Il controllo delle email del dipendente secondo la Corte europea

Il ricorrente è un cittadino rumeno che dal 1° agosto 2004 al 6 agosto 2007 è stato dipendente di una Società privata - con sede a Bucarest – come ingegnere incaricato delle vendite.

Su richiesta del datore di lavoro, il ricorrente ha creato un account Yahoo Messenger per rispondere più velocemente alle richieste dei clienti.

Il 3 luglio del 2007 la Società ha fatto pervenire agli impiegati un avviso con il quale ha comunicato agli stessi che l'uso di internet, telefono e fotocopiatrice per ragioni private avrebbe potuto causare licenziamento per ragioni disciplinari senza, tuttavia, far riferimento alla possibilità di poter monitorare le comunicazioni dei dipendenti.

Dieci giorni dopo il lavoratore è stato convocato dal suo datore di lavoro che lo ha accusato di aver utilizzato l'account aziendale di cui sopra per comunicazioni personali e lo ha licenziato per motivi disciplinari il 1° agosto successivo.

Il lavoratore ha impugnato il licenziamento alla County Court di Bucarest sostenendone l'illegittimità – con conseguente reintegra e risarcimento del danno – in quanto ha affermato, sulla base della sentenza CEDU n. 62617/00, che le comunicazioni telefoniche ed email di un dipendente dal posto di lavoro sono state comprese nelle nozioni di “vita privata” e di “corrispondenza” e sono quindi protette dall'art. 8 della Convenzione Europea dei diritti dell'uomo.

La County Court ha rigettato il ricorso del lavoratore sostenendo che il datore di lavoro avesse diritto di monitorare i dipendenti sul posto di lavoro ed, in particolare, il controllo sui computer aziendali facesse parte del diritto più ampio di sorvegliare su i dipendenti nello svolgimento dei loro compiti professionali.

Contro la predetta sentenza il lavoratore ha presentato ricorso alla Corte d'Appello che ha confermato la decisone della County Court.

Alla luce di ciò il lavoratore si è rivolto alla giurisdizione comunitaria: in prima battuta alla Corte Europea dei diritti dell'uomo, con esito negativo, quindi alla Grande Sezione della medesima Corte.

La questione sottoposta al vaglio della Corte Europea dei diritti dell'uomo, ed in secondo grado alla Grande Camera della Corte stessa, attiene fondamentalmente alla necessità di trovare un giusto equilibrio tra l'interesse del datore di lavoro a controllare l'uso dei dispositivi aziendali e quello del lavoratore al rispetto della propria privacy, che nel caso concreto viene prospettato nella violazione del diritto del dipendente al rispetto della sua vita privata e della corrispondenza ai sensi dell'art. 8 della Convenzione Europea dei diritti dell'uomo.

La Grande Camera ha concluso accogliendo il ricorso del lavoratore e condannando la Romania per violazione dell'art. 8 della Convenzione sul rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza.

La prima questione giuridica sottesa alla decisone è quella relativa alle modalità dei controlli effettuati dal datore di lavoro sugli strumenti di lavoro utilizzati dal lavoratore, da intendersi come quei software che sono utilizzati dal lavoratore per rendere la prestazione lavorativa.

A tal proposito va segnalato, preliminarmente, che la tematica dei controlli ed, in particolare, del loro rapporto con il diritto alla privacy ha assunto – o meglio sta assumendo – sempre più importanza in modo direttamente proporzionale rispetto al continuo progresso tecnologico e agli strumenti attraverso i quali si sviluppa.

La questione ha finito così per assumere rilievo sia all'interno dei confini nazionali sia a livello europeo, ed è in continua evoluzione.

Dapprima la dottrina – ed in seconda battuta la giurisprudenza – ha affrontato il problema dei c.d. “controlli tecnologici” di nuova generazione (che permettono al datore di lavoro di leggere ogni operazione effettuata dal lavoratore attraverso un computer) sottolineando la necessità di effettuare un delicato, ma inevitabile, bilanciamento tra la difesa del diritto alla riservatezza sussistente in capo al lavoratore ed il contro-interesse del datore di lavoro a controllare l'uso dei dispositivi aziendali fatto dai propri dipendenti.

Di fronte a questi cambiamenti la risposta dei vari Stati dell'Unione Europea è stata abbastanza disomogenea come ricordato all'interno della stessa sentenza in commento (cfr. punti 52-53-54).

Infatti, sebbene tutti gli Stati membri del Consiglio d'Europa riconoscano in termini generali il diritto alla privacy e alla segretezza della corrispondenza solo la legislazione vigente in Austria, Finlandia, Lussemburgo, Portogallo, Slovacchia e Regno Unito ha regolato esplicitamente la questione della privacy sul posto di lavoro, sia in diritto del lavoro o nella legislazione speciale.

Quanto ai poteri di controllo in senso stretto, pur nella diversità di forme previste nei diversi Stati, tutti i Paesi membri del Consiglio d'Europa richiedono che i datori di lavoro debbano dare ai loro dipendenti preavviso di monitoraggio.

