Il Tribunale di Venezia, con sentenza n. 494/2021, ha dichiarato che l’azienda, che subisce un attacco informatico e sia costretta a pagare un riscatto per recuperare i dati sottratti, può licenziare il dipendente che ha navigato ripetutamente su siti non sicuri per fini privati mettendo a rischio la sicurezza interna.
Un lavoratore, assunto da una società esercente attività di agenzia marittima, veniva licenziato per giusta causa, a seguito di procedimento disciplinare legittimamente esperito, per avere utilizzato impropriamente il personal computer aziendale.
In particolare, gli addebiti mossi dalla società nei confronti del dipendente, erano duplici:
Il dipendente impugnava il recesso aziendale in quanto ritenuto ritorsivo e discriminatorio, avente la sola finalità di estrometterlo in quanto RSA e ritenuto, dunque, un “dipendente scomodo”. Il dipendente, inoltre, sosteneva che le condotte contestate non erano a lui attribuibili posto che il computer assegnatogli era sfornito di password e, pertanto, qualsiasi soggetto avrebbe potuto accedervi.
La società datrice di lavoro si costitutiva in giudizio, respingendo le pretese del dipendente e sottolineando il carattere del tutto causale della scoperta dei dati, poiché emersi all’esito di necessarie verifiche effettuate a seguito di un hackeraggio ai propri sistemi informatici e della diffusione del virus ramsomware.
Il Tribunale di Venezia – confermando la decisione del giudice della fase sommaria del procedimento – ha dichiarato sussistente la giusta causa di recesso e, conseguentemente, legittimo il licenziamento.
Il Giudice adito ha, innanzitutto, evidenziato che gli addebiti mossi nei confronti del dipendente erano stati acquisiti dalla società in conformità con quanto disposto dall’art. 4 dello Statuto dei Lavoratori. Ai sensi del citato articolo, infatti, il datore di lavoro può legittimamente acquisire informazioni dagli strumenti aziendali assegnati ai dipendenti ed utilizzarli per tutti i fini connessi al rapporto di lavoro (ivi inclusi i fini disciplinari). Ciò, a condizione che agli stessi sia stata data adeguata informazione circa le modalità di utilizzo di tali strumenti e di effettuazione dei controlli, nel rispetto di quanto disposto dal Codice della Privacy. E la società aveva adottato un Regolamento sull’utilizzo degli strumenti forniti in dotazione, il quale fin dalla sua adozione, era stato affisso in bacheca nonché pubblicato in una apposita cartella all’interno del server accessibile a tutti i dipendenti.
Il Giudice ha poi osservato che, anche prescindendo dalla effettiva adozione del regolamento (oggetto di censura da parte del lavoratore), ciò che rileva nel caso di specie è il numeroso e perpetuo utilizzo per evidenti (e non contestati) fini personali del computer, tale per cui la valenza disciplinare dei fatti addebitati non può non sussistere.
Infine, il Giudice ha respinto la censura del dipendente in merito alla mancata copertura di password personale sul computer. A dire del Giudice adito, infatti, il suo utilizzo improprio era senza dubbio riconducibile al dipendente in questione posto che lo stesso aveva: visitato la propria casella personale, prenotato viaggi a suo nome, usatto chiavette Usb personali, visitato social network a lui riconducili ecc.
Alla luce di tutto quanto sopra, a parere del Tribunale adito, gli addebiti ascritti al dipendente e legittimamente acquisiti dall’azienda, si sono concretizzati nei fatti e sono stati di una gravità tale da legittimarne il licenziamento in tronco.
Altri insight correlati:
Confindustria, con una lettera interna del direttore generale trasmessa via e-mail ai direttori delle associate territoriali e settoriali del sistema, ha espresso la propria linea favorevole al possesso del certificato verde Covid-19 (meglio noto come green pass) per accedere ai contesti aziendali-lavoristici.
