* * *
Le linee guida del Garante Privacy
La prima disciplina, in ordine cronologico e forse anche di importanza, risulta essere quella espressa dalle “Linee guida del Garante per la Protezione dei dati personali per posta elettronica e internet” del 2007, nelle quali si può chiaramente notare che “grava sul datore di lavoro l’onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti (tra cui rientra la posta elettronica) messi a disposizione e se, e con quali modalità, vengano effettuati controlli”.
Più dettagliatamente, sarebbe opportuno che il datore di lavoro specifichi:
- quali informazioni sono memorizzate temporaneamente e chi vi può accedere legittimamente;
- se, e in quale misura, il datore di lavoro si riservi di effettuare controlli, anche saltuari o occasionali, in conformità alla legge, indicando le ragioni legittime (specifiche e non generiche) per cui verrebbero effettuati e le relative modalità;
- quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica sia utilizzata indebitamente;
È prassi fornire queste informazioni attraverso la redazione di apposita policy aziendale e un’informativa da fornire a ciascun dipendente.
La divergente posizione della Corte di Cassazione
Nel 2016, con la sentenza n. 13057 del 31 marzo, la Suprema Corte di Cassazione ha, però, ribaltato quanto statuito dal Garante nelle menzionate linee guida.
Il giudice di legittimità ha infatti stabilito che, in merito al rapporto di lavoro, anche in ambito pubblico, l’accesso da parte del superiore gerarchico all’email protetta da password personalizzata, in uso al dipendente, integra il reato di “accesso abusivo ad un sistema informatico o telematico” (art. 615 ter c.p.).
Attraverso tale principio si è inteso chiarire come l’esistenza di una password messa nell’esclusiva disponibilità del dipendente, con il consenso del titolare del sistema, delinei, indubbiamente, un diritto di esclusione di cui anche i superiori devono tenere conto.
La possibilità offerta al dipendente di proteggere l’accesso alla posta elettronica dà il senso inequivoco di uno spazio a lui riservato e di un domicilio informatico proprio, tale da descrivere un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantita dall’art. 14 della Costituzione.
Ciò con la conseguenza che ogni accesso abusivo costituisce il presupposto per la contestazione del reato di “interferenze illecite nella vita privata”.
L’intervento della CEDU e la soluzione della controversia
A risolvere la questione, fornendo una chiara guida del comportamento che società e manager devono porre in essere, è intervenuta la Grande Camera della Corte Europea dei diritti dell’uomo che, con la sentenza del 05 settembre 2017, C. 61496/08, ha stabilito che le comunicazioni personali possono essere soggette a limitazioni ma non totalmente vietate, in quanto l'azienda non può imporre l'annichilimento della vita sociale e comunicativa del dipendente.
Con questo giudizio la Grande Camera ha confermato la sussistenza della violazione dell'art. 8 della Convenzione (1) in quanto i concetti di "corrispondenza" e "vita privata" possono essere applicati alle comunicazioni effettuate sul posto di lavoro.
A conferma di ciò, aggiunge la Grande Camera, le Corti nazionali avrebbero dovuto e dovranno in futuro operare un bilanciamento di interessi fra il rispetto della sfera personale e il corretto sviluppo aziendale, non potendo essere sufficiente rilevare la conoscenza del divieto di impiego delle risorse aziendali per scopi personali ma, piuttosto, è tassativo che il dipendente debba essere previamente informato delle modalità di monitoraggio della corrispondenza e della possibilità che il datore di lavoro possa accedere a tali contenuti.
Inoltre, la Grande Camera ha rilevato la mancata valutazione da parte delle Corti territoriali della gradualità del monitoraggio, in quanto non sono state considerate le opzioni alternative a disposizione dell'azienda per perseguire i medesimi interessi mediante metodi meno intrusivi della privacy del lavoratore.
Le conferme delle Authority Privacy
Sulla stessa linea d’onda si è espresso l'Article 29 WP con il parere n. 2 dell'8 giugno 2017 sul trattamento dei dati da parte del datore di lavoro mediante l'impiego di strumenti tecnologici, soffermandosi sull'esigenza di compiere una valutazione di proporzionalità e garantire in ogni caso la trasparenza dei trattamenti anche alla luce delle disposizioni introdotte dal GDPR.
Ultimo provvedimento, non per importanza ma in ordine cronologico, è il provvedimento numero 53, emesso dal Garante Privacy italiano il 1° febbraio 2018, in cui l’Autorità ha vietato ad una società il controllo massivo e la conservazione illimitata delle email aziendali dei dipendenti. Le violazioni, gravi e numerose, consistevano nel non aver fornito ai dipendenti alcuna informazione su modalità e finalità di raccolta e conservazione dei dati relativi all’uso della posta elettronica, né con una informativa individualizzata né attraverso la policy aziendale.
La società, inoltre, conservava in modo sistematico i dati e il contenuto di tutte le email scambiate dai dipendenti anche oltre la durata del rapporto di lavoro, violando così i principi di liceità, necessità e proporzionalità.
Non tralasciamo la disciplina giuslavorista
A corollario di quanto precede è imprescindibile effettuare un collegamento con il nuovo quadro di disciplina in materia di controlli a distanza del lavoratore predisposto dal c.d. Jobs Act e soprattutto dal novellato art. 4 della legge 300/70 (Statuto dei lavoratori).
La disciplina giuslavorista non autorizza verifiche massive, prolungate e indiscriminate dell’utilizzo degli strumenti informatici e, in particolare, della corrispondenza elettronica da parte del dipendente. Il datore di lavoro infatti, pur potendo controllare l’esatto adempimento della prestazione e il corretto uso degli strumenti di lavoro, deve sempre salvaguardare la libertà e la dignità dei dipendenti.
* * *
(1) “Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza.”