Proprio a tal riguardo, nonostante i rapidi sviluppi in questo settore, è consolidato il principio secondo il quale, nell'ambito dei controlli effettuati dal datore di lavoro sugli strumenti utilizzati dal lavoratore nello svolgimento delle sue mansioni, la proporzionalità ed il rispetto di determinate procedure si ergono a ruolo di garanzie essenziali contro l'arbitrarietà.

In primo luogo, le autorità nazionali dovrebbero riconoscere al lavoratore la garanzia di essere informato della possibilità che il datore di lavoro potrebbe predisporre misure di controllo sulla corrispondenza e su altri strumenti di comunicazione.

In secondo luogo, il lavoratore deve avere la garanzia di essere informato sull'estensione del monitoraggio da parte del datore, sul grado di intrusione nella privacy del dipendente, sul tempo di monitoraggio e sulle persone che avranno accesso ai risultati.

Su questo punto la Corte di Strasburgo si era già pronunciata in questo senso (v. Kopke c. Germania del 5 ottobre 2010).

Inoltre, il datore di lavoro deve fornire motivi legittimi per giustificare il monitoraggio delle comunicazioni (cfr.“Il codice di condotta in materia di protezione dei dati personali di lavoro” emesso dall'Ufficio Internazionale di Lavoro nel 1997; la “Raccomandazione del Comitato dei Ministri agli Stati Membri in materia di trattamento dei dati personali nel contesto dell'occupazione” adottata il 1° aprile 15 e la “Direttiva 95/46/CE” del Parlamento Europeo e del Consiglio dell'Unione Europea del 24 ottobre 1995).

Infine, le autorità nazionali devono garantire ai lavoratori di poter accedere ad un ricorso dinanzi ad un organo giudiziario competente a determinare come e se sono stati osservati i predetti principi ed, in generale, il principio di proporzionalità tra esigenze del datore e diritti del lavoratore.

La seconda questione giuridica ha riguardato la valutazione della possibile ricaduta dei fatti fin qui analizzati entro il campo di applicazione dell'art. 8 della Convenzione Europea dei diritti dell'uomo che sancisce il “diritto al rispetto della vita privata e familiare”.

In questo ambito assumono un ruolo fondamentali le definizioni di “vita privata” e di “corrispondenza”.

Quanto alla prima, la definizione è molto ampia e non facilmente circostanziabile.

Infatti l'art. 8 della Convenzione protegge il diritto di sviluppo personale sia in termini di personalità sia di autonomia personale ed, in generale, garantisce il diritto ad una “vita privata” in senso lato, compreso il diritto a condurre una vita privata sociale, ossia la possibilità di sviluppare la propria identità sociale.

Su questo la giurisprudenza comunitaria si è già espressa nel senso che la nozione di “vita privata” può includere attività professionali (vedi Fernandez Martinez c. Spagna n. 56030/07; Volkov c. Ucraina n. 21722/11) o le attività che si svolgono in un contesto pubblico (vedi Von Hannover c. Germania nn. 40660/08 e 60641/08).

La nozione di “corrispondenza”, invece, nel testo dell'art. 8 non è accompagnata da nessun aggettivo qualificativo. Di conseguenza si fanno rientrare nella suddetta nozione sia le telefonate - comprese quelle fatte o ricevute in locali commerciali (vedi Amman c. Svizzera n. 27798/95) – sia le email inviate dal posto di lavoro sia le informazioni derivanti dal monitoraggio di internet di una determinata persona.

Una volta definite le nozioni di “vita privata” e di “corrispondenza” occorre poi fare un altro passaggio imprescindibile: ossia verificare caso per caso la loro applicabilità.

Per fare ciò è necessario esaminare se il singolo individuo in una determinata situazione abbia la ragionevole aspettativa che la sua privacy sia rispettata e protetta.

Nella parte finale della sentenza relativa all'applicazione dei principi generali al caso concreto la Grande Camera della Corte riguardo il tema dei controlli osserva che - pur dando atto che il lavoratore era stato informato dei regolamenti interni dal suo datore di lavoro circa il divieto di uso personale delle risorse aziendali – l'informativa non era esaustiva in quanto dalla stessa non era possibile intuire:

• la portata delle attività di monitoraggio;
• la natura di dette attività da parte del datore;
• la possibilità che il datore di lavoro potesse accedere al contenuto effettivo dei messaggi del lavoratore.

La Corte, in altre parole, ammette che il datore di lavoro possa controllare l'uso dei dispositivi aziendali da parte dei dipendenti ma in cambio dell'assolvimento del c.d. obbligo informativo, che consiste in una preventiva informativa che deve essere conforme ai principi appena richiamati oltre che al principio di proporzionalità rispetto alla diritto alla privacy.

