E-mail monitoring e tutela della privacy: un difficile bilanciamento di interessi

L' e-mail aziendale è diventato nel corso degli anni un mezzo così diffuso che non si potrebbe più pensare l'attività lavorativa senza tale strumento che, per la sua flessibilità e praticità, si è affermato, da poco più di venti anni, nella quotidianità aziendale rendendo immediate le comunicazioni lavorative. Si tratta di un fenomeno ancora oggi in forte espansione e che, per stare al passo con l'evoluzione della tecnologia, richiederebbe una chiara regolamentazione da parte del Legislatore (art. 1, comma 7 del c.d. Jobs Act, L. 10 dicembre 2014, n. 183).

L'applicazione delle nuove tecnologie in azienda ha comportato un drastico mutamento nel modo di concepire l'attività lavorativa. Quando hanno iniziato ad essere adoperate nel mondo del lavoro, le e-mail erano utilizzate sia per ragioni personali che professionali e il datore di lavoro non poteva porre in essere alcun tipo di controllo, con la sola eccezione di quello volto a contrastare un crimine commesso dal lavoratore, crimine che però doveva essere scoperto “per caso” e non tramite il controllo stesso.

Tuttavia, nel corso degli ultimi vent'anni, la necessità delle aziende di difendere la sicurezza delle loro reti interne dall'attacco di virus e malware, nonché dalla possibile perdita della produttività dei lavoratori, distratti dall'uso eccessivo di social network e forme di comunicazione elettronica, ha condotto ad una necessaria evoluzione giurisprudenziale.

Come è possibile garantire un bilanciamento tra le esigenze di controllo del datore di lavoro e le esigenze di privacy del lavoratore?

In Italia, il quadro giuridico in materia è contenuto in diversi testi di legge, redatti in un periodo storico nel quale la tecnologia non si era ancora affermata, il cui coordinamento non è sempre agevole.
Prima per importanza nel nostro sistema di gerarchia delle fonti è la disposizione contenuta all'art. 15 della Costituzione, la cui rilevanza è altresì dimostrata dalle conseguenze sul piano penale in caso di sua violazione, ai sensi dell'articolo 616 del c.p., che parifica la corrispondenza epistolare a quella telefonica o telematica (art. 616 c.p.).

Al contempo, l'uso della comunicazione elettronica da parte di dipendenti fa venire in rilievo gli articoli 2086 e 2104 c.c. che prevedono un generale potere di controllo del datore di lavoro sui dipendenti.

Pertanto, da un lato, la corrispondenza elettronica del lavoratore sembrerebbe inviolabile e riservata ai sensi dell'art. 15 della Cost., mentre, dall'altro lato, la stessa corrispondenza sembrerebbe soggetta al potere di controllo del datore di lavoro, volto a verificare la corrispondenza tra le prestazioni dei lavoratori e le mansioni assegnate.

Quale conseguenza di una sorta di iniziale diffidenza verso uno strumento tecnologico fortemente innovativo e del vuoto normativo, la soluzione italiana della questione è stata inizialmente sbilanciata a favore del segreto della corrispondenza anche in ambito lavorativo. Lo stesso Garante Privacy ha inizialmente ritenuto che “i messaggi che circolano, via Internet, nelle liste di posta elettronica … devono essere considerati come corrispondenza privata e … non possono essere violati”, confermando che la posta elettronica soggiace alla medesima tutela della corrispondenza epistolare (confermato da Cass. Pen., 11 dicembre 2007 n. 47096).

Ci sono voluti quasi dieci anni, e il progressivo affermarsi della posta elettronica come abituale strumento di lavoro, perché alcune sentenze di merito iniziassero un cammino di avvicinamento verso le esigenze produttive e organizzative del datore di lavoro. Spicca tra tutte quella del Tribunale di Torino, Sezione di Chivasso del 2006 con la quale il Giudice, prendendo atto della necessità di controllo da parte del datore di lavoro, ha ravvisato nella posta elettronica aziendale un vero e proprio strumento di lavoro affidato al lavoratore, dalla natura “personale” ma non “privata”, nella disponibilità di accesso e lettura da parte di soggetti diversi, sempre appartenenti all'azienda nelle frequenti ipotesi di sostituzioni di colleghi per ferie, malattia. Per tale ragione, la posta elettronica sarebbe accessibile al datore di lavoro attraverso la password comunicata dal lavoratore, a condizione che il datore di lavoro abbia chiarito formalmente, “mettendolo nero su bianco”, che tutti i messaggi potevano essere resi pubblici. In tal caso, non è stato ritenuto applicabile l'art. 15 della Costituzione.

