È illegittima l’installazione di apparecchi e software che consentono controlli approfonditi sulla posta elettronica, sulle telefonate e sulla navigazione internet del lavoratore, se non sono preventivamente esperite le procedure di autorizzazione (sindacale o amministrativa) previste dall’articolo 4 dello statuto dei lavoratori e se non sono rispettati gli ulteriori adempimenti previsti dal codice della privacy
Suprema Corte di Cassazione
sezione I civile
sentenza 19 settembre 2016, n. 18302
IN NOME DEL POPOLO ITALIANO
LA CORTE SUPREMA DI CASSAZIONE
SEZIONE PRIMA CIVILE
Composta dagli Ill.mi Sigg.ri Magistrati:
Dott. BERNABAI Renato – Presidente
Dott. GIANCOLA Maria Cristina – Consigliere
Dott. BISOGNI Giacinto – Consigliere
Dott. DE CHIARA Carlo – Consigliere
Dott. LAMORGESE Antonio Pietro – rel. Consigliere
ha pronunciato la seguente:
SENTENZA
sul ricorso n. 22145/2013 proposto da:
(OMISSIS) S.p.a., in persona del legale rappresentante pro tempore, rappresentato e difeso, in virtu’ di mandato in calce al ricorso introduttivo, dagli Avvocati (OMISSIS) e (OMISSIS), ed elettivamente domiciliato in (OMISSIS), presso lo studio degli Avvocati (OMISSIS) e (OMISSIS);
– ricorrente –
contro
Garante per la protezione dei dati personali, in persona del legale rappresentante pro tempore, rappresentato e difeso dall’Avvocatura Generale dello Stato, presso cui elettivamente domicilia in Roma alla via dei Portoghesi n. 12;
– controricorrente –
avverso la sentenza n. 1196/2013 della prima sezione civile del Tribunale di Roma, depositata il 4 aprile 2013;
Dato atto che parte ricorrente ha depositato memoria ai sensi dell’articolo 378 c.p.c.;
sentita la relazione della causa svolta nella pubblica udienza del giorno 24 giugno 2016 dal relatore dott. Antonio Pietro Lamorgese;
udito, per il ricorrente, l’Avv. (OMISSIS) che ha chiesto la remissione atti alle SS.UU.;
udito, per il controricorrente, l’Avvocato Gen. dello Stato (OMISSIS) che ha chiesto il rigetto del ricorso;
udito il P.M. in persona del sostituto procuratore generale Dott. CAPASSO Lucio, che ha concluso per il rigetto del ricorso.
RITENUTO IN FATTO
L’ (OMISSIS) spa impugnava, innanzi al Tribunale di Roma, il provvedimento, emesso dal Garante per la Protezione dei Dati Personali il 21 luglio 2011, con il quale era stato vietato al Poligrafico l’ulteriore trattamento, nelle forme della conservazione e della categorizzazione, dei dati personali dei dipendenti, relativi: alla navigazione Internet, all’utilizzo della posta elettronica ed alle utenze telefoniche chiamate dai lavoratori, con contestuale imposizione dell’obbligo di informare gli utenti del trattamento dei dati personali.
Il Garante aveva richiesto l’adozione di misure idonee ad assicurare che fosse resa nota ai dipendenti l’identita’ degli amministratori di sistema abilitati ad accedere alle banche dati aziendali e che fosse assicurata la completezza del tracciamento di tutti gli accessi effettuati da detti amministratori.
Infatti aveva evidenziato, nel provvedimento sanzionatorio, che il servizio di navigazione in Internet predisposto dal ricorrente per i propri dipendenti non si limitava a rifiutare la connessione dei lavoratori ai siti Web non inerenti l’attivita’ del Poligrafico, ma memorizzava ogni accesso, ed anche ogni tentativo di accesso, generando la possibilita’ di ricostruire la navigazione di ogni singolo lavoratore, conservandosi i dati nel sistema per una durata variabile da sei mesi ad un anno. Di conseguenza, il Garante aveva ritenuto integrata la violazione della L. n. 300 del 1970, articoli 4 ed 8, (Statuto dei Lavoratori), per la possibilita’ di rilevare dati sensibili dei lavoratori senza aver acquisito il previsto consenso degli interessati, conseguendo da tale condotta anche la violazione degli articoli 11, 113 e 114 del Codice sulla protezione dei dati personali.
