Dott.ssa Susanna Caruso
L’impossibilità totale di utilizzare i risultati delle indagini degli investigatori privati se ottenuti in violazione delle leggi sulla privacy (Sentenza 28378/2023 della Corte di Cassazione civile)
La pronuncia recente della Corte di Cassazione, con il numero 28378/2023 (che può essere consultata in calce al testo), ha gettato luce su una delicata questione legale riguardante l’impiego dei dati raccolti da investigatori privati nei cosiddetti controlli difensivi svolti dal datore di lavoro.
Nel caso specifico analizzato dalla Suprema Corte, è stata rilevata una violazione della normativa sulla privacy da parte dell’imprenditore, il quale aveva utilizzato informazioni ottenute tramite attività investigativa. Di conseguenza, la Corte ha giudicato tali dati come inutilizzabili, comportando così l’assenza di prove sufficienti per giustificare il licenziamento del dipendente coinvolto.
È interessante notare che, nonostante il Codice Privacy in vigore al momento dei fatti fosse la versione precedente all’entrata in vigore del Regolamento Generale sulla Protezione dei Dati (GDPR), la Corte ha ritenuto che le valutazioni giuridiche alla base della sentenza possono essere estese anche all’attuale versione normativa. Questo sottolinea l’importanza e la continuità delle disposizioni di legge dedicate alla protezione della privacy, indipendentemente dai cambiamenti legislativi nel corso degli anni.
I controlli difensivi
I controlli difensivi, che mirano a individuare condotte illecite da parte dei dipendenti, costituiscono un’eccezione al divieto generale di sorveglianza dei lavoratori stabilito dall’articolo 4 della legge n. 300/1970. Questa deroga è giustificata dalla necessità per il datore di lavoro di proteggere il proprio patrimonio aziendale nel caso in cui sorgano fondati dubbi sulla fedeltà di un dipendente.
I controlli difensivi rappresentano quindi il risultato di un complesso equilibrio da valutare caso per caso tra gli interessi del lavoratore e quelli dell’azienda, che sono sostanzialmente equivalenti. Questo bilanciamento richiede una valutazione attenta delle circostanze specifiche, in modo da giustificare l’ingerenza nella privacy del dipendente sulla base di fondati motivi di sicurezza e tutela del patrimonio aziendale.
In sintesi, i controlli difensivi rappresentano uno strumento legittimo per i datori di lavoro per garantire la protezione dell’azienda, ma devono essere esercitati nel rispetto dei principi di proporzionalità, finalità legittime e tutela dei diritti fondamentali dei dipendenti.
La Vicenda
La Società aveva preso la decisione di licenziare un dipendente che, durante il suo lavoro sul campo, era ripetutamente coinvolto in attività personali, inserendo dati errati nel sistema di registrazione degli orari di lavoro. Le contestazioni mosse alla dipendente erano basate su un confronto tra i rapporti presentati dal lavoratore e le informazioni emerse dalle indagini condotte da investigatori privati.
Il licenziamento è stato impugnato davanti al Tribunale di Milano, che ha accolto le argomentazioni del lavoratore e ha annullato la decisione della Società, considerandola punitiva e quindi illegittima. Il tribunale ha ritenuto che i controlli effettuati dal datore di lavoro fossero ingiustificati.
Tuttavia, in appello, i giudici hanno deciso che non c’era nessuna intenzione punitiva da parte della Società e, di conseguenza, hanno ammesso le prove raccolte durante le indagini difensive. Di conseguenza, il licenziamento è stato confermato.
Contro questa sentenza, il lavoratore ha presentato un ricorso in Cassazione. In questa sede, per la prima volta, ha sollevato l’argomento secondo cui il software WFM (Work Force Manager) utilizzato per registrare gli orari di lavoro era in realtà uno strumento di controllo a distanza illegittimo. Ha anche contestato la violazione delle regole deontologiche sulla privacy relative alle indagini private, poiché nel mandato investigativo non erano specificati i nomi degli investigatori delegati che avevano effettivamente condotto le indagini.
Gli argomenti della Cassazione
Nel contesto specifico dell’uso illecito del software, il lavoratore ha sollevato la violazione dell’articolo 4 della legge n. 300/1970. Questa norma regola l’utilizzo, da parte del datore di lavoro, di strumenti di controllo indiretto dei dipendenti, stabilendo che le informazioni eventualmente raccolte sui lavoratori possono essere utilizzate per tutti gli scopi legati al rapporto di lavoro, a condizione che sia fornita una adeguata informativa ai dipendenti.
