Il datore di lavoro che, senza alcun avviso, controlla le mail dei dipendenti viola il diritto alla vita privata in quanto in caso di monitoraggio deve avvisare il dipendente in merito alla possibilità di controllo sulla sua corrispondenza, alle modalità del controllo ed alle relative motivazioni.
Importante decisione della Grande Camera della Corte Europea dei Diritti dell’uomo (CEDU) che, in merito al caso Bărbulescu contro la Romania (domanda n. 61496/08), con sentenza del 5 settembre 2017, capovolgendo il precedente verdetto della Corte Europea ha sancito che il datore di lavoro che controlla le mail dei dipendenti viola il diritto alla vita privata in quanto in caso di monitoraggio deve avvisare il dipendente e comunicarne in modo chiaro la natura.

In effetti nella prima sentenza della CEDU risalente al 12 dicembre 2016, la Corte nell’esaminare un ricorso di un ingegnere romeno licenziato per inadempimento contrattuale, provato anche dall’utilizzo per fini personali, in orario di lavoro, della mail aziendale, aveva ritenuto non irragionevole il bilanciamento tra privacy dei dipendenti ed esigenze datoriali, ammettendo, quindi, il controllo datoriale sull’attività lavorativa nella misura in cui lo stessi risulti strettamente proporzionato e non eccedente lo scopo di verifica dell’adempimento contrattuale.

La Grande Camera, invece, ha precisato che affinché l’accesso del datore di lavoro alla mail aziendale possa ritenersi legittimo è necessario verificare anzitutto se il lavoratore risulta avvisato dall’azienda in merito alla possibilità di controllo sulla sua corrispondenza, alle modalità del controllo ed alle relative motivazioni.

In altri termini la natura delle verifiche deve essere ben chiara al lavoratore prima che si proceda con il monitoraggio. Lo stesso amministratore di sistema potrà accedere alle comunicazioni telematiche del lavoratore solo dopo specifica notifica.

Inoltre lo stesso monitoraggio va effettuato con criteri ben precisi, attenendosi alle finalità prescritte e nel caso si superino determinati limiti non vi sono dubbi sulla configurabilità di un’intollerabile intromissione nella privacy del lavoratore: fondamentale in tal caso è la distinzione tra il flusso delle comunicazioni e il loro contenuto.

Vanno anche chiarite quante e quali comunicazioni sono state oggetto di monitoraggio, la tempistica e quante persone hanno avuto accesso ai risultati della sorveglianza.

In ogni caso sarà sempre il giudice a stabilire se il datore di lavoro fornisce ragioni sufficienti a giustificare il controllo delle comunicazioni e non poteva adottare metodi meno invasivi.

Naturalmente a seguito di questa decisione la Romania è stata condannata perché i giudici locali non si sono assicurati se la privacy del lavoratore fosse sufficientemente protetta da eventuali abusi da parte del datore di lavoro.

Il tema della vigilanza sulle comunicazioni elettroniche e sull’utilizzo di Internet sul posto di lavoro rimane sempre di grande attualità e di ampio contrasto tra gli addetti ai lavori, e in merito a tale problematica assumono grande rilievo il provvedimento generale dell’Autorità Garante per la protezione dei dati personali del 1 marzo 2007, il documento di lavoro delle autorità europee di protezione dei dati riunite nel Gruppo dei garanti europei, istituito ai sensi dell’art. 29 della direttiva n. 95/46/CE, adottato il 29 maggio 2002, nonché la giurisprudenza della Corte europea dei diritti dell’uomo relativa all’articolo 8 della Convenzione europea dei diritti dell’uomo le cui ultime sentenze non sono del tutto conformi.

Ormai presso tutti gli uffici il collegamento ad Internet è molto diffuso, ma non bisogna dimenticare che l’uso di un computer collegato ad una rete esterna deve essere sempre molto accorto e responsabile innanzitutto per ovvie ragioni di sicurezza.

Non poche, poi, sono le questioni sorte in merito alla legittimità dell’accesso da parte del datore di lavoro o dirigente alla casella di posta elettronica aziendale del dipendente.

