1. Paradigmatica, in tal senso, la recente sentenza della Cassazione 12 novembre 2021 n. 33809, che valuta l’accoglibilità di una domanda risarcitoria proposta da una società contro un suo ex dirigente, per condotte illecite dimostrabili attraverso conversazioni sull’account privato Skype dello stesso.
Laddove la Corte d’appello di Torino aveva statuito l’inutilizzabilità di tali conversazioni, apprese in violazione della segretezza della corrispondenza e pure della password personale di accesso del lavoratore, non potendo tali comportamenti, in difetto di consenso dell'interessato, essere giustificati dal D.Lgs. n. 196 del 2003, art. 24 (Codice della Privacy), in assenza di attualità e diretta strumentalità all'esercizio o alla tutela di un diritto in sede giudiziaria, la Corte Suprema ribalta il “verdetto”, muovendo da un diverso presupposto.
La Cassazione, infatti, ritiene fatto fondamentale l’avvenuta riconsegna, da parte del dirigente, dei dispositivi aziendali svuotati di tutti i dati. All’uopo, veniva ricordato che, secondo la giurisprudenza penale, la cancellazione dei dati che non escluda la possibilità di recupero se non con l'uso anche dispendioso di particolari procedure, integrasse gli estremi oggettivi della fattispecie delittuosa dell'art. 635 bis c.p. (Danneggiamento di informazioni, dati e programmi informatici). Proprio il fatto della cancellazione dei dati aveva reso necessario per la società datrice di lavoro affidare l'hard disk del computer formattato ad un perito informatico per le relative analisi, con conseguente recupero di una serie di conversazioni scritte effettuate dal dirigente sull'applicativo Skype.
Nel caso di specie, l'attività di recupero dei dati, cancellati dal dirigente prima della riconsegna del computer avuto in dotazione e integranti patrimonio aziendale, era stata compiuta dalla società in funzione del giudizio risarcitorio, sul presupposto della distruzione da parte del dipendente di beni aziendali, condotta integrante violazione dei doveri di fedeltà e di diligenza, tale da costituire giusta causa di licenziamento (si veda sul tema Cass. 14 maggio 2015, n. 9900).
In quest’ottica, il controllo datoriale assurgeva a controllo difensivo: in materia di trattamento dei dati personali, il diritto di difesa in giudizio prevale su quello di inviolabilità della corrispondenza, consentendo la L. n. 196 del 2003, art. 24, lett. f), di prescindere dal consenso della parte interessata per il trattamento di dati personali, quando esso sia necessario per la tutela dell'esercizio di un diritto in sede giudiziaria, a condizione che i dati siano trattati esclusivamente per tale finalità e per il periodo strettamente necessario al loro perseguimento (Cass. 20 settembre 2013, n. 21612).
Quanto all’estensione del controllo difensivo, la Suprema Corte ha esplicitamente affermato che "il diritto di difesa non è limitato alla pura e semplice sede processuale, estendendosi a tutte quelle attività dirette ad acquisire prove in essa utilizzabili, ancor prima che la controversia sia stata formalmente instaurata mediante citazione o ricorso".
Ne consegue, pertanto, il seguente principio di diritto: “la produzione in giudizio di documenti contenenti dati personali è sempre consentita ove sia necessaria per esercitare il proprio diritto di difesa, anche in assenza del consenso del titolare e quali che siano le modalità con cui è stata acquisita la loro conoscenza: dovendo, tuttavia, tale facoltà di difendersi in giudizio, utilizzando gli altrui dati personali, essere esercitata nel rispetto dei doveri di correttezza, pertinenza e non eccedenza” previsti dalla L. n. 675 del 1996, art. 9, lett. a) e d), sicché la legittimità della produzione va valutata in base al bilanciamento tra il contenuto del dato utilizzato, cui va correlato il grado di riservatezza, con le esigenze di difesa.
2. In analoga prospettiva si pone la sentenza di Cassazione 10 novembre 2017 n. 26682, ritenendo legittimo il controllo effettuato da un istituto bancario sulla posta elettronica aziendale del dipendente accusato di aver divulgato notizie riservate concernenti un cliente, e di aver posto in essere, grazie a tali informazioni, operazioni finanziarie da cui aveva tratto vantaggi propri.
