Un datore di lavoro può sorvegliare le comunicazioni su internet dei suoi dipendenti?

La Corte europea dei diritti dell'uomo (CEDU) ha appena convalidato questa pratica molto diffusa nella sua decisione BARBULESCU c. ROMANIA (61496/08) resa il 12 gennaio 2016. L'affare riguardava il licenziamento di un ingegnere rumeno incaricato delle vendite di una società per avere utilizzato per fini personali, e durante le ore di lavoro, le mail aziendali violando il regolamento interno.

Il Sig. Barbulescu, adiva il Tribunale rumeno obiettando che la decisione del suo licenziamento era viziata da nullità: il suo diritto alla privatezza della corrispondenza era stato violato consultando le sue comunicazioni. Il ricorso veniva rigettato poiché il datore di lavoro si era conformato alla procedura di licenziamento previsto dal codice del lavoro e il ricorrente era stato debitamente informato sul regolamento della società.

Invano veniva presentato appello invocando l'articolo 8 della CEDU (diritto al rispetto della vita privata e familiare, del domicilio e della corrispondenza). Esperiti i mezzi di ricorso interni alla giurisdizione rumena, il Sig. Barbulescu presentava ricorso davanti alla CEDU sostenendo che la decisione del suo datore di lavoro di mettere fine al suo contratto comportava una violazione del diritto al rispetto della sua vita privata.

La Corte sottolineava che le decisioni rese dalle giurisdizioni rumene non avevano fatto alcuna menzione del contenuto delle comunicazioni. Infatti le giurisdizioni interne rumene avevano utilizzato unicamente gli estratti di queste comunicazioni nella misura in cui provavano che l'interessato aveva utilizzato il computer della sua società per fini privati durante le ore di lavoro; inoltre l'identità delle persone con le quali il dipendente aveva comunicato non è stata in alcun modo divulgata.

La Corte stabiliva che le giurisdizioni interne avevano statuito rispettando il giusto equilibro tra i diritti del richiedente ovvero il rispetto della sua vita privata e della sua corrispondenza in virtù dell'articolo 8, e gli interessi del datore di lavoro alla verifica dell’attività lavorativa. Pertanto la Corte statuiva la non violazione dell'articolo 8 della Convenzione europea dei diritti dell’Uomo.

Vale la pena ricordare che nella sentenza Copland c. Regno Unito del 2007, la CEDU aveva già stabilito che il monitoraggio dei dati personali del dipendente sul posto di lavoro ad insaputa del lavoratore costituisce un'interferenza illegittima sul diritto alla vita privata (art 8 CEDU). Il punto è di stabilire di volta in volta se il monitoraggio delle e-mail del dipendente costituisca, in una società democratica, una misura proporzionata al perseguimento di un interesse legittimo.

Nel caso in esame, il dipendente era stato informato del divieto di uso privato dei mezzi aziendali e il datore di lavoro aveva eseguito un controllo esclusivamente sull’e-mail professionale del dipendente; inoltre il controllo era avvenuto nel rispetto delle comunicazioni contenute nei messaggi senza che vi fosse stata una qualche divulgazione.

Un elemento utile alla riflessione su questo tema è stato avanzato dal giudice Pinto de Albuquerque, il quale ha ritenuto in disaccordo con gli altri giudici di Strasburgo che il licenziamento non costituisse una misura proporzionata dal momento che l’azienda non aveva dimostrato che le comunicazioni private del dipendente avessero danneggiato in qualche modo l’azienda.

In Italia il Garante Privacy, ha disciplinato la materia con le Linee Guida per l’utilizzo di posta elettronica ed internet del 2007, prevedendo per il datore di lavoro l’onere di regolamentare l’utilizzo degli strumenti informatici in azienda attraverso una policy interna, fissando modalità e condizioni per il legittimo controllo della posta elettronica da parte del datore di lavoro.

Infatti, dall'analisi dei siti web visitati si possono trarre informazioni anche sensibili sui dipendenti e i messaggi di posta elettronica possono avere contenuti a carattere privato. Grava quindi sul datore di lavoro l’obbligo di adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori.

Per quanto riguarda la navigazione in Internet il Garante prescrive sia opportuno:

utilizzare filtri che prevengano determinate operazioni, quali l'accesso a siti inseriti in una sorta di black list o il download di file musicali o multimediali.

Per quanto riguarda la posta elettronica, è opportuno che l'azienda:

- renda disponibili anche indirizzi condivisi tra più lavoratori (es: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.; Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.), rendendo così chiara la natura non privata della corrispondenza;

- valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale;

- preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;

- metta in grado il dipendente di delegare un altro lavoratore a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l'ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all'attività lavorativa.

Va comunque esclusa l'ammissibilità di controlli prolungati, costanti o indiscriminati ad esempio i sistemi software devono essere programmati e configurati in modo da cancellare periodicamente ed automaticamente i dati personali relativi agli accessi ad Internet e al traffico telematico, la cui conservazione non sia necessaria.

È utile ricordare che in materia di controllo a distanza dei lavoratori è intervenuto il Jobs Act. L'art. 23 del D. Lgs. 151/2015 sostituisce l’art. 4 della legge 300/1970 (“Statuto dei lavoratori”).

La vera novità del decreto riguarda gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (come il pc, lo smartphone, il tablet) e quelli per la registrazione di accessi e presenze: in questi casi l’installazione di un controllo a distanza è libera e non richiede accordo sindacale. Le informazioni così raccolte sono utilizzabili “a tutti i fini connessi al rapporto di lavoro” a condizione che sia data al lavoratore una preventiva e adeguata informazione sulle modalità d’uso degli strumenti e sui controlli, nel rispetto di quanto disposto dal Codice Privacy.

In estrema sintesi, il diritto del lavoratore alla riservatezza permane ma va contemperato con il diritto del datore di lavoro di tutelare il patrimonio aziendale, il controllo sarà possibile ma solo quando: l’accertamento venga effettuato a posteriori (ossia quando siano emersi elementi tali da giustificare un’indagine retrospettiva e non preventiva), il lavoratore abbia preventivamente ottenuto un'adeguata informazione sulle modalità d’uso degli strumenti tecnologici e quando i controlli siano avvenuti rispettando i principi di pertinenza e non eccedenza.