Cassazione Civile, Sez. Lav., 26 giugno 2023, n. 18168 - Licenziato a seguito del controllo della posta aziendale. I controlli difensivi in senso stretto sono consentiti solo in presenza di un fondato sospetto circa la commissione di un illecito
Una banca aveva licenziato un dirigente a seguito di un controllo sulla sua posta elettronica aziendale.
La Corte d’Appello di Milano aveva dichiarato il monitoraggio illegittimo, in quanto la banca non aveva garantito “la proporzionalità e le garanzie procedurali contro l’arbitrarietà del datore di lavoro”.
In particolare, la banca:
- non aveva allegato i “motivi che hanno portato ad un’indagine così invasiva”;
- aveva controllato “indistintamente tutte le comunicazioni presenti nel pc aziendale in uso” al lavoratore “e senza limiti di tempo dando vita così ad una indagine invasiva massiccia ed indiscriminata non giustificata”;
- non aveva informato preventivamente il lavoratore “della possibilità che le comunicazioni che effettuava sul pc aziendale avrebbero potuto essere monitorate né del carattere e della portata del monitoraggio o del livello di invasività nella sua corrispondenza”;
- non aveva acquisito il consenso del lavoratore al controllo della posta elettronica aziendale come prescritto dal regolamento aziendale della cui esistenza, peraltro, il lavoratore non era nemmeno a conoscenza.
La sentenza è stata confermata dalla Corte di Cassazione.
La Corte richiama innanzitutto la distinzione tra i controlli a difesa del patrimonio aziendale che riguardano tutti i lavoratori e che devono essere realizzati nel rispetto dell’art. 4 Statuto dei Lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro) e i controlli anche tecnologici diretti ad accertare specificamente condotte illecite ascrivibili - in base a concreti indizi – a singoli dipendenti (c.d. “controlli difensivi in senso stretto” ) che sono “all'esterno del perimetro applicativo dell'art. 4” dello Statuto dei Lavoratori e non richiedono il preventivo accordo sindacale o l’autorizzazione dell’ispettorato del lavoro.
I controlli difensivi in senso stretto sono consentiti solo “in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all'insorgere del sospetto”.
Il controllo deve, quindi, essere “mirato” sul singolo lavoratore ed “attuato ex post”, ossia a seguito del comportamento illecito del lavoratore, in quanto “solo a partire da quel momento il datore può provvedere alla raccolta di informazioni utilizzabili … non essendo possibile l'esame e l'analisi di informazioni precedentemente assunte in violazione delle prescrizioni di cui all'art.4 St. lav.”.
La Corte sottolinea, poi, che anche in virtù del principio di vicinanza della prova, l’onere probatorio spetta al datore di lavoro, il quale deve “allegare prima e provare poi le specifiche circostanze che lo hanno indotto ad attivare il controllo tecnologico ex post, considerato che solo tale "fondato sospetto" consente al datore di lavoro di porre la sua azione al di fuori del perimetro di applicazione diretta dell'art. 4”.
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE SUPREMA DI CASSAZIONE
SEZIONE LAVORO
Composta dagli Ill.mi Sigg.ri Magistrati:
Dott. RAIMONDI Guido - Presidente -
Dott. CINQUE Guglielmo - Consigliere -
Dott. AMENDOLA Fabrizio - rel. Consigliere -
Dott. CASO Francesco G.L. - Consigliere -
Dott. MICHELINI Gualtiero - Consigliere -
ha pronunciato la seguente:
SENTENZA
sul ricorso 25834-2021 proposto da:
BANCA WIDIBA Spa , in persona del legale rappresentante pro tempore, elettivamente domiciliata in ROMA, VIALE CARSO N. 71, presso lo studio dell'avvocato NICOLA PAGNOTTA, che la rappresenta e difende unitamente all'avvocato CLAUDIO MORPURGO;
- ricorrente -
contro
A.A., elettivamente domiciliato in ROMA, VIA DELLA CONCILIAZIONE N. 10, presso lo STUDIO TOFFOLETTO DE LUCA TAMAJO & SOCI, rappresentato e difeso dagli avvocati RAFFAELE DE LUCA TAMAJO, FEDERICA PATERNO', FRANCO TOFFOLETTO, ANNARITA AMMIRATI;
- controricorrente -
avverso la sentenza n. 518/2021 della CORTE D'APPELLO di MILANO, depositata il 05/08/2021 R.G.N. 1209/2019;
udita la relazione della causa svolta nella pubblica udienza del 08/06/2023 dal Consigliere Dott. FABRIZIO AMENDOLA;
il P.M. in persona del Sostituto Procuratore Dott. RITA SANLORENZO visto del D.L. 28 ottobre 2020, n. 137, l'art. 23, comma 8 bis convertito con modificazioni nella L. 18 dicembre 2020, n. 176, ha depositato conclusioni scritte.
Fatto
1. La Corte di Appello di Milano, con la sentenza impugnata, ha confermato la pronuncia di primo grado, con cui era stata accertata l'illegittimità del licenziamento, intimato da Banca Widiba Spa al dirigente A.A. in data 8 maggio 2018, con condanna della società al pagamento di somme a titolo di indennità sostitutiva del preavviso, di indennità supplementare, di spettanze per incidenza sul TFR, oltre interessi e rivalutazione monetaria.
