L’utilizzo di internet sul luogo di lavoro a fini privati: tra possibile licenziamento e presunti oneri datoriali
di Matteo NovelliPrendendo spunto dalla recente sentenza n. 14862/2017 della Corte di Cassazione, l’articolo effettua un excursus giurisprudenziale relativo all’utilizzo di internet a fini privati sul luogo di lavoro, al fine di valutare l’approccio delle Corti di merito e di legittimità in ordine ai provvedimenti di licenziamento irrogati su tale presupposto. L’autore prende altresì in esame l’ammissibilità di controlli “a distanza” da parte del datore di lavoro e la sussistenza di ulteriori eventuali obblighi sul medesimo gravanti, anche alla luce delle indicazioni del Garante della privacy e delle modifiche normative da ultimo intervenute.
Internet a fini privati e diritto del lavoro
In base a un’indagine statistica compiuta a livello europeo, circa il 30% dei lavoratori francesi ha ammesso di avere utilizzato almeno una volta un computer aziendale, e la relativa connessione internet, per motivi personali. La percentuale sale fino al 41% in Germania, sfiora il 45% nel Regno Unito e supera addirittura il 50% in Italia. Tali dati sono in costante aumento anche (e soprattutto) alla luce dell’irrefrenabile diffusione dei social network, i quali sono divenuti parte integrante (e, a quanto pare, indispensabile) della nostra esistenza.
Il non poter fare a meno di internet nella vita privata, tuttavia, ha creato (e crea tutt’ora) evidenti problemi (oltre che sociali) nell’ambito del rapporto di lavoro, posto che un numero sempre maggiore di lavoratori finisce col sottrarre parte del proprio tempo allo svolgimento delle mansioni per le quali è stato assunto, col rischio di vedere sanzionato disciplinarmente un siffatto comportamento.
Proprio con riferimento a tali sanzioni abbiamo assistito, in giurisprudenza, alla formazione di due orientamenti – uno più tollerante e uno più restrittivo – che hanno giocoforza risentito delle peculiarità delle singole fattispecie e che, di recente, sembrano aver visto l’affermarsi del filone interpretativo più severo.
Prima di soffermarsi su tali aspetti, tuttavia, preme evidenziare che la principale norma di riferimento nella materia de qua risulta essere, nell’ottica del datore di lavoro, l’articolo 2104 cod. civ., il quale stabilisce che “il prestatore di lavoro deve usare la diligenza richiesta dalla natura della prestazione dovuta, dall’interesse dell’impresa e da quello superiore della produzione nazionale. Deve inoltre osservare le disposizioni per l’esecuzione e per la disciplina del lavoro impartite dall’imprenditore e dai collaboratori di questo dai quali gerarchicamente dipende”.
Dal punto di vista del lavoratore, invece, la norma posta a sua tutela è l’articolo 4, L. 300/1970, il quale – nella versione oggi vigente (a seguito cioè delle modifiche disposte dal D.Lgs. 151/2015 e dal successivo D.Lgs. 185/2016) – stabilisce che:
“1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali (…).
- La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze (…).
- Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”.
Gli orientamenti giurisprudenziali in materia
Muovendoci nel delineato ambito si osserva che, mentre una parte della giurisprudenza ha assunto un atteggiamento benevolo e di tutela nei confronti dei lavoratori, l’altra ha sostenuto la legittimità dei provvedimenti espulsivi irrogati.
Ciò che ha accomunato tali opposti orientamenti, tuttavia, è l’attenzione rivolta alle peculiarità di ciascuna fattispecie, che – come stiamo per vedere – hanno giocato un ruolo dirimente in ordine alle valutazioni compiute dagli organi giudicanti.
L’orientamento favorevole al lavoratore
Tra le pronunce favorevoli al lavoratore se ne rammentano alcune fondate sull’esiguità dei comportamenti contestati e sulla pregressa tolleranza, da parte del datore di lavoro, di condotte analoghe.