Altrettanto censurabile era il sistema di conservazione sul server aziendale dei messaggi di posta elettronica inviati e ricevuti dai dipendenti, che ne prevedeva la conservazione per prolungato periodo di tempo e ne consentiva la visualizzazione integrale da parte degli amministratori di sistema, senza che fosse stata fornita alcuna specifica informativa in merito. Censurabile risultavano anche le modalita’ di controllo del traffico telefonico attuato dal Poligrafico mediante il sistema VoIP, che consentiva la registrazione e la prolungata conservazione dei dati del traffico, anche in questo caso senza che fosse stata fornita un’adeguata informazione all’utenza; inoltre, il sistema di captazione dei dati comportava l’acquisizione di frame presenti sulle pagine visualizzate ma non riconducibili a scelte dell’utente (pubblicita’, pop-uP, etc.).
Il Tribunale di Roma, con provvedimento del 4 aprile 2013, ricordava che l’articolo 4, comma 1, dello Statuto dei Lavoratori vieta al datore di lavoro l’uso di impianti audiovisivi o altre apparecchiature con finalita’ di controllo a distanza dell’attivita’ dei lavoratori. Il medesimo articolo, al secondo comma, chiarisce che gli impianti e le apparecchiature di controllo “che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro” – da includersi nei cd. “controlli difensivi” in senso ampio – “ma dai quali derivi anche la possibilita’ di controllo a distanza dell’attivita’ dei lavoratori, possono essere istallati soltanto previo accordo con le rappresentanze sindacali (e) in difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro”.
Pertanto, l’utilizzazione di tali impianti ed apparecchiature per esigenze organizzative e produttive e’ consentita al datore di lavoro ma solo a condizione di raggiungere un’intesa con le rappresentanze sindacali dei lavoratori oppure a seguito dell’espletamento delle procedure suppletive indicate dalla legge; mentre la loro utilizzazione e’ senz’altro vietata se attuata con la specifica finalita’ di esercitare una vigilanza sull’attivita’ dei lavoratori.
Il Tribunale di Roma ha ricostruito l’evoluzione della giurisprudenza di legittimita’ in materia, evidenziando che, a seguito di una prima pronuncia che aveva ritenuto i cd. controlli difensivi estranei all’ambito applicativo dell’articolo 4 dello Statuto dei lavoratori, pronunce successive avevano condivisibilmente osservato che il rispetto delle esigenze di tutela aziendale non poteva condurre a ritenere legittima la soppressione di diritti fondamentali del dipendente, come la riservatezza, e che la ricordata disposizione della L. n. 300 del 1970, trova applicazione anche in materia di cd. controlli difensivi, tutte le volte che le modalita’ di esecuzione dei controlli previste dal datore di lavoro comportino anche la possibilita’ di un controllo a distanza dei lavoratori.
Di conseguenza, il Tribunale ha rigettato il ricorso dell’Istituto Poligrafico.
Avverso la decisione del Tribunale di Roma l’Istituto Poligrafico ha proposto ricorso per cassazione, affidato a cinque motivi. Ha resistito con controricorso il Garante per la Protezione dei Dati Personali.
CONSIDERATO IN DIRITTO
Preliminarmente deve ricordarsi che il ricorrente ha domandato rimettersi la decisione del ricorso alle Sezioni Unite della Corte, in quanto occorre decidere su una questione di diritto gia’ decisa in senso difforme dalla giurisprudenza di legittimita’ e perche’ trattasi di questione di massima di particolare importanza. Non si ritiene, pero’, di accogliere questa sollecitazione, perche’ la giurisprudenza di legittimita’, dopo una pronuncia diretta in senso parzialmente contrario, ha poi adottato una linea interpretativa evolutiva e coerente, cui il Collegio ritiene di dare continuita’.
1. Con il primo motivo di impugnazione (in cui possono esaminarsi congiuntamente i motivi indicati come I, Ia, Ib e II), l’ (OMISSIS) ha dedotto, ai sensi dell’articolo 360 c.p.c., n. 3, la violazione e falsa applicazione della L. n. 300 del 1970, articoli 4 e 8, (Statuto dei lavoratori), e degli articoli 12 e 14 preleggi, nonche’ articolo 11, comma 1, lettera a), c) e d), e articoli 113 e 114 Codice Privacy (Decreto Legislativo n. 196 del 2003), per avere il Tribunale di Roma ritenuto applicabile alla fattispecie l’articolo 4 cit., secondo comma, e non operativa la categoria dei controlli difensivi.