2. La Corte territoriale ha rammentato che il licenziamento faceva seguito a tre contestazioni disciplinari dell'1.2.2018, del 7.2.2018 e del 3.5.2018, con le quali era stata addebitata al lavoratore "una condotta di insubordinazione e di violazione dei doveri di diligenza e fedeltà nonchè dei generali principi di correttezza e buona fede per avere intrattenuto rapporti e contatti con soggetti riferibili a realtà imprenditoriali in concorrenza (prima e seconda contestazione) e per essersi sottratto ad un accertamento tecnico preventivo, facendo così dubitare della genuinità della malattia posta a fondamento delle assenze (terza contestazione)".
Ha evidenziato la Corte milanese che il primo giudice, premesso che gli elementi di prova relativi ai fatti oggetto delle prime due contestazioni disciplinari erano stati raccolti a seguito di attività investigativa di controllo della posta elettronica aziendale, cd. "digital forensics", e di pedinamento, ne aveva ritenuto l'illegittimità "per totale carenza di allegazioni in ordine al motivo che aveva determinato una così vasta attività di indagine nonchè, con specifico riferimento all'attività di digital forensics, per la per mancata acquisizione preventiva del consenso da parte del lavoratore al controllo della posta elettronica aziendale come prescritto dal regolamento aziendale (...), che tra l'altro non risultava nemmeno portato a conoscenza del lavoratore nè tantomeno dallo stesso sottoscritto per accettazione".
3. Al cospetto dell'impugnazione proposta dalla società, la Corte territoriale ha ritenuto, richiamando giurisprudenza di legittimità e della Corte Europea dei diritti dell'uomo, che, nel caso in esame, non fossero state garantite "la proporzionalità e le garanzie procedurali contro l'arbitrarietà del datore di lavoro". Era mancata, innanzitutto, la "giustificazione del monitoraggio", in quanto la società non aveva "dedotto nè tantomeno provato alcunchè in ordine ai motivi che hanno portato ad un'indagine così invasiva"; omissione che non poteva essere colmata "attraverso i motivi che hanno giustificato l'incarico investigativo riportati nella relazione", tanto più che nel dossier investigativo, a giustificazione dell'incarico, si faceva riferimento a "circostanziate segnalazioni", di cui però agli atti non risultava traccia, nè potevano bastare "meri sospetti". Inoltre, il monitoraggio - secondo quanto accertato dalla Corte - aveva riguardato "indistintamente tutte le comunicazioni presenti nel pc aziendale in uso a A.A. e senza limiti di tempo, dando vita così ad una indagine invasiva massiccia ed indiscriminata non giustificata", con una violazione del diritto del lavoratore al rispetto della sua corrispondenza ancora più evidente considerando che "la società non ha provato di aver preliminarmente informato il lavoratore della possibilità che le comunicazioni che effettuava sul pc aziendale avrebbero potuto essere monitorate nè del carattere e della portata del monitoraggio o del livello di invasività nella sua corrispondenza".
La Corte milanese ha, poi, ravvisato "la medesima assenza di una specifica motivazione a giustificazione dell'attività investigativa, con conseguente illegittimità dell'attività stessa, (...) anche con riferimento all'attività di pedinamento, rispetto alla quale la società non ha depositato nemmeno il conferimento dell'incarico", rilevando, tra l'altro, "come gli incontri descritti nella relazione trovino nella prospettiva della società, come esposta nelle contestazioni disciplinari, una loro spiegazione solo alla luce della corrispondenza che, come sopra evidenziato, è stata acquisita illegittimamente, con la conseguente inutilizzabilità anche del dossier investigativo relativo al pedinamento".
4. Avuto riguardo alle "condotte di cui ai capi b), c), d) della contestazione disciplinare dell'1.2.2018", la Corte territoriale, constatando che effettivamente non costituivano oggetto dei dossier investigativi prima esaminati, ne ha tuttavia escluso la "rilevanza disciplinare".
5. Circa il motivo di appello con cui la società censurava l'assunto del Tribunale che aveva ritenuto altresì violato la L. n. 300 del 1970, art. 7 per mancata audizione orale del lavoratore che l'aveva richiesta, la Corte ha argomentato che "la società aveva aderito al differimento dell'audizione in ragione delle condizioni di salute del lavoratore ed aveva espressamente comunicato a quest'ultimo che l'audizione si sarebbe svolta al termine del periodo di malattia o comunque non appena il lavoratore avesse comunicato la propria disponibilità". Non poteva perciò operare nel caso in esame l'orientamento giurisprudenziale invocato dalla società, orientamento secondo il quale grava sul lavoratore l'onere di dimostrare che le proprie condizioni di salute siano effettivamente incompatibili con l'espletamento dell'audizione orale.
6. Infine, in ordine alla doglianza con cui la società lamentava, in riferimento alla illegittimità della terza contestazione del 3.5.2018, che il primo giudice "non aveva considerato una serie di elementi dedotti dalla società idonei a dimostrare la non genuinità della malattia del lavoratore", la Corte ha richiamato il principio giurisprudenziale secondo cui l'accertamento tecnico preventivo ex art. 445 bis c.p.c. non può comunque essere utilizzato per consentire al datore di lavoro di controllare lo stato di salute dei propri dipendenti.
7. Per la cassazione di tale sentenza ha proposto ricorso la soccombente società con quattro motivi; ha resistito con controricorso l'intimato.
La Procura Generale ha depositato memoria scritta, concludendo per il rigetto del ricorso.
La parte ricorrente ha comunicato memoria ex art. 378 c.p.c..
