La questione riguarda una società che aveva sottoposto a ripetuti controlli l'uso del pc aziendale di una dipendente, sia direttamente attraverso esame del pc sia attraverso l’utilizzo di un programma informatico appostitamente creato denominato “Super scout”, il cui impiego era appunto di consentire il controllo della navigazione internet. A seguito di tali controlli, la lavoratrice veniva licenziata perché scoperta ad aver utilizzato l’accesso a internet per ragioni non di servizio, violando in questo modo il regolamento aziendale. Impugnato il licenziamento davanti al Tribunale di Milano in funzione di giudice del lavoro, veniva dichiarata l’illegittimità del licenziamento: il tribunale, in particolare, riteneva sia la sproporzione del licenziamento rispetto ai fatti accertati, ed inoltre affermava che i fatti contestati fossero stati rilevati e registrati da un programma di controllo informatico centralizzato, in violazione dell’art. 4, comma 2, dello statuto dei lavoratori, con la conseguente inutilizzabilità dei dati acquisiti.
La Corte d'appello confermava la sentenza; il caso, quindi, confluiva in cassazione. La S.C. conferma la sentenza impugnata, che, con motivazione congrua e priva di vizi logici, ha affermato sia la sproporzione del licenziamento rispetto ai fatti accertati ed oggetto di contestazione, sia l'illegittimità dell'utilizzo di programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi Internet, essendo queste apparecchiature di controllo nel momento in cui, in ragione delle loro caratteristiche, consentono al datore di lavoro di controllare a distanza l’attività lavorativa.
Sotto il primo profilo, la Corte ha ritenuto che, in tema di licenziamento disciplinare del lavoratore per aver effettuato connessioni non autorizzate alla rete Internet dal computer aziendale, è correttamente motivata la sentenza di merito che, nel rilevare l'esiguità del numero dei collegamenti e la mancata contestazione dell'orario e della durata specifica di ciascuno di essi, nonché l'assenza di richiami da parte del datore al rispetto del divieto aziendale di utilizzare il computer assegnato al lavoratore per connessioni per finalità private, ritenga sproporzionata la sanzione del licenziamento rispetto al fatto addebitato. In tema di controllo del lavoratore, poi, la Corte ha affermato che i programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi ad Internet sono necessariamente apparecchiature di controllo nel momento in cui, in ragione delle loro caratteristiche, consentono al datore di lavoro di controllare a distanza ed in via continuativa durante la prestazione, l'attività lavorativa e se la stessa sia svolta in termini di diligenza e di corretto adempimento, anche in relazione al rispetto delle direttive aziendali che limitano le connessioni telematiche predettte per finalità personali; ne consegue che i dati acquisiti da tali programmi, ove per gli stessi non siano rispettate le condizioni legittimanti di cui all'art. 4, comma 2, della legge n. 300 del 1970 (quali l'accordo con le rappresentanze sindacali o la commissione interna o, in mancanza, l'autorizzazione dell'ispettorato del lavoro), non sono utilizzabili nel procedimento disciplinare instaurato nei confronti del lavoratore in relazione a violazioni disciplinari emergenti da tali dati. Sul tema, mentre non si registrano precedenti di legittimtà ma solo di merito, va ricordato che di fondamentale importanza in materia sono le Linee guida del Garante per posta elettronica e internet, adottate con delibera n. 13 del 1° marzo 2007: si è stabilito l'onere del datore di prefigurare e pubblicizzare una policy interna rispetto al corretto uso dei mezzi e agli eventuali controlli, e volte a prevenire con opportuni accorgimenti tecnici l'uso non autorizzato degli strumenti assegnati al dipendente; si è poi stabilito che nell'effettuare controlli sull'uso degli strumenti elettronici deve essere evitata un'interferenza ingiustificata sui diritti e sulle libertà fondamentali di lavoratori, come pure di soggetti esterni che ricevono o inviano comunicazioni elettroniche di natura personale o privata. E' stato precisato che l'eventuale controllo è lecito solo se sono rispettati i principi di pertinenza e non eccedenza. Secondo il Garante, poi, deve essere per quanto possibile preferito un controllo preliminare su dati aggregati, riferiti all'intera struttura lavorativa o a sue aree. Il controllo anonimo può concludersi con un avviso generalizzato in assenza di successive anomalie non è di regola giustificato effettuare controlli su base individuale. Va esclusa l'ammissibilità di controlli prolungati, costanti o indiscriminati. Il Garante ha quindi evidenziato che non può ritenersi consentito il trattamento effettuato mediante sistemi hardware e software preordinati al controllo a distanza, grazie ai quali sia possibile ricostruire - a volte anche minuziosamente - l'attività di lavoratori. É il caso, ad esempio:della lettura e della registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail; della riproduzione ed eventuale memorizzazione sistematica delle web visualizzate dal lavoratore; della lettura e della registrazione dei caratteri inseriti tramite tastiera o analogo dispositivo; dell'analisi occulta di computer portatili affidati in uso.
(Sentenza Cassazione civile 23/02/2010, n. 4375)