, e quindi in palese violazione dell’art. 4 della Legge n. 300/1970, che disciplina in generale gli strumenti di controllo a distanza dell’attività dei lavoratori, e della normativa europea e nazionale in tema di privacy.

In particolare, la sentenza ha accertato che prima di avviare il procedimento disciplinare l’azienda aveva inviato al dirigente una comunicazione con cui lo informava della sospensione in via cautelare anche al fine di meglio valutare informazioni acquisite e “potenzialmente impattanti sul vincolo fiduciario”, e che immediatamente dopo sempre l’azienda disattivava l’account aziendale unilateralmente, e quindi senza preventivamente informarne il dipendente né convocarlo a difesa o chiederne l’autorizzazione, inserendovi un messaggio automatico di momentanea assenza e indisponibilità.

Solo a quel punto, prosegue la sentenza, e quindi solo dopo la sospensione cautelare del dirigente e l’accesso non autorizzato all’account di posta elettronica di quest’ultimo, il datore di lavoro avviava il procedimento disciplinare arrivando a contestare al dipendente condotte volte a denigrare la governance aziendale, di aver taciuto al cda pregressi rapporti con consulenti esterni e di aver messo in atto pratiche non in linea con i target della società.

Il procedimento disciplinare si concludeva con il licenziamento per giusta causa.

Ebbene, nell’accogliere il ricorso del dirigente, il Tribunale di Roma ha statuito il principio di diritto secondo cui “i controlli difensivi (ossia quelli posti in essere dal datore di lavoro al fine di tutelare beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, n.d.r.) sono tuttora ammessi mediante l’utilizzo di strumenti tecnologici, a condizione che sussista un fondato sospetto circa la commissione di un illecito da parte del dipendente e sempre che il controllo riguardi dati acquisiti successivamente (ex post) rispetto all’insorgere del sospetto”.

In buona sostanza, la sentenza in commento ha posto un duplice limite all’attività di controllo del datore di lavoro, rinvenibile anzitutto nella mancata autorizzazione a compiere controlli a carattere esplorativo e, in secundis, nella possibilità di utilizzare le sole notizie raccolte successivamente al legittimo controllo. In difetto, il controllo preventivo e/o non autorizzato all’account aziendale del dipendente non potrà dirsi legittimo. 

Con la sentenza in esame, in sintesi, il Tribunale di Roma ha fatto pertanto corretta applicazione del tralatizio orientamento della giurisprudenza di legittimità, secondo cui i controlli difensivi in senso stretto sono consentiti solo in presenza di un fondato sospetto circa la commissione di un illecito, circostanza palesemente non ricorrente laddove, come nel caso di specie, l’account di posta elettronica venga disattivato prima ancora di avviare il procedimento disciplinare a carico del dipendente.

Nell’era digitale, il confine tra la tutela del patrimonio aziendale e il rispetto della privacy dei lavoratori può apparire sempre più sottile e sfocato, ma al contempo nelle dinamiche aziendali moderne il rispetto di tale limite che porta con sé l’equilibrio tra protezione aziendale e rispetto della privacy dei dipendenti (dirigenti compresi) si appalesa di fondamentale importanza.

La sentenza pilota in tema di “controlli difensivi” da parte del datore di lavoro mediante strumenti informatici è la pronuncia della Cassazione Civile, Sezione Lavoro, 26/6/2023, n. 18168 ove la Suprema Corte ha confermato la pronuncia della Corte d’Appello di Milano che vedeva attinto dal provvedimento espulsivo un dirigente licenziato dalla banca a seguito di un controllo sulla sua posta elettronica aziendale. 

La Corte territoriale meneghina, in particolare, aveva evidenziato come la condotta della banca fosse risultata esorbitante e sproporzionata finendo per controllare indistintamente tutte le comunicazioni presenti nel pc aziendale del dirigente dando vita ad una indagine invasiva, massiccia, indiscriminata e non giustificata, violando le norme sulla protezione dei dati personali, senza per giunta informare preventivamente il lavoratore e di conseguenza senza acquisire da quest’ultimo alcun consenso al controllo della posta elettronica aziendale, come invero prescritto dal regolamento aziendale di cui peraltro il dipendente non era neppure a conoscenza.

Nel confermare la sentenza del secondo Giudice, la Corte di Cassazione ha enunciato i principi fatti propri dal Tribunale del Lavoro di Roma, secondo cui occorre anzitutto distinguere i “controlli difensivi in senso lato”, vale a dire a difesa del patrimonio aziendale che possono riguardare tutti i lavoratori e che necessitano del preventivo accordo sindacale o autorizzazione dell’ispettorato del lavoro, ai sensi dell’art. 4 Statuto dei Lavoratori, dai “controlli difensivi in senso stretto” destinati invece a singoli dipendenti in base a concreti indizi e per i quali non sono richiesti i permessi e le autorizzazioni di cui sopra.

Ebbene, chiamata a giudicare circa un controllo tecnologico mediante l’accesso all’account di posta elettronica aziendale, la Corte di Cassazione ha stabilito che i controlli in senso stretto sono consentiti solo “in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto”.

In sintesi, pertanto, il Supremo Collegio confermando l’accoglimento delle domande per la mancata giustificazione del controllo tecnologico, nella sentenza n. 18168/2023, ha qualificato l’accertamento operato dal datore di lavoro come inerente ai cosiddetti “controlli difensivi in senso stretto”, come tali sottratti sì all’osservanza delle disciplina di cui all’art. 4, comma 1° (versione attuale) dello Statuto dei lavoratori, ma non all’obbligo di motivarli con il fondato (su fatti precisi, da provare in giudizio) sospetto dell’avvenuta commissione di una condotta illecita. In altri termini, tali controlli devono inoltre essere svolti con l’osservanza del terzo comma dell’art. 4 (preventiva informazione sui controlli e rispetto del codice della privacy) nel quadro di un corretto contemperamento degli interessi dell’impresa con quelli alla dignità del lavoratore.

Con ciò, la Cassazione ha voluto precisare e delimitare l’ambito del controllo aziendale i cui caratteri devono essere quelli di un controllo “mirato” e “attuato ex post” ossia effettuato a seguito del comportamento illecito del lavoratore in quanto “solo a partire da quel momento il datore può provvedere alla raccolta di informazioni utilizzabili…non essendo possibile l’esame e l’analisi di informazioni precedentemente assunte in violazione delle prescrizioni di cui all’art. 4 St. Lav.”

Nella suddetta pronuncia di legittimità, la Corte di Cassazione ha altresì statuito che in tema di onere probatorio spetta al datore di lavoro “allegare prima e provare poi le specifiche circostanze che lo hanno indotto ad attivare il controllo tecnologico ex post, considerato che solo tale fondato sospetto consente al datore di lavoro di porre la sua azione al di fuori del perimetro di applicazione diretta dell’art. 4”.

Nell’applicare il principio di diritto enunciato dalla Corte di Cassazione, il Tribunale del Lavoro di Roma, nella recentissima sentenza in commento, ha pertanto dichiarato, oltre che ritorsivo, nullo l’irrogato licenziamento con conseguente condanna dell’azienda alla reintegrazione del dirigente e trasmissione degli atti alla competente Procura della Repubblica.