Diritto
1. Il primo motivo di ricorso denuncia: "Violazione e/o falsa applicazione della L. 20 maggio 1970, n. 300, artt. 2, 3 e 4 nonchè degli artt. 113, 114 e 160 del Codice della Privacy, anche in relazione all'art. 2697 c.c. e agli artt. 115, 116, 421 e 427 c.p.c. (art. 360 c.p.c., comma 1, n. 3)".
Si critica diffusamente la Corte d'Appello di Milano per avere ritenuto illegittima l'acquisizione da parte di Widiba delle circostanze emerse dai due dossier investigativi commissionati e oggetto delle contestazioni disciplinari mosse al Sig. A.A. rispettivamente con lettera del 1 febbraio 2018 e del 7 febbraio 2018.
Si eccepisce che il datore di lavoro può, "anche a fronte del solo sospetto e dell'esigenza, quindi, di evitare il compimento di condotte illecite, effettuare delle verifiche, anche per il tramite di agenzie investigative, dirette ad accertare comportamenti del prestatore illeciti e lesivi del patrimonio e dell'immagine aziendale", in quanto tali modalità di controllo - riconducibili all'area dei c.d. "controlli difensivi in senso stretto" - restano estranee all'ambito di applicazione delle garanzie di cui all'art. 4 dello Statuto del Lavoratori.
Si sostiene che, anche in ragione del "solo sospetto" o della "mera ipotesi" che "illeciti potessero essere in corso di esecuzione (considerato anche il settore di attività)" si potesse "legittimamente far controllare la posta elettronica aziendale del dipendente a fini difensivi".
2. Il motivo è infondato alla stregua dei più recenti arresti giurisprudenziali in materia (cfr. Cass. n. 25732 del 2021; successiva conf. Cass. n. 34092 del 2021) che vanno qui ribaditi.
2.1. Questa Corte, chiamata a pronunciarsi sulla questione di rilievo nomofilattico circa la compatibilità dei c.d. "controlli difensivi" (ab imo v. Cass. n. 4746 del 2002) con la modifica dell'art. 4 dello Statuto dei lavoratori recata dal D.Lgs. n. 151 del 2015 e successive integrazioni, art. 23 ha affermato principi che possono essere sintetizzati come di seguito (rinviando per il relativo supporto argomentativo ai precedenti richiamati anche ai sensi dell'art. 118 disp. att. c.p.c.).
Occorre distinguere, anche per comodità di sintesi verbale, "tra i controlli a difesa del patrimonio aziendale che riguardano tutti i dipendenti (o gruppi di dipendenti) nello svolgimento della loro prestazione di lavoro che li pone a contatto con tale patrimonio, controlli che dovranno necessariamente essere realizzati nel rispetto delle previsioni dell'art. 4 novellato in tutti i suoi aspetti e "controlli difensivi" in senso stretto, diretti ad accertare specificamente condotte illecite ascrivibili - in base a concreti indizi - a singoli dipendenti, anche se questo si verifica durante la prestazione di lavoro"; questi ultimi "controlli, anche se effettuati con strumenti tecnologici, non avendo ad oggetto la normale attività del lavoratore", si situano, ancora oggi, "all'esterno del perimetro applicativo dell'art. 4" (Cass. n. 25732/2021 cit., punti 31 e 32).
Per non avere ad oggetto una "attività - in senso tecnico - del lavoratore", il controllo "difensivo in senso stretto" deve essere "mirato" ed "attuato ex post", ossia "a seguito del comportamento illecito di uno o più lavoratori del cui avvenuto compimento il datore abbia avuto il fondato sospetto", perchè solo a partire "da quel momento" il datore può provvedere alla raccolta di informazioni utilizzabili (Cass. n. 25732/2021 cit., punti 40 e 44).
Tuttavia, anche "in presenza di un sospetto di attività illecita", occorrerà, nell'osservanza della disciplina a tutela della riservatezza del lavoratore, e segnatamente dell'art. 8 della Convenzione Europea dei diritti dell'uomo come interpretato dalla giurisprudenza della Corte EDU, "assicurare un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, con un contemperamento che non può prescindere dalle circostanze del caso concreto" (Cass. n. 25732/2021 cit., punti 36 e 38, in cui si richiama Cass. n. 26682 del 2017).
I tre profili sono compendiati nel finale principio di diritto che così statuisce: "Sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purchè sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all'insorgere del sospetto" (Cass. n. 25732/2021 cit., punto 51).
2.2. Avuto riguardo alla controversia all'attenzione del Collegio, in cui la società ricorrente invoca proprio la sussistenza di un "controllo difensivo in senso stretto" sul computer aziendale del dipendente, viene in particolare rilevo la ripartizione degli oneri processuali di allegazione e prova in ordine agli elementi di fatto dai quali scaturisce il "fondato sospetto" che legittima tale tipologia di controlli.
Non può dubitarsi che incomba sul datore di lavoro l'onere di allegare prima e provare poi le specifiche circostanze che lo hanno indotto ad attivare il controllo tecnologico ex post, considerato che solo tale "fondato sospetto" consente al datore di lavoro di porre la sua azione al di fuori del perimetro di applicazione diretta dell'art. 4 St. lav. e tenuto altresì conto del più generale criterio legale L. n. 604 del 1966, ex art. 5 che grava la parte datoriale dell'onere di provare il complesso degli elementi che giustificano il licenziamento.