Al riguardo si ricorda Tribunale di Firenze, sez. lavoro, 7 gennaio 2008, il quale ha ritenuto illegittimo – annullandolo – il licenziamento irrogato nei confronti di un dipendente che, “su 163 giorni nei quali ha effettuato almeno un collegamento” a internet in orario di lavoro, ha dedicato a tale attività “mediamente … circa 56 minuti giornalieri”.
Il licenziamento, in tal caso, è stato annullato sul presupposto che il datore di lavoro aveva sempre “consentito un accesso alla rete internet per motivi extra-lavorativi, sia pure nei limiti della ragionevolezza e purché il sistema non fosse tenuto occupato per tempi eccessivi. In tale contesto, benché gli accessi del ricorrente siano stati superiori a quelli di colleghi assegnati a mansioni affini (cfr. relazione peritale integrativa), non può ritenersi la proporzionalità della sanzione espulsiva (cfr., da ultimo, Cass. 30.3.2006 n. 7543), in quanto l’intensità dell’elemento soggettivo della condotta del lavoratore è sminuito dalla tolleranza aziendale all’accesso, da parte dei dipendenti, alla rete internet anche per motivi extralavorativi”.
Analogamente, anche la Corte d’Appello di Roma ha ritenuto illegittimo il licenziamento irrogato nei confronti di un lavoratore che aveva dapprima “scaricato” sul pc aziendale, e poi utilizzato il programma di file sharing “eMule”, e ciò sul presupposto che il Ccnl di riferimento, pur ricomprendendo tra i comportamenti passibili di sanzione disciplinare l’utilizzo improprio delle strumentazioni aziendali, vi riconduceva unicamente l’irrogazione di una sanzione “conservativa” (alla stregua di quanto disposto dalla regolamentazione aziendale). Infine era stato valutato che dalla condotta del lavoratore non era emerso alcun danno per il datore di lavoro e che il dipendente, in passato, era incorso in un unico episodio di addebito disciplinare (Corte d’Appello di Roma, sez. lavoro, 30 giugno 2010; tale sentenza è stata poi confermata da Cass. n. 26397/2013. In termini vedasi anche Cass. n. 22353/2015 e Corte d’Appello di Milano, 30 settembre 2005).
Sempre tra le pronunce favorevoli ai dipendenti, infine, se ne rinvengono altre incentrate sull’asserita violazione, da parte del datore di lavoro, del menzionato articolo 4, St. Lav., come ad esempio Cassazione n. 4375/2010 (resa su una fattispecie disciplinata dalla versione “originaria” della norma), secondo cui: “È illegittimo, per violazione dell’art. 4, comma 2, st. lav., il licenziamento disciplinare intimato al lavoratore per aver reiteratamente visitato siti internet per fini extra-lavorativi e utilizzato una casella di posta elettronica personale, allorquando l’accertamento di tale comportamento sia avvenuto mediante l’impiego di un programma di controllo informatico non autorizzato da un accordo con le r.s.a. o dall’Ispettorato del lavoro”, e ciò sul presupposto che rientrerebbero nella citata norma anche i “c.d. controlli difensivi, ossia (…) quei controlli diretti ad accertare comportamenti illeciti dei lavoratori, quando tali comportamenti riguardino l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro e non la tutela di beni estranei al rapporto stesso”.
L’orientamento favorevole ai provvedimenti espulsivi
Passando invece ad esaminare l’orientamento più rigoroso, si evidenzia la Cassazione n. 17859/2014, secondo cui: “Qualora il codice disciplinare affisso nella bacheca aziendale vieti l’accesso alla rete internet e l’utilizzo della posta elettronica per scopi personali, è legittimo il licenziamento disciplinare del dipendente che, sul computer aziendale, abbia installato un programma di “file-sharing” ed uno per l’accesso alla email personale, effettuando il “download” di foto e filmati pornografici”.
Analogamente, è stato ritenuto legittimo il licenziamento per giusta causa di una lavoratrice che, durante l’orario di lavoro, era solita effettuare, a fini privati, collegamenti a internet di lunga durata (oltre le 2 ore), provocando costi aziendali non necessari e integrando gli estremi di un rilevante inadempimento degli obblighi contrattuali di lavoro (Trib. Milano, 14 giugno 2001).
