Il sospetto di un illecito non giustifica il controllo illimitato dell’email
7 Luglio 2023
Le prove raccolte dal datore di lavoro attraverso un controllo illimitato della posta elettronica aziendale in uso al dirigente, ovverosia realizzato indistintamente su tutte le comunicazioni presenti nell’indirizzo di posta elettronica e senza limitazioni di tempo, costituiscono una ingiustificata violazione dei basilari diritti di dignità e corrispondenza presidiati (anche) dalla disciplina sul trattamento dei dati personali.
Il controllo tecnologico ex post richiede, anzitutto, una plausibile motivazione che lo giustifichi e il datore di lavoro può offrire questa prova, ad esempio, in presenza di un ragionevole sospetto circa il compimento di un illecito contro il patrimonio aziendale.
Non è, tuttavia, sufficiente che si realizzi questa condizione, che costituisce unicamente il presupposto minimo dei controlli difensivi in senso stretto, cui il datore è legittimato senza dover assolvere ai più penetranti vincoli disposti dell’articolo 4, comma 1, dello Statuto dei lavoratori. Il tracciamento retrospettivo della posta elettronica in dotazione ai dipendenti richiede, infatti, che siano osservate le disposizioni in materia di privacy, a cominciare dall’obbligo di informazione preventiva, che costituiscono un insostituibile baluardo a garanzia della dignità e della riservatezza dei lavoratori.
Le risultanze di «matrice tecnologica» raccolte violando non solo le condizioni minime a presidio dei controlli difensivi, ma anche le norme sul trattamento dei dati personali non possono essere utilizzate al fine di corroborare la validità di un licenziamento disciplinare, che risulta per ciò stesso illegittimo e comporta la condanna del datore al versamento dell’indennità di preavviso e al risarcimento dei danni al dirigente.
La Cassazione (18168/2023) ha confermato in questi termini la sentenza della Corte d’appello di Milano, che aveva respinto il ricorso di una banca contro la decisione (assunta in primo grado) di ritenere inutilizzabili le prove raccolte attraverso il controllo massiccio e indiscriminato della posta elettronica in dotazione al dirigente.
La Suprema corte rimarca che il bilanciamento tra le esigenze di protezione dei beni aziendali a cui è finalizzato il controllo difensivo e il rispetto della riservatezza e dignità del lavoratore non può prescindere dal pieno rispetto della disciplina generale «prevista per la protezione di qualsiasi cittadino dal Codice della privacy», a significare che, anche nell’ambito dei rapporti di lavoro, il presidio delle regole sul trattamento dei dati costituisce un limite insuperabile.
In adempimento delle regole scolpite nel regolamento europeo, la legittimità del tracciamento retrospettivo della posta elettronica presuppone, quindi, che il datore abbia effettuato la valutazione d’impatto «nei confronti della sfera personale dei lavoratori», che abbia reso ai lavoratori l’informazione preventiva sul trattamento (strumenti utilizzati, finalità, periodo di conservazione, diritti dell’interessato…) ed effettui un trattamento in linea con i principi di liceità e correttezza.
Muovendosi su questa direttrice, la Cassazione enfatizza che il trattamento dei dati attraverso le investigazioni difensive deve rispettare i principi di minimizzazione e di proporzionalità, nonché di pertinenza e non eccedenza rispetto alle finalità perseguite con il controllo della posta elettronica.
In questo quadro, un controllo illimitato sulla posta dei dipendenti, quand’anche sorretto da un ragionevole sospetto di illeciti, si pone in violazione delle regole sul trattamento dei dati.