La Corte Europea dei Diritti dell’Uomo, con recente sentenza del 5 settembre 2017, su ricorso n. 61496/08 (Bă c. Romania), si è pronunciata sullo spinoso tema del monitoraggio delle comunicazioni dei dipendenti sul computer aziendale e dell’accesso ai loro contenuti e relativo utilizzo da parte del datore di lavoro.
La sentenza trae spunto dal licenziamento di un lavoratore rumeno, impiegato alle vendite, dopo che il suo datore (una società rumena privata) aveva notato da parte del dipendente in questione un anomalo utilizzo di Yahoo Messenger, programma di messaggistica istantanea che veniva utilizzato in azienda per rispondere alle richieste dei clienti, e ne aveva, per sette giorni, registrato i messaggi scambiati. Il datore, in particolare, dalla lettura di tali messaggi aveva accertato che il dipendente, durante l’orario di lavoro, utilizzava il predetto programma non per motivi professionali, ma per scopi personali, inviando messaggi privati al fratello e alla fidanzata. Da qui il licenziamento del dipendente, che lo impugnava innanzi alle Corti nazionali, lamentando l’illegittimità dei controlli effettuati.
Il datore di lavoro eccepiva di avere il diritto, in base alla normativa giuslavoristica nazionale, di controllare l’esatto utilizzo di internet, trattandosi di uno strumento di lavoro, e di accedere al contenuto delle comunicazioni scambiate dai dipendenti, al fine di assicurare il corretto adempimento della prestazione lavorativa e il buon funzionamento dell’impresa. Inoltre, i regolamenti aziendali vietavano l’uso personale del computer e di ciò il dipendente aveva ricevuto espressa informativa. Le Corti nazionali accoglievano la tesi del datore di lavoro, rigettando le domande del dipendente che, nel frattempo, aveva perso lavoro e fidanzata.
La Corte Europea, lamentando che il licenziamento era fondato sulla violazione del suo diritto al rispetto della sua vita privata e della sua corrispondenza quale sancito dall’art. 8 della Convenzione Europea dei Diritti dell’Uomo e che i Giudici nazionali, nel dichiarare legittimo il licenziamento, non avevano protetto questo suo diritto. Secondo il lavoratore, infatti, le comunicazioni telefoniche ed e-mail sul posto di lavoro erano riconducibili alla sua “vita privata” e alla sua “corrispondenza” e, pertanto, erano protette dal precitato art. 8 della Convenzione che prevede, fra l’altro, che “ogni persona ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza”.
La Corte Europea ha accolto il ricorso del dipendente rumeno, ravvisando la violazione dell’art. 8 della Convenzione. Ha ritenuto, invero, che (i) l’invio e la ricezione delle comunicazioni, anche se sono inviate dal computer di un datore di lavoro, sono coperte dalla nozione di “corrispondenza” di cui al summenzionato art. 8 della Convenzione; (ii) pur avendo il datore di lavoro un interesse legittimo a garantire il buon funzionamento dell’attività e a vigilare che i dipendenti eseguano i loro compiti con la necessaria diligenza, il controllo datoriale della corrispondenza e di altre comunicazioni deve accompagnarsi ad adeguate e sufficienti garanzie contro gli abusi, al fine di assicurare il rispetto della vita privata e della corrispondenza nel contesto lavorativo.
Ha precisato, tuttavia, che non è preclusa al datore la possibilità di monitorare l’uso di internet e delle comunicazioni elettroniche sul posto di lavoro, a condizione, però, che vengano adottate opportune misure volte ad assicurare l’osservanza dei principi di necessità, finalità, trasparenza, legittimità, proporzionalità e sicurezza previsti dalla Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Nel caso di specie, non era stata in alcun modo data informazione al dipendente rumeno dell’incisiva facoltà datoriale di monitorare e archiviare in tempo reale i messaggi inviati dal dipendente; non erano stati neppure definiti precisamente la natura, l’ampiezza e il grado di intrusione del monitoraggio nella vita privata, familiare e nella riservatezza della corrispondenza del dipendente; non era stato individuato, altresì, uno specifico fine che potesse giustificare una così pervasiva lesione della riservatezza del dipendente, né si era valutata l’adozione di misure in grado di minimizzare il più possibile l’intrusione datoriale nella sfera privata e nella riservatezza della corrispondenza; non era stato richiesto, poi, il preventivo consenso del dipendente al controllo delle comunicazioni.
Sulla base di tali considerazioni, la Corte ha ritenuto che al dipendente non fosse stata accordata un’adeguata protezione del di lui al diritto al rispetto della propria vita privata, familiare e della propria corrispondenza e che, di conseguenza, vi fosse stata la violazione dell’art. 8 della Convenzione.
I principi espressi dalla Corte Europea risultano essere già stati pressoché recepiti dal nostro ordinamento. In particolare, il nuovo art. 4 dello Statuto dei Lavoratori, come recentemente modificato dal D.Lgs. 14 settembre 2015 n. 151, ha previsto espressamente che venga data ai lavoratori “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”, nonché venga rispettato quanto disposto dal D.Lgs. 30 giugno 2003 n. 196 (c.d. Codice della privacy).
Il Garante della Privacy, peraltro, con provvedimento n. 547 del 22 dicembre 2016, ha tenuto a precisare che il suddetto nuovo art. 4 “pure a seguito delle modifiche disposte con l'art. 23 del decreto legislativo 14 settembre 2015, n. 151, non consente l'effettuazione di attività idonee a realizzare (anche indirettamente) il controllo massivo, prolungato e indiscriminato dell'attività del lavoratore”. Il Garante ha chiarito, infatti, (i) che il datore di lavoro, pur avendo la facoltà di verificare l'esatto adempimento della prestazione lavorativa ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve in ogni caso salvaguardarne la libertà e la dignità e, in applicazione dei principi di liceità e correttezza dei trattamenti di dati personali, informare in modo chiaro e dettagliato circa le consentite modalità di utilizzo degli strumenti aziendali e l'eventuale effettuazione di controlli anche su base individuale e (ii) che l'assenza di una esplicita policy al riguardo può determinare una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione.
In conclusione, anche alla luce della decisione della Corte Europea sopra richiamata, una chiara ed espressa informativa ai lavoratori e un’adeguata ed efficace policy aziendale costituiscono i pilastri portanti per il corretto e pieno esercizio del potere di controllo da parte del datore.