Posted by Matia Campo
Con due recenti sentenze (Cass. 1 ottobre 2012, n. 16622 e 23 febbraio 2012, n. 2722) la Corte di Cassazione è tornata ad occuparsi dei c.d. “controlli difensivi”, ovvero di quei controlli a distanza effettuati dal datore di lavoro tramite strumenti audiovisivi e/o informatici al fine di accertare eventuali condotte illecite del dipendente. Il tema è assai dibattuto ed ha indubbiamente un rilevante risvolto pratico, anche a causa della capillare diffusione nelle aziende italiane di sistemi informatici, più o meno sofisticati, attraverso i quali è possibile controllare direttamente o indirettamente l’attività dei dipendenti.
Il quadro normativo dei controlli a distanza
Come è noto, l’articolo 4, comma 1°, dello Statuto dei Lavoratori (Legge 20 maggio 1970, n. 300) vieta il controllo a distanza dell’attività dei lavoratori attraverso l’uso di “impianti audiovisivi ed altre apparecchiature”. Dalla lettura dell’articolo si evince che si tratta in particolare di un controllo diretto ed intenzionale (cioè dell’uso di strumenti che abbiano come fine unico o principale il controllo a distanza dell’attività lavorativa del dipendente). La violazione di tale divieto è sanzionata penalmente ai sensi dell’articolo 615-ter del codice penale.
Nel caso invece di installazione di strumenti o apparecchiature il cui uso sia richiesto da ragioni organizzative/produttive (es. le banche) o da ragioni di sicurezza del lavoro, ma da cui possa derivare un controllo indiretto dell’attività dei dipendenti, il divieto è “flessibile” in quanto il comma 2° dell’articolo 4 prevede che: “Gli impianti e le apparecchiatura di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali […]. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti. L’installazione e l’uso di tali apparecchiature è pertanto possibile soltanto previo accordo con le rappresentanze sindacali aziendali oppure, ove non presenti, previa autorizzazione dell’Ispettorato del lavoro e nei limiti ivi convenuti. Il controllo regolato dalla norma è, in questo caso, un controllo indiretto e preterintenzionale.
ü Evoluzione tecnologica vs. divieto ultratrentennale
Partiamo da una considerazione elementare: il meccanismo delineato dall’articolo 4 era sicuramente adatto alla tecnologia in uso negli anni ’70 (telecamere). Ma come regolarsi adesso che ogni dipendente utilizza un personal computer? Un indirizzo email? Un programma CRM che magari registra gli accessi e le sessioni? Un firewall che blocca gli accessi a determinati siti internet consentendo di verificare i tentativi di accesso? Il problema non è indifferente in quanto ciascuno degli strumenti sopra citati consente un controllo a distanza, quantomeno indiretto, dell’attività lavorativa del dipendente.
Quindi? Tutte le aziende italiane devono concludere accordi con le rappresentanze sindacali aziendali o richiedere l’autorizzazione dell’ispettorato prima di dotare i propri dipendenti di strumenti tecnologici?
La risposta non è scontata, anche perché la norma in commento non ha subito modifiche dal 1970 ad oggi. Adottando un approccio restrittivo si potrebbe concludere che l’uso degli strumenti informatici sopra citati rientri nell’ambito di applicazione del comma 2° dell’articolo 4 in quanto, a seguito di banali operazioni di manutenzione del sistema, è possibile ricostruire l’attività dei lavoratori con un buon grado di approssimazione.
Sembra assurdo? Forse lo è ma purtroppo la norma è vetusta ed in giurisprudenza non si è ancora formato un orientamento consolidato. Ciò premesso, in assenza un orientamento consolidato, considerazioni di buon senso suggeriscono consentono di adottare un’interpretazione “ragionevole” della norma: l’uso dei normali strumenti informatici (email, server aziendale, etc.) non necessita di accordo con le r.s.a. o autorizzazione dell’ispettorato.
I controlli difensivi come fattispecie esclusa dall’articolo 4
A riprova del fatto che l’argomento è complesso valga la considerazione che nel corso degli ultimi anni abbiamo assistito al fiorire di orientamenti giurisprudenziali – spesso contraddittori – che certamente non giovano né ai datori di lavoro né ai lavoratori.
Un particolare orientamento giurisprudenziale, formatosi non più tardi di u na decina di anni fa, è quello relativo ai c.d. controlli difensivi. Il controllo difensivo è un controllo posto in essere dal datore di lavoro al fine di individuare condotte illecite atte a ledere beni (o diritti naturalmente) estranei al rapporto di lavoro.