Nè può trascurarsi il c.d. "principio di vicinanza della prova", definito, come noto, da Cass. SS.UU. n. 13533 del 2001, come quel criterio per cui l'onere della prova deve essere "ripartito tenuto conto, in concreto, della possibilità per l'uno o per l'altro soggetto di provare fatti e circostanze che ricadono nelle rispettive sfere di azione", con la precisazione che la vicinanza riguarda la possibilità di conoscere in via diretta o indiretta il fatto, e non già la possibilità concreta di acquisire la relativa prova (da ultimo v. Cass. n. 12910 del 2022). Sicchè sarebbe lesivo del diritto di azione e difesa del lavoratore addossargli un gravoso onere rispetto a fatti estranei alla sua sfera di conoscenza, mentre il datore di lavoro è agevolmente posto nella condizione di identificarli, in quanto nella sua disponibilità e allo stesso più prossimi e, quindi, più facilmente suffragabili.
Allegazione e prova che devono riguardare anche circostanze temporalmente collocate, atteso che le stesse segnano il momento a partire dal quale i dati acquisiti possono essere utilizzati nel procedimento disciplinare e, successivamente, in giudizio, non essendo possibile l'esame e l'analisi di informazioni precedentemente assunte in violazione delle prescrizioni di cui all'art. 4 St. lav., estendendo "a dismisura" l'area del controllo difensivo lecito (cfr. Cass. n. 25732/2021 cit., punto 41), considerato che non può essere reso retroattivamente lecito un comportamento che tale non era al momento in cui fu tenuto.
Una volta consegnati al contraddittorio gli elementi che la parte datoriale adduce a fondamento dell'iniziativa di controllo tecnologico, spetterà al giudice valutare, mediante l'apprezzamento delle circostanze del caso, se gli stessi fossero indizi, materiali e riconoscibili, non espressione di un puro convincimento soggettivo, idonei a concretare il fondato sospetto della commissione di comportamenti illeciti. Perchè solo la sussistenza di essi costituisce riscontro oggettivo dell'autenticità dell'intento difensivo del controllo, non diretto, quindi, ad un generale monitoraggio dell'attività lavorativa di dipendenti, quanto piuttosto "mirato" ad accertare prefigurate condotte contra ius, non attinenti al mero inadempimento degli obblighi derivanti dalla prestazione lavorativa.
2.3. Peraltro, la nozione di "fondato sospetto", affidata alla concretizzazione del giudice del merito, non risulta estranea al campo del diritto.
Il codice di procedura penale, ad esempio, consente l'intercettazione dei colloqui fra persone presenti (art. 266, comma 2) anche quando essi si svolgono nei luoghi di privata dimora nel caso in cui esista un fondato sospetto che si stia esercitando l'attività criminosa (cfr. Cass. pen. 36770 del 2003) nonchè la perquisizione "quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorchè protetto da misure di sicurezza" (art. 247, comma 1-bis).
Anche in ambito extra-penale, sempre a titolo di esempio, in tema di controlli tributari, l'Ufficio finanziario, nella fase delle indagini dirette all'accertamento dell'evasione di imposta da parte di una società di capitali, è legittimato a richiedere agli istituti bancari l'accesso ai conti e depositi bancari formalmente intestati ai soci anche non amministratori e - in caso di ristretta compagine sociale - anche ai conti/depositi intestati ai loro familiari, qualora sussistano "fondati sospetti" che la società verificata abbia partecipato ad operazioni imponibili "soggettivamente" inesistenti volte a evadere l'imposta sul valore aggiunto (cfr. Cass. n. 12624 del 2012). Così pure il titolare di un marchio tutelato nell'ambito dell'Unione Europea non può opporsi al mero transito nel territorio della UE di prodotti che si assumono contraffatti, a meno che non si dimostri l'esistenza del fondato sospetto che detti prodotti siano destinati ad essere immessi in commercio (v. Cass. n. 22046 del 2016).
Proprio nella materia che qui occupa, poi, la giurisprudenza della Corte Edu (nel caso López Ribalda e altri c. Spagna, 17 ottobre 2019) ha ritenuto che costituisca una giustificazione legittima del controllo "l'esistenza di un ragionevole sospetto circa la commissione di illeciti", mentre "non è accettabile la posizione secondo cui anche il minimo sospetto di appropriazione illecita possa autorizzare l'installazione di strumenti occulti di videosorveglianza". Al "ragionevole sospetto dell'esistenza di condotte lesive di beni estranei all'adempimento dell'obbligazione lavorativa" si richiama anche Cass. n. 26682 del 2017 già citata.
2.4. La perdurante ammissibilità di controlli datoriali di tipo difensivo sottratti all'operatività della disciplina dello Statuto dei lavoratori, anche dopo l'entrata in vigore del nuovo testo dell'art. 4, è riconosciuta da questa Corte anche in sede penale.
Si è di recente statuito che: "Non è configurabile la violazione della disciplina di cui alla L. n. 300 del 1970, artt. 4 e 38 - tuttora penalmente sanzionata in forza del D.Lgs. n. 196 del 2003, art. 171 come modificato dalla L. n. 101 del 2018 - quando l'impianto audiovisivo o di controllo a distanza, sebbene installato sul luogo di lavoro in difetto di accordo con le rappresentanze sindacali legittimate o di autorizzazione dell'Ispettorato del lavoro, sia strettamente funzionale alla tutela del patrimonio aziendale, sempre che il suo utilizzo non implichi un significativo controllo sull'ordinario svolgimento dell'attività lavorativa dei dipendenti o resti necessariamente "riservato" per consentire l'accertamento di gravi condotte illecite degli stessi" (Cass. pen. 3255 del 2021).
