Con sentenza depositata il 5 settembre 2017, la Grande Camera della Corte Europea dei Diritti dell’uomo ridefinisce le linee fondamentali di tutela del lavoratore, nell’ambito del controllo datoriale sulle e-mail aziendali. Più precisamente, decide sul grado di ingerenza che il datore può esercitare sull’attività del dipendente, condotta a mezzo di supporti informatici aziendali, compreso il flusso di comunicazioni che egli dovesse eventualmente mantenere con l’esterno per motivi personali, ma con strumenti aziendali ed in orario lavorativo.

Conclude così l’analisi del caso Barbulescu c. Romania (n. 61496/08), su cui il nuovo verdetto della Corte incide con un notevole cambio di rotta rispetto alla decisione della Camera Semplice espressa dalla stessa Corte il 12 gennaio 2016, e a cui la nostra Newsletter di Studio aveva fatto riferimento in precedenza ( “Via ‘quasi’ libera al controllo delle mail aziendali da parte del datore di lavoro”, pubbl. n. 1/2016).  In particolare, la vicenda riguarda un caso di cyber slacking, ovvero di uso di Internet in orario lavorativo per le attività a questo estranee: Bogdan Mihai Barbulescu, ingegnere responsabile delle vendite in un’azienda avente sede a Bucarest, era stato licenziato per inadempimento contrattuale, fondato anche sull’utilizzo, per fini personali, del servizio aziendale Yahoo Messenger.

A seguito del ricorso, la Corte aveva ammesso, in prima battuta, il controllo datoriale nella misura in cui risulti strettamente proporzionato e non eccedente lo scopo di verifica dell’adempimento contrattuale. Tale considerazione è stata recentemente capovolta: la Corte sancisce che il datore che controlla la mail del dipendente, senza alcun preavviso e senza alcuna comunicazione circa la natura di tale monitoraggio, viola il diritto alla vita privata e familiare del lavoratore, il cui rispetto è tutelato dall’art. 8 della Convenzione Europea per la Salvaguardia dei Diritti dell’Uomo e delle libertà fondamentali.

Tale pronuncia potrebbe destare la preoccupazione del datore di lavoro o del dirigente d’azienda: in un’epoca come quella odierna, in cui il collegamento ad Internet è essenziale per il funzionamento dell’azienda, quali sono i “paletti” nella gestione e nella sorveglianza del lavoratore, oltre i quali il datore rischia di essere sanzionato?

Da non sottovalutare, poi, il correlato rischio che un utilizzo personale  degli strumenti aziendali può implicare alla sicurezza del sistema informatico. Il precedente orientamento giurisprudenziale italiano ha sempre riconosciuto un ampio potere di controllo in capo al datore di lavoro, mostrandosi quindi più coerente con la tendenza espressa dalla prima pronuncia della Corte. Da sottolineare che la decisione Barbulescu “2” non è stata unanime (e ciò denota l’assenza di uno European Consensus in materia) e che, inoltre, gli Stati godono di un ampio margine di apprezzamento circa il tipo di tutela da accordare al dipendente “sorvegliato”. Ciononostante viene affermato l’obbligo per ciascun Paese di predisporre le misure atte a limitare gli abusi di controllo della e-mail aziendale da parte del datore.

La protezione della privacy, infatti, scatta sia dove sussista una specifica policy aziendale, recante espresso divieto (generico o stringente) di uso delle e-mail aziendali per scopi personali, sia nel caso tale documento fosse stato noto e/o sottoscritto dal dipendente che l’ha poi violata. Secondo la Corte, la verifica dell’account del lavoratore dev’essere preceduta da una serie di garanzie a favore del dipendente.

Dunque è indispensabile, al fine di non incorrere in contestazioni circa la violazione della privacy del lavoratore, porre in essere una dettagliata informativa circa la facoltà di monitoraggio della mail.

Riteniamo opportuno accennare anche ad altri essenziali doveri che devono essere adempiuti dal datore: in primis quello di disattivare l’account e-mail di un ex dipendente.

Ci si interroga, inoltre, sull’applicabilità della pronuncia esaminata in materia di c.d. “controlli difensivi”, vale a dire quei controlli diretti ad accertare comportamenti scorretti e/o illeciti del lavoratore, come ad esempio i sistemi di controllo all’accesso ad aree riservate.

Appare evidente, dunque, che la migliore strategia si fonda su di una serie di accorgimenti e processi preventivi – volti a prevenire le violazioni – predisponendo chiaramente il perimetro d’intervento.

Infatti, la legittimità del controllo della casella di posta del dipendente presenta un confine labile, il cui superamento può tradursi anche in fattispecie di reato, e costituisce il risultato di un necessario confronto tra le diverse norme che regolano la materia: lo Statuto dei Lavoratori, l’attuale disciplina sui rapporti di lavoro, il D.Lgs. 196/2003 sulla tutela della privacy nonché del Reg. UE 2016/679 (GDPR) che entrerà in vigore il 25.08.2018.

Emerge dunque l’esigenza di dotare l’azienda di un irrinunciabile e chiaro sistema di strumenti negoziali, policy ed informative aziendali che possano regolare efficacemente la security aziendale; e di vagliarne ed aggiornarne periodicamente il contenuto conformemente alle evoluzioni della materia.

 

Contributo inserito nella Newsletter n.4/2017.
Le informazioni contenute nel presente contributo, così come tutto il contenuto del nostro sito web, hanno carattere generale e scopo meramente informativo, naturalmente senza pretesa di esaustività, e non costituiscono attività di consulenza legale mirata.
Nessuna parte di questo contributo può essere riprodotta, distribuita o trasmessa in qualsiasi forma e con qualsiasi mezzo senza la previa autorizzazione scritta dell’autore.
Copyright © Studio Legale Bressan 2017