È legittimo il licenziamento del dipendente dell’INPS reo di aver effettuato numerosi accessi non autorizzati alla banca dati dell’istituto per acquisire informazioni sui conti e sulle prestazioni previdenziali riguardanti soggetti terzi.

Il controllo effettuato dall’INPS non rientra nei c.d. controlli difensivi in senso stretto nei quali si pone l’esigenza di assicurare un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, e le imprescindibili tutele della dignità e della riservatezza del lavoratore, in quanto finalizzati a tutelare la privacy delle persone iscritte alla banca dati.

Non era quindi obbligatoria alcuna comunicazione preventiva al dipendente del fatto che l’Istituto esercita un doveroso controllo sulla regolarità degli accessi alla banca dati di cui è responsabile.

Questo quanto deciso dalla Corte di Cassazione con sentenza n. 7272 del 19 marzo 2024.

1. Il caso

Un dipendente veniva licenziato all’esito di un procedimento disciplinare nel quale gli venivano contestati numerosi accessi alla banca dati informatica dell’Istituto per entrare in possesso di informazioni sugli iscritti.

In primo e secondo grado il licenziamento veniva giudicato legittimo.

La Corte d’Appello ha ritenuto legittimi i controlli effettuati dall’INPS sugli accessi del lavoratore alla banca dati evidenziando che si trattava di controlli difensivi finalizzati non alla verifica dell’esatto adempimento della prestazione lavorativa ma all’accertamento di condotte illecite lesive del patrimonio aziendale oppure pericolose per la sicurezza del luogo di lavoro.

Per ciò che concerne l’informazione data al lavoratore i giudici di secondo grado ritenevano sufficiente il fatto che al momento di ogni accesso il sistema produceva un banner con l’avvertimento che “l’accesso alle banche dati è consentito esclusivamente per fini istituzionali e che un uso difforme avrebbe comportato sanzioni disciplinari”.

Inoltre, il caso in esame è estraneo al campo di applicazione dell’art. 4 dello Statuto dei Lavoratori avendo l’Istituto effettuato i suoi accertamenti solo ex post, dopo aver avuto notizia della condotta del lavoratore.

Il lavoratore ricorreva in cassazione avverso la pronuncia denunciando la ritenuta inapplicabilità alla fattispecie dell’art. 4 dello Statuto dei Lavoratori, l’idoneità del citato banner ad assolvere l’obbligo informativo imposto al datore di lavoro e il fatto che gli accertamenti sarebbero stati effettuati solo dopo avere avuto notizia dell’illecito del dipendente.

2. Quando si configurano i controlli difensivi

Secondo giurisprudenza ormai consolidata (cfr. Cass., n. 18168/2023) sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto.

Incombe sulla parte datoriale l’onere di allegare e provare le specifiche circostanze che lo hanno indotto ad attivare il controllo, considerato che solo la sussistenza del fondato sospetto consente al datore di lavoro di porre la propria azione al di fuori del perimetro di applicazione diretta dell’art. 4. dello Statuto.

3. La pronuncia della Corte di Cassazione

La Corte di Cassazione ricorda che in numerose occasioni la giurisprudenza si è occupata dei c.d. controlli difensivi del datore di lavoro affermando il principio secondo cui per essere legittimo il controllo “difensivo in senso stretto” deve essere mirato ed attuato ex post, ovvero a seguito del comportamento illecito di uno o più dipendenti del cui compimento la parte datoriale abbia avuto il fondato sospetto.

La Corte d’Appello ha inteso dare seguito a tale indirizzo.

Secondo la Suprema Corte il caso in esame è diverso rispetto a quelli affrontati nei precedenti citati (cfr. Cass., n. 13266/2018) che si inseriscono sul piano del bilanciamento tra le esigenze di protezione di interessi e beni aziendali e la tutela della dignità e della riservatezza del lavoratore.

Nel caso di specie i controlli preventivi effettuati dall’INPS non erano finalizzati al controllo dell’adempimento della prestazione del dipendente e nemmeno alla protezione di interessi e beni aziendali.

L’Istituto, quale gestore e responsabile della banca dati, ha effettuato i doverosi controlli preventivi sugli accessi a tutela della privacy delle persone a vario titolo iscritte (non quella del lavoratore dipendente) che non hanno comportato alcuna indagine sulle abitudini, sui gusti e sulle comunicazioni del lavoratore dipendente.

Pertanto “non era obbligatoria alcuna comunicazione preventiva al dipendente del fatto che l’I.N.P.S. esercita un doveroso controllo – non sull’operato dei propri dipendenti, ma – sulla regolarità degli accessi alla banca dati di cui è responsabile, né tale controllo rientra tra i controlli difensivi “in senso stretto”, che il datore di lavoro può adottare a tutela dei propri “interessi e beni aziendali”, alle condizioni indicate nella giurisprudenza citata”.

Sulla base di queste argomentazioni il ricorso del lavoratore veniva respinto.