Secondo la posizione assunta da Confindustria, l’esibizione del certificato verde dovrebbe rientrare tra gli obblighi di diligenza, correttezza e buona fede su cui si fonda il rapporto di lavoro. Di conseguenza, il datore di lavoro, ove possibile, potrebbe adibire il lavoratore non vaccinato a mansioni diverse da quelle normalmente esercitate erogando la relativa retribuzione; se ciò non fosse possibile il datore di lavoro dovrebbe poter non ammettere il soggetto al lavoro, con sospensione della retribuzione in caso di allontanamento dall’azienda.
Certamente, un’iniziativa di questo tipo, insieme al protocollo sulla sicurezza aggiornato lo scorso 6 aprile e al protocollo per le vaccinazioni nei luoghi di lavoro sottoscritto in pari data, è finalizzata a tutelare la salute e la sicurezza dei lavoratori, nonché lo stesso svolgimento dei processi produttivi. La proposta, tra l’altro, troverebbe ragion d’essere anche a fronte della forte preoccupazione per una possibile terza ondata pandemica che potrebbe condurre a un nuovo arresto del lavoro e alla conseguente necessità di una ennesima proroga degli ammortizzatori sociali “Covid- 19”.
Tuttavia, da un punto di vista prettamente giuridico, la tematica presenta diversi profili di criticità.
Anzitutto, nella sfera dei diritti individuali, occorre considerare l’articolo 32 della Costituzione in materia di “diritto alla salute”, il quale rappresenta, in vero, un caleidoscopio di molteplici forme di tutela della salute. L’articolo in parola sancisce in primo luogo che «la Repubblica tutela la salute come fondamentale diritto dell’individuo e interesse della collettività», per poi precisare che «nessuno può essere obbligato a un determinato trattamento sanitario se non per disposizione di legge».
La disposizione costituzionale in commento, dunque, tutela la salute sia come diritto fondamentale del singolo che come interesse della collettività e permette di imporre un trattamento sanitario se diretto, come specificato dalla Corte Costituzionale, «non solo a preservare lo stato di salute di chi vi è assoggettato, ma anche a preservare lo stato di salute degli altri» (si veda in tal senso la sentenza n. 5/2018 della Corte Costituzionale).
Giova al riguardo sottolineare che l’articolo de quo contempla una riserva di legge “rinforzata” per cui affinché possa essere imposto un trattamento sanitario, rendendo dunque lo stesso obbligatorio, è anzitutto necessario che vi sia una legge a prevederlo e, inoltre, che tale legge, da un lato, imponga trattamenti sanitari determinati e, dall’altro, non violi in nessun modo i limiti imposti dal rispetto della persona umana.
Dalla riserva di legge “rinforzata” di cui all’articolo 32 della Costituzione, ne deriva che la costituzionalità di una previsione normativa in tal senso, oltre che presupporre la proporzionalità e la ragionevolezza delle conseguenze derivanti dalla decisione assunta, non può che avere quale premessa fondamentale la certezza dei dati scientifici, attestata dalle istituzioni sanitarie nazionali e internazionali competenti, della sicurezza del vaccino.
A tal proposito, non stupisce che nell’attuazione del piano vaccinale consapevolmente e volontariamente il legislatore non sia intervenuto per normare l’eventuale obbligatorietà del vaccino, eccetto per le professioni sanitarie e il personale medico-infermieristico. In effetti, per il momento, con il D.L. n. 105 del 22 luglio 2021, è stato previsto il possesso del certificato verde Covid-19 (in alternativa al test molecolare o antigenico rapido con risultato negativo al virus Sars-CoV-2, con validità di 48 ore dall’esecuzione del test) quale condizione per lo svolgimento di alcune attività per lo più di tipo ricreativo o culturale.
Ciò posto, in assenza di una norma ad hoc che preveda l’obbligo del vaccino per tutti, ci sembrano quanto meno affrettate le considerazioni espresse da alcuni commentatori nei giorni scorsi secondo cui sarebbe legittimo condizionare l’accesso ai locali aziendali all’avvenuta vaccinazione in forza dell’articolo2087 Cod. Civ.; quest’ultima disposizione, come è noto, prevede l’obbligo per il datore di lavoro di “adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro“.