Nel medesimo senso si segnala la sentenza del Tribunale di Brescia n. 782/2016, il quale ha ritenuto “idoneo ad incrinare la fiducia del datore di lavoro” il comportamento di una lavoratrice che, nell’arco temporale di 18 mesi, aveva effettuato circa 6.000 accessi a internet in orario di lavoro, la maggior parte dei quali (ben 4.500) su Facebook.
In tal caso, il Tribunale ha ritenuto l’operato del datore di lavoro rispettoso sia della normativa sulla privacy – essendosi egli “limitato a stampare la cronologia ed il tipo di accesso ad internet dal computer della dipendente” – sia dell’articolo 4, St. lav., “trattandosi di attività di controllo non della produttività ed efficienza dell’attività lavorativa, ma attinente a condotte estranee alla prestazione”.
Recentemente, anche la Corte Europea dei Diritti dell’Uomo è stata chiamata ad esprimersi in relazione alla sussistenza di un equo bilanciamento tra l’interesse del lavoratore al rispetto della sua vita privata e della corrispondenza e il contrapposto interesse datoriale al corretto funzionamento dell’azienda e dell’attività svolta dai propri dipendenti.
Al riguardo, la Corte ha ritenuto legittimo il licenziamento irrogato all’esito dell’accesso effettuato dal datore di lavoro alla casella di posta elettronica del dipendente (dal quale è emerso l’utilizzo di internet a fini privati), sul presupposto che: “le mail aziendali, al pari delle telefonate e dell’utilizzo di Internet sul posto di lavoro, rientrano nel campo di applicazione dell’art. 8 della Convenzione europea dei diritti dell’uomo. Tuttavia, il diritto alla riservatezza non esclude che il datore di lavoro possa, a determinate condizioni, controllare le email aziendali ed eventualmente intimare ad un proprio dipendente il licenziamento disciplinare allorquando scopra che questi ha utilizzato, durante l’orario di lavoro, l’account di posta aziendale, in violazione delle regole interne, per fini personali. Ciò in quanto non è irragionevole che un datore di lavoro voglia verificare che i dipendenti portino a termine i propri incarichi durante l’orario di lavoro”.
La sentenza della Corte di Cassazione n. 14826/2017
È nel panorama giurisprudenziale illustrato che si colloca la sentenza della Suprema Corte qui in commento, la quale ha confermato la legittimità̀ del licenziamento per gms irrogato nei confronti di un dipendente che, per 27 volte in 2 mesi (per un totale di circa 45 ore), aveva utilizzato la connessione internet aziendale per fini personali, sottraendo buona parte del proprio tempo-lavoro allo svolgimento delle mansioni assegnategli.
Tale sentenza risulta di particolare interesse alla luce degli argomenti trattati e delle soluzioni interpretative fornite dalla Corte di Cassazione.
Una prima problematica affrontata in sentenza è quella relativa alla mancata preventiva conoscenza, da parte del lavoratore, del regolamento sull’utilizzo degli apparati mobili aziendali, asseritamente derivante dall’omessa consegna dello stesso da parte del datore di lavoro.
Sul punto, la Suprema Corte ha esteso al caso di specie i principi relativi all’“onere di pubblicità del c.d. codice disciplinare”, secondo cui l’articolo 7, comma 1, St. Lav., si applica al licenziamento disciplinare unicamente laddove questo sia stato intimato per una delle specifiche ipotesi previste dal Ccnl o validamente poste dal datore di lavoro, e ciò onde evitare che il lavoratore sia licenziato per aver commesso fatti da lui non preventivamente conosciuti come mancanze.
Tale principio, al contrario, non può trovare applicazione allorquando il lavoratore abbia posto in essere un comportamento che “integri una violazione di una norma penale, o sia manifestamente contrario all’etica comune, ovvero concreti un grave inadempimento dei doveri fondamentali connessi al rapporto di lavoro, quali sono gli obblighi di diligenza e di fedeltà prescritti dagli artt. 2104 e 2105 c.c.”, posto che, in tal caso, il potere di licenziamento discende direttamente dalla legge.