Secondo il ricorrente, l’articolo 4 “non esaurisce tutte le ipotesi di controllo del datore di lavoro sulla condotta tenuta dal lavoratore in azienda intesa nella sua ampiezza, per la semplicissima ragione che quella norma regolamenta solo il profilo attinente il controllo sull’attivita’ lavorativa… rimangono completamente fuori dal confine operativo della norma i controlli che abbiano ad oggetto non l’attivita’ lavorativa, ma altri comportamenti tenuti dal lavoratore sul posto di lavoro, e segnatamente quelli illeciti, che espongano ad un pericolo i beni dell’azienda e/o concretino fatti potenzialmente dannosi per i terzi, con conseguente responsabilita’ del datore di lavoro”.
Trattasi di esigenza che assumerebbe in questo caso un particolare rilievo, in considerazione delle attribuzioni di interesse pubblicistico assegnate all’Istituto Poligrafico, come la stampa della Gazzetta Ufficiale e della Raccolta ufficiale degli atti normativi della Repubblica italiana, la produzione di documenti identificativi della persona, di sistemi di sicurezza e anticontraffazione, di monete, ecc. Nella prospettazione del ricorrente, “il tratto distintivo dell’articolo 4, tanto al comma 1 quanto al comma 2, e’ ravvisabile nell’aver circoscritto il proprio campo di applicazione solo ed esclusivamente al controllo sull’attivita’ lavorativa dei dipendenti”. Nel caso di specie, i controlli predisposti dal Poligrafico non atterrebbero alle esigenze organizzative e produttive ovvero alla sicurezza del lavoro, di cui all’articolo 4, comma 2, dello Statuto dei lavoratori, bensi’ ad esigenze di “tutela del patrimonio aziendale”.
Con riferimento alla navigazione in Internet da parte dei dipendenti, l’utilizzazione del sistema Websense era stata prevista proprio per la finalita’ di rispettare le esigenze di prevenzione volte a ridurre il rischio di utilizzazioni improprie della navigazione, ed e’ per questo che il sistema assicurava che determinati siti fossero inaccessibili dalla rete aziendale. Il Tribunale erroneamente aveva condiviso le censure del Garante, in materia di conservazione dei dati relativi alla navigazione in Internet di ciascun dipendente, mentre i dati venivano conservati per finalita’ di tutela aziendale e per potere, se del caso, informare l’Autorita’ Giudiziaria di eventuali illeciti. Inoltre, la navigazione in Internet, se non controllata, comporterebbe la possibilita’ di rischi (come la possibilita’ di acquisire virus nella rete aziendale) che un’azienda con le attribuzioni pubblicistiche proprie del Poligrafico non puo’ consentire.
In ogni caso, l’articolo 8 dello Statuto dei lavoratori vieta la “effettuazione” attiva delle indagini sulle opinioni politiche, religiose o sindacali dei dipendenti e non gia’ la mera possibilita’ di effettuazione delle medesime.
Quanto alla presunta violazione dell’articolo 11 del Codice Privacy e del principio di pertinenza e non eccedenza dei controlli, se non vi fosse la possibilita’ di acquisire e conservare i dati identificativi dei contatti Internet (utente che richiede il contatto, sito contattato o che si tenta di contattare, data ed ora dell’accesso o del tentativo), sarebbe preclusa la tutela delle ragioni di sicurezza, sicche’ anche questa materia dovrebbe essere ricondotta nell’alveo dei cd. controlli difensivi.
1.1 Il motivo e’ infondato.
E’ opportuno premettere che il rilievo pubblicistico dei compiti affidati all’Istituto Poligrafico dello Stato non e’ idoneo a giustificare la violazione della normativa vigente, che intende assicurare garanzia ai diritti costituzionalmente riconosciuti ai lavoratori, in primo luogo al diritto alla riservatezza.
Il ricorrente afferma, in sostanza, che spetta al datore di lavoro predisporre tutti gli strumenti necessari per la tutela dei beni aziendali rispetto a possibili danni ed accertare e prevenire comportamenti illeciti dei dipendenti, purche’ non abbiano quale scopo diretto la vigilanza sulla prestazione di lavoro fornita dai dipendenti (L. n. 300 del 1970, articolo 4, comma 1) e non siano finalizzati alla tutela di esigenze organizzative e produttive, ovvero della sicurezza del lavoro (articolo 4, comma 2, legge cit.).
