Un'integrazione del Presidente Giulio Botta, Presidente Associazione Europea Protezione dati Personali:
Se il datore di lavoro ha applicato le prescrizioni del Garante della delibera n. 13 del 1 marzo 2007 per l'uso di internet e posta elettronica , creato il disciplinare tecnico , fatte le informative e spiegato nelle lettere d'incarco il comportamento da tenere da parte degli incaricati e i messaggi di posta elettronica contengano un avvertimento ai destinatari nel quale sia dichiarata l'eventuale natura non personale dei messaggi stessi, precisando se le risposte potranno essere conosciute nell'organizzazione di appartenenza del mittente e con eventuale rinvio alla predetta policy datoriale.
Il post sulla pagina Facebook di LEGALDESK lo trovi qui.
La Corte Europea dei Diritti dell’Uomo, Grande Camera, con la sentenza n. 61496/08 del 5 settembre 2017 ha dichiarato che l’e-mail aziendale del lavoratore non può essere controllata.
Il datore di lavoro che, senza alcun avviso, controlla le mail dei dipendenti viola il diritto alla vita privata, in quanto in caso di monitoraggio deve avvisare il dipendente in merito alla possibilità di controllo sulla sua corrispondenza, alle modalità del controllo ed alle relative motivazioni.
Con il caso Barbulrscu contro Romania (domanda n. 61496/08), la Grande Camera ha ribaltato il precedente verdetto della Corte Europea.
Bilanciamento tra privacy ed esigenze datoriali
La prima sentenza CEDU in materia risale al 12 dicembre 2016, nella quale la Corte, nell’esaminare un ricorso di un ingegnere romeno licenziato per inadempimento contrattuale, - provato anche dall'utilizzo per fini personali, in orario di lavoro, della mail aziendale - aveva ritenuto non irragionevole il bilanciamento tra privacy dei dipendenti ed esigenze datoriali, affermato dalla giurisdizione romena.
E questo perché:
- l'azienda aveva informato i dipendenti delle condizioni d'uso della mail aziendale, che non ne consentivano l'utilizzo per fini personali. Ragione, questa, che avrebbe quindi ridotto l'aspettativa di riservatezza riposta dai lavoratori rispetto alle loro comunicazioni via e-mail;
- il monitoraggio delle mail è stato limitato nel tempo e nell'oggetto, nonché strettamente proporzionato allo scopo di provare l'inadempimento contrattuale del lavoratore;
- l'accesso alle e-mail del lavoratore da parte datoriale è stato legittimo proprio perché fondato sul presupposto della natura professionale del contenuto delle comunicazioni;
- l'identità degli interlocutori del lavoratore non è stata rivelata in sede giurisdizionale;
- l'azienda non ha avuto accesso ad altri documenti archiviati sul computer del lavoratore;
- il dipendente non ha motivato la ragione dell'utilizzo della mail aziendale per fini personali.
La Corte ha dunque riaffermato, nel caso concreto, che i controlli datoriali sull'attività lavorativa sono ammissibili soltanto nella misura in cui siano strettamente proporzionati e non eccedenti lo scopo di verifica dell'adempimento contrattuale. Essi devono essere inoltre limitati nel tempo e nell'oggetto. Mirati (dunque non massivi) e fondati su presupposti (quali in particolare l'inefficienza dell'attività lavorativa del dipendente) tali da legittimarne l'esecuzione.
Infine, devono essere già previsti dalla policy aziendale, di cui il dipendente deve essere adeguatamente edotto.
LEGGI ANCHE: Internet e la tutela dei dati personali
Email aziendali ed i poteri di controllo del datore di lavoro
Di grande importanza, pertanto, la decisione della Grande Camera della Corte Europea dei Diritti dell’uomo che, in merito al caso in commento, ha capovolto il precedente verdetto della Corte Europea, stabilendo che il datore di lavoro che controlla le mail dei dipendenti, viola il diritto alla vita privata in quanto in caso di monitoraggio deve avvisare il dipendente e comunicarne in modo chiaro la natura.
La Grande Camera ha, inoltre, precisato che, affinché l’accesso del datore di lavoro alla mail aziendale possa ritenersi legittimo, è necessario verificare anzitutto se il lavoratore risulta avvisato dall’azienda in merito alla possibilità di controllo sulla sua corrispondenza, nonché sulle modalità del controllo e sulle relative motivazioni.
Il lavoratore deve essere correttamente informato e avere ben chiara la natura delle verifiche, prima che si proceda con il monitoraggio. Ed infatti, lo stesso amministratore di sistema potrà accedere alle comunicazioni telematiche del lavoratore solo dopo specifica notifica.
