CEDU 12 GENNAIO 2016  CAUSA BARBULESCU C. ROMANIA, RICORSO n. 61496/08

L’USO PERSONALE DELLA CASELLA DI POSTA ELETTRONICA LEGITTIMA IL LICENZIAMENTO.

 Autore: Avv. Teresa Aloi

 

 

Con la sentenza depositata il 12 gennaio 2016, la Quarta Sezione della Corte Europea dei Diritti dell’Uomo si è pronunciata sulla causa Barbulescu c. Romania, originata dal ricorso presentato da un ingegnere rumeno che, licenziato dal datore di lavoro per aver utilizzato la mail aziendale per fini personali durante l’orario di lavoro, aveva citato in giudizio la Romania per presunta violazione dell’art. 8 della Convenzione Europea dei Diritti dell’ Uomo, rubricato “Diritto al rispetto della vita privata e familiare”.

La Corte, pur ammettendo che il predetto articolo assicura il diritto alla riservatezza di mail ed altre forme di corrispondenza anche sul luogo di lavoro e che, nel caso in esame, erano stati, certamente, coinvolti la vita privata del Sig. Barbulescu e la sua corrispondenza, riconosce il diritto del datore di lavoro a monitorare l’account aziendale del dipendente evidenziando, tuttavia, che è specifico onere dello stesso datore informare preventivamente i lavoratori in relazione ad eventuali forme di controllo dell’attività lavorativa svolta.

La CEDU ribadisce che anche a livello europeo rientra nel potere disciplinare del datore di lavoro accedere alle comunicazioni personali dei propri dipendenti effettuate tramite i mezzi di comunicazione aziendale (mail, internet, telefono, social networks, ecc.) dato che ha il diritto/dovere di garantire il corretto funzionamento della società e di controllare che i dipendenti svolgano effettivamente le loro attività. In presenza di un espresso divieto e nel caso in cui tali messaggi privati siano acquisiti agli atti processuali non si potrà invocare una deroga alla privacy secondo l’art. 8 CEDU e secondo la Direttiva 95/46/CE.

Nel caso in esame l’ingegnere rumeno dall’agosto 2004 fino all’ agosto 2007 era stato dipendente di una società privata in qualità di responsabile delle vendite. Su richiesta dei suoi datori di lavoro aveva creato un account Yahoo Messenger per rispondere alle richieste dei clienti della società. Secondo il codice etico interno, che gli era stato consegnato alla firma del contratto d’ assunzione, era “severamente vietato disturbare l’ordine e la disciplina all’interno dell’azienda e soprattutto l’uso di computer, telefoni, fotocopiatrici, fax e di telex per scopi personali”.

Il 13 luglio 2007 il Sig. Barbulescu veniva informato dal suo datore di lavoro che le sue comunicazioni di Yahoo Messenger erano state monitorate dall’interno e che i dati registrati avevano consentito di appurare che egli aveva utilizzato internet (aziendale) per scopi personali. Quanto sostenuto gli veniva contestato mediante esibizione della trascrizione delle sue comunicazioni; il datore di lavoro aveva rilevato un numero eccessivo di records privati scambiati con la fidanzata ed il fratello e in ragione di questi aveva avviato la procedura di licenziamento disciplinare.

L’ingegnere impugnò il provvedimento di licenziamento contestando una violazione, anche sotto il profilo penale, della sua corrispondenza privata, ma, in prime cure e successivamente in appello le Corti nazionali giudicarono tale provvedimento lecito per violazione dei suoi doveri professionali; il monitoraggio delle mail e delle altre comunicazioni da parte del datore di lavoro, ai sensi della Direttiva 95/46/CE, non solo era ragionevole nel contesto di una procedura disciplinare ma era anche l’ unico modo per dimostrare la violazione in atto.

Con una decisione irrevocabile, il 17 giugno 2008, la Corte d’appello infatti, respingeva il ricorso e, basandosi sul diritto comunitario, riteneva che la condotta del datore di lavoro fosse stata ragionevole e che il monitoraggio delle comunicazioni del Barbulescu rappresentava l’unico metodo per stabilire se vi era stata una violazione disciplinare ritenendo che le prove acquisite davanti al giudice di primo grado fossero da ritenersi sufficienti. A questo punto, l’ingegnere licenziato ricorreva alla Corte Europea dei Diritti dell’Uomo invocando l’art. 8 della Convenzione Europea dei Diritti dell’Uomo (diritto al rispetto della vita privata e familiare, del domicilio e della corrispondenza) e l’avvenuta violazione della sua privacy da parte del suo datore di lavoro al fine di giustificarne il licenziamento.