E’ necessario esaminare l’articolo 4 dello Statuto dei Lavoratori.
Esso prevede, al comma 1, il divieto assoluto per il datore di lavoro di utilizzare “impianti audiovisivi e di altre apparecchiature per finalita’ di controllo a distanza dell’attivita’ dei lavoratori”, ma non e’ questa la contestazione rivolta all’Istituto Poligrafico, non risultando che i controlli sulla navigazione in Internet e sull’utilizzo dei servizi di telefonia e posta elettronica siano stati specificamente predisposti per finalita’ di vigilanza a distanza dell’attivita’ lavorativa dei dipendenti.
Il secondo comma prevede che “gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilita’ di controllo a distanza dell’attivita’ dei lavoratori, possono essere istallati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalita’ per l’uso di tali impianti”. Nel giudizio in esame e’ pacifico che il ricorrente Istituto Poligrafico non ha mai ricercato un accordo con le rappresentanze dei lavoratori al fine di disciplinare i controlli, e neppure ha promosso le procedure suppletive che la legge prevede siano svolte qualora un accordo non sia raggiunto.
Si deve operare, in materia, un contemperamento tra i diritti del datore di lavoro e, in particolare, alla libera iniziativa economica ed alla protezione dei beni aziendali, con la tutela dei diritto del lavoratore, in primo luogo alla riservatezza. Questo bilanciamento non e’ affidato alla valutazione della giurisprudenza, avendo il legislatore provveduto a dettare la disciplina generale della materia, in primo luogo proprio mediante le norme previste dall’articolo 4 dello Statuto dei lavoratori. Per comprenderne l’esatta portata, e’ necessario esaminare, oltre il suo testo letterale, anche la finalita’ della norma.
La disposizione di cui all’articolo 4, comma 2, in esame collocata nel Titolo I dello Statuto, che prescrive regole per la tutela della liberta’ e dignita’ del lavoratore e’ rivolta ad assicurare al lavoratore che il controllo a distanza, anche solo potenziale, della sua attivita’ lavorativa sia protetto da garanzie, qualunque sia la finalita’ per la quale il datore di lavoro predispone i controlli. Quando l’attivita’ di vigilanza a distanza, attivata dal datore di lavoro per qualsiasi finalita’, permetta anche la mera “possibilita’ di controllo dell’attivita’ lavorativa” fornita dal prestatore di lavoro, l’attivita’ non e’ consentita se non a seguito del positivo esperimento delle procedure di garanzia di cui all’articolo 4, comma 2, del medesimo Statuto. Non e’ possibile ritenere che il datore di lavoro possa liberamente utilizzare impianti e apparecchiature di controllo per qualsiasi finalita’ (di tutela dei beni aziendali, di accertamento e prevenzione dei comportamenti illeciti dei dipendenti, ecc.), eludendo il positivo esperimento delle procedure previste nell’articolo 4, comma 2, in esame, quando derivi anche solo “la possibilita’ di controllo a distanza dell’attivita’ dei lavoratori”, a prescindere dalle sue intenzioni.
Questa conclusione non si pone in contrasto con l’evoluzione della giurisprudenza di legittimita’ in materia.
E’ vero che una risalente decisione della Suprema Corte aveva affermato che il controllo diretto ad accertare condotte illecite del lavoratore, cd. controllo difensivo, non sarebbe assoggettato alla disciplina di cui all’articolo 4 dello Statuto dei lavoratori (Cass., Sez. L., n. 4746 del 2002). Questo orientamento ha ricevuto pero’ smentita da una successiva pronuncia di questa Corte, la quale ha precisato che “la garanzia procedurale prevista per impianti ed apparecchiature ricollegabili ad esigenze produttive contempera l’esigenza di tutela del diritto dei lavoratori a non essere controllati a distanza e quello del datore di lavoro o, se si vuole, della stessa collettivita’, relativamente alla organizzazione, produzione e sicurezza del lavoro, individuando una precisa procedura esecutiva e gli stessi soggetti ad essa partecipi”; ha quindi chiarito che l’utilizzo di un’apparecchiatura comunque idonea ad esercitare la vigilanza a distanza sui prestatori di lavoro, si risolve “in un controllo… rientrante nella fattispecie prevista dalla L. n. 300 del 1970, articolo 4, comma 2, ne’ l’esigenza di evitare condotte illecite da parte dei dipendenti puo’ assumere portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignita’ e riservatezza del lavoratore” (Cass. Sez. L, n. 15892 del 2007).
