IL CONTROLLO DELLE MAIL DEI DIPENDENTI/ Quando viola la privacy

Con la recente sentenza del 5 settembre la Grande Camera della Corte europea dei diritti dell’uomo (ultima istanza della Corte europea competente a pronunciarsi sui casi già decisi dalle Camere “ordinarie” della Corte nel caso in cui almeno 5 giudici del Collegio ritengano di riesaminare la questione) ha scolpito un fondamentale principio in materia di controllo della posta aziendale dei lavoratori.

Il tortuoso iter giudiziale è iniziato nel 2007 quando, a seguito di un controllo da parte dell’azienda, un ingegnere rumeno impugnava il licenziamento subito per aver utilizzato l’account di posta elettronica aziendale per scopi personali, violando il regolamento interno della società che vietava espressamente (sotto pena di licenziamento) l’utilizzo di internet, telefono e fotocopiatrice per fini personali. Il dipendente invocava avanti i Tribunali rumeni il diritto alla segretezza della corrispondenza protetto dall’art. 8 della Convenzione europea dei diritti dell’uomo, evidenziando che il controllo aziendale riguardava messaggi personali indirizzati al fratello e alla fidanzata.

I Tribunali aditi respingevano il ricorso e il lavoratore sottoponeva la questione alla Corte europea. Quest’ultima, con decisione del 12 gennaio 2016, rigettava nuovamente il ricorso ritenendo bilanciato il diritto della privacy dei dipendenti con le esigenze datoriali considerando che l’azienda aveva preventivamente comunicato il divieto di uso personale della mail aziendale, che il controllo delle mail era stato limitato nel tempo e nell’oggetto, e che il contenuto intrinseco delle comunicazioni non era stato utilizzato dall’impresa per legittimare il licenziamento.

Tale sentenza è stata definitivamente ribaltata dalla Grande Chambre di Strasburgo, che ha ritenuto violato il diritto al rispetto della vita privata e familiare, del domicilio e della corrispondenza sancito dall’articolo 8 della Cedu. Secondo i Giudici di Strasburgo, i Tribunali nazionali non hanno adeguatamente verificato se il dipendente fosse stato dettagliatamente preavvertito della possibilità di un controllo da parte del datore di lavoro delle mail e non hanno debitamente tenuto conto della mancata “informativa” al dipendente sulle specifiche modalità del controllo stesso. La Corte ha, quindi, condannato la Romania per non aver protetto in maniera adeguata il diritto del lavoratore e per non aver operato un corretto bilanciamento degli interessi in gioco.

La sentenza ha particolare rilievo in quanto precisa i criteri ai quali, di fatto, dovranno conformarsi tutti i Tribunali nazionali europei – e dunque non solo rumeni – nel valutare la legittimità dei controlli effettuati dal datore di lavoro sulle mail aziendali dei propri dipendenti. In particolare, il lavoratore deve essere informato dettagliatamente ed esaustivamente della possibilità del controllo e delle modalità e dello scopo del medesimo. Il datore di lavoro deve altresì informare i propri dipendenti sull’inizio dei controlli, pena l’illegittimità degli stessi e dell’eventuale azione disciplinare. L’autorità giudiziaria dovrà, inoltre, verificare che le misure di sorveglianza siano state poste in essere soltanto per gli scopi comunicati. Secondo l’alta Corte, il datore di lavoro deve inoltre comunicare anche in seguito quante e quali comunicazioni sono state monitorate, per quanto tempo e quante persone hanno avuto accesso ai risultati della sorveglianza e fornire ragioni sufficienti a giustificare le indagini svolte. Il controllo è in ogni caso illegittimo se potevano essere adottati metodi meno invasivi della privacy del lavoratore.

Il provvedimento accentua ulteriormente i limiti posti al datore di lavoro nel controllo della corrispondenza dei dipendenti. Al riguardo, già il Consiglio d’Europa con la Raccomandazione del 1 aprile 2015 aveva stabilito i principi in tema di trattamento dei dati personali in ambito lavorativo. Il Comitato dei Ministri del Consiglio d’Europa ha ritenuto necessaria l’adozione di policy aziendali in materia e ha stabilito che i dipendenti siano periodicamente informati sui dispositivi tecnici utilizzati dal datore di lavoro, lo scopo del trattamento e l’archiviazione delle mail professionali. Con particolare riferimento alla posta elettronica, la Raccomandazione ha distinto le email professionali da quelle private, che non possono essere oggetto di controllo. Le email di carattere professionale possono costituire oggetto di monitoraggio solo se necessario per la sicurezza o per altri motivi legittimi e solo a seguito di preventiva informativa ai lavoratori. 

Anche in Italia, l’articolo 4 dello Statuto dei Lavoratori (recentemente modificato dalla D.Lgs. n. 151/2015 c.d. Jobs act) consente al datore di lavoro di controllare gli strumenti utilizzati dal lavoratore per rendere la propria prestazione lavorativa a condizione che sia data al dipendente adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto della normativa sulla privacy (D.Lgs. n. 196/2003 al quale si è recentemente aggiunto il Regolamento UE 2016/679). In proposito, le “Linee Guida per posta elettronica e internet” del Garante della privacy italiano del 1 marzo 2007 prescrivono al datore di lavoro di trattare i dati personali derivanti dall’uso di internet e dell’account aziendale secondo liceità e correttezza informando preventivamente i propri dipendenti, tramite la redazione e diffusione di policy interne, sulle modalità e le condizioni di utilizzo degli strumenti aziendali, sulle forme e i casi di controllo, e sulle sanzioni disciplinari applicabili in caso di indebito utilizzo dei predetti strumenti. Il Garante ha inoltre precisato che nel monitorare l’uso degli strumenti elettronici deve essere evitata un’interferenza ingiustificata sui diritti e le libertà fondamentali dei lavoratori e che l’eventuale controllo deve essere esclusivamente finalizzato agli scopi dichiarati preventivamente. In ogni caso non sono ammessi controlli prolungati, costanti o indiscriminati. 

La recente normativa sul “lavoro agile” (si veda la legge sullo Smart Working n. 81/2017 già commentata su queste pagine), quella sul controllo a distanza dei lavoratori (art. 4 Stat. Lav. così come modificato dal D.Lgs. n. 151/2015) e la nuova e stringente normativa europea sulla Privacy (che sarà vincolante dal prossimo 28/5/2018), applicate alle nuove forme e frontiere tecnologiche del lavoro, lasciano presagire che il punto di arresto della Corte europea segni solo una tappa in un percorso ancora lungo sulla via del contemperamento dei diritti della persona del lavoratore con le esigenze di sicurezza e di efficienza delle imprese.