Viola la Privacy del dipendente il datore di lavoro che spia chat e mail, anche se aziendali

Controllare la posta elettronica di un dipendente equivale ad una violazione del diritto ad avere una vita privata ed una propria corrispondenza; le email di lavoro sono equiparate al domicilio e alla corrispondenza. L'accesso da parte del datore alle mail dei dipendenti è legittimo solo a condizione che questi ultimi siano stati preventivamente informati dell'esistenza di un controllo sulla corrispondenza aziendale, delle modalità e motivazioni di tale controllo.

Per la Grande Camera della Corte di Strasburgo vi è stata una violazione dell'art. 8 CEDU ed una mancata garanzia da parte dell'autorità giudiziaria nel garantire il giusto equilibrio fra il diritto del lavoratore al rispetto della sua vita privata e l'esigenza del datore di lavoro di adottare misure adeguate ad assicurare il buon funzionamento dell'azienda.

La Corte europea dei Diritti dell'Uomo è stata chiamata a pronunciarsi sul ricorso di un ingegnere rumeno di 27 anni licenziato per aver usato ripetutamente un account aziendale per fini personali, in deroga al codice etico interno. Tra il 2004 e il 2007 il giovane aveva lavorato nel reparto vendite in un'azienda e, su richiesta dei superiori, aveva creato un account su Yahoo Messenger per rispondere ai clienti. Successivamente l'azienda aveva fatto circolare una nota comunicando che l'uso di Internet, del telefono e fotocopiatrice per motivi privati poteva comportare la perdita del posto di lavoro. Il dipendente dopo alcuni controlli era stato allontanato per aver contattato i parenti mediante il proprio account aziendale.

Può il datore di lavoro sorvegliare le comunicazioni dei propri dipendenti sulla rete aziendale, prevedendone anche il licenziamento in caso di utilizzo per fini personali? Ed in quali condizioni può parlarsi di violazione della Privacy del dipendente?

La Corte europea dei diritti dell'Uomo ha stabilito che monitorare le email e le altre comunicazioni elettroniche di un impiegato sul posto di lavoro equivale alla violazione del diritto ad avere una vita ed una corrispondenza privata. L'accesso del datore alle e-mail del lavoratore è legittimo solo se il lavoratore stesso sia stato preventivamente informato dell'esistenza di un controllo sulla corrispondenza aziendale, delle modalità nonché delle ragioni di tale controllo.

Le conclusioni alle quali è giunta la CEDU sono fondate sulla previsione contenuta nell'art. 8 della Convenzione Europea per la salvaguardia dei diritti dell'uomo; tale norma, rubricata “Diritto al rispetto della vita privata e familiare”, prevede al comma 1 che «ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza».

I giudici della Grande Camera della Corte di Strasburgo hanno ritenuto la condotta del datore di lavoro contraria ai diritti suddetti condannando la Romania per violazione dell'art. 8 sul diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza. Secondo la Grande Camera, i “messaggini” inviati mediante l'account Yahoo messanger (creato su ordine del datore per promuovere l'azienda), rientrano nella nozione di corrispondenza.

La Corte, in prime cure, aveva invero legittimato la scelta del datore poiché tale controllo rientrava nei suoi poteri disciplinari di sorveglianza delle comunicazioni al fine di garantire un corretto funzionamento dell'azienda ispezionando come i suoi dipendenti svolgessero le proprie attività; la Grand Chamber, però, ha smentito tale tesi.

Per quest'ultima, infatti, l'autorità giudiziaria nazionale non ha garantito il giusto equilibrio fra il diritto del lavoratore (al rispetto per la sua vita privata) e l'esigenza del datore di lavoro di adottare misure adeguate ad assicurare il buon funzionamento dell'azienda. La mancanza di tali garanzie si riscontra dapprima nella comminazione della sanzione del licenziamento disciplinare inflitta da un privato, poi convalidata dalle Corti interne le quali hanno commesso varie omissioni, tra le quali la non verificazione dell'esistenza del preavviso e delle ragioni legittime poste a giustificazione di tale controllo. Il dipendente, inoltre, non è stato interrogato per spiegare l'uso privato di risorse aziendali e, nei suoi confronti, non sono state nemmeno prese in considerazione misure meno invasive.

