LE INDAGINI DIFENSIVE CONDOTTE DAL DATORE DI LAVORO SULLA CASELLA DI POSTA ELETTRONICA DEL DIPENDENTE.

Un recente arresto della Corte di Cassazione-Sez. Lavoro[1] ha sancito l’illegittimità della condotta posta in essere dal datore di lavoro nei confronti di un dipendente, svoltasi attraverso la lettura della casella di posta elettronica aziendale, ad uso del dipendente, prima del momento in cui ha avuto il fondato sospetto di una condotta illecita.

Riferimenti normativi

La normativa da prendere a riferimento è lo Statuto dei lavoratori e nello specifico l’art. 4 che disciplina le modalità di controllo a distanza del lavoratore da parte del datore di lavoro.

Da notare che il testo dell’articolo in esame è stato oggetto di modifica ad opera dell’art. 23 del d.lgs. n. 15 del 14 settembre 2015; recante “Disposizioni di razionalizzazione e semplificazione delle procedure e degli adempimenti a carico di cittadini e imprese e altre disposizioni in materia di rapporto di lavoro e pari opportunità, in attuazione della legge 10 dicembre 2014, n. 183. (15G00164)”,

L’art. 23 ha introdotto modifiche anche all’art. 171 del Codice Privacy, rubricato: “Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratore”.

Statuto dei Lavoratori. Art. 4 (( (Impianti audiovisivi e altri strumenti di controllo).))

1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali.

2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.

3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto daldecreto legislativo 30 giugno 2003, n. 196.

Codice Privacy. Art. 171 (Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori)

1. La violazione delle disposizioni di cui agli articoli 4, comma 1, e 8 della legge 20 maggio 1970, n. 300, è punita con le sanzioni di cui all’articolo 38 della medesima legge.

Il caso

Sia in primo che in secondo grado di giudizio, un dipendente di una società finanziaria si era fatto riconoscere l’illegittimità, per difetto di giustificatezza, del licenziamento al quale era stato sottoposto dal datore di lavoro.

Per quanto di stretto interesse in questa sede, la società finanziaria aveva impugnato la sentenza della Corte territoriale, richiamando il principio di diritto enunciato dalla suprema Corte, secondo cui “in tema di c.d. sistemi difensivi, sono consentiti, anche dopo la modifica dell’art. 4 St. Lav. Ad opera dell’art. 23 del d.lgs. n. 151 del 2015, i controlli anche tecnologici posti in essere da datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto”.

Il fatto che suddetti controlli siano stati svolti dalla società datoriale su informazioni risalenti ad un’epoca antecedente rispetto all’alert generato dal sistema informatico, ha indotto la Corte a dichiarare inutilizzabili ai fini disciplinari in quanto antecedenti al fondato sospetto creato dal citato alert.

A tale proposito la corte territoriale ha ricordato come la violazione dell’art. 4 st. Lav. Abbia di fatto finito per travolgere l’intero procedimento disciplinare, impedendo di trarre elementi di prova dalle giustificazioni rese dal dipendente a fronte di una contestazione illegittimamente formulata e che neppure l’intervenuta informativa sulla privacy portasse a giudicare leciti i controlli eseguiti in contrasto con l’art. 4 dello Statuto.

La decisione della Corte di Cassazione

I giudici della suprema Corte hanno ricordato come, la Corte d’appello ha specificamente analizzato l’alert inviato dal sistema informatico ed ha giudicato lo stesso idoneo a ingenerare il fondato sospetto di commissione di illeciti da parte del dipendente. Ha, tuttavia, accertato come, a seguito e sulla base di tale alert, la società avesse avviato, pe ril tramite dei tecnici informatici, un controllo retrospettivo, eseguito cioè su dati archiviati e memorizzati nel sistema in epoca anteriore al medesimi alert, così ponendosi in contrasto con l’art. s St. lav, che legittima unicamente controlli tecnologici ex post, vale a dire su comportamenti posti in essere successivamente all’insorgenza del fondato sospetto.

