Il caso: nel sistema informatico aziendale un virus criptava i files di vari dischi di rete, rendendoli inutilizzabili. Dalle indagini emergeva che il virus proveniva dal pc di una lavoratrice, da cui erano stati effettuati numerosi accessi (anche per lunghi periodi) a siti web, per finalità personali.
La lavoratrice veniva licenziata.
Seguiva un ricorso da parte di quest’ultima affinché venisse accertata l’illegittimità del licenziamento e fosse disposta la sua reintegrazione nel posto di lavoro.
Altresì la lavoratrice adiva l’Autorità Garante per la Protezione dei Dati Personali, la quale ordinava di interrompere qualsiasi ulteriore attività di trattamento dei dati acquisiti dalla cronologia del browser presente nel computer aziendale, in uso alla ricorrente. I dati estratti dal pc venivano comunque utilizzati nella causa di lavoro, ai fini della difesa nel relativo giudizio dalla parte datoriale.
Pronuncia della Corte di Cassazione (sentenza n. 25732/2021): i “controlli difensivi” tecnologici possono considerarsi legittimi se non sono fini a sé stessi, se realizzati ex post, a seguito di un comportamento illecito da parte del lavoratore.
In altri termini al datore di lavoro è consentito porre in essere controlli anche tecnologi, in presenza di un fondato sospetto circa la commissione di un illecito, sempre che i controlli riguardino dati acquisiti successivamente all’insorgere del sospetto e purché sia assicurato un corretto bilanciamento tra le esigenze di protezione degli interessi/beni aziendali e le imprescindibili tutele della dignità e riservatezza del lavoratore.
Nel caso di specie, era venuto meno l’accertamento ex post in relazione alla commissione dell’illecito, dato che il controllo del browser della lavoratrice e la raccolta dei dati erano stati effettuati prima dell’insorgere del sospetto.