La Corte Europea dei Diritti dell’Uomo, pertanto, viene chiamata ad esaminare la sussistenza di un equo bilanciamento tra l’interesse del lavoratore al rispetto della sua vita privata e della sua corrispondenza ed il contrapposto interesse del datore di lavoro al corretto funzionamento della società e dell’attività svolta dai propri dipendenti (principio del bilanciamento degli interessi). Nello specifico, la Corte non ha ritenuto violato l’art. 8 CEDU in quanto l’accesso alle comunicazioni dell’account Yahoo aziendale era avvenuto con la convinzione da parte del datore di lavoro di accedere a comunicazioni di natura esclusivamente professionale (come dichiarato nella linea difensiva del dipendente all’inizio del procedimento disciplinare) e che il contenuto dei messaggi privati non era stato rilevante ai fini del licenziamento, ma solo come verifica delle dichiarazioni rese dal dipendente stesso. Peraltro, il monitoraggio posto in essere sul dipendente aveva avuto un perimetro ben ristretto e proporzionato allo scopo originario senza alcun accesso ad altri dati conservati sul pc assegnato al dipendente stesso; tutto alla luce di una ritenuta buona fede del datore di lavoro.

La Corte non ha trovato irragionevole il fatto che il datore di lavoro volesse verificare che i propri dipendenti svolgessero effettivamente i loro compiti professionali durante l’orario di lavoro ed ha rilevato che il datore aveva avuto accesso all’account del dipendente nella convinzione che fosse utilizzato esclusivamente per le comunicazioni con i clienti.

Una distinzione cruciale visto che, alla fine, secondo i giudici di Strasburgo, a far pendere il giudizio a favore del datore di lavoro è stata proprio la frequenza e l’uso della posta elettronica, evidentemente a danno della produttività dell’impiegato e, in nessun modo, la libera espressione e quindi il contenuto delle mail, la cui riservatezza resta tutelata, appunto, dalle autorità a protezione della privacy. Nel corso del procedimento giurisdizionale nazionale, infatti, erano stati utilizzati diversi accorgimenti per non svelare l’identità delle persone con le quali il dipendente si era scambiato mail ed il contenuto dei messaggi era stato diffuso in modo molto limitato. Pertanto, sostengono i giudici di Strasburgo, l’azienda non ha violato l’art. 8  della Convenzione Europea dei Diritti dell’Uomo.

Il campo di applicazione dell’art. 8 CEDU è molto ampio essendo diretto a tutelare la privacy e la corrispondenza da ogni interferenza, anche statale, che non sia prevista dalla legge o prevedibile (Yudiskaya ed altri c. Russia nella Rassegna del 13/02/15). Lo stesso vale per i criteri diretti a ravvisare l’equo bilanciamento degli interessi confliggenti, dato che è necessario vagliare il rispetto della Convenzione e degli interessi pubblici, pur tenendo conto del margine di discrezionalità dei singoli Stati. L’art. 8 risulta violato solo se il divieto di un uso personale degli strumenti aziendali non sia stato espressamente comunicato al lavoratore che ha una ragionevole aspettativa che nessuno acceda alla sua corrispondenza personale. Nella fattispecie, le autorità interne non hanno compiuto alcuna illecita interferenza ed il bilanciamento degli interessi è stato equo per quanto sopra esplicato. Il controllo, inoltre, era stato limitato solo ad alcuni messaggi personali, senza vagliare altri documenti presenti sul pc del dipendente, per altro divenuti di dominio pubblico perché acquisiti dal G.I. all’atto dell’ impugnazione del licenziamento. Da tali messaggi sono palesi i potenziali danni per il datore di lavoro dovuti allo spreco di tempo, influente anche sul rendimento generale dei colleghi.

Si noti che la Corte Europea dei Diritti dell’Uomo in altre occasioni ha ritenuto leciti tali controlli anche quando le attività lesive degli interessi del datore di lavoro, perché contrarie ai doveri d’ufficio, erano state svolte al di fuori dell’orario di lavoro e della stessa sede lavorativa (Kopke c. Germania del 5 ottobre 2010).