Applicando detti principi al caso in esame, quindi, la Suprema Corte è pervenuta alla conclusione per cui il lavoratore era ben a conoscenza dell’illecito utilizzo di internet, a fini privati, durante l’orario di lavoro (e ciò a prescindere dalla mancata consegna, da parte del datore, del regolamento interno sull’utilizzo degli apparati mobili aziendali), rappresentando ciò “un ampio ed indebito utilizzo dello strumento aziendale, contrario alle regole elementari del vivere comune“.
Un altro interessante aspetto trattato in sentenza è quello relativo all’applicabilità o meno, nel caso di specie, della normativa sulla tutela della riservatezza.
Secondo il lavoratore – sebbene l’azienda non avesse analizzato i siti internet visitati né avesse esaminato i dati da lui “scaricati” – rientrerebbero nel concetto di “dati personali”, come tali suscettibili di tutela, anche quelli riportati nella lettera di contestazione (ossia i dati relativi al giorno, all’ora e alla durata della “navigazione” internet, nonché al volume del c.d. “traffico dati”).
La Suprema Corte ha ritenuto infondate tali argomentazioni, affermando che: “i dettagli del traffico, quali esclusivamente indicati nella lettera di contestazione disciplinare (data, ora, durata della connessione e importo del traffico), secondo l’accertamento compiuto sul punto dal giudice del merito, non costituiscono dati personali, non comportando alcuna indicazione di elementi riferibili alla persona dell’utente e di sue scelte o attitudini politiche, religiose, culturali, sessuali, rimanendo confinati in una sfera estrinseca e quantitativa che è di per sé sovrapponibile, senza alcuna capacità di individuazione, ad un numero indistinto di utenti della rete”.
Tale impostazione suscita alcune perplessità, e ciò per 3 ragioni:
- in primis perché è tutt’altro che certo (e processualmente accertabile), a nostro avviso, il fatto che il datore di lavoro abbia realmente omesso di verificare la natura dei siti internet visionati dal dipendente, non potendo ciò essere escluso con certezza assoluta;
- in secondo luogo perché il Garante della privacy, nella deliberazione n. 13/2007, ha affermato l’esatto opposto, ossia che l’utilizzo di internet da parte dei lavoratori può formare oggetto di analisi e di integrale ricostruzione attraverso l’elaborazione dei c.d. “log file” della navigazione web – estraibili da un proxy server o da un altro strumento di registrazione delle informazioni –, pervenendo alla conclusione che “le informazioni così trattate contengono dati personali anche sensibili riguardanti lavoratori o terzi, identificati o identificabili”;
- infine perché la Suprema Corte, con sentenza n. 18443/2013, aveva già aderito a tali indicazioni del Garante, evidenziando che il Legislatore interno – adottando una definizione di “dato sensibile” più ampia rispetto a quella comunitaria (quella cioè di “dato idoneo a rivelare” piuttosto che quella di “dato che rivela“) – ha esteso la tutela anche a quelle informazioni che, di per sé neutre, possano, “sulla scorta di un procedimento logico, condurre a rivelare dati peculiari, in relazione al particolare contesto in cui avviene il trattamento”.
Pertanto, si ritiene che la Corte di Cassazione – anche alla luce della sempre maggiore attenzione, sia a livello interno che comunitario, rivolta alla tutela dei dati personali – abbia omesso, nella sentenza n. 14862/2017, di soffermarsi adeguatamente sul punto, e ciò, a maggior ragione, se si considera che la richiamata deliberazione del Garante della privacy n. 13/2007 era stata espressamente recepita dal Ccnl applicabile alla fattispecie in esame, come evidenziato proprio dalla Suprema Corte.
