Sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto.
< >Incombe sul datore di lavoro l’onere di allegare e provare le specifiche circostanze che lo hanno indotto ad attivare il controllo, considerato che solo la sussistenza del fondato sospetto consente al datore di lavoro di porre la propria azione al di fuori del perimetro di applicazione diretta dell’art. 4. Stat. lav.
Guidano il giudice nell’operazione di bilanciamento tra istanze datoriali ed esigenze di protezione dei prestatori i principi generali espressi dal GDPR e dal Codice Privacy nonché gli elementi che la Corte EDU, a partire dal caso Bărbulescu c. Romania, ha indicato ai giudici nazionali al fine di contemperare i contrapposti interessi in gioco [massima non ufficiale].
Cassazione civile, Sez. lav., 26 giugno 2023, n. 18168 – Pres. Raimondi – Rel. Amendola
<1. Conferme e specificazioni sulla perdurante ammissibilità dei controlli difensivi anche a seguito della modifica dell’art. 4 Stat. lav. - 2. Controlli occulti e data protection regulation: GDPR, Codice Privacy e art. 8 CEDU - 3. Applicazione pratica dei criteri di bilanciamento alla fattispecie dei controlli difensivi in senso stretto - NOTE
Con la sentenza in epigrafe, la Suprema Corte torna a pronunciarsi sulla tematica dei controlli datoriali difensivi in senso stretto, categoria di elaborazione giurisprudenziale con la quale, come noto, si identificano quei controlli effettuati all’insaputa dei lavoratori e al di fuori della cornice regolatoria delineata dall’art. 4 Stat. lav. La pronuncia in commento, da un lato, conferma l’orientamento espresso dalla Corte di Cassazione, a partire dalla sentenza n. 25732/2021 [1], circa la perdurante ammissibilità – a determinate condizioni e con specifiche cautele – dei c.d. controlli difensivi in senso stretto anche a seguito della riscrittura dell’art. 4 Stat. lav. operata dall’art. 23, d.lgs. n. 151/2015 [2], dall’altro, sviluppa e specifica il ragionamento della Suprema Corte circa la rilevanza in subiecta materia delle fonti interne e sovranazionali in materia di privacy. Per quanto concerne i profili di continuità, la Cassazione ribadisce l’ammissibilità dei controlli difensivi in senso stretto, finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare condotte illecite dei prestatori, a condizione che siano basati su dati acquisiti nel contesto di un’investigazione attivata soltanto a seguito dell’insorgenza di un fondato sospetto e purché venga assicurato un corretto bilanciamento tra le esigenze aziendali e quelle di tutela della dignità e della riservatezza del lavoratore [3]. Infatti, le più recenti sentenze di legittimità [4] hanno ritenuto ammissibile l’effettuazione di controlli datoriali mirati ad «accertare specificamente condotte illecite ascrivibili – in base a concreti indizi – a singoli dipendenti» per mezzo di informazioni e dati raccolti ex post soltanto a partire dal momento in cui è sorto il ragionevole sospetto [5]. In sostanza, secondo la Cassazione, la sussistenza del ragionevole sospetto di perpetrazione di specifiche condotte illecite non attinenti al mero inadempimento della prestazione lavorativa consente al datore di lavoro di collocarsi al di fuori del perimetro di applicazione della norma statutaria e di raccogliere in modo occulto informazioni idonee alla dimostrazione dell’illecito, senza però poter “recuperare” retroattivamente dati personali che siano stati raccolti ex ante in [continua ..]