E’ stato, quindi, precisato che può parlarsi di controllo ex post solo ove, a seguito del fondato sospetto del datore circa la commissione di illeciti ad opera del lavoratore, il datore stesso provveda, da quel momento, alla raccolta delle informazioni e solo tali informazioni successive potranno fondare l’eventuale esercizio dell’azione disciplinare essendo invece precluso al datore di ricercare nel passato lavorativo elementi di conferma del fondato sospetto e di utilizzare gli stessi a scopi disciplinari in quanto ciò equivarrebbe a legittimare l’uso di dati probatori raccolti prima (e archiviati nel sistema informatico) e a prescindere dal sospetto di condotte illecite da parte del dipendente.

La posizione del Garante.

Il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.), che proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali. Ciò comporta che, anche nel contesto lavorativo pubblico e privato, sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza (v. punto 5.2 lett. b), delle “Linee guida del Garante per posta elettronica e Internet” del 1° marzo 2007, n. 13, doc. web n. 1387522; cfr., tra i tanti, provv. 4 dicembre 2019, n. 216, doc. web n. 9215890 e i precedenti in esso citati).

Considerato che l’impiego dei predetti programmi e servizi informatici dà luogo a “trattamenti” di dati personali, riferiti a “interessati”, identificati o identificabili (art. 4, par. 1, nn. 1) e 2), del Regolamento) nel contesto lavorativo, è necessario che il datore di lavoro, in quanto titolare del trattamento, verifichi la sussistenza di un idoneo presupposto di liceità (cfr. artt. 5, par. 1, lett. a) e 6 del Regolamento) prima di effettuare trattamenti di dati personali dei lavoratori attraverso tali programmi e servizi, rispettando le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo (art. 88, par. 2, del Regolamento).

In particolare, dovrà quindi essere sempre verificata la sussistenza dei presupposti di liceità stabiliti dall’art. 4 della l. 20 maggio 1970, n. 300, cui fa rinvio l’art. 114 del Codice, nonché il rispetto delle diposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (art. 8 della l. 20 maggio 1970, n. 300 e art. 10 d.lgs. 10 settembre 2003, n. 276, cui fa rinvio l’art. 113 del Codice). Gli artt. 113 e 114 del Codice sono infatti considerati, nell’ordinamento italiano, disposizioni più specifiche e di maggiore garanzia di cui all’art. 88 del Regolamento, la cui osservanza costituisce una condizione di liceità del trattamento e la cui violazione determina, oltre all’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d) del Regolamento, anche il possibile insorgere di responsabilità sul piano penale (cfr. art. 171 del Codice).

Il titolare del trattamento è inoltre tenuto a rispettare i principi generali del trattamento (artt. 5, 24 e 25 del Regolamento) e a porre in essere tutti gli adempimenti previsti dalle disposizioni normative in materia di protezione dei dati personali (v. artt. 12, 13, 14, 30, 32 e 35 del Regolamento), anche con riguardo alla necessità di fornire agli interessati in modo corretto e trasparente una chiara rappresentazione del complessivo trattamento effettuato, consentendo agli stessi di disporre di tutti gli elementi informativi essenziali previsti dal Regolamento e di essere pienamente consapevole, prima che il trattamento abbia inizio, delle caratteristiche dello stesso (cfr. sentenza della Corte Europea dei Diritti dell’Uomo del 5 settembre 2017 – Ricorso n. 61496/08 – Causa Barbulescu c. Romania, spec. par. n. 133 e 140).

Inoltre, in attuazione del principio di “responsabilizzazione” (cfr. art. 5, par. 2, e 24 del Regolamento), spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 e artt. 35 e 36 del Regolamento).

L’art. 4, comma 1, l. 20 maggio 1970, n. 300, come modificato dal d.lgs. 14 settembre 2015, n. 151, individua tassativamente le finalità (ovvero quelle organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati nel contesto lavorativo, stabilendo precise garanzie procedurali (accordo sindacale o autorizzazione pubblica).

Le predette garanzie non trovano invece applicazione “agli strumenti di registrazione degli accessi e delle presenze”, così come “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (art. 4, comma 2, l. n. 300/1970). Tale disposizione introduce un’eccezione, rispetto al più restrittivo regime previsto dal comma 1, e deve, pertanto, essere oggetto di stretta interpretazione, considerate le responsabilità anche sul piano penale che possono derivare dalla violazione del predetto quadro normativo. Per scelta espressa del legislatore, solo gli strumenti preordinati, anche in ragione delle caratteristiche tecniche di configurazione, alla “registrazione degli accessi e delle presenze” e allo “svolgimento della prestazione” non soggiacciono quindi ai limiti e alle garanzie di cui al primo comma, in quanto funzionali a consentire l’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro, vale a dire, la presenza in servizio e l’esecuzione della prestazione lavorativa.