La versione integrale dell’approfondimento sarà pubblicata sul prossimo numero 33/34 di Guida al Lavoro de Il Sole 24 Ore.
“COME È POSSIBILE CHE IL DATORE DI LAVORO NON POSSA CHIEDERE AI DIPENDENTI SE SI SONO VACCINATI, QUANDO INVECE ESIBIREMO IL PASSAPORTO VACCINALE PER ANDARE ANCHE AL RISTORANTE O IN AEROPORTO? OCCORRE UN IMMEDIATO INTERVENTO LEGISLATIVO”
Anche Norme & Tributi Plus Diritto de Il Sole 24 Ore riprende il commento di Vittorio De Luca in merito alla proposta di Confindustria di consentire ai datori di lavoro di richiedere l’esibizione del green pass per poter accedere ai luoghi di lavoro e svolgere le relative attività.
Vittorio De Luca dello Studio De Luca & Partners commenta: “la proposta è quanto mai opportuna per aprire il dibattito sull’utilizzo del passaporto sanitario per la tutela della salute dei lavoratori e per la salvaguardia delle attività produttive, tuttavia dovrà superare alcuni rilevanti profili di criticità. Come è possibile che il datore di lavoro non possa chiedere ai dipendenti se si sono vaccinati, quando invece esibiremo il passaporto vaccinale per andare anche al ristorante o in aeroporto?”.
Da un punto di vista prettamente giuridico, occorre infatti considerare che il Garante della Privacy, per il momento, ha espresso parere negativo sulla possibilità per il datore di lavoro di chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale o copia dei documenti che attestino l’avvenuta vaccinazione.
Continua l’avvocato De Luca: “Vi è poi un problema di limitazione delle libertà personali e dei diritti di rango costituzionale come la salute e il lavoro. La prima è tutelata non solo come diritto fondamentale del singolo ma anche come interesse della collettività. Il secondo, il lavoro, deve essere “effettivo” (art. 4, comma 1, della Costituzione) e pertanto non è ipotizzabile che lo svolgimento dell’attività lavorativa sia riservata ai soli lavoratori che siano stati vaccinati. Ciò, a meno che non intervenga un provvedimento di legge che allo stato ritengo possa difficilmente essere approvato. Anche la soluzione del cambio della assegnazione temporanea a mansioni differenti ovvero del lavoro in modalità “agile” (cosiddetto smart working) possono essere praticabili solamente in un numero di casi limitati. Si pensi ad un operaio che difficilmente potrà lavorare da remoto o anche solo essere adibito a mansioni differenti tali da non richiedere l’accesso ai locali aziendali. Anche a non voler considerare gli aspetti critici sopra indicati, non possiamo trascurare il fatto che tale iniziativa potrebbe comportare indirettamente l’imposizione di un trattamento sanitario, difficilmente compatibile con il dettato dell’art. 32 della Costituzione secondo cui i trattamenti sanitari (come, ad esempio, la vaccinazione) possono essere resi obbligatori solamente per disposizione di legge”.
Ciò posto, a fronte delle varie criticità del tema, “è auspicabile un risolutivo intervento legislativo che sia in grado di operare un corretto bilanciamento fra i diversi diritti costituzionali coinvolti e orientato al principio della ragionevolezza”.
Con la Legge n. 81 del 22 maggio 2017 recante “Misure per la tutela del lavoro autonomo non imprenditoriale e misure volte a favorire l’articolazione flessibile nei tempi e nei luoghi del lavoro subordinato”, è stato regolamentato per la prima volta nel nostro ordinamento il lavoro agile (comunemente definito “smart working”). Si tratta di una modalità flessibile di esecuzione della prestazione lavorativa, nell’ambito del rapporto di lavoro subordinato, caratterizzata dall’assenza di vincoli di orario o luogo di lavoro e da forme di organizzazione per fasi, cicli e obiettivi.