La sentenza in commento, dedicando ampio spazio all’approfondimento del legame intercorrente tra controlli datoriali e regole sulla protezione dei dati personali, si colloca a pieno titolo all’interno della tendenza, sempre più avvertita nel contesto giuslavoristico, di affrontare e analizzare la tematica del monitoraggio sui prestatori anche per mezzo dei principi e delle regole, nazionali e sovranazionali, proprie del settore della data protection [8]. Pertanto, per una maggiore comprensione del ragionamento e delle indicazioni fornite dalla Suprema Corte, si ritiene opportuno procedere – senza pretesa alcuna di esaustività e nella misura ritenuta rilevante ai fini della presente analisi – all’esame delle principali fonti richiamate dalla sentenza: GDPR, Codice Privacy e art. 8 CEDU come interpretato dalla giurisprudenza della Corte EDU. Il GDPR e il Codice Privacy non contengono uno statuto speciale e “organico” dedicato al trattamento dei dati personali dei lavoratori [9], a differenza di altri strumenti sovranazionali quali il Codice di condotta sulla protezione dei dati personali dei lavoratori emanato dall’Organizzazione Internazionale del Lavoro nel 1997 e la Raccomandazione CM/Rec(2015)5 del Consiglio d’Europa del 1° aprile 2015 relativa alla protezione dei dati personali utilizzati per fini lavorativi [10]. Ciononostante, il GDPR, all’art. 5, individua i principi generali, richiamati anche dal Codice Privacy, che costituiscono condizione di legittimità di qualsiasi trattamento di dati personali relativi a persone fisiche, i quali, quindi, assumono rilevanza anche rispetto alla raccolta di dati effettuata dal titolare del trattamento-datore di lavoro in sede di attuazione di un controllo per fini difensivi [11]. Lo stesso GDPR, al Considerando n. 4, però, precisa che «il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità». La privacy, quindi, non costituisce un diritto assoluto, potendo subire deroghe ed eccezioni in ragione della coesistenza con altre prerogative fondamentali tutelate a livello costituzionale e sovranazionale. Risulta, infatti, estranea all’ordinamento la logica dei c.d. diritti tiranni: tutti [continua ..]
La sentenza in esame, individuando le condizioni in presenza delle quali la Cassazione ritiene i controlli difensivi legittimi, fornisce utili indicazioni agli operatori pratici per orientarsi all’interno dei frequenti contenziosi che sorgono in subiecta materia. Innanzitutto, in ossequio al principio di vicinanza della prova e in conformità alla struttura distributiva del carico probatorio propria delle controversie in materia di sanzioni disciplinari e della normativa privacy [20], spetta al datore di lavoro-titolare del trattamento l’onere di provare la legittimità del controllo difensivo. In particolare, il datore di lavoro deve essere in grado di allegare e dimostrare gli elementi di fatto dai quali scaturisce il fondato sospetto che legittima tale tipologia di controllo [21]. In ogni caso, tali elementi non possono consistere né in dati precedentemente raccolti in violazione delle prescrizioni di cui all’art. 4 Stat. lav. né derivare dall’analisi degli stessi: del resto, se così non fosse, sarebbe resa retroattivamente lecita la raccolta di dati personali dei prestatori effettuata in difetto di autorizzazione sindacale o amministrativa e/o di adeguata informazione ai lavoratori. Inoltre, da tali elementi dovrà essere possibile ricavare il momento di insorgenza del sospetto. L’individuazione di tale momento, infatti, rileva sotto un duplice profilo in quanto, da un lato, «segna il momento a partire dal quale i dati acquisiti possono essere utilizzati nel procedimento disciplinare e, successivamente, nel giudizio», dall’altro, serve a dimostrare la tempestività del controllo considerato che il decorso di un significativo intervallo temporale potrebbe rivelare la volontà datoriale di “riciclare” condotte già da tempo conosciute (e tollerate) al fine di epurare dalla compagine aziendale un lavoratore divenuto successivamente sgradito. Il datore-titolare, poi, in attuazione dei principi di privacy by design e by default, dovrà assicurarsi di implementare il trattamento (ossia, il controllo) in modo che risulti proporzionato e non eccessivo rispetto alle imprescindibili esigenze di protezione della privacy dei lavoratori-interessati [22]. Seppur sul punto rimanga inevitabilmente un qualche spazio per la discrezionalità giudiziale, secondo le indicazioni fornite dalla Suprema Corte, al fine di [continua ..]
Iscrivendoti alla newsletter di Giappichelli non riceverai spam, ma bensì gli aggiornamenti sulle nuove uscite di tuo interesse, sconti e iniziative promozionali.
Copyright G. Giappichelli Editore - 2020
ISSN 0025-4959- Massimario di Giurisprudenza del Lavoro (Online)
Iscrizione al R.O.C. n. 25223
Per informazioni: ufficioabbonamenti@giappichelli.it