La Corte ha, dunque, riaffermato, nel caso concreto, che i controlli datoriali sull’attività lavorativa sono ammissibili soltanto nella misura in cui siano strettamente proporzionati e non eccedenti lo scopo di verifica dell’adempimento contrattuale. Essi devono essere, inoltre, limitati nel tempo e nell’oggetto, mirati (dunque non massivi) e fondati su presupposti (in particolare l’inefficienza dell’ attività lavorativa del dipendente) tali da legittimare l’esecuzione ed infine, devono essere già previsti dalla policy aziendale, di cui il dipendente deve essere adeguatamente edotto.

Questa valutazione è in linea con la Raccomandazione sulla protezione dei dati in ambito lavorativo, approvata il 1 aprile 2015 dallo stesso Consiglio d’Europa in tema di trattamento dei dati personali nel contesto del rapporto di lavoro, con particolare attenzione agli aspetti derivanti dall’uso di nuove tecnologie e strumenti di comunicazione elettronica nel trattamento di dati ed informazioni. In tale atto si afferma la consapevolezza dell’utilizzazione crescente di nuove tecnologie e di nuovi strumenti di comunicazione elettronica nelle relazioni tra datori di lavoro e dipendenti ma, si ritiene che, l’utilizzazione di metodologie di trattamento dati da parte dei datori di lavoro dovrebbe essere basata sui principi intesi a ridurre al minimo i rischi che tali metodologie potrebbero presentare per i diritti e le libertà fondamentali dei dipendenti; in particolare per il loro diritto al rispetto della vita privata. La valutazione precedente è anche in linea con la giurisprudenza italiana e con gli stessi principi affermati dal Garante della Privacy, ed in particolare con le Linee guida del 2007. Con questo provvedimento, infatti, si è prescritto al datore di lavoro di informare i lavoratori delle condizioni di utilizzo della mail aziendale (anche della stessa rete, in orario di lavoro o comunque con gli strumenti messi a disposizione dal datore), dei controlli che il datore di lavoro si riserva di effettuare per fini legittimi, nonché delle eventuali conseguenze disciplinari suscettibili di derivare dalla violazione di tali regole. Principi che restano validi anche dopo la riforma dei controlli datoriali operata dal Job Act (D.Lgs. 14 settembre 2015, n. 151) ed anche rispetto agli strumenti di lavoro che, seppur sottratti alla procedura concertativa, restano comunque soggetti alla disciplina del Codice in materia di protezione dei dati personali . In particolare, ai principi di necessità, finalità, legittimità e correttezza, proporzionalità e non eccedenza del trattamento, nonché all’obbligo di previa informativa del lavoratore ed al divieto di profilazione ribaditi proprio dalla Corte Europea dei Diritti dell’Uomo con la sentenza in esame.

I controlli datoriali devono essere improntati a gradualità nell’ampiezza e nella tipologia con assoluta residualità dei controlli più invasivi, legittimati solo a fronte della rilevazione di specifiche anomalie e comunque all’esito dell’esperimento di misure preventive meno limitative dei diritti dei lavoratori.

Per quanto riguarda l’Italia, la normativa di riferimento sul tema è costituita dal Codice della Privacy (D.Lgs. 196/2003), dai provvedimenti specifici adottati dal Garante della Privacy e dall’art. 4 della Legge 300/1970 (Statuto dei lavoratori) con il quale è disciplinata la possibilità di utilizzare sistemi che comportino indirettamente il controllo remoto sui lavoratori, previo accordo con le rappresentanze sindacali, in difetto del quale è previsto il ricorso a procedura autorizzativa che il datore di lavoro dovrà attivare con i competenti uffici per il lavoro.