La suddetta linea interpretativa, contrariamente a quanto affermato dal ricorrente, ha ricevuto molteplici conferme nella giurisprudenza di questa Corte. Ad esempio, in un caso in cui il datore di lavoro utilizzava programmi informatici che consentivano il monitoraggio della posta elettronica e degli accessi Internet dei dipendenti, il Giudice di legittimita’ ha ritenuto applicabili le “garanzie procedurali imposte dalla L. n. 300 del 1970, articolo 4, comma 2, per l’istallazione di impianti ed apparecchiature di controllo dai quali derivi anche la possibilita’ di controllo a distanza dell’attivita’ dei lavoratori”, dopo avere evidenziato la necessita’ di contemperare le esigenze del datore di lavoro con i diritti del prestatore di lavoro; pertanto, anche i controlli cd. difensivi “diretti ad accertare comportamenti illeciti dei lavoratori”, quando comportino la possibilita’ del controllo a distanza della prestazione lavorativa dei dipendenti, sono soggetti alla disciplina di cui all’articolo 4, comma 2, dello Statuto dei lavoratori (v. Cass., Sez. L, n. 4375 del 2010, n. 16622 del 2012, le quali affermano che “la possibilita’ di effettuare tali controlli incontra un limite nel diritto alla riservatezza del dipendente, tanto che anche l’esigenza di evitare condotte illecite dei dipendenti non puo’ assumere portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignita’ e riservatezza del lavoratore”).
Di recente, questa Corte ha confermato che un’apparecchiatura predisposta dal datore di lavoro (“badge” idoneo a controllare l’ingresso e l’uscita del dipendente, ma anche le pause ed i permessi, ed a comparare nell’immediatezza i dati di tutti i dipendenti) “ove sia utilizzabile anche in funzione di controllo a distanza del rispetto dell’orario di lavoro e della correttezza dell’esecuzione della prestazione… e’ illegittima, ai sensi della L. n. 300 del 1970, articolo 4, comma 2, se non concordata con le rappresentanze sindacali, ovvero autorizzata dall’Ispettorato del lavoro, dovendosi escludere che l’esigenza di evitare condotte illecite da parte dei dipendenti possa assumere portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignita’ e riservatezza del lavoratore” (Cass., Sez. L, n. 9904 del 2016).
Corretta e’ anche la contestazione del Garante, confermata dal Tribunale, relativa alla violazione del disposto di cui all’articolo 8 dello Statuto dei lavoratori. La norma prevede che e’ vietato al datore di lavoro “effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonche’ su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”. Ed acquisire e conservare dati che contengono (o possono contenere) simili informazioni importa gia’ l’integrazione della condotta vietata, perche’ si risolve in una indagine non consentita sulle opinioni e condotte del lavoratore, anche se i dati non sono successivamente utilizzati. Non e’ necessario sottoporre i dati raccolti ad alcun particolare trattamento per incorrere nell’illecito, poiche’ la mera acquisizione e conservazione della disponibilita’ di essi comporta la violazione della prescrizione legislativa.
Il motivo deve essere, pertanto, disatteso.
2. Con il secondo motivo (nn. IIa, IIb), l’Istituto ricorrente ha denunciato, ai sensi dell’articolo 360 c.p.c., n. 3, la violazione o falsa applicazione dell’articolo 4 dello Statuto dei lavoratori e degli articoli 12 e 14 preleggi, perche’ la natura di controllo difensivo dell’attivita’ posta in essere escluderebbe l’applicabilita’ della normativa indicata. Inoltre, e’ contestato, ai sensi dell’articolo 360 c.p.c., n. 5, l’omesso esame di un fatto decisivo per il giudizio, costituente oggetto di discussione tra le parti, per non avere il Tribunale pronunciato sulle modalita’ di utilizzo dei dati raccolti mediate il software Websense con finalita’ esclusiva di controllo difensivo.
