Corte di Cassazione, sentenza n. 18168 del 26 giugno 2023
Occorre distinguere, anche per comodità di sintesi verbale, “tra i controlli a difesa del patrimonio aziendale che riguardano tutti i dipendenti (o gruppi di dipendenti) nello svolgimento della loro prestazione di lavoro che li pone a contatto con tale patrimonio, controlli che dovranno necessariamente essere realizzati nel rispetto delle previsioni dell’art. 4 novellato in tutti i suoi aspetti e ‘controlli difensivi’ in senso stretto, diretti ad accertare specificamente condotte illecite ascrivibili – in base a concreti indizi – a singoli dipendenti, anche se questo si verifica durante la prestazione di lavoro”; questi ultimi “controlli, anche se effettuati con strumenti tecnologici, non avendo ad oggetto la normale attività del lavoratore”, si situano, ancora oggi, “all’esterno del perimetro applicativo dell’art. 4” (Cass. n. 25732/2021 cit., punti 31 e 32).
Per non avere ad oggetto una “attività –in senso tecnico–del lavoratore”, il controllo “difensivo in senso stretto” deve essere “mirato” ed “attuato ex post”, ossia “a seguito del comportamento illecito di uno o più lavoratori del cui avvenuto compimento il datore abbia avuto il fondato sospetto”, perché solo a partire “da quel momento” il datore può provvedere alla raccolta di informazioni utilizzabili (Cass. n. 25732/2021 cit., punti 40 e 44).
Tuttavia, anche “in presenza di un sospetto di attività illecita”, occorrerà, nell’osservanza della disciplina a tutela della riservatezza del lavoratore, e segnatamente dell’art. 8 della Convenzione europea dei diritti dell’uomo come interpretato dalla giurisprudenza della Corte EDU, “assicurare un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, con un contemperamento che non può prescindere dalle circostanze del caso concreto” (Cass. n. 25732/2021 cit., punti 36 e 38, in cui si richiama Cass. n. 26682 del 2017).
I tre profili sono compendiati nel finale principio di diritto che così statuisce: “Sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto” (Cass. n. 25732/2021 cit., punto 51).
Il datore di lavoro, in sede di iniziativa finalizzata ad attuare un controllo per fini difensivi, è tenuto a compiere una valutazione relativa all’impatto concreto nei confronti della sfera personale dei lavoratori, alla stregua dei principi che regolano, per chiunque, le modalità di trattamento dei dati personali.
A partire dagli incombenti informativi previsti dall’art. 13 del Codice della privacy (vigente all’epoca dei fatti) e (successivamente) dall’art. 13 del Regolamento europeo, espressione altresì del principio generale di correttezza dei trattamenti, contenuto nell’art. 11, comma 1, lett. a), del Codice e nell’art. 5, par. 1, lett. a) del Regolamento.
Rispetto a tali incombenti, la deroga prevista dall’art. 13, comma 5, lett. b) del Codice, costituita dall’esigenza di “far valere o difendere un diritto in sede giudiziaria”, ha posto la condizione che “i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento”.
Secondo il successivo art. 24, comma 1, lett. f), per escludere il consenso dell’interessato, era richiesto dal Codice all’epoca vigente che il trattamento fosse “necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento”.
In seguito, l’art. 6 par. 1, lett. f), del Regolamento ha confermato che una delle condizioni di liceità del trattamento è rappresentata dal fatto che lo stesso “è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi”, ma sempre “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali”.