Il lavoratore sosteneva quindi che i dati raccolti dal software fossero inutilizzabili, in quanto non aveva mai ricevuto alcuna informativa in merito. La Corte, tuttavia, ha osservato che tali dati non potevano essere considerati come risultato di un controllo a distanza non autorizzato, ma piuttosto come elemento di confronto con le indagini investigative, rivelando solo in quel contesto la condotta illecita.
Di conseguenza, la Corte ha respinto l’argomento del ricorrente in quanto non pertinente al caso in esame. Tuttavia, la Corte ha assunto una posizione diversa rispetto alla violazione delle Regole Deontologiche. Il lavoratore ha sollevato la violazione dell’articolo 8, comma 4, del Codice Deontologico relativo ai trattamenti dei dati personali effettuati per indagini difensive (Allegato 6.A, Codice Privacy pre-GDPR).
Questa disposizione stabilisce che l’investigatore incaricato può avvalersi di delegati specificamente indicati nel mandato investigativo o aggiunti successivamente. La Cassazione ha stabilito che, nel caso specifico, sebbene il mandato prevedesse la possibilità di avvalersi di investigatori esterni alla Società mandante, indicandone i nomi a piè di pagina, in realtà si sono avvalsi di investigatori esterni senza specificare i loro nominativi, violando così non solo il contratto ma anche le Regole Deontologiche.
L’irregolarità
Questa irregolarità, seppur di natura formale, comprometteva retroattivamente l’autorizzazione delle persone che avevano effettivamente acquisito le informazioni, determinando l’illegittimità del trattamento e, di conseguenza, l’inutilizzabilità assoluta delle stesse informazioni. Questo è in conformità con quanto stabilito dall’articolo 11 del Codice Privacy (vecchia formulazione), che rendeva inutilizzabili i dati raccolti in violazione delle norme sulla privacy. La Corte suprema, dichiarando quindi inammissibili i risultati delle indagini, ha giudicato inesistente sin dall’inizio il fatto contestato nel procedimento disciplinare.
L’analisi effettuata dagli Ermellini sul confronto tra la vecchia e l’attuale normativa è davvero interessante. Nel 2018, l’articolo 11 del Codice Privacy è stato sostituito dall’articolo 2 decies con formulazione identica, ad eccezione del richiamo all’articolo 160 bis, il quale a sua volta rimanda alle disposizioni processuali pertinenti sull’inutilizzabilità della prova in sede giudiziale. Anche se l’inutilizzabilità dei dati nel sistema processuale civile non è esplicitamente prevista nell’articolo 2 decies, la Suprema Corte ritiene che tale inutilizzabilità possa comunque essere desunta dal complesso dei principi che lo regolano. Questo conferma la portata dell’inutilizzabilità, come stabilita dal precedente Codice Privacy, anche nella nuova normativa.
In altre parole, nonostante il cambiamento normativo, l’inutilizzabilità dei dati nel contesto processuale civile è ancora garantita e considerata una parte fondamentale dei principi che governano la protezione dei dati personali. Questo dimostra un’attenzione continua alla salvaguardia della privacy e al corretto utilizzo delle informazioni durante i procedimenti giudiziari.
Conclusioni
La pronuncia della Corte di Cassazione ha sottolineato non solo l’importanza “normativa” dei Codici Deontologici, ma ha anche voluto lanciare un monito significativo ai datori di lavoro negligenti in materia di privacy. In particolare, all’interno dei cosiddetti controlli difensivi, l’ingerenza del datore di lavoro trova un limite nel rispetto della dignità e della riservatezza del lavoratore.
Questo è garantito tramite un corretto trattamento dei suoi dati personali. Se tale limite viene violato, le prove raccolte potrebbero diventare inutilizzabili. La decisione della Corte di Cassazione enfatizza il fatto che i datori di lavoro devono essere consapevoli dei diritti fondamentali dei dipendenti. Pertanto, devono agire in modo responsabile nel trattamento dei loro dati personali.
Ciò significa che i controlli effettuati devono essere proporzionati, finalizzati al perseguimento di un legittimo interesse e condotti nel rispetto della privacy del lavoratore. Se queste condizioni non sono rispettate, le prove ottenute attraverso tali controlli potrebbero essere considerate inutilizzabili in un eventuale procedimento legale.
Questa pronuncia rappresenta quindi un importante monito per i datori di lavoro, invitandoli a prestare attenzione alla protezione dei dati personali dei propri dipendenti durante l’esecuzione di controlli difensivi. La dignità e la riservatezza dei lavoratori devono essere sempre preservate, in conformità con i principi fondamentali del rispetto della privacy e dei diritti umani.