Il ricorrente ha confermato di avere inibito ai dipendenti l’accesso a determinati siti Internet considerati pericolosi e provveduto alla registrazione dei cd. file Log (identificativi di indirizzo Ip, cioe’ della postazione di lavoro, dell’utenza contattata, della data ed ora dell’accesso o del tentativo di accesso), ma ha affermato che si tratta di un’attivita’ svolta per esclusiva finalita’ di tutela aziendale. Si dovrebbe tenere conto che i lavoratori erano stati resi edotti del fatto che i file di log venivano registrati con questa finalita’, che la mancata registrazione precluderebbe la prevenzione ed esporrebbe l’Istituto ad attacchi non identificabili alla rete aziendale. In ogni caso, non sarebbe configurabile alcuna violazione dell’articolo 8 dello Statuto dei lavoratori, che vieta la “effettuazione” attiva delle indagini sulle opinioni politiche, religiose o sindacali dei dipendenti, e non la mera possibilita’ di effettuazione delle medesime, non avendo l’Istituto mai effettuato alcuna indagine sui profili extraprofessionali dei lavoratori.
2.1 Il motivo e’ inammissibile nella parte in cui denuncia, da un lato, una insufficienza motivazionale che non e’ piu’ censurabile, a norma del novellato articolo 360 c.p.c., n. 5 (v. Cass., Sez. Un., n. 8053 del 2014) e, dall’altro, la prevalenza attribuita dal Giudice di merito, nel percorso motivazionale, ad alcune circostanze piuttosto che ad altre, implicitamente respinte, le quali sono prive del carattere della decisivita’, nel senso che una diversa valutazione delle stesse non avrebbe determinato un esito diverso della decisione.
Infatti, si e’ gia’ argomentato in ordine all’obbligo di portare positivamente a compimento le procedure di cui all’articolo 4, secondo comma, dello Statuto dei lavoratori, quando l’attivita’ di vigilanza sia anche solo potenzialmente idonea a comportare il controllo dell’attivita’ svolta dai lavoratori.
Nel giudizio di merito si e’ accertato che il Poligrafico provvedeva – non solo alla, di per se’ lecita, inibizione dell’accesso dei lavoratori a determinate categorie di siti Internet, ma anche – alla registrazione dei cd. file Log (identificativi di indirizzo Ip, cioe’ della postazione di lavoro, dell’utenza contattata, della data ed ora dell’accesso o del tentativo di accesso), senza che fossero state espletate le procedure previste dalla legge per lo svolgimento delle attivita’ che comportino anche solo la possibilita’ di controllo a distanza dei lavoratori. Ed e’ irrilevante che i lavoratori fossero stati messi a conoscenza delle modalita’ di acquisizione dei dati di traffico, conservati per un periodo di tempo prolungato (da sei mesi a un anno).
Inoltre, la acquisizione e conservazione dei dati relativi alla navigazione Internet dei dipendenti mediante captazione e registrazione dei file Log importa la violazione anche del disposto di cui alla L. n. 300 del 1970, articolo 8, per le ragioni innanzi indicate (v., supra, 1.1, in fine).
Il motivo e’ rigettato.
3. Con il terzo motivo di ricorso (nn. IIIa, IIIb), in riferimento alla gestione del servizio di posta elettronica, il Poligrafico ha contestato, ai sensi dell’articolo 360 c.p.c., n. 3, la violazione o falsa applicazione degli articoli 2 e 13 del Codice della Privacy, per avere il Tribunale censurato la condotta del Poligrafico per non avere fornito ai lavoratori una informazione adeguata sulle modalita’ di trattamento dei dati, in relazione alla conservazione di quelli relativi alle comunicazioni in chiaro, e limitatamente ai lavoratori che avessero deciso di avvalersi del server aziendale per la conservazione dei messaggi di posta elettronica. Si assume che tale informazione non fosse prevista dalle citate norme, ma eventualmente dalle Linee Guida sulla Posta Elettronica ed Internet, emanate dal Garante il 1.3.2007, disciplina la cui violazione (cfr. articolo 154, comma 1, lettera c, del Codice della Privacy) non era stata contestata al ricorrente. Inoltre, sempre con riferimento al servizio di posta elettronica, e’ denunciato, ai sensi dell’articolo 360 c.p.c., comma 5, l’omesso esame circa un fatto decisivo per il giudizio, costituente oggetto di discussione tra le parti, per non avere il Tribunale pronunciato in ordine alla completezza dell’informazione assicurata dal Poligrafico ai propri dipendenti. E’ stato evidenziato che ad ogni singolo utente era lasciata la facolta’ di far conservare i messaggi e-mail sulla mailbox aziendale e che cio’ attestava come i dipendenti fossero ben informati e consapevoli del fatto che la scelta effettuata comportava che i messaggi rimanevano conservati anche sul server ed erano accessibili agli amministratori del sistema; che era attivo un servizio di help-desk per la configurazione del servizio di posta elettronica, a disposizione dei lavoratori, i quali potevano ricevere idonee informazioni circa le possibili modalita’ di configurazione del servizio; che dal documento PR-FSIA2-209, che si afferma essere stato distribuito al personale, erano ricavabili “indicazioni” che consentivano di apprendere che la Unita’ Organizzativa Gestione Sistemi dell’Area ICT e Business Solutions avrebbe potuto accedere alle risorse informatiche dell’utente, ai fini di sicurezza del sistema; infine, sulla rete intranet aziendale, consultabile da qualsiasi dipendente, sin dal marzo 2010, erano indicati gli identificativi degli amministratori di sistema abilitati ad accedere ai dati raccolti nel sistema informatico del Poligrafico.
