CEDU riconosce il diritto alla privacy della e-mail del dipendente

CEDU riconosce il diritto alla privacy della e-mail del dipendente

Capovolgimento del verdetto precedente

La Grande Camera della Corte Europea dei Diritti dell’uomo (CEDU) ha ribaltato il precedente giudizio della medesima Corte Europea in tema di controllo delle comunicazioni telematiche dei dipendenti da parte dei datori di lavoro. Nello specifico, il caso riguardava un ingegnere rumeno che lavorava in una azienda privata utilizzando, nella comunicazione con i clienti aziendali, un account Yahoo.

Il datore di lavoro, al fine di controllare l’effettiva attività svolta dal suo dipendente, aveva monitorato le conversazioni chat del proprio dipendente e, fra esse, aveva rinvenuto anche la presenza di alcuni messaggi personali fra il dipendente ed alcuni suoi parenti.

Sulla base di ciò, riscontrando l’illecito utilizzo dell’account Yahoo, l’azienda aveva disposto il licenziamento per motivi disciplinari.

Nei due gradi di giudizio nazionali era emerso che il comportamento datoriale poteva ritenersi lecito in quanto, pur essendovi una intromissione della sfera della vita privata, la lettura delle comunicazioni telematiche rappresentava l’unico strumento a disposizione dell’azienda per verificare la responsabilità disciplinare del proprio dipendente.

Parimenti anche la sentenza di primo grado della Corte di Giustizia Europea del 12 dicembre 2016, aveva ritenuto non irragionevole il bilanciamento tra privacy dei dipendenti ed esigenze datoriali, ammettendo, quindi, la liceità dei controllo datoriale purché essi non eccedessero lo scopo di verificare l'adempimento contrattuale.

Il 5 settembre 2017, con pronuncia n. 61496/2008, la Grande Camera della Corte europea dei Diritti dell’uomo ha corretto quanto affermato dalla Corte di Giustizia precisando che, affinché l’accesso del datore di lavoro alla mail aziendale possa ritenersi legittimo, è necessario verificare anzitutto se il lavoratore risulti avvisato dall’azienda in merito alla possibilità di controllo sulla sua corrispondenza, alle modalità del controllo ed alle relative motivazioni.

Dunque, secondo la nuova pronuncia, si potrà procedere con il monitoraggio unicamente dopo aver informato il dipendente. Sicché lo stesso amministratore di sistema potrà accedere alle comunicazioni telematiche del lavoratore solo dopo specifica notifica.

La situazione italiana

Occorre ricordare che è ormai pacificamente riconosciuta l’equiparazione fra comunicazioni telematiche e corrispondenza tradizionale. Pertanto le e-mail e le comunicazioni via chat sono protette dall’art. 15 della Cost. che ne garantisce la libertà e la segretezza. In analoga direzione si pone l’impianto normativo del D. Lgs. 196/2003 in tema di protezione dei dati personali.

Si segnala, tuttavia, che il sistema italiano è stato innovato dal D.Lgs. n. 151/2015 (c.d. Jobs Act) che, modificando l’art. 4 della L. 300/70 (c.d. Statuto dei lavoratori), pur mantenendo il divieto dei controlli a distanza, ha concesso la possibilità di utilizzarli laddove vi sia un accordo sindacale od una autorizzazione ministeriale.

Si segnala, inoltre, che la giurisprudenza di merito, in linea col dato normativo, ha confermato che le garanzie previste dalla legge possono essere compresse unicamente laddove debba provarsi la commissione di illeciti che ledono l’immagine o il patrimonio dell’azienda (Corte di Cassazione, Sez. Lav., n. 3122 del 17 febbraio 2015; Corte di Cassazione, Sez. Lav., n. 2117 del 28 gennaio 2011).

Si segnala che nella materia dei controlli a distanza era già intervenuta l’Autorità Garante per la protezione dei dati personali che, infatti, con il provvedimento generale del primo marzo 2007 che aveva enunciato l’esigenza di rispettare tre elementi:

a) "il principio di necessità, secondo cui i sistemi informativi ed i programmi informatici devono essere configurati riducendo al minimo l'utilizzazione dei dati personali ed identificativi in relazione alle finalità perseguite;

b) il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori; 

c) i trattamenti devono essere effettuati per finalità determinate, esplicite e legittime, osservando il principio di pertinenza e non eccedenza. Il datore di lavoro deve trattare i dati “nella misura meno invasiva possibile”; le attività di monitoraggio devono essere svolte solo da soggetti preposti ed essere “mirate sull'area di rischio, tenendo conto della normativa sulla protezione dei dati e, se pertinente, del principio di segretezza della corrispondenza” 

Indicazioni del Garante per la protezione dei dati personali

Con il medesimo provvedimento il Garante aveva indicato alcune procedure che il datore di lavoro poteva utilizzare per evitare l’uso improprio degli strumenti telematici forniti ai propri dipendenti. Fra esse si ricorda brevemente:

a) individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;

b) utilizzare filtri che prevengano determinate operazioni, quali l'accesso a siti inseriti in una sorta di black list od il download di file musicali o multimediali;

c) utilizzare indirizzi e-mail condivisi tra più lavoratori (es. info@ente.it; urp@ente.it; ufficioreclami@ente.it), rendendo così chiara la natura non privata della corrispondenza;

d) attribuire ai dipendenti anche una e-mail ad uso personale; e) l’utilizzo di messaggi di risposta automatica nel caso di assenza del dipendente;

f) procedure per consentire al dipendente di delegare un suo fiduciario per verificare i messaggi a lui indirizzati in caso di sua assenza.

Dott. Flaviano Peluso 

Università degli Studi di Perugia - Facoltà di Giurisprudenza 

Quadro normativo

Corte Europea Diritti dell'Uomo, Grande Camera, sentenza n. 61496/08 del 7 settembre 2017

art. 15 Cost.

D. Lgs. n. 196/2003

D. Lgs. n. 151/2015

Legge n. 300/1970

Corte di Cassazione, Sez. Lav., n. 3122 del 17 febbraio 2015

Corte di Cassazione, Sez. Lav., n. 2117 del 28 gennaio 2011

Garante protezione dati personali - Linee guida per posta elettronica e internet del primo marzo 2017

 

 

ContenziosoLavoroProtezione dei dati personali (Privacy)DirittoDisposizioni comunitarieDiritto Internazionale