All’indomani della pubblicazione della sentenza della CEDU in esame, il Presidente dell’Autorità Garante della Privacy, Antonello Soro, è intervenuto sul tema, evidenziando che la sentenza in commento non apre al monitoraggio indiscriminato del dipendente ma, diversamente, afferma che la tutela della privacy del dipendente deve essere bilanciata con le esigenze datoriali (principio del bilanciamento degli interessi). Egli ritiene che sarà proprio il rispetto dei principi del Codice della privacy il principale argine ad un utilizzo pervasivo dei controlli sul lavoro, che occorre la massima attenzione della privacy del lavoratore laddove possa essere soggetto a violazioni avulse da ogni regolamentazione di accesso ed aventi come scopo diretto un controllo del lavoratore e dei contenuti della sua corrispondenza intercorsa attraverso la casella di posta assegnatagli. Sempre il Garante ha richiamato anche la necessità di adottare controlli secondo criteri di gradualità evidenziati nel provvedimento emanato su tale tema nel 2007. Il confine potrebbe apparire labile; certamente gli elementi che non possono prescindere nel regolamentare l’uso della strumentazione aziendale, inclusa la casella di posta elettronica, sono il regolamento interno, l’informativa che in trasparenza dia dettaglio delle modalità di trattamento dei dati, ivi inclusi i casi di utilizzo delle informazioni emergenti da tali accessi, e l’inquadramento delle figure aziendali atte ad effettuare tali accessi. Dunque, anche dopo il Job Act, i controlli più invasivi sono legittimati solo a fronte della rilevazione di specifiche anomalie e, comunque, all’esito dell’esperimento di misure preventive meno limitative dei diritti dei lavoratori. E così, ad esempio, ove il datore di lavoro riscontrasse la presenza di virus sui pc aziendali, dovrebbe dotarli di sistemi di filtraggio (blocco dei siti a rischio) e non procedere al monitoraggio dei siti visitati. Del resto, come lo stesso Garante ha affermato in più occasioni, il datore di lavoro è tenuto all’individuazione preventiva della lista dei siti considerati correlati alla prestazione lavorativa, nonché all’adozione di filtri per bloccare l’accesso a determinati siti o del download di alcuni file. Non sono comunque consentite al datore di lavoro la lettura e la registrazione dei caratteri inseriti tramite tastiere e dispositivi analoghi, nonché l’analisi occulta di computer portatili affidati in uso.

In questa prospettiva, molto utile potrebbe essere l’adozione di una soluzione di privacy-by-design, ovvero la progettazione degli stessi strumenti mediante i quali effettuare i controlli in modo da minimizzare, fino ad escludere il rischio di controlli invasivi o comunque di incisive limitazioni della riservatezza di chi a quei controlli possa essere sottoposto.

E’ significativo che tali soluzioni siano valorizzate dal nuovo Regolamento UE sulla protezione dati che delinea il nuovo quadro giuridico europeo in una materia, come questa, su cui si giocano le sfide più importanti per le nostre democrazie.

L’iter del Regolamento, denominato “Data Protection”, approvato dal Parlamento europeo il 15 aprile 2016, è stato molto sofferto e sono passati ben quattro anni dalla prima proposta della Commissione europea.

Il 25 gennaio 2012 la Commissione europea aveva proposto l’adozione di un Regolamento generale sulla protezione dei dati, intesa a sostituire la direttiva 95/46/CE. L’obiettivo del Regolamento sarebbe stato quello di rafforzare i diritti delle persone fisiche con riguardo alla protezione dei dati ed agevolare la libera circolazione dei dati personali nel mercato unico digitale, anche grazie alla riduzione degli oneri amministrativi. Nel 2014 il Parlamento europeo ha approvato il testo in prima lettura inviandolo al Consiglio UE che, nel 2015, ha concordato un “Orientamento generale” (9565/15), dando alla Presidenza un mandato di negoziato per avviare consultazioni con il Parlamento europeo. Dopo l’accordo politico raggiunto durante i negoziati del cosiddetto “trilogo” del 15 dicembre 2015, la volata finale è stata poi in discesa giungendo al traguardo dell’approvazione da parte del Parlamento europeo il 15 aprile 2016.

Le disposizioni del nuovo Regolamento saranno immediatamente applicabili, senza necessità di recepimento, in tutti gli Stati membri; previsti due anni di tempo per l’effettivo adeguamento da parte di enti ed aziende.

La necessità di emanare un Regolamento europeo in materia di privacy nasce dalla continua evoluzione degli stessi concetti di privacy e protezione dei dati personali e quindi, dalla relativa tutela dovuta principalmente alla diffusione del progresso tecnologico.