3.1 Il Giudice di merito ha reso una motivazione, pienamente adesiva alle argomentazioni del Garante, adeguata e non censurabile sotto il profilo della insufficienza (a norma del nuovo articolo 360 c.p.c., n. 5), in ordine alla illiceita’ del trattamento relativo ai servizi di posta elettronica. Il ricorrente deduce, in questa sede, varie circostanze di fatto – ritenute implicitamente irrilevanti dal Giudice di merito – e chiede impropriamente al Giudice di legittimita’ di esaminarle, senza neppure spiegare se e in quale atto siano state fatte valere nel giudizio di merito.
Si obietta che a tutti i lavoratori erano state fornite informazioni specifiche, idonee a soddisfare le prescrizioni di cui all’articolo 13 del Codice della Privacy, mediante la consegna di documenti non prodotti, pero’, nella fase ispettiva e il cui contenuto non e’ stato trascritto nel ricorso.
Inoltre, il fatto di aver fornito informazioni ai propri dipendenti non e’ elemento decisivo per escludere la violazione del disposto di cui all’articolo 4, comma 2, dello Statuto dei lavoratori.
Deve aggiungersi che quand’anche si informino i lavoratori della possibilita’ di archiviare i messaggi di posta elettronica sul server aziendale oppure sul PC messo a disposizione dall’azienda, questo non comporta che essi siano resi edotti che, scegliendo la prima opzione, i loro messaggi rimarranno, per un periodo di tempo prolungato, accessibili in chiaro dai soggetti abilitati alla consultazione.
Il motivo e’ rigettato.
4. Con il quarto motivo (nn. IVa e IVb), il ricorrente ha contestato, ai sensi dell’articolo 360 c.p.c., n. 3, la violazione e falsa applicazione dell’articolo 4 dello Statuto dei lavoratori e degli articoli 12 e 14 preleggi, nonche’, ai sensi dell’articolo 360 c.p.c., n. 5, l’omesso esame circa un fatto decisivo per il giudizio, costituente oggetto di discussione tra le parti, in relazione all’esercizio del servizio di telefonia.
Si assume che il Tribunale abbia omesso di pronunciare sulle argomentazioni dell’Istituto Poligrafico, di seguito riportate.
Il servizio di telefonia, cd. sistema VoIP, veniva gestito mediante l’applicativo Blue’s, grazie al quale il Poligrafico aveva accesso ai dati raccolti e conservati dal sistema, configurato in modo da rilevare eventuali telefonate ingiustificate effettuate dalle utenze assegnate ai dipendenti; i numeri chiamanti assegnati ai dipendenti non venivano registrati, mentre i numeri chiamati venivano esterne; i dati di traffico erano conservati “per di 180 giorni”, per esigenze di documentazione in contestazione della fatturazione da parte delle esterne; pur essendo disponibile nell’applicativo Blue’s la funzione “alert”, che consentiva l’invio, ad un indirizzo di posta elettronica prescelto dal datore di lavoro, di un messaggio di avviso ogni qual volta il sistema avesse rilevato una chiamata telefonica verso numeri esterni preindicati come da monitorare, la stessa funzione non era stata mai attivata.
4.1 Il motivo e’ infondato.
Si deve rilevare che l’affermazione del ricorrente, secondo cui i numeri del traffico telefonico relativo ai dipendenti non erano conservati e che, nel conservare documentazione dei numeri telefonici chiamati dai propri dipendenti, ne fossero occultate le ultime tre cifre, e’ smentita dalle risultanze processuali. Il Giudice di merito da’ atto del contrario: sarebbe stato preciso onere della parte indicare specificamente su quale atto processuale la sua affermazione potesse trovare fondamento.