La pronuncia più nota a tale riguardo è Cass. 4746/2002. Si trattava in particolare di un caso di un licenziamento disciplinare comminato a seguito di uso privato del telefono aziendale. In tale occasione la Cassazione ha stabilito che:
“ai fini dell’operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dell’attività dei lavoratori previsto dall’articolo 4 […] è necessario che il controllo riguardi (direttamente o indirettamente) l’attività lavorativa mentre devono ritenersi certamente fuori dell’ambito di applicazione della norma sopra citata i controlli diretti ad accertare condotte illecite del lavoratore (cosiddetti controlli difensivi), quali, ad esempio, i sistemi di controllo dell’accesso ad aule riservate o gli apparecchi di rilevazione di telefonate ingiustificate”.
Ricostruendo il ragionamento che sta alla base della sentenza si potrebbe dire che i presupposti dei controlli difensivi siano: (a) l’estraneità della condotta illecita all’attività lavorativa; (b) il fatto che la verifica avvenga ex post, cioè a condotta compiuta. Dal momento che tali controlli hanno finalità meramente difensive, con esclusione di qualsiasi intento di verifica della prestazione lavorativa, si ritiene che l’esclusione dall’ambito di applicazione dell’articolo 4 dello Statuto dei Lavoratori da un lato, e la compressione della libertà del lavoratore dall’altro, siano giustificabili.
Il meccanismo ed il paradosso dei controlli difensivi
Il meccanismo dei controlli difensivi, così come delineato dalla giurisprudenza, non è per la verità chiarissimo. Proviamo a capire meglio facendo un paio di esempi pratici:
- Esempio 1
Uno dei miei dipendenti passa le ore su Facebook invece di lavorare. Accedere a Facebook durante le ore di lavoro è consentito soltanto in determinati orari e mai fuori dagli orari di pausa. L’accesso a Facebook è controllato attraverso un sistema che registra gli accessi.
- Esempio 2
Uno dei miei dipendenti usa l’account email aziendale per denigrare la società o per insultare i dipendenti di un competitor.
Ebbene, i casi sono diversi e le soluzioni altrettanto. Vediamo perché.
Nell’esempio n. 1 il comportamento del lavoratore integra senza dubbio una violazione del rapporto di lavoro, ma la condotta illecita non può considerarsi estranea all’attività lavorativa (l’illecito consiste nel fatto che il dipendente è uno scansafatiche!). Nell’esempio n. 2, invece, il dipendente che abbia denigrato la società di appartenenza o abbia insultato i dipendenti di un competitor lede un bene estraneo al rapporto di lavoro (cioè la reputazione aziendale). Nel primo caso, quindi, un controllo sugli accessi a Facebook risulterebbe illecito. Nel secondo caso, invece, una verifica sulle email incriminate da parte del datore di lavoro potrebbe astrattamente ricadere nella fattispecie dei controlli difensivi.
Leggendo le righe che precedono non sarà però sfuggito al lettore come sia nel caso dell’esempio 1 che ne caso dell’esempio 2 il datore di lavoro pone in essere un controllo (quantomeno indiretto) dell’attività del lavoratore.
Curioso no? Ricapitoliamo: la legge vieta l’installazione di strumenti che, seppur giustificati da ragioni organizzative/produttive, consentano il controllo a distanza del lavoratore (salvo accordo sindacale o autorizzazione dell’ispettorato), mentre la giurisprudenza consente l’uso di tali strumenti informatici purché a scopo difensivo, nonostante tale uso comporti un controllo indiretto dell’attività del lavoratore.
Il paradosso è evidente. Anche a voler condividere la distinzione concettuale tra violazione del contratto di lavoro e condotta illecita ad esso estranea, come si fa ad accertare ex ante se la condotta illecita del dipendente sia o meno estranea all’attività lavorativa? E soprattutto: nelle more di tale valutazione non è forse già compromessa la dignità e la riservatezza del lavoratore (quantomeno nell’ipotesi in cui i controlli accertino che la condotta illecita non sia estranea all’attività lavorativa) che rappresenta il bene tutelato dallo Statuto dei Lavoratori?
Mi sembra evidente che c’è qualcosa nel ragionamento che non quadra.
ü I controlli difensivi come fattispecie inclusa nell’articolo 4
Forse temendo gli effetti nefasti del cortocircuito creato, i giudici della Cassazione sono corsi ai ripari aggiustando l’orientamento in commento.
In particolare, con sentenza n. 15892/2007 (principio poi ripreso in Cass. 4375/2010) la Cassazione ha affermato che:
“l’insopprimibile esigenza di evitare condotte illecite da parte dei dipendenti può assumere portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore […] tale esigenza non consente di espungere dalla fattispecie astratta i casi dei c.d. controlli difensivi ossia di quei controlli diretti ad accertare comportamenti illeciti dei lavoratori quando tali comportamenti riguardino, come nel caso, l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro e non la tutela di beni estranei al rapporto stesso ove la sorveglianza venga attuata mediante strumenti che presentano quei requisiti strutturali e quelle potenzialità lesive, la cui utilizzazione è subordinata al previo accordo con il sindacato o all’intervento dell’Ispettorato del lavoro”.