Premesso che il giudice del merito aveva affermato che il datore aveva compiuto il suo accertamento ex post, ovvero dopo l'attuazione del comportamento addossato al dipendente, quando erano emersi elementi di fatto tali da raccomandare l'avvio di un'indagine retrospettiva, la Corte ha ritenuto tale fattispecie estranea al campo di applicazione dell'art. 4 dello statuto dei lavoratori, essendo posta in essere una attività di controllo sulle strutture informatiche aziendali che prescindeva dalla pura e semplice sorveglianza sull'esecuzione della prestazione lavorativa degli addetti ed era, invece, diretta ad accertare la perpetrazione di eventuali comportamenti illeciti (poi effettivamente riscontrati) dagli stessi posti in essere.
Il c.d. controllo difensivo, in altre parole, non riguardava l'esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, ma era destinato ad accertare un comportamento che poneva in pericolo la stessa immagine dell'Istituto bancario presso i terzi. In questo caso entrava in gioco il diritto del datore di lavoro di tutelare il proprio patrimonio, che era costituito non solo dal complesso dei beni aziendali, ma anche dalla propria immagine esterna, così come accreditata presso il pubblico e questa forma di tutela egli poteva giuridicamente esercitare con gli strumenti derivanti dall'esercizio dei poteri derivanti dalla sua supremazia sulla struttura aziendale.
Sempre fondando le proprie statuizioni sul concetto di “controllo difensivo”, si segnala la pronuncia di Cassazione 10636/2017, secondo cui non corrisponde ad alcun criterio logico-sistematico garantire al lavoratore, in presenza di condotte illecite sanzionabili penalmente o con sanzione espulsiva, una tutela maggiore di quella riconosciuta ai terzi estranei all'impresa, così confermando la declaratoria di legittimità del licenziamento disciplinare intimato ad un lavoratore la cui condotta era stata accertata dal filmato di una telecamera installata nei locali dove si erano verificati furti in danno del patrimonio aziendale.
3. Di grande interesse, per comprendere quanto sia sottile il confine tra utilizzabilità e inutilizzabilità dei dati in tema di controlli datoriali, è la recente pronuncia della Corte di legittimità in data 22 settembre 2021 n. 25731.
La Corte territoriale aveva accertato l’esistenza di una corrispondenza - su una chat introdotta anni prima e utilizzata per comunicazioni interne tra colleghi - avente contenuto pesantemente offensivo nei confronti di una superiore gerarchica; la società aveva appreso il contenuto della chat in esito ad un controllo effettuato dal personale IT che doveva verificare - in occasione della chiusura della chat e del conseguente progressivo suo abbandono - se vi fossero dati aziendali da conservare.
Ebbene, i giudici di appello osservavano che l'accesso datoriale alla chat era lecito, perché consentito in occasione di interventi di manutenzione, aggiornamento o per ricavare dati utili per la programmazione dei costi, ma che la società aveva omesso di dare la necessaria tempestiva ed adeguata informazione ai dipendenti ai sensi della L. n. 300 del 1970, art. 4, comma 3.
Non trattandosi di controllo “difensivo”, infatti, l'utilizzabilità del risultato dei controlli "a tutti i fini connessi al rapporto di lavoro", compresi quindi quelli disciplinari, è subordinata, secondo il comma 3 dell’art. 4 citato, alla "condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal D.Lgs. 30 giugno 2003, n. 196".
La natura del controllo e l’occasione che l’abbia reso necessario, pertanto, ha grande rilievo sul tema che si affronta: se, per esempio, il datore di lavoro decida di effettuare dei controlli mirati (direttamente o attraverso la propria struttura) al fine di verificare il corretto utilizzo degli strumenti di lavoro, tra cui i p.c. aziendali, occorre che - nell'esercizio di tale prerogativa – abbia cura di rispettare la libertà e la dignità dei lavoratori, nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali dettata dal D.Lgs. n. 196 del 2003, i principi di correttezza (secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori), di pertinenza e non eccedenza di cui all'art. 11, comma 1, del Codice; ciò, tenuto conto che tali controlli possono determinare il trattamento di informazioni personali, anche non pertinenti, o di dati di carattere sensibile.