La Cassazione penale reputa persuasiva l'osservazione, comune anche alla giurisprudenza civile (si richiama Cass. n. 10636 del 2017), secondo la quale non risponderebbe ad alcun criterio logico-sistematico garantire al lavoratore - in presenza di condotte illecite sanzionabili penalmente - una tutela alla sua "persona" più intensa di quella riconosciuta ai terzi estranei all'impresa.
Si richiamano a sostegno pronunce adottate nel vigore del precedente testo dell'art. 4 St. lav. (v. Cass. pen. 8042 del 2006), oltre alla elaborazione giurisprudenziale in tema di utilizzabilità come prove nel processo penale dei risultati delle videoriprese effettuate sul luogo di lavoro a tutela del patrimonio aziendale, in assenza di previo accordo con le rappresentanze sindacali competenti e di previa autorizzazione dell'Ispettorato del lavoro, secondo cui "sono utilizzabili nel processo penale, ancorchè imputato sia il lavoratore subordinato, i risultati delle videoriprese effettuate con telecamere installate all'interno dei luoghi di lavoro ad opera del datore di lavoro per esercitare un controllo per tutelare il patrimonio aziendale messo a rischio da possibili comportamenti infedeli dei lavoratori, in quanto le norme dello Statuto dei lavoratori poste a presidio della loro riservatezza non proibiscono i cosiddetti controlli difensivi del patrimonio aziendale e non giustificano pertanto l'esistenza di un divieto probatorio" (cfr. Cass. pen. 2890 del 2015; Cass. pen. 34842 del 2011; Cass. pen. 20722 del 2010).
2.5. Nel caso in cui il datore di lavoro non riesca a fornire la prova che i dati di matrice tecnologica posti a fondamento della procedura disciplinare siano stati legittimamente acquisiti, la sanzione prevista dall'ordinamento discende dalla previsione generale in materia di protezione della privacy secondo cui "i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati" (D.Lgs. n. 196 del 2003, art. 11, comma 2, nella formulazione vigente all'epoca dei fatti).
La radicale inutilizzabilità delle informazioni assunte in violazione della disciplina a tutela della riservatezza del lavoratore è già stata affermata da questa Corte - avuto riguardo alla precedente stesura dell'art. 4 St. Lav. - in ipotesi di dati volti a provare l'inadempimento contrattuale del dipendente in sede disciplinare (v. Cass. n. 19922 del 2016 e Cass. n. 16622 del 2012).
Nella fattispecie all'attenzione del Collegio, la Corte territoriale ha accertato che la società non aveva "dedotto nè tantomeno provato alcunchè in ordine ai motivi" che avevano condotto all'indagine sul pc del dipendente, non trovandosi traccia agli atti neanche delle "circostanziate segnalazioni" genericamente dedotte nella relazione investigativa.
Pertanto, conformemente ai principi innanzi espressi, la Corte milanese ha respinto il motivo di gravame con cui l'appellante, invece, negava sussistere "in capo alla società alcun onere di allegazione e/o probatorio in relazione alla "giustificazione" della propria determinazione di far effettuare le indagini a carico del proprio dirigente", con conseguente declaratoria di inutilizzabilità dei dati così illegittimamente acquisiti al fine di giustificare il licenziamento.
2.6. Del pari infondate sono le doglianze avverso la parte della sentenza impugnata che ha giudicato come, nel caso in esame, non siano state neanche "garantite la proporzionalità e le garanzie procedurali contro l'arbitrarietà del datore di lavoro", in particolare con riferimento alla violazione degli obblighi di informazione preventiva.
Infatti, questa Corte, nell'arresto richiamato in esordio, ha riaffermato il principio secondo cui "in nessun caso può essere giustificato un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore" (Cass. n. 25732/2021 cit., punto 37), statuendo per la Corte del rinvio che, anche nel caso di controllo difensivo "in senso stretto" lecito, occorre comunque sia "assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore" (analogamente v. pure Cass. n. 34092/2021, punto 21.10). Opportuno sottolineare che detta comparazione ispira uno dei principi e criteri direttivi della L. n. 183 del 2014 che, all'art. 1, comma 7, lett. f), ha delegato il Governo alla "revisione della disciplina dei controlli a distanza sugli impianti e sugli strumenti di lavoro, tenendo conto dell'evoluzione tecnologica e contemperando le esigenze produttive ed organizzative dell'impresa con la tutela della dignità e della riservatezza del lavoratore".
Proprio sulla base di detta delega è stata attuata la riformulazione dell'art. 4 St. lav. e può ben dirsi che l'esigenza di contemperare l'interesse del lavoratore alla tutela di beni primari quali la dignità e la riservatezza e l'interesse del datore di lavoro alla salvaguardia del patrimonio e dell'immagine aziendale intesse la trama dell'intera disciplina dei controlli tecnologici, anche nel concorrere multilivello di fonti interne e sovranazionali.
2.7. Siffatto bilanciamento non è senza regole.
Il rilievo che, per i controlli difensivi in senso stretto, non opera la disciplina speciale dettata dall'art. 4 dello Statuto, come novellato, non significa che, laddove sia comunque riscontrabile un trattamento di dati personali del lavoratore, non occorra rispettare la disciplina generale prevista per la protezione di qualsiasi cittadino dal Codice della privacy, vigente all'epoca dei fatti della presente causa, e, a partire dal 25 maggio 2018, dal Regolamento UE 2016/679 e dallo stesso Codice, come modificato dal D.Lgs. n. 101 del 2018 entrato in vigore il 19 settembre 2018.