Indicazioni ad uso dei titolari del trattamento

In tema di trattamento dati afferente la gestione della posta elettronica il Garante[2] ha più volte precisato la necessità di adottare policy e informative volte ad informare i dipendenti ed i collaboratori sul trattamento dei dati degli stessi effettuato dal Titolare tramite gli strumenti aziendali, ove per trattamento si intende:

la raccolta
la conservazione,
la procedura di cancellazione dell´account dopo l´interruzione del rapporto.

Il titolare del trattamento è tenuto, pertanto, a fornire una chiara informativa ai dipendenti/collaboratori circa la corretta gestione dell’account di posta elettronica nominativa, “dove di certo transitano dati personali e informazioni personali”.

La mancanza di una policy aggiornata costituisce, in prima battuta, una violazione del principio di accountability, di cui all’art. 24 del GDPR.

La mancata informativa prevista dall’art. 13 del regolamento europeo unitamente alla violazione dei principi di minimizzazione, necessità e limitazione della conservazione –qualora accertata dall’Autorità di Controllo – determina la adozione di sanzioni amministrative pecuniarie, ai sensi dell’art. 83, paragrafo 5, lettera b), per un ammontare che può arrivare fino a 20 milioni di euro.

Diventa dunque fondamentale adempiere ai seguenti obblighi:

redigere una policy aziendale aggiornata
redigere un modello di informativa sul trattamento dei dati personali che avviene attraverso l’utilizzo della posta elettronica aziendale. Il modello in parola deve essere consegnato al dipendente sin dall’inizio del rapporto di lavoro e disciplinare tutte le fasi del rapporto contrattuale, dall’assunzione, alla gestione sino alla cessazione dello stesso.

Una non corretta gestione dei trattamenti svolti attraverso l’utilizzo della posta elettronica può configurare le seguenti non conformità:

la mancanza di una preventiva e idonea informativa ai dipendenti/collaboratori che illustri, in prima battuta, i seguenti aspetti: a) la conservazione delle e-mail, b) la durata del periodo di conservazione, c) le finalità del trattamento, d) la base giuridica del trattamento, e) le modalità di accesso e di controllo delle stesse, f) il link alla policy aziendale disciplinante l’uso della posta elettronica e di Internet; g) l’esercizio dei diritti in capo ai lavoratori; h) le misure organizzative e tecniche adottate dal titolare per garantire la sicurezza del trattamento; ecc.
la conservazione sistematica ed estesa di tutte le e-mail, senza predisporre uno strumento in grado di selezionare i documenti che avrebbero potuto essere man mano archiviati;
la possibilità di accesso indistinto alle mail da parte del titolare del trattamento e dei soggetti da quest’ultimo genericamente, di volta in volta, autorizzati;
la non chiarezza riguardo al trattamento effettuato dal Titolare per motivi di tutela dei propri diritti: questi trattamenti sono da ritenersi leciti solo se riferiti a contenziosi in atto o a situazioni precontenziose; mentre diventano illeciti se il trattamento viene motivato da finalità difensiva di natura astratta e indeterminata;
la conservazione delle e-mail per tutta la durata del rapporto di lavoro e anche successivamente al termine dello stesso. Rispetto a quest’ ultimo punto, il Garante ha precisato che, al cessare del rapporto di lavoro, l’account di posta elettronica dovrà essere disattivato e rimosso, inibendo così in modo definitivo la ricezione in entrata delle e-mail e la loro conservazione.

[1] C. Cassazione, Ordinanza 807/2025

[2] Da ultimo, Provvedimento del 21 dicembre 2023 – Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”. Link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9978728

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

le indagini difensive condotte dal datore di lavoro sulla casella di posta elettronica del dipendente.

About Author / Davide De Luca

I sistemi di intelligenza artificiale che presentano rischi inaccettabili sono vietati a decorrere dal 2 febbraio 2025.

la trasmissione indiscriminata delle buste paga. sanzione irrogata dal garante spagnolo.

Lascia un commento Annulla risposta