News & Media

Opinioni

Controllo a distanza dei lavoratori e strumenti informatici.

Nell’affrontare la questione dei controlli datoriali sugli strumenti informatici aziendali, è fondamentale innanzitutto evidenziare come tale materia intersechi non solo la disciplina giuslavoristica, ma anche quella in materia di tutela della privacy.

Ciò premesso ho ritenuto utile analizzare due casi.

Benché il primo[1] sia risalente nel tempo, è ancora attualissimo e riguarda un dipendente licenziato per giusta causa in quanto dal suo pc aveva “frugato” nelle e-mail di altre figure chiave dell’azienda.

In particolare, gli veniva contestato:

  1. di aver illegittimamente acceduto alla posta elettronica di dipendenti della Società per oltre 30 giorni (date e orari specificati);
  2. di aver contravvenuto alle procedure allora vigenti in azienda in materia di utilizzo di beni aziendali a lui affidati esclusivamente per lo svolgimento di attività lavorative;
  3. di aver contravvenuto alle norme riguardanti la privacy delle persone (elencate nella contestazione);
  4. di aver svolto tale contestata attività durante l’orario di lavoro.

La Società (per adempiere al proprio onere probatorio) aveva allegato quale prova della fondatezza del licenziamento documenti informatici sulla cui base era stata effettuata la contestazione disciplinare: dei file di log[2] in formato pdf.

I file originali sul server aziendale erano stati cancellati e sovrascritti nelle more dell’impugnazione del licenziamento (e non veniva fatta una preventiva acquisizione in contraddittorio).

Al termine del giudizio (di Primo Grado) instaurato dal lavoratore, le copie fatte dal datore di lavoro dei documenti informatici non erano giuridicamente attendibili secondo le norme di acquisizione forense (cfr. ISO 27001: 20215 lo standard internazionale che descrive le best practice per un sistema di gestione della sicurezza delle informazioni).

Si legge nell’ordinanza: “ (…) spostando il ragionamento tecnico su un piano meramente processuale appare corretto affermare che, essendo l’onere della prova in capo al datore di lavoro, ed essendo il datore privo di documenti di provenienza e attendibilità certa , ed anzi essendo emerso dalla miglior scienza ed esperienza che i documenti prodotti sono alterabili (…) ed essendo ritenuti inutili i secondi in assenza dei primi, appare non adempiuto l’onere probatorio del datore, perché nemmeno vi sono sufficienti elementi indiziari che consentano di pervenire alla prova in via presuntiva”.

Il ricorrente era stato reintegrato.

Cosa si può imparare da quanto sopra?

  • Attenzione a cosa si produce e a come lo si produce (sia durante un procedimento disciplinare che avanti al Giudice).

Il secondo caso è molto attuale[3]: la Corte di Cassazione ha stabilito che è legittimo il licenziamento di un dipendente dell’Inps che ha effettuato l’accesso alla banca dati per conoscere conti e posizioni degli iscritti.

I giudici di legittimità, nell’esprimersi, hanno ripercorso alcune questioni di cui mi preme riferire:

  1. l’art. 4 dello Statuto dei Lavoratori, dopo le modifiche introdotte dal Dlgs n. 151 del 2025 e dal Dlgs n. 185 del 2016, non prevede più un divieto assoluto, per il datore di lavoro, di effettuare il controllo a distanza dell’attività dei lavoratori, indicando – al comma 1 – gli scopi per cui e le condizioni alle quali i controlli possono essere effettuati. In ogni caso, tali limiti non si applicano, tra gli altri, “agli strumenti aziendali utilizzati dal lavoratore per rendere la prestazione lavorativa” (comma 2) fermo restando che l’utilizzabilità delle informazioni acquisite “a tutti i fini connessi al rapporto di lavoro” è subordinata alla “condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003 n. 196)” (3° comma).
  2. L’importanza di assicurare un bilanciamento corretto tra le esigenze di protezione degli interessi e dei beni aziendali e le tutele imprescindibili della dignità e della riservatezza del lavoratore (v, tra le altre, Cass. nn. 13266/2018; 25731/2021; 25732/2021 34092/2021; 18168/2023). Al riguardo è stato affermato il principio per cui il controllo difensivo in senso stretto del datore di lavoro deve essere mirato e “attuato ex post” e dunque a seguito del comportamento illecito da parte di uno o più dipendenti “del cui avvenuto compimento il datore abbia avuto il fondato sospetto”.

Nel caso in questione, però è bene precisarlo, i controlli preventivi dell’Inps non erano finalizzati né al controllo dell’adempimento della prestazione del lavoratore né alla protezione di interessi e beni aziendali: come gestore e responsabile della banca dati che racchiude informazioni sugli iscritti, l’ente ha effettuato i controlli preventivi a tutela delle persone interessate. La privacy soggetta a tutela non era quella del lavoratore, di cui non sono stati attinti dati personali se non quello relativo all’accesso non autorizzato.

Cosa si può trarre da quanto sopra?

  • Attenzione a dare al lavoratore un’adeguata informazione delle modalità di uso degli strumenti aziendali a lui affidati nonché di come vengono effettuati i controlli. ovvero scrivere ottime policy.
  • Inoltre, i controlli difensivi possono essere effettuati solo ex post, dopo che sia venuto in essere un fondato e provabile sospetto nei confronti del lavoratore.
  • Infine, soprattutto quando il controllo difensivo ha come giustificazione “la sicurezza informatica della Società”, occorre tenere in considerazione che questa è onere della Società. Ragion per cui sarebbe consigliabile che essa formi periodicamente i lavoratori su tali tematiche.
[1]Ordinanza del 29.04.2014 relativa al giudizio sommario ex art. 1 commi 47 e ss L. 9272012, Rg. 35065/2012 Tribunale di Napoli, Sezione Lavoro, Dottoressa Antonella Ciriello.
[2] I file di log sono file generati da software che contengono informazioni sulle operazioni, le attività e i modelli di utilizzo di un’applicazione, di un server o di un sistema IT. Includono un registro storico di tutti i processi, gli eventi e i messaggi insieme a dati descrittivi aggiuntivi, come i timestamp, per contestualizzare queste informazioni. I timestamp mostrano cosa è successo all’interno del sistema e quando è accaduto. In questo modo, se qualcosa dovesse andare storto con i sistemi, si potrebbe disporre di un registro dettagliato di ogni azione precedente all’incidente.
Un file di log fornisce un registro dettagliato e facilmente accessibile delle informazioni di sistema che altrimenti sarebbero difficili da raccogliere.
I file di log, in quanto file, sono modificabili.
[3] Corte di Cassazione del 19 marzo 2024, n. 7272
Il presente articolo ha il solo scopo di fornire aggiornamenti e informazioni di carattere generale. Non costituisce pertanto un parere legale né può in alcun modo considerarsi come sostitutiva di una consulenza legale specifica.
Per chiarimenti o informazioni potete contattare l’autrice oppure il Vostro Professionista di riferimento all’interno dello Studio.

Giulia Leardi, Partner
E: g.leardi@nmlex.it
T.: +39 02 6575181

Pubblicato il:

Iscriviti alla newsletter

Copyright Nunziante Magrone Studio Legale Associato | P.IVA 06080161000 | Privacy policy | Cookie policy | Note legali |