Originariamente la direttiva 95/46/CE, pietra miliare dell’impianto della vigente normativa dell’Unione europea in materia di protezione dei dati personali, è stata adottata con due obiettivi: salvaguardare il diritto fondamentale alla protezione dei dati e garantire la libera circolazione dei dati personali tra gli Stati membri. Successivamente, incalzanti sviluppi tecnologici hanno allontanato le frontiere della protezione dei dati personali. La tecnologia attuale consente alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività e, sempre più spesso, gli stessi privati rendono pubbliche sulla rete mondiale informazioni personali che li riguardano. Le nuove tecnologie non hanno trasformato solo l’economia, ma anche le relazioni sociali. Di conseguenza, pur rimanendo valido in termini di obiettivi e principi, il quadro giuridico attuale non ha impedito la frammentazione delle modalità d’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica e la diffusa percezione nel pubblico che le operazioni on line comportino notevoli rischi. E’ diventato, quindi, necessario instaurare un quadro giuridico più solido e coerente in materia di protezione dei dati nell’Unione che, affiancato da efficaci misure di attuazione consentirà lo sviluppo dell’economia digitale nel mercato interno, garantirà alle persone fisiche il controllo dei loro dati personali e rafforzerà la certezza giuridica ed operativa per i soggetti economici e le autorità pubbliche. Con il nuovo Regolamento europeo sulla privacy il d.lgs. 196/03 verrà abrogato anche se alcuni articoli rimarranno validi come anche i provvedimenti specifici adottati dall’Autorità Garante.

Il Regolamento è a carattere più generale e non entra nel merito di alcuni aspetti regolamentati dalla legislazione nazionale (ad esempio in materia di videosorveglianza). Questo nuovo Regolamento che non si discosta molto dalla legislazione vigente in Italia, introduce delle interessanti ed importanti novità a tutela dei nostri dati.

Anche se tra le novità più significative vi è un apparato sanzionatorio molto severo, con multe che possono arrivare fino a 20 milioni di euro o al 4% del fatturato globale del trasgressore, il rischio più grosso per le aziende italiane è però quello di recepire in modo negativo la nuova normativa sulla privacy come se fosse l’ennesima imposizione di regole da parte di Bruxelles finendo per penalizzare la nostra economia. In realtà sono state finalmente stabilite le regole necessarie a dare ordine al mercato digitale finora dominato dai colossi del web americani che adesso dovranno, invece, adoperarsi per allinearsi, mentre il vantaggio delle nostre imprese consisterà nell’essere già abituati ai sistemi giuridici della civil law e lo sforzo loro richiesto sarà comunque minore rispetto a quello che dovranno affrontare le multinazionali di oltreoceano (per esempio Google). Poichè le stime della Commissione europea valutano che un mercato unico digitale pienamente funzionante potrà apportare fino a 415 miliardi di euro all’anno all’economia dell’area UE, le nostre imprese dovranno essere consapevoli che il Regolamento sulla protezione dei dati costituisce una grande opportunità. Infatti, una delle novità epocali della nuova normativa privacy è il principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti all’interno del territorio dell’Unione europea, se relativi all’offerta di beni o servizi ai cittadini residenti nell’Unione europea o tali da consentire il monitoraggio dei comportamenti di cittadini dell’UE. In altre parole, se fino ad oggi un utente italiano che acquistava on line da un sito web con sede negli USA doveva soggiacere alla legge statunitense, con il nuovo Regolamento le aziende americane ed altri soggetti stranieri che si propongono nell’area UE dovranno essi adeguarsi alla nostra normativa comunitaria per non essere sanzionati.

Tra le altre novità introdotte dal “Data Protection” vanno segnalati : 1) una maggiore attenzione alla tutela dei dati minori; 2) una estensione dei dati definiti sensibili, inglobando anche quelli biometrici e genetici; 3) l’obbligo di “privacy impact assessment” cioè valutazioni preventive di impatto sulla tutela dei dati in caso di trattamenti rischiosi; quindi un’analisi puntuale dei rischi. Il testo del Regolamento cita espressamente i parametri gravità e probabilità dell’evento; 4) l’obbligo di nominare un “data protection officer”, un responsabile della protezione dei dati personali, che dovrà essere competente, indipendente e non necessariamente interno all’ente/impresa. L’obbligo di nominare un responsabile della protezione dei dati non deve essere visto dalle aziende come un costo superfluo ed una burocrazia inutile, dato che questa sarà una figura di garanzia di cui si dovranno dotare tanto le nostre imprese quanto quelle straniere che operano nel mercato europeo le cui attività implicano un monitoraggio regolare e sistematico degli interessati, come nel caso della profilazione on line degli utenti.