Ma non avevamo detto che i controlli difensivi sono quelli che mirano all’accertamento di condotte lesive di beni estranei al rapporto di lavoro?
In realtà a ben guardare la sentenza 15892 non ci dice nulla di nuovo: sono soggetti all’articolo 4 i controlli che riguardino l’esatto adempimento della prestazione lavorativa.
ü Le sentenza 16622/2012 e 2272/2012
Riponiamo fiducia nelle sentenze più recenti e speriamo che ci aiutino a capire meglio i limiti dei controlli difensivi…
Cominciamo con la sentenza 16622: un dipendente addetto al call center viene accusato di aver intrattenuto, nel giro di circa tre mesi, n. 460 contatti telefonici inferiori a 15 secondi (tempo non sufficiente per sentire le richieste degli utenti e rispondere) e di aver effettuato 136 telefonate di natura personale. La circostanza viene scoperta dal datore di lavoro mediante l’utilizzo di un software che filtra le chiamate (Blue’s 2002).
Chi vorrebbe un dipendente del genere? E, soprattutto, chi tollererebbe una condotta del genere? Buon senso vuole che al datore di lavoro che abbia accertato simili malefatte sia data la possibilità di licenziare il dipendente (sia pure nel rispetto delle garanzie dello Statuto dei Lavoratori). Ma come la mettiamo con le garanzie procedurali dello Statuto dei Lavoratori e con la storia dei controlli difensivi?
Per rispondere a queste domande i giudici della sentenza 16622 partono da un principio chiaro e francamente condivisibile: “La garanzia procedurale prevista per impianti ed apparecchiature ricollegabili ad esigenze produttive contempera l’esigenza di tutela del diritto dei lavoratori a non essere controllati a distanza e quello del datore di lavoro o, se si vuole, della stessa collettività, relativamente alla organizzazione, produzione e sicurezza del lavoro, individuando una precisa procedura esecutiva e gli stessi soggetti ad essa partecipi […] La possibilità di effettuare tali controlli incontra un limite nel diritto alla riservatezza del dipendente, tanto che anche l’esigenza di evitare condotte illecite dei dipendenti non può assumere portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore”.
Fin qui niente da dire. Però i giudici procedono oltre, criticando la motivazione della Corte di Appello (che, per inciso, dava ragione al datore di lavoro):
“occorre precisare che il giudice di merito ha ritenuto che il sistema informatico Blue’s 2002 non fosse in contrasto con l’art. 4 dello statuto dei lavoratori per un duplice ordine di ragioni. In primo luogo, perché la circostanza che a seguito del c.d. controllo difensivo a cui era finalizzato il suddetto sistema informatico, risultasse l’inesatto adempimento della prestazione di lavoro del lavoratore non è che una conseguenza indiretta dell’illecito che il datore di lavoro ha diritto di controllare proprio nella forma del c.d. controllo difensivo. In secondo luogo, perché anche la rilevazione di telefonate ingiustificate mira ad evitare illeciti e ben può con la scoperta dell’illecito emergere il relativo inadempimento contrattuale, se ciò che è vietato è solo il controllo sull’orario di lavoro e sul “quantum” della prestazione, e non già sugli illeciti comportamenti dei dipendenti”
E ancora:
“dette statuizioni della Corte d’Appello non fanno corretta e congrua applicazione dei principi di diritto di cui alla sentenza Cass., n. 4375 del 2010, sopra richiamata ai quali si intende dare continuità”.
Oltre a criticare il ragionamento della Corte d’Appello, i giudici chiariscono che:
“Il divieto di controlli a distanza ex art. 4, della legge n. 300 del 1970, implica, dunque, che i controlli difensivi posti in essere con il sistema informatico Blue’s 2002, ricadono nell’ambito dell’art. 4, comma 2, della legge n. 300 del 1970, e, fermo il rispetto delle garanzie procedurali previste, non possono impingere la sfera della prestazione lavorativa dei singoli lavoratori; qualora interferenze con quest’ultima vi siano, e non siano stati adottati dal datore di lavoro sistemi di filtraggio delle telefonate per non consentire, in ragione della previsione dell’art. 4, comma 1, di risalire all’identità del lavoratore, i relativi dati non possono essere utilizzati per provare l’inadempimento contrattuale del lavoratore medesimo”.