Da una prospettiva di diritto penale, il discrimen tra reato e legittimo accesso alla corrispondenza da parte del datore di lavoro risiede nella possibilità o meno di adoperare la posta elettronica a fini personali. Laddove l'uso privato sia escluso per espressa previsione debitamente comunicata ai lavoratori, l'accesso del superiore gerarchico alla posta elettronica non viola la segretezza della corrispondenza.

Se la questione sembrerebbe sin qui chiarita, tale ricostruzione costituisce una sola faccia della medaglia in quanto, da un punto di vista privatistico, vi è necessità di un ulteriore coordinamento con la normativa di cui al Codice Privacy (D.lgs del 30 giugno 2003, n. 196) nonché allo Statuto dei Lavoratori (Legge n. 300/1970). Un esempio di clausola contrattuale potrebbe essere il seguente: “La società non permette l'uso personale dei sistemi informatici di comunicazione della società, inclusi, senza limitazione, la posta elettronica, internet, fax, fotocopiatrici e telefono. Lei non potrà aspettarsi alcuna privacy quando utilizza i sistemi informatici di proprietà della società. Lei acconsente a che la società potrà controllare e/o registrare l'uso che Lei farà dei macchinari aziendali, inclusi, la posta elettronica, Internet, fax, fotocopiatrici e telefono”.

Il Codice Privacy viene in rilievo in quanto il controllo delle comunicazioni e-mail costituisce un trattamento di dati personali (relativi al mittente e al destinatario, ad esempio) e impone al datore di lavoro il rispetto dei principi di necessità, non eccessività, legittimità dello scopo e bilanciamento degli interessi, derivanti dall'implementazione della direttiva 2002/58/CE.

La questione deve poi essere valutata anche ai sensi dello Statuto dei Lavoratori (art. 4 L. n. 300/1970) in tema di divieto di controlli a distanza, posto che lo sviluppo tecnologico espone il lavoratore al rischio di un monitoraggio costante della sua attività attraverso programmi (software) in grado di registrare l'attività lavorativa ovvero attraverso l'analisi dei dati registrati sui server aziendali (hardware).

In buona sostanza, la normativa richiamata vieta tout court i c.d. “controlli intenzionali” a distanza del datore di lavoro sull'attività dei lavoratori, mentre prevede che laddove vi sia un'esigenza organizzativa o produttiva i c.d. “controlli non intenzionali” richiedono l'esperimento di una procedura di consultazione sindacale.

Una terza categoria, di origine giurisprudenziale, concerne poi i c.d. “controlli difensivi”, vale a dire i controlli diretti ad accertare possibili condotte illecite dei dipendenti. Tali controlli sono stati inizialmente considerati legittimi dalla Corte di Cassazione (Cass. civ. sez. lav. 3 aprile 2002, n. 4746), ma tale orientamento è stato poi superato da una giurisprudenza che ha riportato tali controlli nell'alveo dei controlli non intenzionali, legittimandoli (senza necessità di consultazione sindacale) solo in caso di controllo “ex post”, ovverossia successivo alla conoscenza del fatto illecito (Cass. sez. Lav. 23 febbraio 2012, n. 2722).

È di tutta evidenza, allora, che un controllo del datore di lavoro sulle e-mail dei lavoratori, attraverso l'uso di strumentazioni software o hardware, possa rientrare nell'ambito dei c.d. controlli a distanza vietati e che debba quindi, se legittimato da ragioni produttive o organizzative, essere oggetto di consultazione sindacale.

Il coordinamento tra necessità di monitoraggio della posta elettronica e legittime aspettative di riservatezza del lavoratore è stato chiarito dal Garante della Privacy nel 2007 (Linee Guida del Garante per posta elettronica e Internet, del. n. 13 del 1° marzo 2007, in G.U. n. 58/2007), che ha reso note alcune linee guida volte a verificare il corretto utilizzo della posta elettronica e della rete Internet, tra le quali:

• la promozione di un disciplinare interno o policy aziendale;
• l'uso di filtri per impedire la connessione a siti inappropriati, il trattamento dei dati in forma anonima e la conservazione dei dati per un tempo limitato;
• la messa a disposizione di indirizzi di posta elettronica condivisi, l'attribuzione al lavoratore di un diverso indirizzo e-mail per uso personale, la delega di un fiduciario del lavoratore per l'accesso alla posta, l'introduzione di risposte automatiche in caso di assenza con indicazione di un collega;
• la consultazione sindacale nei casi in cui l'intervento del datore possa costituire un controllo a distanza.

Il controllo datoriale deve quindi mantenere una “dimensione umana”, cioè non esasperata dall'uso delle tecnologie che possono rendere la vigilanza del datore di lavoro continua e anelastica, eleminando riservatezza e autonomia nella gestione del rapporto di lavoro.