È compito delle Autorità nazionali verificare se il datore di lavoro ha notificato ai propri dipendenti l'inizio dei controlli, in caso di mancata notifica decade la legittimità del monitoraggio e dell'eventuale azione disciplinare o licenziamento. Va poi accertato che le misure di sorveglianza messe in atto servono unicamente agli scopi che il datore ha dichiarato, comprese la durata e l'ampiezza delle verifiche nonché il numero delle persone che può accedere ai dati raccolti. Le autorità devono, inoltre, stabilire se le aziende abbiano fornito motivazioni sufficienti a giustificare le indagini.

È interessante notare come in taluni casi, la disciplina del diritto del lavoro si interconnette con il diritto alla riservatezza e la protezione dei dati personali. Posto che i rapporti contrattuali tra datore e lavoratore sono improntati sulla fiducia reciproca, l'accesso alle comunicazioni deve rispettare alcuni principi fondamentali come la «finalità, trasparenza, legittimità, proporzionalità, precisione, sicurezza e personale consapevolezza». Il datore deve avvisare il lavoratore dell'intenzione di avvalersi di strumenti di sorveglianza e controllo prima del monitoraggio. È importante sottolineare che i diritti alla riservatezza e segretezza delle comunicazioni devono essere sempre garantiti sul luogo di lavoro, anche se possono essere limitati nella misura dello stretto necessario: le regole interne imposte dal datore non possono ridursi a vietare l'esercizio della vita sociale sul luogo di lavoro, inoltre, nella sentenza qui analizzata, i giudici hanno stabilito che «un datore di lavoro non può ridurre a zero la vita sociale privata di un impiegato».

Giova evidenziare come la posizione della CEDU sia in linea con quella dei Garanti europei (Wp29) che nel loro recente parere (del giugno 2017 n. 2/2017) hanno fornito delle indicazioni inerenti la possibilità di utilizzare le potenzialità delle reti social e delle nuove tecnologie senza violare la privacy del lavoratore. Nello specifico hanno sottolineato il diritto di ogni lavoratore, indipendentemente dal contratto ad esso applicato, al rispetto della sua vita privata, della sua libertà e della sua dignità.

Le conclusioni alle quali il WP29 giunge ci consentono, inoltre, di specificare la natura del consenso che la CEDU individua come elemento fondamentale per legittimare il controllo delle attività svolte in rete dal dipendente. A tal proposito, considerata la forte disparità di potere tra datore di lavoro e lavoratore, sia in aziende private che presso enti pubblici, difficilmente il consenso può essere usato come base legale per l'utilizzo dei dati. Il consenso infatti per essere valido deve essere anche libero, mentre i Garanti europei sottolineano che in tali contesti il consenso prestato potrebbe essere “condizionato” dal particolare contesto in cui è richiesto.

I Garanti suggeriscono al datore di lavoro l'eventualità di avvalersi di disposizioni normative o contrattuali oppure di far valere il loro “legittimo interesse” (previsto dall'art. 6 del Regolamento per la protezione dei dati personali), sempre però bilanciando quest'ultimo con i diritti e le libertà dei lavoratori, secondo i principi di necessità e proporzionalità.

In conclusione, mutuando i principi espressi dal WP29, la Corte Europea dei Diritti dell'Uomo ha sancito l'illegittimità della condotta posta in essere dal datore di lavoro, sostenendo che anche l'eventuale consultazione o il monitoraggio dei social network debbano essere limitati ai soli profili professionali, escludendo la vita privata tanto dei dipendenti, quanto dei candidati all'assunzione.