Al fine di risolvere tali questioni è opportuno ricordare alcuni importanti concetti:
1. l’equiparazione della posta elettronica alla corrispondenza tradizionale la cui libertà e segretezza viene tutelata dall’art. 15 della Costituzione;
2. la legittimità del controllo della casella della posta elettronica del proprio dipendente da parte del datore di lavoro alla luce di quanto prescritto dall’attuale disciplina in tema di rapporti di lavoro, compreso lo Statuto dei lavoratori;
3. la tutela della privacy alla luce di quanto stabilito dal d.lgs. n. 196/2003.
La problematica non è semplice ed il Garante alla luce dei principi di cui sopra è intervenuto con un provvedimento, pienamente conforme all’ultima sentenza della CEDU, nel quale ha chiarito che i datori di lavoro pubblici e privati non possono controllare la posta elettronica e la navigazione in Internet dei dipendenti, se non in casi eccezionali.

Spetta al datore di lavoro definire le modalità d’uso di tali strumenti ma tenendo conto dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali.

Ma cosa succede nel caso di messaggi inerenti al rapporto di lavoro? Anche in questo caso opera il divieto di controllo?

L’Autorità, come specificato anche dalla decisione della Grande Camera della CEDU, prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli. Il Garante vieta poi la lettura e la registrazione sistematica delle e-mail così come il monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un controllo a distanza dell’attività lavorativa vietato dallo Statuto dei lavoratori (art. 4).

Viene inoltre indicata tutta una serie di misure tecnologiche e organizzative per prevenire la possibilità, prevista solo in casi limitatissimi, dell’analisi del contenuto della navigazione in Internet e dell’apertura di alcuni messaggi di posta elettronica contenenti dati necessari all’azienda.

Il provvedimento del Garante raccomanda l’adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l’uso di Internet e della posta elettronica.

Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori. Per quanto riguarda Internet è opportuno ad esempio:
• individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;
• utilizzare filtri che prevengano determinate operazioni, quali l’accesso a siti inseriti in una sorta di black list o il download di file musicali o multimediali.
Per quanto riguarda la posta elettronica, è opportuno che l’azienda:
• renda disponibili anche indirizzi condivisi tra più lavoratori (info@ente.it; urp@ente.it; ufficioreclami@ente.it), rendendo così chiara la natura non privata della corrispondenza;
• valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale;
• preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;
• metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l’ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all’attività lavorativa.
Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità. In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l’area da richiamare all’osservanza delle regole. Solo successivamente, ripetendosi l’anomalia, si potrebbe passare a controlli su base individuale.

Ma come la mettiamo con i cosiddetti controlli difensivi del datore di lavoro che spesso sono border line con le regole sancite dallo Statuto dei lavoratori (art. 4)?

In effetti la giurisprudenza della Corte di Cassazione già da un pò di tempo ha iniziato a rivedere l’applicazione dell’art. 4 dello Statuto dei Lavoratori. Difatti, con sentenza n. 4746 del 2002 la Cassazione ha escluso l’applicabilità di detto articolo ai controlli diretti ad accertare condotte illecite del lavoratore, i c.d. controlli difensivi.
Il ragionamento della Corte, in tal senso, è chiaro: “Ai fini dell’operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dell’attività dei lavoratori previsto dall’art. 4 l. n. 300 citata, è necessario che il controllo riguardi (direttamente o indirettamente) l’attività lavorativa, mentre devono ritenersi certamente fuori dell’ambito di applicazione della norma i controlli diretti ad accertare condotte illecite del lavoratore (cosiddetti controlli difensivi), quali, ad esempio, i sistemi di controllo dell’accesso ad aree riservate, o gli apparecchi di rilevazione di telefonate ingiustificate”.

Successivamente, con la pronuncia n. 15892 del 2007, la Corte ha tuttavia ammesso un limite, affermando che i controlli difensivi non possono giustificare l’annullamento di ogni garanzia: “Né l’insopprimibile esigenza di evitare condotte illecite da parte dei dipendenti può assumere portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore”.

Tale principio è stato riaffermato in numerose pronunce successive e, con la sentenza n. 4375 del 2010, è stato applicato anche ai programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi ad Internet.
La sentenza, dopo aver definito tale tipologia di controllo come “controllo preterintenzionale”, rientrante perciò nell’ambito di applicazione del secondo comma dell’art. 4 dello Statuto dei lavoratori, ha affermato, quanto segue: “i programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi Internet sono necessariamente apparecchiature di controllo nel momento in cui, in ragione delle loro caratteristiche, consentono al datore di lavoro di controllare a distanza e in via continuativa durante la prestazione, l’attività lavorativa e se la stessa sia svolta in termini di diligenza e di corretto adempimento”.