Se anche nel caso di controlli a distanza attuati nell'osservanza dei commi 1 e 2 dell'art. 4 St. lav., il comma 3 dello stesso articolo pretende il "rispetto di quanto disposto dal D.Lgs. 20 giugno 2003, n. 196", costituirebbe una ingiustificata aporia del sistema - peraltro priva di base legale - il sottrarre alla disciplina generale della protezione dei dati personali il rapporto del lavoratore con il suo datore. Pertanto, il complesso dei principi espressi nel Codice della privacy e nel Regolamento Europeo 2016/679 (GDPR)deve orientare il giudice nella delicata opera di bilanciamento e di delimitazione del confine tra l'interesse del lavoratore e l'interesse del datore di lavoro, con un contemperamento che non può prescindere dall'apprezzamento di tutte le circostanze del caso concreto.
Ancor prima lo stesso datore di lavoro, in sede di iniziativa finalizzata ad attuare un controllo per fini difensivi, è tenuto a compiere una valutazione relativa all'impatto concreto nei confronti della sfera personale dei lavoratori, alla stregua dei principi che regolano, per chiunque, le modalità di trattamento dei dati personali.
A partire dagli incombenti informativi previsti dall'art. 13 del Codice della privacy (vigente all'epoca dei fatti) e (successivamente) dall'art. 13 del Regolamento Europeo, espressione altresì del principio generale di correttezza dei trattamenti, contenuto nell'art. 11, comma 1, lett. a), del Codice e nell'art. 5, par. 1, lett. a) del Regolamento. Rispetto a tali incombenti, la deroga prevista dall'art. 13, comma 5, lett. b) del Codice, costituita dall'esigenza di "far valere o difendere un diritto in sede giudiziaria", ha posto la condizione che "i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento". Secondo il successivo art. 24, comma 1, lett. f), per escludere il consenso dell'interessato, era richiesto dal Codice all'epoca vigente che il trattamento fosse "necessario ai fini dello svolgimento delle investigazioni difensive di cui alla L. 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento". In seguito, l'art. 6 par. 1, lett. f), del Regolamento ha confermato che una delle condizioni di liceità del trattamento è rappresentata dal fatto che lo stesso "è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi", ma sempre "a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali".
Guidano, in ogni caso, nella valutazione del caso concreto, i principi di minimizzazione e di proporzionalità, di pertinenza e di non eccedenza rispetto ad uno scopo che sia legittimo, di trasparenza e correttezza, ricavabili dal Codice della privacy e dal Regolamento UE n. 2016/679.
2.8. La ricostruzione offerta della cornice normativa e giurisprudenziale appare coerente con la giurisprudenza della Corte Europea dei diritti dell'uomo, formatasi sull'art. 8 della Convenzione, il quale non solo protegge l'individuo contro l'ingerenza arbitraria dell'autorità pubblica, ma, in positivo, richiede l'adozione di misure volte al rispetto effettivo della vita privata o familiare anche nei rapporti tra privati. Alla Corte di Strasburgo compete verificare, alla luce dell'insieme delle risultanze di causa sottoposte al suo vaglio, la scelta delle misure appropriate per garantire il rispetto dell'art. 8, tenuto conto del margine di discrezionalità riservato agli Stati contraenti.
Questa Corte ha avuto già modo di rilevare come la tesi della sopravvivenza dei "controlli difensivi" trovi conforto nella giurisprudenza della Corte EDU, citando proprio il caso Lopez Ribalda e altri c. Spa gna, deciso dalla Grande Camera ritenendo legittima l'iniziativa datoriale di controllo occulto di lavoratori mediante dispositivi di videoripresa, alimentata da un "ragionevole sospetto" circa la commissione di gravi illeciti, "in quanto proporzionata rispetto al fine (in sè legittimo) di tutelare l'interesse organizzativo professionale del datore di lavoro" (Cass. n. 25732/2021 cit., punto 35).
Anche successivamente la Corte di Strasburgo si è mossa nella medesima prospettiva, non riscontrando la violazione dell'art. 8 della Convenzione nel caso Gramaxo c. Portogallo, deciso con sentenza sezionale del 13 dicembre 2022, caso in cui un lavoratore era stato licenziato sulla base di dati raccolti da un sistema di geolocalizzazione installato sul veicolo che il datore di lavoro gli aveva messo a disposizione per l'espletamento di compiti di rappresentante medico. Nella specie si è ritenuto che le autorità giurisdizionali nazionali avessero adeguatamente bilanciato gli interessi in gioco, da una parte il diritto del ricorrente al rispetto della sua vita privata e, dall'altra, lo scopo legittimo perseguito dalla società di controllare le spese risultanti dall'uso dei veicoli affidati ai suoi dipendenti, giungendo alla conclusione che il Paese contraente non fosse venuto meno agli obblighi positivi sanciti dall'art. 8 della Convenzione.
Ciò ha fatto sulla base degli elementi che la stessa Corte EDU, a partire dal caso Barbulescu c. Romania, nella sentenza della Grande Camera del 5 settembre 2017, ha indicato ai giudici nazionali per valutare i contrapposti interessi, affinchè sia garantito che "l'attuazione da parte del datore di lavoro di misure di sorveglianza che violano il diritto al rispetto della vita privata sia proporzionata e accompagnata da adeguate e sufficienti garanzie contro gli abusi" (p. 120).
