Come già visto in altri articoli (Videosorveglianza in azienda: non basta il consenso dei  lavoratori, No ai controlli indisciminati su mail e smartphone aziendali), la disciplina sui controlli a distanza dei lavoratori di cui all’art. 4 Legge 300/1970 (il c.d. Statuto dei Lavoratori, che prescrive garanzie procedimentali quali il previo accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro) si applica anche ad attività quali “la conservazione e la categorizzazione dei dati personali dei dipendenti relativi alla navigazione in internet, all’utilizzo della posta elettronica ed alle utenze telefoniche da essi chiamate”, come ribadito anche da una recente sentenza della Corte di Cassazione (sentenza 28.05.2018 n.13266)

Come abbiamo visto, detta disciplina riguarda i controlli c.d. difensivi, ovvero diretti ad accertare comportamenti illeciti dei lavoratori quando essi riguardino l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro.

Ne consegue che esula dal campo di applicazione della norma il caso in cui il datore abbia posto in essere verifiche dirette ad accertare comportamenti del prestatore illeciti e lesivi del patrimonio e dell’immagine aziendale (cfr. Cass. Civ. 10.11.2017 n. 26682): in applicazione del suddetto principio, per esempio, si è ritenuto legittimo il controllo effettuato da un istituto bancario sulla posta elettronica aziendale del dipendente accusato di aver divulgato notizie riservate concernenti un cliente, e di aver posto in essere, grazie a tali informazioni, operazioni finanziarie da cui aveva tratto vantaggi propri (Cass. Civ. n. 10955/2015: la Corte ha ritenuto che il controllo non riguardava l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro ma era destinato ad accertare un comportamento che poneva in pericolo la stessa immagine dell’Istituto bancario presso i terzi, come accreditata presso il pubblico).

Come sottolineato dalla Suprema Corte, il contemperamento tra le esigenze di protezione di interessi e beni aziendali (esigenze correlate alla libertà di iniziativa economica, anche costituzionalmente tutelata) e le fondamentali tutele della dignità e riservatezza del lavoratore non risulta sempre agevole e non può prescindere dalle circostanze del caso concreto.

L’uso degli strumenti di controllo dev’essere sempre contenuto nella portata e proporzionato ( No ai controlli indisciminati su mail e smartphone aziendali).

I lavoratori devono essere sempre previamente informati del possibile controllo datoriale sulle loro comunicazioni anche via internet (di qui l’importanza di adottare una policy aziendale completa).

La Suprema Corte ritiene rilevante anche il fatto che la verifica informatica venga posta in essere ex post.

Nel caso esaminato dalla sentenza 13266/2018 cit., per esempio, il controllo era stato avviato all’esclusivo scopo di accertare l’impiego del computer per finalità extralavorative (gioco a Free-Cell) dopo anche il dipendente era stato sorpreso dal direttore tecnico: accertata la violazione dell’obbligo di diligenza di cui all’art. 2104 c.c., la Corte ha ritenuto che competa al datore di lavoro anche il risarcimento del danno commisurato al rilevante tempo sottratto al lavoro dal dipendente licenziato per giustificato motivo soggettivo.

Nel caso esaminato dalla sentenza 26682/2017, in seguito ad un controllo operato su un computer aziendale dall’amministratore del sistema, un dipendente veniva licenziato per aver inviato undici email contenenti espressioni scurrili nei confronti del legale rappresentante della società e di altri colleghi rinvenute nella sua casella di posta elettronica aziendale: il controllo delle e-mail era stato occasionato dalla segnalazione di un’anomalia determinata dal tentativo di cancellazione di files conservati dal sistema. Era emerso che i dipendenti dell’azienda erano stati preventivamente informati della duplicazione periodica e della conservazione di tutti i dati contenuti nei computer aziendali (la previa informazione di cui si è detto sopra) ed il controllo era stato effettuato ex post, in presenza di un’anomalia dal sistema e, dunque, di un ragionevole sospetto dell’esistenza di condotte lesive di beni estranei all’adempimento dell’obbligazione lavorativa, “in primo luogo l’immagine dell’impresa e la doverosa tutela della dignità degli altri lavoratori”.

Anche il Tribunale di Roma, con sentenza del marzo 2017, confermava la legittimità del licenziamento di una dipendente che, nel corso di controlli ex post sul sistema informatico giustificati da un’anomalia del sistema, si era scoperto avere provocato un virus alla rete, abusando degli strumenti informatici assegnati per lo svolgimento della prestazione.
In conclusione, come emerge da questi esempi, affinché il controllo a distanza possa ritenersi legittimo i dati così acquisiti siano utilizzabili,  è fondamentale fornire ai dipendenti un’informativa esaustiva in ordine all’uso degli strumenti aziendali, ai dati trattati, al loro utilizzo e conservazione, nonché circa le modalità con cui vengono eseguiti i controlli, che i controlli non abbiano ad oggetto l’attività lavorativa del dipendente e che siano effettuati ex post, a seguito del verificarsi di un comportamento illecito del lavoratore o comunque per la verifica di un’anomalia del sistema informatico causata ad esempio da un virus o dal rilevamento di un tentativo di cancellazione di file che lo stesso sistema è impostato per conservare.