Nell’implementare Il lavoro agile nella propria azienda il datore di lavoro deve tener conto della normativa dettata in materia di protezione dei dati personali.
Il Regolamento (UE) 2016/679 in materia di protezione dei dati personali (“GDPR”) ha introdotto il c.d. principio di accountability ossia l’adozione, da parte del Titolare del trattamento (nel nostro caso il datore di lavoro), di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del GDPR stesso. In sostanza, il datore di lavoro è tenuto ad individuare e gestire i rischi relativi ai trattamenti svolti, nel rispetto del principio della protezione dei dati fin dalla progettazione di ciascun trattamento (“by design”) e della protezione dei dati medesimi di default (“by default”).
Ciò significa che, nel lavoro agile, il datore di lavoro deve effettuare un idoneo risk assessment e, ove necessario, una valutazione di impatto in modo tale da analizzare tutti i rischi esistenti e potenziali nonché individuare le misure di sicurezza, tecniche e organizzative, adeguate a garantire la sicurezza e la protezione dei dati. In questa ottica il datore di lavoro deve adottare Regolamenti, Policies o Linee Guida recanti i comportamenti che i lavoratori agili devono tenere per garantire la riservatezza, l’integrità e la disponibilità dei dati trattati nello svolgimento delle proprie mansioni.
Il datore di lavoro deve, altresì, verificare che il controllo da remoto non sia un controllo invasivo in contrasto con l’art. 4 della Legge 300/1970. Ciò comporta un esame dettagliato dei sistemi che consentono un monitoraggio continuo dell’utilizzo degli strumenti di lavoro e della rete aziendale da parte dei dipendenti.
Proprio per questo il lavoratore agile deve essere dettagliatamente informato delle modalità tramite le quali il datore esercita il potere di controllo nonché di quali sono i comportamenti passibili di una eventuale sanzione disciplinare.
Non solo. Il datore di lavoro deve formare i lavoratori agili affinché questi abbiano piena consapevolezza e conoscenza degli strumenti messi a loro disposizione, dei rischi e delle misure da adottare durante il lavoro agile.
La Corte di Cassazione, con ordinanza n. 32533 depositata lo scorso 14 dicembre, ha sancito il diritto del dipendente, sottoposto a provvedimento disciplinare, di accedere agli atti che lo riguardano. La Corte ha così confermato l’ampiezza del raggio d’azione di cui gode il “diritto di accesso”, come disciplinato dall’art. 7 del Codice Privacy, operante all’epoca dei fatti sotto descritti, nonché come previsto dall’art. 15 del Regolamento UE 679/2016 (“GDPR”), attualmente applicabile.
I fatti
La vicenda trae origine dal ricorso presentato da una Banca dapprima avverso il provvedimento del Garante per la protezione dei dati personali (il “Garante”), e successivamente contro la sentenza del Tribunale territorialmente competente, che aveva confermato la posizione del Garante.
Nella specie, il dipendente della Banca, a seguito della comminazione a suo carico di una sanzione disciplinare (sospensione dal servizio e relativo trattamento economico per un giorno), aveva chiesto di visionare gli atti antecedenti propedeutici alla sanzione, nei quali erano incluse le valutazioni che lo riguardavano.
I documenti richiesti erano previsti da una circolare interna risalente al 2009 e specificamente la (i) “Segnalazione in forma di relazione scritta inviata a «Disciplina» eseguita dal Responsabile HR Centrale e Territoriale”, nonché la (ii) “Lettera accompagnatoria in cui il Responsabile HR formula le valutazioni congiunte con il Responsabile della struttura territoriale o centrale”.