Non e’ pertinente l’obiezione secondo la quale la prolungata conservazione dei dati relativi al traffico sarebbe stata prevista solo per il caso di eventuali contestazioni della fatturazione da parte dei soggetti terzi: non si vede, infatti, in qual modo il soddisfacimento di questa esigenza dovesse comportare la conservazione dei dati relativi al traffico telefonico anche dei dipendenti e per un prolungato periodo di tempo.
In ordine alla funzione “alert”, prevista dall’applicativo Blue’s, il Giudice di merito, implicitamente e plausibilmente, l’ha ritenuta lesiva dei diritti dei lavoratori, in assenza del positivo espletamento delle procedure di cui all’articolo 4, comma 2, dello Statuto dei lavoratori, ed e’ corretta, pertanto, la richiesta del Garante di escluderla, a prescindere dal fatto che essa fosse stata concretamente utilizzata.
Si deve dare continuita’ all’orientamento espresso da questa Corte a proposito del controllo del traffico telefonico dei dipendenti, attuato mediante il sistema Blue’s, che si sosteneva essere giustificato (anche) per esigenze di contrasto alle attivita’ illecite che avrebbero potuto essere poste in essere dai lavoratori a danno del datore di lavoro e, quindi, estraneo all’ambito applicativo della L. n. 300 del 1970, articolo 4, trattandosi asseritamente di una modalita’ di controllo difensivo lecito. A queste obiezioni la Cassazione ha replicato, affermando che “l’effettivita’ del divieto di controllo a distanza dell’attivita’ dei lavoratori richiede che anche per i cd. controlli difensivi trovino applicazione le garanzie del citato articolo 4, comma 2, e che, comunque, quest’ultimi, cosi’ come la altre fattispecie di controllo ivi previste, non si traducano in forme surrettizie di controllo a distanza dell’attivita’ lavorativa dei lavoratori. Se per l’esigenza di evitare attivita’ illecite o per motivi organizzativi o produttivi, possono essere installati impianti ed apparecchiature di controllo che rilevino dati relativi anche alla attivita’ lavorativa dei lavoratori, la previsione che siano osservate le garanzie procedurali di cui all’articolo 4, comma 2, non consente che attraverso tali strumenti, sia pure adottati in esito alla concertazione con le r.s.a., si possa porre in essere, anche se quale conseguenza mediata, un controllo a distanza dei lavoratori che, giova ribadirlo, e’ vietato dall’articolo 4, comma 1, cit. Il divieto di controlli a distanza L. n. 300 del 1970, ex articolo 4, implica, dunque, che i controlli difensivi posti in essere con il sistema informatico Blue’s 2002, ricadono nell’ambito della L. n. 300 del 1970, articolo 4, comma 2” (Cass. Sez. L, n. 16622 del 2012 cit.).
5. Con il quinto motivo (n. Va) e’ contestato, ai sensi dell’articolo 360 c.p.c., n. 5, l’omesso esame di un fatto decisivo per il giudizio, costituente oggetto di discussione tra le parti, in quanto – contrariamente a quanto contestato dal Garante – il Poligrafico aveva provveduto a rendere conoscibile l’identita’ degli amministratori di sistema.
5.1 Il motivo e’ infondato.
Il Giudice di merito ha plausibilmente ritenuto, in senso adesivo alle argomentazioni del Garante, che il Poligrafico, in violazione dell’articolo 4, comma 2, dello Statuto dei lavoratori, aveva utilizzato strumenti elettronici che consentivano la vigilanza a distanza dei dipendenti, senza che fossero state espletate le procedure previste dalla legge. A fronte di tale accertamento, e’ irrilevante la circostanza che i lavoratori fossero stati portati a conoscenza dei nominativi degli amministratori abilitati ad accedere al sistema informatico aziendale.
6. In conclusione, il ricorso e’ rigettato.
Le spese di lite, liquidate in dispositivo, seguono la soccombenza.
P.Q.M.
La Corte rigetta il ricorso; condanna il ricorrente (OMISSIS) spa, in persona del legale rappresentante pro tempore, al pagamento delle spese di lite, liquidate in Euro 7.800,00, oltre SPAD.
Si da’ atto della sussistenza dei presupposti per il versamento, da parte del ricorrente, dell’ulteriore importo previsto dalla legge a titolo di contributo unificato.
Leave a Reply