Quanto invece alla riconducibilità della fattispecie concreta (l'utilizzo dell'account Yahoo Messenger) nell'alveo dell'art. 8 della Convenzione, la Corte ritiene che “il servizio di messaggistica in questione è una delle forme di comunicazione che permettono alle persone di condurre una vita sociale privata”.

Inoltre, “l'invio e la ricezione di determinate comunicazioni è coperto dalla nozione di ‘corrispondenza' anche se queste sono inviate dal computer di un datore di lavoro”.

Di conseguenza la Corte ha ritenuto che, data anche la natura intima dei messaggi scambiati dal lavoratore con la sua fidanzata e con suo fratello, “nelle circostanze del caso concreto l'art. 8 della Convenzione è applicabile al caso di specie.”

La Corte ha concluso, quindi, per la condanna della Romania in quanto i suoi Tribunali nazionali “non hanno garantito un'adeguata protezione del diritto del ricorrente al rispetto della sua vita privata e della corrispondenza, non riuscendo a garantire un giusto equilibrio tra gli interessi in gioco con la conseguente violazione dell'art. 8 della Convenzione”.

In definitiva, la Corte ammette che il datore di lavoro possa utilizzare di dispositivi aziendali di controllo a condizione che: (i)

• dia una corretta e completa informazione sulle modalità e sulle possibilità di accesso ai dati;
• non sia violato il principio del “ragionevole equilibrio” fra il rispetto della vita privata del lavoratore da un lato e il diritto di controllo del datore dall'altro lato, con il successivo conseguente obbligo per gli Stati di predisporre organi giurisdizionali in grado di verificare e garantire il rispetto del predetto equilibrio.

In conclusione può essere utile provare ad inserire la fattispecie oggetto della sentenza in commento nell'ambito di quella che è la disciplina dei controlli nel nostro Paese alla luce delle recenti modifiche all'art. 4 dello Statuto dei Lavoratori introdotte nell'ambito del c.d. Jobs Act.

Sicuramente la creazione di un account aziendale su un servizio di messaggistica sarebbe da ricondurre nell'ambito dell'art. 4, comma 2, dello Statuto dei Lavoratori relativo ai controlli “sugli strumenti in uso al lavoratore”, i quali possono essere predisposti senza la doppia esigenza della finalità dei controlli e senza che sia necessario l'accordo con le rappresentanze sindacali.

Tuttavia questa forma di controllo deve tener conto di una serie di limitazioni previste sia a livello sovranazionale (ad esempio la “Raccomandazione del Consiglio d'Europa sul trattamento dei dati personali” che disciplina il divieto di utilizzare strumenti di controllo con scopo diretto e primario la sorveglianza dell'attività e i comportamenti dei dipendenti) sia nazionale (si vedano a questo proposito “Le linee guida del Garante della Privacy per posta elettronica e internet” e le Decisioni del Garante della Privacy n. 1606053 del 2 aprile 2009 e n. 5408460 del 13 luglio 16).

A questi limiti, in seguito alla recente riforma del testo dell'art. 4 dello Statuto dei Lavoratori, vanno aggiunti quelli previsti dal D.Lgs. n. 196/2003 (c.d. Codice della Privacy).

Infatti, se sotto il vigore della precedente normativa, il suddetto Codice svolgeva il ruolo di normativa sussidiaria in quanto l'art. 4 dello Statuto dei Lavoratori era considerata legge speciale e quindi prevalente, nella sua nuova formulazione questo rapporto si è capovolto essendo previsto un espresso richiamo al Codice della Privacy con i conseguenti necessari interventi da parte dell'Autorità garante della privacy che integrano le previsioni di Legge (cfr. “Autorizzazione generale al trattamento dei dei dati sensibili nei rapporti di lavoro” del 15 dicembre 2016).

In particolare un ruolo fondamentale in questo senso è svolto dalla c.d. “informativa” (art. 13 del Codice della Privacy) che il datore di lavoro deve comunicare – preferibilmente per iscritto - al lavoratore al fine di consentire allo stesso di esprimere il proprio consenso informato al trattamento dei dati che lo riguardano.

Alla luce di quanto fin qui detto si può con ragionevolezza affermare che nel nostro sistema, in caso di licenziamento analogo a quello deciso dalla sentenza in commento, l'indagine del giudice dovrebbe innanzitutto riguardare l'utilizzabilità o meno dei dati raccolti (tenendo conto dei limiti di sopra espressi).

In caso di inutilizzabilità si potrebbe configurare la fattispecie di “insussistenza del fatto” con annessa reintegrazione in regime di applicazione della riforma c.d. Fornero.

Laddove invece dall'indagine emergesse la legittimità del controllo occorrerebbe fare uno step successivo verificando la proporzionalità della sanzione.

• A. SITZIA, “Lavoro e privacy: adempimenti obbligatori e procedure” in “Potere di controllo e privacy. Lavoro, riservatezza e nuove tecnologie” di E. Barraco, A. Sitzia, Milano, 2016.