Controllo dell’account di posta aziendale e violazione della privacy del dipendente (Il Commerci@lista, Lavoro e Previdenza Settembre/Ottobre 2017, Vittorio De Luca)

Con sentenza del 5 settembre 2017, nel controverso caso Barbulescu v. Romania (no. 61496/08), la Grande Chambre della Corte Europea dei diritti dell’uomo (CEDU), organo giurisdizionale che decide su istanza di appello delle parti o nei casi particolarmente complessi, ha rovesciato la precedente decisione della Corte Europea dei diritti dell’uomo del 12 gennaio 2016 in materia di diritto alla riservatezza della corrispondenza.

Il caso in esame riguardava un ingegnere rumeno, dipendente di una società privata in qualità di responsabile delle vendite, incaricato dal proprio datore di creare un account di Yahoo Messanger per gestire le richieste dei clienti. A seguito di un controllo effettuato dalla società sul predetto account era emerso che il ricorrente aveva utilizzato tale strumento in maniera sistematica anche per intrattenere conversazioni personali durante l’orario di lavoro. Il lavoratore veniva, pertanto, licenziato per avere utilizzato l’account di messaggistica in violazione di quanto espressamente stabilito dal regolamento aziendale.

Il lavoratore ricorreva all’autorità giudiziaria nazionale perché dichiarasse l’illegittimità del provvedimento adottato nei suoi confronti, lamentando una violazione del diritto alla riservatezza nella corrispondenza sancito dalla Costituzione e dal Codice penale rumeno. Le corti nazionali rigettavano la richiesta del ricorrente che decideva, quindi, di adire la CEDU, lamentando una mancata tutela della riservatezza della vita privata, domestica e familiare nelle comunicazioni personali da parte delle corti nazionali. La CEDU aveva – con una decisione non unanime – rigettato nel gennaio 2016 il ricorso del lavoratore, ritenendo che le corti rumene avessero effettuato un giusto contemperamento tra il diritto alla privacy e gli interessi legittimi del datore di lavoro.

La Grande Chambre della CEDU ha rovesciato tale decisione ritenendo, al contrario, sussistente la violazione dell’art. 8 CEDU, motivando tale provvedimento sul presupposto che i concetti di “vita privata” e di “corrispondenza” possono trovare applicazione anche nelle comunicazioni effettuate sul luogo di lavoro e che le limitazioni imposte dal datore di lavoro non possono, in ogni caso, ridurre del tutto la vita sociale e di relazione del dipendente. Nella propria decisione la Corte ha ritenuto che le corti nazionali abbiano omesso di considerare la circostanza fondamentale per cui il dipendente – sebbene a conoscenza del divieto di utilizzo per scopi personali dell’account di posta – avrebbe dovuto essere preventivamente informato dal datore circa le modalità di esercizio dell’attività di monitoraggio ed in particolare sul conseguente livello di intrusione nella vita privata e nella corrispondenza personale.

La sentenza assume particolare rilievo poiché precisa i criteri che potranno influenzare le decisioni dei giudizi nazionali nel valutare la legittimità dei controlli effettuati dal datore di lavoro sull’account di posta aziendale. In particolare, tenuto conto dell’elevato grado di intrusione nella privacy, il datore di lavoro deve informare esaustivamente il dipendente della possibilità di un controllo, delle modalità dello stesso, dello scopo perseguito e delle precise conseguenze disciplinari. Al riguardo, si precisa che il datore deve addurre concrete motivazioni a sostegno dell’attività di monitoraggio e non limitarsi ad ipotesi astrattamente riconducibili al rischio di danneggiamento dei sistemi informatici o al contrasto dell’attività illecita online. In altri termini, la natura delle verifiche deve essere ben chiara al lavoratore prima che si proceda con il monitoraggio, con particolare riferimento anche all’indicazioni del numero di comunicazioni oggetto di controllo, della durata dell’intervento nonché dei soggetti che hanno effettuato tale controllo.

La Corte ha ritenuto, inoltre, che il controllo deve ritenersi illegittimo qualora l’interesse del datore di lavoro possa essere perseguito mediante metodi meno intrusivi della privacy del lavoratore.

Al riguardo, si evidenzia come la normativa italiana in tema di controllo degli strumenti di lavoro appare pienamente in linea con i criteri individuati dalla Grande Chambre. L’art. 4 dello Statuto dei Lavoratori, così come modificato nel 2015 dal Jobs Act, prevede, infatti, la possibilità per il datore di lavoro di accedere alla posta aziendale solo dopo aver preventivamente informato il lavoratore circa le modalità (i) d’uso dello strumento informatico e (ii) con cui vengono effettuati i controlli. Sul punto, peraltro, si rileva l’intervento anche del Garante della Privacy che, con il provvedimento n. 303 del 2016, ha chiarito come i controlli intensivi si considerano legittimi solo a fronte di specifiche anomalie e “comunque all’esito dell’esperimento di misure preventive meno limitative dei diritti dei lavoratori”.

In sostanza, condizione necessaria per poter controllare lecitamente, ed in conformità ai principi di proporzionalità, pertinenza e non eccedenza la posta elettronica dei dipendenti è che il datore di lavoro adotti preventivamente una policy interna, che regolamenti in modo chiaro e senza formulazioni generiche il corretto utilizzo della stessa e degli strumenti informatici aziendali in generale nonché gli eventuali controlli e che informi di tale circostanza i propri dipendenti in maniera chiara ed esaustiva. Il mancato rispetto di quanto precede esporrà, pertanto, il datore di lavoro al rischio di accertamento di illegittimità dei provvedimenti disciplinari adottati sulla base delle informazioni illecitamente raccolte.