I controlli sono dunque illeciti. Per quale motivo? Ma è semplice: evidentemente nel caso di specie non è stata rilevata una condotta lesiva beni estranei al rapporto di lavoro.
Ancora una volta: ma non avevamo detto che i controlli difensivi sono quelli che mirano all’accertamento di condotte lesive di beni estranei al rapporto di lavoro? Evidentemente abbiamo capito male.
Passiamo allora alla sentenza 2272 per chiarire l’equivoco: un dipendente divulga a mezzo di posta elettronica informazioni confidenziali di un cliente e, non pago, le utilizza per concludere operazioni finanziarie da cui trae un vantaggio personale. La condotta viene accertata tramite un controllo ex post della posta elettronica del dipendente.
Come si comportano in questo caso i giudici?
Dopo l’enunciazione di rito dei principi di tutela della riservatezza del dipendente, di contemperamento di interessi, di contenimento del potere di controllo datoriale, la Cassazione sviluppa un ragionamento non del tutto lineare:
“La possibilità di tali controlli (n.d.r. i controlli difensivi) si ferma, dunque, dinanzi al diritto alla riservatezza del dipendente, al punto che la pur insopprimibile esigenza di evitare condotte illecite da parte dei dipendenti “non può assumere portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore. Tale esigenza… non consente di espungere dalla fattispecie astratta i casi dei c.d. controlli difensivi ossia di quei controlli diretti ad accertare comportamenti illeciti dei lavoratori quando tali comportamenti riguardino… l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro e non la tutela di beni estranei al rapporto stesso ove la sorveglianza venga attuata mediante strumenti che presentano quei requisiti strutturali e quelle potenzialità lesive, la cui utilizzazione è subordinata al previo accordo con il sindacato o all’intervento dell’Ispettorato del lavoro”
E ancora: “Nel caso che oggi ci occupa, il giudice di merito non ha accertato quali siano state le concrete modalità attraverso le quali il datore di lavoro ha acquisito il testo dei messaggi di posta elettronica scambiati da B. con soggetti estranei al ristretto stretto ambito di diffusione delle notizie delle quali egli era in possesso, poi posti alla base della contestazione disciplinare. Lo stesso giudice, con incontestato accertamento di fatto, ha tuttavia affermato che il datore ha compiuto il suo accertamento ex post, ovvero dopo l’attuazione del comportamento addossato al dipendente, quando erano emersi elementi di fatto tali da raccomandare l’avvio di un’indagine retrospettiva. Ad avviso del Collegio, tale fattispecie è estranea al campo di applicazione dell’art. 4 dello statuto dei lavoratori. Nel caso di specie, infatti, il datore di lavoro ha posto in essere una attività di controllo sulle strutture informatiche aziendali che prescindeva dalla pura e semplice sorveglianza sull’esecuzione della prestazione lavorativa degli addetti ed era, invece, diretta ad accertare la perpetrazione di eventuali comportamenti illeciti (poi effettivamente riscontrati) dagli stessi posti in essere. Il c.d. controllo difensivo, in altre parole, non riguardava l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, ma era destinato ad accertare un comportamento che poneva in pericolo la stessa immagine dell’Istituto bancario presso i terzi”
Allora non avevamo capito male, i controlli difensivi sono tali se mirano a tutelare beni estranei al rapporto di lavoro!
La sentenza offre però ulteriori spunti, riassumibili come segue: (1) se il controllo sia lecito o meno dipenderà dall’esito del medesimo; (2) per avere speranze di essere considerato lecito il controllo deve avvenire ex post; (3) il controllo che accerta la lesione di un bene estraneo al rapporto di lavoro non rientra nel campo di applicazione dell’articolo 4 dello Statuto dei Lavoratori e, pertanto, non è soggetto alle garanzie procedurali ivi previste.
Siamo ritornati al paradosso dei controlli difensivi.
Conclusioni
E’ tempo di trarre qualche sintetica conclusione, con l’avvertimento che la ricostruzione che precede non ha pretesa di esaustività.
Alcuni suggerimenti ai datori di lavoro per evitare di incappare nelle maglie delle sanzioni derivanti dalla violazione dell’articolo 4:
1) NON effettuare controlli a distanza in assenza di gravi e comprovati elementi che richiedano una verifica;
2) NON effettuare mai controlli ex ante (corollario del punto 1);
3) NON effettuare controlli a distanza relativamente ad attività che rientrino tra le attività previste dal contratto (su questo punto non c’è flessibilità in giurisprudenza);
4) Ridurre il più possibile l’ambito del controllo in modo da evitare di “impingere” la sfera lavorativa del dipendente.
La mia impressione è che nella materia si navighi a vista e pertanto si raccomanda prudenza.