La Banca, invitata dal Garante a fornire riscontro alle richieste del dipendente, aveva replicato che i summenzionati documenti
– contenevano dati aziendali – “di uso strettamente interno” – anch’essi protetti dalla normativa privacy, in quanto espressione del diritto di organizzare e gestire la propria attività (art. 41 Cost.), e
– erano “atti endo-procedimentali”, attinenti al solo momento formativo della volontà datoriale. Secondo la Banca nessuna rilevanza potevano assumere rispetto al contrapposto diritto di difesa del lavoratore. Diritto che, a parere della stessa, era stato già garantito essendo state riportate nelle lettere di contestazione tutte le informazioni necessarie.
Il Tribunale, nel confermare il Provvedimento del Garante, rigettava il ricorso della Banca, ritendo che
(i) non erano assolutamente stati rispettati i principi in tema di difesa nel procedimento disciplinare e in giudizio, e
(ii) la Banca avrebbe semplicemente potuto limitarsi ad estrapolare eventuali passaggi della documentazione richiesta non conferenti rispetto alle esigenze del lavoratore, qualora pregiudizievoli del diritto di riservatezza di terzi.
In sostanza il Tribunale dichiarava illegittima la datoriale di mantenere riservati alcuni aspetti delle proprie scelte organizzative, “non potendo essere in facoltà della parte decidere discrezionalmente ciò che può essere reso manifesto e ciò che può non esserlo, poiché una tale impostazione rimetterebbe alla società ricorrente ogni determinazione anche sugli spazi di difesa della controparte”.
La Banca avverso la decisione del Tribunale ricorreva in Cassazione, chiedendo peraltro di rinviare la trattazione della controversia alla pubblica udienza, data la rilevanza della questione.
La decisione della Corte
La decisione della Corte si concentra su tre punti focali che di seguito si illustrano.
Sul punto, la Suprema Corte ha ripercorso le valutazioni operate dal giudice di merito, come sopra accennate, ritenendo che – a seguito del bilanciamento di contrapposti interessi – il diritto di accesso del lavoratore prevale rispetto alle esigenze di riservatezza prospettate dalla Banca.
La Banca, a parere della Corte, avrebbe potuto consentire l’accesso dei documenti valutativi del dipendente, tutelando ad ogni modo i terzi, ad esempio, attraverso l’oscuramento delle informazioni che potessero risultare per gli stessi pregiudizievoli.
Inoltre, la Corte di Cassazione, nel confermare le statuizioni del Giudice di merito, ha precisato che il diritto di accesso non può essere inteso – in senso restrittivo – quale mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza dell’interessato: la portata del diritto in analisi è ben più ampia.
Secondo la Corte la finalità del diritto di accesso è quella di garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis (i) dell’avvenuto inserimento, (ii) della permanenza, ovvero (iii) della rimozione di dati personali. Ciò indipendentemente dal fatto che ciò possa essere stato portato a conoscenza dell’interessato attraverso altri modi e tempi (vedasi il riferimento alle contestazioni sopra menzionate). Tale verifica, dunque, deve essere garantita mediante l’accesso da parte dell’interessato ai propri dati personali, in ogni momento del rapporto di lavoro.
Infine, la Corte di Cassazione ha confermato e ribadito il proprio precedente orientamento, teso a garantire il diritto di accesso alla documentazione riferita alle vicende connesse al rapporto di lavoro. E ciò, tanto nel caso in cui tale documentazione sia imposta dalla legge quanto nel caso in cui la documentazione sia prevista dall’organizzazione aziendale, ad esempio tramite circolari interne (inter alia, cfr. Cass. n. 9961 del 2007), come nel caso de quo.
Conclusioni
In sostanza la Corte di Cassazione ritiene che dal disposto normativo in tema di “diritto di accesso” non si evince alcuna specifica limitazione in merito alle concrete finalità per le quali lo stesso possa o meno essere esercitato. Pertanto, il diritto in questione ben può essere esercitato dal dipendente per proprie finalità difensive.
Notizie correlate:
Il diritto di accesso agli atti nel procedimento disciplinare