Al riguardo – e anche al fine di evitare un esasperato (e per molti incomprensibile) ricorso a nozioni di informatica giuridica – si ritiene di aderire all’indicazione “di buon senso” prospettata dal Garante della privacy, il quale ha evidenziato la necessità che il datore di lavoro adotti: “una o più delle seguenti misure opportune, tenendo conto delle peculiarità proprie di ciascuna organizzazione produttiva e dei diversi profili professionali:
– individuazione di categorie di siti considerati correlati o meno con la prestazione lavorativa;
– configurazione di sistemi o utilizzo di filtri che prevengano determinate operazioni – reputate inconferenti con l’attività lavorativa – quali l’upload o l’accesso a determinati siti (inseriti in una sorta di black list) e/o il download di file o software aventi particolari caratteristiche (dimensionali o di tipologia di dato);
– trattamento di dati in forma anonima o tale da precludere l’immediata identificazione di utenti mediante loro opportune aggregazioni (ad es., con riguardo ai file di log riferiti al traffico web, su base collettiva o per gruppi sufficientemente ampi di lavoratori);
– eventuale conservazione nel tempo dei dati strettamente limitata al perseguimento di finalità organizzative, produttive e di sicurezza”.
Il terzo, e forse più importante, aspetto trattato dalla sentenza n. 14862/2017 è quello relativo all’applicabilità, nel caso in esame, del menzionato articolo 4, St. Lav., il quale subordina a un accordo con le Rsa (o a specifiche disposizioni dell’Ispettorato del lavoro) l’installazione in azienda di apparecchiature finalizzate al controllo a distanza dell’attività dei lavoratori per esigenze organizzative e produttive.
Preliminarmente, tuttavia, è doveroso evidenziare che la sentenza in questione è relativa a una fattispecie disciplinata dalla versione originaria della norma, nella quale non era presente il vigente comma 2 (introdotto dal D.Lgs. 151/2015), secondo cui “la disposizione del comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze”.
Ciò chiarito, si fa presente che, in ordine all’applicabilità del menzionato articolo 4 St. Lav. alla fattispecie in esame, la Corte di Cassazione ha effettuato un rinvio alla propria sentenza n. 10955/2015, laddove è stato affermato che tale norma: “fa parte di quella complessa normativa diretta a contenere in vario modo le manifestazioni del potere organizzativo e direttivo del datore di lavoro (…) sul presupposto – espressamente precisato nella Relazione ministeriale – che la vigilanza sul lavoro, ancorché necessaria nell’organizzazione produttiva, vada mantenuta in una dimensione umana, e cioè non esasperata dall’uso di tecnologie che possono rendere la vigilanza stessa continua e anelastica, eliminando ogni zona di riservatezza e di autonomia nello svolgimento del lavoro” (Cass., n. 8250/2000, cit., principi poi ribaditi da Cass., 17 luglio 2007, n. 15892, e da Cass., 23 febbraio 2012, n. 2722).
Il potere di controllo del datore di lavoro deve dunque trovare un contemperamento nel diritto alla riservatezza del dipendente, ed anche l’esigenza, pur meritevole di tutela, del datore di lavoro di evitare condotte illecite da parte dei dipendenti non può assumere portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore.
La Suprema Corte, nella sentenza n. 14862/2017 (nonché nella richiamata sentenza n. 10955/2015), ha tuttavia ritenuto che tale principio trovi applicazione unicamente allorquando i controlli a distanza posti in essere dal datore di lavoro riguardino l’attività lavorativa del dipendente e il suo esatto adempimento (ossia le modalità con cui egli, concretamente, svolge le mansioni assegnategli).
Il medesimo principio, al contrario, non troverebbe applicazione laddove i controlli a distanza fossero finalizzati – come nel caso in esame erano – a “individuare la realizzazione di comportamenti illeciti” da parte del lavoratore, “idonei a ledere il patrimonio aziendale sotto il profilo della sua integrità e del regolare funzionamento e della sicurezza degli impianti”. In tali ipotesi, secondo la Suprema Corte, si fuoriesce dallo schema normativo di cui al suindicato articolo 4, St. Lav., potendo quindi il datore di lavoro effettuare detti controlli occulti a distanza anche senza il previo accordo con le rappresentanze sindacali.