Inoltre, seppur ammesso in parte questo controllo, il monitoraggio va effettuato con criteri ben precisi, dovendosi attenere alle finalità prescritte. Nel caso, infatti, si superino determinati limiti, si determina una intromissione nella privacy del lavoratore che supera i limiti della tollerabilità.
Al lavoratore, vanno anche chiarite quante e quali comunicazioni sono state oggetto di monitoraggio, la tempistica e quante persone hanno avuto accesso ai risultati della sorveglianza.
In ogni caso sarà sempre il giudice a stabilire se il datore di lavoro fornisce ragioni sufficienti a giustificare il controllo delle comunicazioni, provando di non poter adottare metodi meno invasivi.
Pertanto, a seguito di tale decisione della CEDU, la Romania è stata condannata perché i giudici locali non si erano assicurati se la privacy del dipendente fosse stata sufficientemente protetta da eventuali abusi da parte del datore di lavoro.
Vigilanza utilizzo posta elettronica aziendale
Il tema della vigilanza sulle comunicazioni elettroniche e sull’utilizzo di Internet sul posto di lavoro è un tema di grande attualità, che porta con sé non pochi problemi.
Sul punto, infatti vari sono stati i provvedimenti adottati a vario livello: di grande importanza il provvedimento generale dell'Autorità Garante per la protezione dei dati personali del 1 marzo 2007; o anche il documento di lavoro delle autorità europee di protezione dei dati riunite nel Gruppo dei garanti europei, istituito ai sensi dell’art. 29 della direttiva n. 95/46/CE, adottato il 29 maggio 2002. Nonché la giurisprudenza della Corte europea dei diritti dell’uomo relativa all’articolo 8 della Convenzione europea dei diritti dell’uomo.
Bisogna fare i conti con le nuove tecnologie, che occupano ormai ogni aspetto della vita umana.
Ormai il collegamento ad Internet è previsto presso tutti gli uffici ed è necessario per lo svolgimento di ogni attività lavorativa, ma non bisogna dimenticare che l'uso di un computer collegato ad una rete esterna deve essere sempre accorto e responsabile, per ragioni sia di privacy che di sicurezza nella diffusione dei dati.
Gestione posta elettronica aziendale
Da ciò, non poche sono state e sono le questioni sorte in merito alla legittimità dell'accesso da parte del datore di lavoro o dirigente alla casella di posta elettronica aziendale del dipendente.
Bisogna, infatti tener presente, non solo che la posta elettronica è stata, ormai, equiparata alla tradizionale corrispondenza, la cui libertà e segretezza viene tutelata dall’art. 15 della Costituzione; ma anche che vige una importante disciplina sulla tutela della privacy (d.lgs. n. 196/2003).
Al contempo, però, alla luce di quanto prescritto dall’attuale disciplina in tema di rapporti di lavoro, comprese le norme dello Statuto dei lavoratori, è sancita la legittimità del controllo della casella della posta elettronica del proprio dipendente da parte del datore di lavoro.
La problematica non è semplice, proprio per gli opposti interessi che devono essere considerati e bilanciati, ed per questo che il Garante è intervenuto con un provvedimento pienamente conforme all’ultima sentenza della CEDU, nel quale ha chiarito che i datori di lavoro pubblici e privati non possono controllare la posta elettronica e la navigazione in Internet dei dipendenti, se non in casi eccezionali.
Spetta al datore di lavoro definire le modalità d'uso di tali strumenti ma tenendo conto dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali e sempre previa informativa alle rappresentanze sindacali o agli stessi lavoratori.
L'Autorità, sulla base dalla decisione della Grande Camera della CEDU, prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli.
LEGGI ANCHE: Pubblicazione sentenze: privacy a rischio, anonimizzazione e protezione dei dati personali
Garante privacy e posta elettronica aziendale
Il Garante vieta poi la lettura e la registrazione sistematica delle e-mail, così come il monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un controllo a distanza dell'attività lavorativa vietato dall’art.4 dello Statuto dei lavoratori.
Viene, inoltre, indicata tutta una serie di misure tecnologiche e organizzative per prevenire la possibilità, prevista solo in casi limitatissimi, dell'analisi del contenuto della navigazione in Internet e dell'apertura di alcuni messaggi di posta elettronica contenenti dati necessari all'azienda.
Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità. In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l'area da richiamare all'osservanza delle regole. Solo successivamente, ripetendosi l'anomalia, si potrebbe passare a controlli su base individuale.
Il provvedimento del Garante raccomanda l'adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l'uso di Internet e della posta elettronica.
Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori.
