Per la Grande Camera della Corte Europea dei Diritti dell’Uomo la risposta è affermativa, purché sia assicurato il bilanciamento di tutti gli interessi in gioco: quello del lavoratore alla riservatezza della vita privata e della corrispondenza, e quello del datore di lavoro al regolare svolgimento dell’attività imprenditoriale.
Il caso: “Bărbulescu v. Romania”
Un cittadino rumeno è stato licenziato per aver utilizzato la rete internet aziendale per inviare messaggi di carattere personale, in violazione del divieto espressamente previsto dal disciplinare interno adottato dal proprio datore di lavoro.
La violazione è stata rilevata grazie al monitoraggio del comportamento del lavoratore, monitoraggio esteso sino alla presa visione del contenuto delle comunicazioni trasmesse con il computer aziendale.
La norma violata
La Corte è stata chiamata a verificare la compatibilità di tale monitoraggio con l’art. 8 della Convenzione Europea dei Diritti dell’Uomo: «Diritto al rispetto della vita privata e familiare. 1. Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza […]».
Ad avviso della Corte, i diritti del lavoratore non sono stati adeguatamente tutelati in quanto non è stata fornita, prima dell’inizio del monitoraggio delle comunicazioni inviate, un’adeguata informativa sul monitoraggio stesso, sulle sue caratteristiche e sulla possibilità che il controllo si estendesse anche al contenuto dei messaggi trasmessi.
Le indicazioni della Corte
La Corte ha fornito alcuni criteri che le autorità nazionali possono utilizzare per verificare che eventuali controlli sulle comunicazioni inviate dai lavoratori siano proporzionati rispetto al fine perseguito.
Perché il controllo della corrispondenza del lavoratore da parte del datore di lavoro sia compatibile con l’art. 8 della Convenzione:
- il lavoratore deve essere stato informato, prima dell’inizio del monitoraggio, del monitoraggio stesso e della sua attivazione, nonché della possibilità che i controlli si estendano al contenuto delle comunicazioni;
- il datore di lavoro deve essere in grado di giustificare la necessità del controllo delle comunicazioni del lavoratore (ossia, deve dimostrare l’impossibilità di raggiungere lo stesso scopo con misure meno invasive);
- i risultati del controllo devono essere utilizzati solo per il perseguimento del fine dichiarato;
- devono essere adottate adeguate misure a tutela del lavoratore, quali ad esempio l’impossibilità di accedere al contenuto delle comunicazioni se non dopo averne notiziato il lavoratore;
- il lavoratore deve poter richiedere un accertamento giudiziale dell’osservanza di tutte le condizioni elencate.
La portata della decisione della Corte
A ben vedere, sembra che la Corte si sia pronunciata avendo a mente i principi dettati dal nuovo Regolamento europeo sulla privacy (Regolamento (UE) 2016/679, c.d. GDPR), avendo di fatto ribadito la necessità di un’informativa preventiva all’interessato (art. 13 GDPR), di un bilanciamento tra gli interessi legittimi del datore di lavoro e gli interessi e le libertà del lavoratore e, quindi, di un’adeguata base giuridica per il trattamento dei dati personali (art. 6 GDPR), e di misure tecniche ed organizzative adeguate (artt. 32 ss. GDPR).
Principi, questi, che sono in realtà già propri anche della direttiva 95/46/CE e, di conseguenza, del nostro Codice Privacy (D.Lgs. 196/2003), e che trovano riconoscimento ed indicazioni pratiche di applicazione in numerosi provvedimenti dell’Autorità Garante italiana, primi fra tutti le «Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati» (Deliberazione n. 53 del 23 novembre 2006) e le «linee guida per posta elettronica e internet» adottate nel 2007 (doc. web n. 1387522): è in quest’ultimo documento che, in particolare, viene raccomandata l’adozione di un «disciplinare interno redatto in modo chiaro e senza formule generiche, da pubblicizzare adeguatamente» in cui specificare «in quale misura è consentito utilizzare anche per ragioni personali servizi di posta elettronica o di rete, anche solo da determinate postazioni di lavoro o caselle oppure ricorrendo a sistemi di webmail, indicandone le modalità e l’arco temporale di utilizzo (ad es., fuori dall’orario di lavoro o durante le pause, o consentendone un uso moderato anche nel tempo di lavoro)», «se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime –specifiche e non generiche– per cui verrebbero effettuati (anche per verifiche sulla funzionalità e sicurezza del sistema) e le relative modalità (precisando se, in caso di abusi singoli o reiterati, vengono inoltrati preventivi avvisi collettivi o individuali ed effettuati controlli nominativi o su singoli dispositivi e postazioni)» e «quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica e la rete Internet sono utilizzate indebitamente».
Del resto, la corrispondenza di un lavoratore altro non è se non un dato personale, e il suo monitoraggio si traduce inevitabilmente in un’operazione di trattamento che, per i potenziali rischi per gli interessati, potrebbe richiedere una valutazione d’impatto (art. 35 GDPR) se non, addirittura, una consultazione preventiva della competente autorità di controllo (art. 36 GDPR). Senza dimenticare, naturalmente, la necessità per i datori di lavoro italiani di conformarsi anche alla normativa giuslavoristica, con particolare riferimento all’art. 4 dello Statuto dei Lavoratori (L. 300/1970).