Tale indirizzo – la cui portata applicativa è senza dubbio rilevante – si pone tuttavia in contrasto sia con la menzionata giurisprudenza, che riconduce nell’alveo di tale disposizione anche la tipologia di controlli in esame, sia con la deliberazione del Garante della privacy n. 13/2007, secondo cui spetta al datore di lavoro indicare il corretto utilizzo degli strumenti informatici messi a disposizione, nonché la misura e le modalità con cui vengano effettuati i controlli anche a distanza (tale orientamento risulta in linea con la versione vigente dell’articolo 4 St. Lav., il quale, al comma 3, subordina l’utilizzabilità delle informazioni raccolte mediante controlli a distanza a una previa informativa rivolta al lavoratore circa le modalità d’uso e, soprattutto, di controllo).
I medesimi principi, infine, hanno trovato accesso anche nel settore del pubblico impiego con la direttiva n. 2/2009 della Presidenza del Consiglio dei Ministri-Dipartimento della funzione pubblica, laddove è stato ribadito, con un espresso richiamo alla deliberazione n. 13/2007 del Garante, che: “il datore di lavoro (secondo i poteri a lui affidati dalle norme del codice civile, articoli 2086, 2087 e 2104) può riservarsi di controllare l’effettivo adempimento della prestazione lavorativa ed il corretto utilizzo degli strumenti di lavoro. Nell’esercizio di tali prerogative, tuttavia, deve rispettare la libertà e la dignità dei lavoratori, tenendo presente, al riguardo, quanto disposto dalle norme poste a tutela del lavoratore (ci si riferisce, in particolare, al divieto di installare ʻ apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori ʼ di cui all’art. 4 della legge n. 300 del 1970)”.
Conclusioni
Alla luce di tutto quanto precede, è evidente la rilevanza concreta che la pronuncia della Suprema Corte è destinata ad assumere.
La “liberalizzazione giurisprudenziale” dei controlli “a distanza” volti ad individuare comportamenti illeciti da parte dei dipendenti, infatti, se da una parte funge da “richiamo all’ordine” per questi ultimi, dall’altra ribadisce la necessità di un bilanciamento degli interessi in gioco.
In ogni caso, si ritiene che la Corte di Cassazione, con la sentenza in esame, si sia deliberatamente posta in antitesi con l’orientamento giurisprudenziale più “permissivo” passato in rassegna e con le indicazioni fornite dal Garante della privacy, collocandosi scientemente nel solco di quegli indirizzi normativi che, negli ultimi anni, hanno visto un inasprimento della risposta sanzionatoria a fronte di comportamenti fraudolenti del dipendente, idonei a ingannare il datore di lavoro circa la presenza in servizio e il rispetto dell’orario di lavoro.
A prescindere dalla condivisibilità o meno di tale impostazione, ciò che è certo è che l’utilizzo (rectius: l’abuso) di internet nella vita quotidiana ha raggiunto livelli incontrollabili e talvolta patologici, i quali necessitano – quanto meno sul luogo di lavoro – di essere regimentati.
È proprio a tal fine, quindi, che deve essere interpretata la versione dell’articolo 4 St. Lav. oggi vigente (non sottoposta, lo si ripete, all’esame della Corte), il cui comma 2 – introdotto dal D.Lgs. 151/2015 – stabilisce che “la disposizione di cui al comma 1 (la quale subordina al previo accordo con le Rsa la possibilità di controlli a distanza per esigenze organizzative e produttive) non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa…”.
Ad avviso di chi scrive, ciò significa una cosa sola: ogni qual volta il lavoratore utilizzi, per connettersi a internet a fini privati, la strumentazione fornitagli dall’azienda (il che è ciò che più spesso accade), il suo diritto alla riservatezza cede il passo all’interesse del datore di lavoro a che la prestazione sia resa con la dovuta diligenza. In tal caso, nessun previo accordo con le Rsa sarà più necessario: attenzione, quindi, alla cronologia (e non solo) del vostro pc!
Si segnala che l’articolo è tratto da “La circolare di lavoro e previdenza“.
Centro Studi Lavoro e Previdenza – Euroconference ti consiglia: