La Corte di Cassazione, con la sentenza 19/09/2016 n.18302, ha ribadito che quando la vigilanza a distanza attivata dal datore di lavoro per qualsiasi finalità, permette anche la mera possibilità di controllo dell’attività lavorativa fornita dal prestatore di lavoro, detta vigilanza non è consentita se non a seguito di accordo sindacale, o in difetto, dell’autorizzazione dell’Ispettorato del lavoro prevista dall’art.4 della L. 300/1970.

In sostanza non è possibile ritenere che il datore di lavoro possa liberamente utilizzare impianti e apparecchiature di controllo, ad esempio, per tutelare beni aziendali o accertare e prevenire comportamenti illeciti dei dipendenti, eludendo il positivo esperimento delle procedure previste dallo Statuto dei lavoratori.

Nel caso in esame, i Giudici di legittimità si sono pronunciati sulla possibilità da parte del datore di lavoro di tenere sotto controllo dati personali dei dipendenti relativi alla navigazione in internet, all'utilizzo della posta elettronica e alle utenze telefoniche chiamate dai lavoratori.

Secondo la Suprema Corte rientra nell’ambito di applicazione della citata norma anche il c.d. controllo difensivo così come sostenuto dall’orientamento giurisprudenziale prevalente (Cass. 15892/2007, 4375/2010, 16622/2012, 9904/2016) secondo cui la garanzia procedurale prevista per gli impianti e le apparecchiature ricollegabili ad esigenze produttive contempera l’esigenza di tutela del diritto dei lavoratori a non essere controllati a distanza e quello del datore di lavoro, o se di vuole, della collettività, relativamente all’organizzazione, produzione e sicurezza del lavoro, individuando una precisa procedura esecutiva e i soggetti ad essa partecipi.

Il datore di lavoro inoltre soggiace anche alla disposizione contenuta nell’art. 8 St. Lav. che vieta di effettuare indagini, anche a mezzo terzi, sulle opinioni politiche, religiose o simili del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore. Pertanto acquisire e conservare dati derivanti dalla navigazione in internet, che contengono o possono contenere simili informazioni importa già l’integrazione della condotta vietata, perché si risolve in un’indagine sulle opinioni e condotte del lavoratore, anche se i dati non sono successivamente utilizzati.

Il rispetto della procedura di cui all’art. 4 St. Lav. trova applicazione anche se l’azienda ha adottato sistemi che inibiscono ai dipendenti l’accesso a determinati siti internet considerati pericolosi o comunque non inerenti all’attività svolta dal datore di lavoro e ha provveduto alla registrazione dei c.d. file Log, ossia quelli che identificano l’indirizzo IP (postazione di lavoro, utenza contattata, data e ora di accesso o tentativo di accesso). In questi casi risulta irrilevante il fatto che i lavoratori vengano messi a conoscenza delle modalità di acquisizione dei dati di traffico, conservati per un periodo di tempo prolungato. Inoltre l’acquisizione e la conservazione dei dati di navigazione dei dipendenti mediante la registrazione dei file Log comporta la violazione anche del citato art. 8 St.Lav. per i motivi sopra ricordati.

Quanto detto per la navigazione in internet, trova applicazione anche per il controllo della posta elettronica. Anche in questo caso a nulla rileva l’aver fornito ai lavoratori informazioni specifiche, idonee a soddisfare le prescrizioni dell’art. 13 del Codice della privacy. Infatti questa informativa non è elemento decisivo per escludere la violazione del disposto di cui all’art. 4 St. Lav.

Infine, la citata disposizione dello Statuto dei lavoratori trova applicazione anche in caso di controllo del traffico telefonico dei dipendenti, indipendentemente che venga o meno attuato mediante sistemi (quali Blue’s) diretti a contrastare le attività illecite che potrebbero essere poste in essere dai lavoratori a danno del datore di lavoro.