Una recente sentenza della Corte di Cassazione (n. 3133 del 1° febbraio 2019) ha avuto ampio spazio sui mezzi di comunicazione: tutti abbiamo letto e sentito titoli quali “Troppo tempo su Facebook durante l’orario di lavoro: lecito il licenziamento per la Cassazione” o “Troppi accessi a Fb durante il lavoro, la Cassazione conferma il licenziamento”.

Tuttavia, quella che è stata riportata come la frase cardine della motivazione della Corte di Cassazione per affermare la legittimità del licenziamento, si legge invece nella sentenza della Corte d’Appello di Brescia: la condotta tenuta dalla lavoratrice, per come emersa sulla base degli elementi acquisiti -vale a dire 6.000 accessi a siti internet estranei all’ambito lavorativo, di cui 4.500 a Facebook, nel corso di 18 mesi, con il pc aziendale durante l’orario di lavoro, tra l’altro part time-, integra la violazione degli obblighi di diligenza e di buona fede nell’espletamento della prestazione lavorativa e non può, dunque, ritenersi di per sè legittima.

La Corte di Cassazione ha respinto il ricorso della lavoratrice sulla base di altre ragioni, che meritano attenzione: in effetti, ha motivato la propria decisione con argomenti di natura processuale.

La lavoratrice ha contestato la decisione della Corte d’Appello, affermando che i report della cronologia, utilizzati per tracciare la navigazione in internet, non avrebbero potuto essere considerati prove nel processo

perché non riferibili con certezza alla lavoratrice stessa,

per la violazione delle regole sulla tutela della privacy.

Ora, la Corte di Cassazione ha rilevato

sul punto che la Corte d’Appello ha valutato i report della cronologia prove idonee, da un lato, perché la lavoratrice non aveva mai contestato di avere effettuato gli accessi a internet, quanto meno la gran parte, dall’altro, per il fatto che gli accessi alla pagina personale di Facebook richiedono una password, necessariamente nella disponibilità della sola interessata;

sul 2° punto che la difesa della lavoratrice non aveva posto la questione della violazione delle regole sulla tutela della privacy nei precedenti gradi del giudizio: la circostanza impedisce di per se stessa che la Corte di Cassazione la esamini.

Dunque, è lecito domandarsi come avrebbe deciso la Corte di Cassazione in assenza dei deficit processuali della difesa della lavoratrice.

In particolare, è interessante notare che l’accesso da parte del datore di lavoro alla cronologia del pc assegnato in uso al dipendente non può avvenire legittimamente senza avere prima posto in essere precisi adempimenti richiesti dalla normativa a tutela della privacy.

Il riferimento immediato è alla necessità per il datore di lavoro di adottare un disciplinare sull’utilizzo degli strumenti informatici e telematici aziendali, da portare a conoscenza dei dipendenti prima di dare corso a qualsiasi verifica.

Nel disciplinare deve essere contenuta la premessa esplicita che il collegamento ad internet è messo a disposizione dei dipendenti, cui è assegnato un personal computer, esclusivamente per lo svolgimento dell’attività lavorativa. Ancora, nel disciplinare deve essere espressamente vietato ai dipendenti, tra l’altro, di accedere a siti non pertinenti alla mansione assegnata, di utilizzare sistemi applicativi anche in modalità streaming per motivi non attinenti l’attività lavorativa, di partecipare, anche utilizzando pseudonimi (o nickname), a social e forum, nonché utilizzare chat, anche per il tramite di applicazioni.

Si consideri che, in assenza di interventi successivi, le indicazioni del Garante per la privacy sono ancora quelle contenute nelle linee guida per posta elettronica e internet nel rapporto di lavoro, pubblicate nella Gazzetta Ufficiale del 10 marzo 2007.

Già più di 10 anni fa il Garante è stato chiaro: “Grava quindi sul datore di lavoro l’onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli. … In questo quadro, può risultare opportuno adottare un disciplinare interno redatto in modo chiaro e senza formule generiche, da pubblicizzare adeguatamente (verso i singoli lavoratori, nella rete interna, mediante affissioni sui luoghi di lavoro con modalità analoghe a quelle previste dall´art. 7 dello Statuto dei lavoratori, ecc.) e da sottoporre ad aggiornamento periodico. … All´onere del datore di lavoro di prefigurare e pubblicizzare una policy interna rispetto al corretto uso dei mezzi e agli eventuali controlli, si affianca il dovere di informare comunque gli interessati ai sensi dell´art. 13 del Codice [D.Lgs. 196/2003], anche unitamente agli elementi indicati ai punti 3.1. e 3.2.. Rispetto a eventuali controlli gli interessati hanno infatti il diritto di essere informati preventivamente, e in modo chiaro, sui trattamenti di dati che possono riguardarli.”.

Anche con l’entrata in vigore del GDPR e del successivo provvedimento legislativo nazionale, il D.Lgs. 101/2018, rimangono immutati gli obblighi a carico del datore di lavoro per conformare alle disposizioni vigenti il trattamento di dati personali effettuato per verificare il corretto utilizzo nel rapporto di lavoro della rete Internet: adozione del disciplinare ed informativa a ciascun lavoratore, ai sensi dell’art. 13 del GDPR.

In conclusione, la decisione della Suprema Corte non ha certo spianato la strada a controlli indiscriminati da parte del datore di lavoro degli strumenti informatici aziendali assegnati ai dipendenti.