Concretamente, il datore di lavoro potrà legittimamente accedere alla posta elettronica dei dipendenti:

1) ottenendo, in sede di assunzione, la specifica approvazione di una clausola contrattuale relativa all'uso solo professionale degli strumenti di lavoro e la sottoscrizione di una informativa relativa alle possibili finalità del trattamento dei dati personali;

2) implementando una procedura aziendale che specifichi quali comportamenti non sono tollerati, indicando le modalità e l'utilizzo della posta elettronica, la modalità di conservazione dei dati e l'eventuale modalità per il datore di lavoro di accesso alla posta elettronica, possibilmente in forma anonima;

3) svolgendo, ove necessario, la consultazione delle rappresentanze sindacali.

A titolo esemplificativo, il Legislatore spagnolo (tale impostazione è stata confermata dalla Corte Suprema Spagnola nel 2013) ha superato un'iniziale impostazione in cui il controllo delle e-mail era proibito perché considerato un'invasione della privacy, permettendo in tempi più recenti un più ampio diritto di controllo sugli strumenti elettronici utilizzati dai dipendenti, a patto che il datore abbia informato i dipendenti attraverso una policy aziendale.

L'approccio olandese al problema è stato invece interamente impostato sulla normativa in tema di privacy, una normativa “aperta” da implementare caso per caso, sulla base dei principi di necessità, proporzione, limitazione del periodo di conservazione dei dati, individuazione del soggetto legittimato all'accesso ai dati, ecc. Anche nel caso dei Paesi Bassi, il datore di lavoro che intende controllare le comunicazioni dei dipendenti deve redigere un codice di condotta o una policy aziendale che includa la chiara descrizione di cosa si intende per utilizzo concesso e utilizzo vietato di Internet e dell'e-mail, le ragioni e le modalità del controllo.

La questione del bilanciamento degli opposti interessi tra datore di lavoro e lavoratore sul controllo delle e-mail è stata risolta dalla Corti francesi (Cassazione Francese del 2 ottobre 2001, n. 99-42.942, Cassazione Sezione Lavoro Francese 12 ottobre 2004, n. 02-40.392) basandosi sull'accertamento della natura professionale o personale delle comunicazioni. In particolare, laddove la posta elettronica sia utilizzata a fini personali il datore di lavoro dovrà astenersi dal controllo nel rispetto del segreto della corrispondenza (la cui violazione, anche nel diritto francese, è reato). Diversamente, l'uso professionale della posta elettronica legittima l'accesso da parte del datore.

La stessa distinzione esaminata con riferimento all'ordinamento francese, è stata adottata dal Legislatore tedesco, il quale ha preso atto del possibile interesse del datore di lavoro a controllare gli account aziendali dei dipendenti. In particolare, laddove l'uso privato della posta elettronica non sia consentito al dipendente, il controllo da parte del datore di lavoro è sempre possibile anche in caso di uso privato della posta da parte del lavoratore. Per le sole e-mail espressamente indicate come “confidenziali” è necessario un accordo scritto fra datore di lavoro e lavoratore, anche in forma preventiva e inclusa nel contratto di lavoro.

Infine, la normativa inglese vieta generalmente il controllo delle comunicazioni da parte di persone diverse dal mittente e dal destinatario, permettendo, in deroga, i controlli qualora sia necessario accertare la conformità dell'attività svolta a pratiche e procedure normative o dimostrare gli standard raggiunti dai dipendenti. In tali casi, il datore di lavoro deve aver adeguatamente informato il dipendente della possibile intercettazione delle sue comunicazioni, includendo una dettagliata informativa all'interno della policy aziendale, da portare all'attenzione del lavoratore al momento dell'assunzione.

Si profilano quindi tre principali linee guida desumibili dal confronto tra i diversi ordinamenti che potranno essere validamente adottate dalle imprese:

• il valore fondamentale di una policy aziendale esaustiva e completa che determini in maniera chiara cosa il dipendente può o non può fare con e-mail e sistemi informatici, individui i responsabili della gestione delle reti e dei dati, chiarisca le procedure di controllo e le possibili conseguenze di comportamenti contrari alla policy;

• l'importanza della divulgazione di tale policy a tutti i dipendenti attraverso una trasmissione attiva che per i lavoratori non sia possibile non venirne a conoscenza (corsi di aggiornamento e consegna della policy quale parte integrante del contratto di lavoro);

• la necessità per le aziende di dotarsi di sistemi informatici sicuri per il salvataggio dei dati personali.

Tale approccio offre un ampio raggio d'azione al datore di lavoro in sede di controllo degli strumenti aziendali affidati ai lavoratori, ma tutela al contempo i principi fondamentali della privacy.