La sentenza ora esaminata sembra colpire duramente le corti rumene per non avere operato un'analisi corretta circa l'esistenza o meno dei presupposti che, in astratto, avrebbero potuto giustificare il monitoraggio della posta. Tuttavia, sulla base di tale considerazione, la CEDU pare non aver introdotto un principio generale che vieti il controllo generalizzato delle mail e delle comunicazioni aziendali di un dipendente.

Non si tratta di una novità assoluta posto che nel nostro ordinamento, già dal 2007, disponiamo di una specifica normativa fornita dal Garante Privacy in tema di posta elettronica e Internet (Linee guida del Garante Privacy n. 58 del 10 marzo 2007).

Nel suddetto provvedimento viene affermato che il contenuto dei messaggi di posta elettronica (come pure i dati esteriori delle comunicazioni e i file allegati) riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali.

Con specifico riferimento all'impiego della posta elettronica nel contesto lavorativo e in ragione della veste esteriore attribuita all'indirizzo di posta elettronica nei singoli casi, può risultare dubbio se il lavoratore, in qualità di destinatario o mittente, utilizzi la posta elettronica operando quale espressione dell'organizzazione datoriale o ne faccia un uso personale pur operando in una struttura lavorativa.

La mancata esplicitazione di una policy al riguardo può determinare una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione. Tali incertezze si riverberano sulla qualificazione, in termini di liceità, del comportamento del datore di lavoro che intenda apprendere il contenuto di messaggi inviati all'indirizzo di posta elettronica usato dal lavoratore (posta "in entrata") o di quelli inviati da quest'ultimo (posta "in uscita").

É quindi opportuno che si adottino accorgimenti anche per prevenire eventuali trattamenti in violazione dei principi di pertinenza e non eccedenza. Si tratta di soluzioni che possono risultare utili per contemperare le esigenze di ordinato svolgimento dell'attività lavorativa con la prevenzione di inutili intrusioni nella sfera personale dei lavoratori, nonché violazioni della disciplina sull'eventuale segretezza della corrispondenza. In questo quadro sarebbe opportuno che il datore di lavoro renda disponibili indirizzi di posta elettronica condivisi tra più lavoratori eventualmente affiancandoli a quelli individuali.

È auspicabile che il datore di lavoro valuti la possibilità di attribuire al lavoratore un diverso indirizzo destinato ad uso privato del lavoratore e che metta a disposizione di ciascun lavoratore apposite funzionalità di sistema, di agevole utilizzo, che consentano di inviare automaticamente, in caso di assenze (ad es., per ferie o attività di lavoro fuori sede), messaggi di risposta contenenti le "coordinate" (anche elettroniche o telefoniche) di un altro soggetto o altre utili modalità di contatto della struttura. É parimenti opportuno prescrivere ai lavoratori di avvalersi di tali modalità, prevenendo così l'apertura della posta elettronica.

In caso di eventuali assenze non programmate (ad es. per malattia), qualora il lavoratore non possa attivare la procedura descritta (anche avvalendosi di servizi web mail), il titolare del trattamento, perdurando l'assenza oltre un determinato limite temporale, potrebbe disporre lecitamente, sempre che sia necessario e mediante personale appositamente incaricato (ad es. l'amministratore di sistema oppure, se presente, un incaricato aziendale per la protezione dei dati), l'attivazione di un analogo accorgimento, avvertendo gli interessati.

In previsione della possibilità che, in caso di assenza improvvisa o prolungata e per improrogabili necessità legate all'attività lavorativa, si debba conoscere il contenuto dei messaggi di posta elettronica, l'interessato sia messo in grado di delegare un altro lavoratore (fiduciario) a verificare il contenuto di messaggi e a inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell'attività lavorativa. A cura del titolare del trattamento, di tale attività dovrebbe essere redatto apposito verbale e informato il lavoratore interessato alla prima occasione utile; i messaggi di posta elettronica dovranno contenere un avvertimento ai destinatari nel quale sia dichiarata l'eventuale natura non personale dei messaggi stessi, precisando se le risposte potranno essere conosciute nell'organizzazione di appartenenza del mittente e con eventuale rinvio alla predetta policy datoriale.