Tali elementi, evidentemente utili anche ad orientare il bilanciamento del giudice italiano nei casi di controlli difensivi "in senso stretto", sono: i) l'informazione del lavoratore circa la possibilità che il datore di lavoro adotti misure di monitoraggio, con la precisazione che la stessa dovrebbe, in linea di principio, essere chiara sulla natura della sorveglianza ed essere precedente alla sua attuazione; ii) il grado di invasività nella sfera privata dei dipendenti, tenendo conto, in particolare, della natura più o meno privata del luogo in cui si svolge il monitoraggio, dei limiti Spa ziali e temporali di quest'ultimo, nonchè del numero di persone che hanno accesso ai suoi risultati; iii) l'esistenza di una giustificazione all'uso della sorveglianza e alla sua estensione con motivi legittimi, con la precisazione che quanto più invadente è la sorveglianza, tanto più gravi sono le giustificazioni richieste; iv) la valutazione, in base alle circostanze specifiche di ciascun caso, se lo scopo legittimo perseguito dal datore di lavoro potesse essere raggiunto causando una minore invasione della vita privata del dipendente; v) la verifica di come il datore di lavoro abbia utilizzato i risultati della misura di monitoraggio e se siano serviti per raggiungere lo scopo dichiarato della misura; vi) l'offerta di adeguate garanzie al dipendente sul grado di invasività delle misure di sorveglianza, mediante informazioni ai lavoratori interessati o ai rappresentanti del personale circa l'attuazione e l'entità del monitoraggio, dichiarando l'adozione di tale misura a un organismo indipendente o mediante la possibilità di presentare reclamo.
Sottolinea la Corte EDU che una volta che le autorità nazionali abbiano ponderato gli interessi in gioco secondo i criteri fissati dalla giurisprudenza richiamata, "occorrono seri motivi perchè essa sostituisca il proprio giudizio a quello dei giudici interni" (v. Gramaxo cit., p. 110).
2.9. Anche per questo verso, dunque, la sentenza impugnata non merita le censure che ad essa sono mosse, avendo in concreto operato un apprezzamento, proprio sulla scorta della giurisprudenza convenzionale, "con riferimento alla natura ed estensione della sorveglianza sul lavoratore e del conseguente grado di intrusione nella sua vita privata"; ha così constatato la mancanza di "giustificazione del monitoraggio", l'esistenza di un controllo che "ha riguardato indistintamente tutte le comunicazioni presenti nel pc aziendale in uso a A.A. e senza limiti di tempo, dando vita così ad una indagine invasiva massiccia ed indiscriminata non giustificata", l'assenza di prova "di aver preliminarmente informato il lavoratore della possibilità che le comunicazioni che effettuava sul pc aziendale avrebbero potuto essere monitorate" ovvero "del carattere e della portata del monitoraggio o del livello di invasività nella sua corrispondenza", il mancato rispetto da parte della Banca del regolamento interno dalla medesima predisposto sull'utilizzo della posta elettronica.
Trattasi di argomentato apprezzamento, involgente questioni di merito, come tale sottratto al sindacato di legittimità di questa Corte Suprema.
3. Col secondo motivo si deduce: "Violazione e/o falsa applicazione dell'art. 2697 c.c., nonchè degli agli artt. 115, 116, 421 e 427 c.p.c., anche in relazione all'art. 2119 c.c. e agli artt. 1362 c.c. e ss. (art. 360 c.p.c., comma 1, n. 3)".
Si censura la sentenza impugnata per avere negato rilevanza disciplinare alle molteplici circostanze oggetto di addebito con lettera di contestazione disciplinare del 1 febbraio 2018 e non fondate sui due dossier investigativi. Si sostiene che, differentemente da quanto argomentato dal Giudice di Appello, se si fosse dato ingresso ai doverosi "approfondimenti istruttori" sarebbero emersi elementi di per sè del tutto idonei a dimostrare la lesione del vincolo fiduciario.
Il motivo è inammissibile.
Pur nella prospettazione formale della denuncia di un errore di diritto, nella sostanza si critica l'apprezzamento di merito della Corte territoriale in ordine all'assenza di rilievo disciplinare dei fatti contestati nell'addebito, passando attraverso l'invocazione di "approfondimenti istruttori" che, inevitabilmente, presuppongono la richiesta di una rivisitazione dei fatti storici che hanno dato origine alla controversia.
Le Sezioni unite di questa Corte hanno più volte ribadito l'inammissibilità di censure che "sotto l'apparente deduzione del vizio di violazione e falsa applicazione di legge, di mancanza assoluta di motivazione e di omesso esame circa un fatto decisivo per il giudizio, degradano in realtà verso l'inammissibile richiesta a questa Corte di una rivalutazione dei fatti storici da cui è originata l'azione", così travalicando "dal modello legale di denuncia di un vizio riconducibile all'art. 360 c.p.c., perchè pone a suo presupposto una diversa ricostruzione del merito degli accadimenti" (cfr. Cass. SS.UU. n. 34476 del 2019; conf. Cass. SS.UU. n. 33373 del 2019; Cass. SS.UU. n. 25950 del 2020).
4. Il terzo motivo denuncia: "Omesso esame circa un fatto decisivo per il giudizio che è stato oggetto di discussione tra le parti: la mancata valutazione del comportamento tenuto dalle parti in relazione alla sostenuta violazione dell'art. 7 Stat. Lav. per la mancata audizione del sig. A.A. (art. 360 c.p.c., comma 1, n. 5)". Ci si duole della "totale trascuratezza del materiale probatorio" sul punto.
Il motivo è inammissibile per concorrenti ragioni.
Innanzitutto, perchè deduce il vizio di cui all'art. 360 c.p.c., n. 5 in una ipotesi preclusa dalla ricorrenza di una cd. "doppia conforme" (cfr. art. 348 ter c.p.c., u.c., in seguito art. 360 c.p.c., comma 4, per le modifiche introdotte dal D.Lgs. n. 149 del 2022, art. 3, commi 26 e 27), senza indicare le ragioni di fatto poste a base, rispettivamente, della decisione di primo grado e della sentenza di rigetto dell'appello, dimostrando che esse sono tra loro diverse (v. Cass. n. 26774 del 2016; conf. Cass. n. 20944 del 2019).
In ogni caso si denuncia detto vizio al di fuori dei canoni imposti dalle Sezioni unite di questa Corte con le decisioni nn. 8053 e 8054 del 2014.
Infine, perchè una volta accertata l'insussistenza degli addebiti, il licenziamento è comunque illegittimo anche a prescindere da ogni ulteriore violazione del procedimento disciplinare.
5. Con il quarto e ultimo motivo di ricorso si lamenta: "Motivazione Apparente. Violazione e/o falsa applicazione dell'art. 7 Stat. Lav., anche in anche in relazione all'art. 2697 c.c. e agli artt. 115, 116, 421 e 427 c.p.c., nonchè agli artt. 1175 e 1375 c.c. (art. 360 c.p.c., comma 1, n. 3)".
Si contesta che i Giudici d'Appello abbiano rigettato il quarto motivo di censura avanzato dalla Società con riguardo alla sentenza di primo grado, laddove veniva accertata una supposta illegittimità della contestazione disciplinare del 3 maggio 2018, richiamando, senza, tuttavia, nulla motivare in proposito, un precedente di Cassazione circa l'impossibilità del datore di lavoro di controllare, attraverso lo strumento dell'accertamento tecnico preventivo, lo stato di infermità dei propri dipendenti. Si afferma che dal contenuto della contestazione disciplinare richiamata emergerebbe come fosse stato posto alla base della stessa non il semplice rifiuto dello A.A. a sottoporsi all'ATP, ma, piuttosto, "il complessivo comportamento tenuto dall'allora dirigente, di cui il suddetto rifiuto era solo l'ultimo atto, in spregio ai più elementari canoni di correttezza e buona fede ex artt. 1175 e 1375 c.c.".
Anche tale censura è inammissibile.
La motivazione impugnata non è di certo qualificabile come apparente.
Come noto, secondo le sentenze delle Sezioni unite di questa Corte prima richiamate l'anomalia motivazionale, implicante una violazione di legge costituzionalmente rilevante, integra un error in procedendo che comporta la nullità della sentenza solo nel caso di "mancanza assoluta di motivi sotto l'aspetto materiale e grafico", di "motivazione apparente", di "contrasto irriducibile fra affermazioni inconciliabili", di "motivazione perplessa ed obiettivamente incomprensibile" (Cass. SS.UU. nn. 8053 e 8054 del 2014).
Si è ulteriormente precisato che di "motivazione apparente" o di "motivazione perplessa e incomprensibile" può parlarsi laddove essa non renda "percepibili le ragioni della decisione, perchè consiste di argomentazioni obiettivamente inidonee a far conoscere l'iter logico seguito per la formazione del convincimento, di talchè essa non consenta alcun effettivo controllo sull'esattezza e sulla logicità del ragionamento del giudice" (Cass. SS.UU. n. 22232 del 2016).
Il che non ricorre nella specie in quanto è sicuramente percepibile e intelligibile il percorso motivazionale seguito dalla Corte territoriale per respingere il gravame della società, peraltro in conformità con la giurisprudenza di legittimità secondo cui l'accertamento tecnico preventivo, ex art. 445 bis c.p.c., è previsto "per deflazionare il contenzioso in materia previdenziale e non certo per consentire al datore di lavoro di controllare lo stato di salute dei propri dipendenti" (Cass. n. 16251 del 2020).
Inoltre, si lamentano promiscue violazioni di norme sostanziali e processuali che, nella sostanza, sottendono una diversa interpretazione della contestazione disciplinare, interpretazione che, invece, appartiene alla valutazione del giudice del merito (cfr. Cass. n. 13667 del 2018).
6. In ragione di quanto precede, il ricorso deve essere complessivamente respinto, con spese regolate secondo soccombenza e liquidate come da dispositivo.
Occorre, altresì, dare atto della sussistenza dei presupposti processuali di cui al D.P.R. n. 115 del 2002, art. 13, comma 1 quater, come modificato dalla L. n. 228 del 2012, art. 1, comma 17, per il versamento dell'ulteriore importo a titolo di contributo unificato, ove dovuto (Cass. SS.UU. n. 4315 del 2020).
P.Q.M.
La Corte rigetta il ricorso e condanna la parte ricorrente al pagamento delle spese liquidate in Euro 10.000,00, oltre Euro 200,00 per esborsi, accessori secondo legge e rimborso spese generali al 15%.
Ai sensi del D.P.R. n. 115 del 2002, art. 13, comma 1 quater, dà atto della sussistenza dei presupposti processuali per il versamento, da parte della ricorrente, dell'ulteriore importo a titolo di contributo unificato pari a quello per il ricorso a norma dello stesso art. 13, comma 1 bis se dovuto.
Così deciso in Roma, nella camera di consiglio, il 8 giugno 2023.
Depositato in Cancelleria il 26 giugno 2023