Come avviene per i privacy officer dei Paesi anglosassoni, questa figura potrà fornire consulenza al management al fine di utilizzare correttamente i dati personali nelle proprie attività di business, con la responsabilità di vigilare che l’azienda rispetti effettivamente le regole e quella di dover fungere da punto di contatto sia con gli interessati che con l’Autorità Garante. Naturalmente, le imprese dovranno essere molto selettive nel decidere a chi affidare l’incarico di responsabile della protezione dei dati, perché la scelta dovrebbe ricadere su un professionista di elevato spessore, in possesso di adeguate conoscenze giuridiche e skills informatici necessari per mantenere la compliance normativa al Regolamento europeo ma che abbia al tempo stesso apertura mentale e competenze trasversali con l’inclinazione al marketing strategico sul modello del privacy officer americano; 5) il diritto alla portabilità di dati da un social network ed il diritto all’oblio, per cui ogni interessato potrà richiedere la rimozione di propri dati personali per motivi legittimi (per esempio, potremo chiedere di essere “dimenticati” on line); 6) la previsione delle figure dei “joint controllers” (titolari congiunti) che potranno ripartirsi le responsabilità sulla privacy in un apposito contratto, di cui si dovrà tenere conto in caso di controlli o contenziosi; questa novità sarà d’aiuto, in particolare, nel settore del cloud computing providing, fino ad oggi difficilmente inquadrabile nei vecchi schemi titolare/responsabile; 7) la previsione del concetto di “stabilimento principale” del titolare, per evitare che un’impresa attiva in più Stati UE debba fronteggiare gli adempimenti nazionali di ogni singolo Stato; 8) la previsione del ruolo di “lead authority”, in modo tale che vi sia un solo Garante di volta in volta responsabile dei procedimenti multi-Stato; 9) il principio di trasparenza per cui le informazioni destinate al pubblico o all’interessato devono essere facilmente accessibili e di facile comprensione e deve essere utilizzato un linguaggio semplice e chiaro; 10) l’introduzione del principio della cosiddetta “accountability”, per il quale ogni titolare, in caso di problemi o controlli, dovrà dimostrare nei fatti, al di là dei formalismi, di aver adottato un processo complessivo di misure giuridiche, organizzative, tecniche, di sicurezza, logiche, fisiche, elettroniche per proteggere i dati personali; 11) l’obbligo di attenersi, nell’ideazione di nuovi prodotti o servizi, ai principi della “data protection by design” (la tutela dei diritti e delle libertà degli interessati, con riferimento al trattamento dei dati personali, comporta l’attuazione di adeguate misure tecniche ed organizzative al momento sia della progettazione che dell’esecuzione del trattamento stesso) e della “data protection by default” (le impostazioni di tutela della vita privata relative ai servizi e prodotti devono rispettare i principi generali della protezione dei dati, quale la minimizzazione dei dati e la limitazione delle finalità), cioè l’applicazione di principi di project management alla privacy, essa deve far parte del DNA di un’organizzazione; 12) i “data breach”, ovvero la segnalazione, entro 72 ore, di un trattamento non corretto e/o errato, all’autorità ed all’interessato; 13) la direttiva sui trasferimenti di dati a fini giudiziari e di polizia, la quale si applica ai trasferimenti di dati attraverso le frontiere all’interno dell’Unione europea e stabilisce, per la prima volta, norme minime per il trattamento dei dati a fini di polizia all’interno di ogni Stato membro.

Si può, quindi, notare una forte attenzione sul ruolo centrale della tutela dei dati personali come recita lo stesso Regolamento, secondo il quale il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ottemperanza al principio di proporzionalità.

Il presente Regolamento rispetta tutti i diritti fondamentali, osserva i principi riconosciuti dalla Carta dei diritti fondamentali dell’UE e sanciti dai Trattati, in particolare il diritto al rispetto della vita privata e familiare, del domicilio e delle comunicazioni, il diritto alla protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto ad un ricorso effettivo e ad un giudice imparziale, così come il rispetto della diversità culturale, religiosa e linguistica.

Dopo questa doverosa parentesi sul nuovo Regolamento UE sulla privacy la cui approvazione è intervenuta nell’iter di elaborazione di questa giurisprudenza è necessario tornare all’analisi della sentenza CEDU del 13 gennaio 2016, nel quadro della quale per completezza è interessante riportare l’opinione dissenziente del giudice Paulo Pinto De Albuquerque.

Secondo il giudice la sentenza in commento non ha tenuto conto di alcuni aspetti fondamentali: 1) l’accesso ad internet è ormai uno dei diritti umani e quindi il suo divieto tout court non è accettabile in un rapporto contrattuale; 2) la ricerca della massima produttività e redditività  è un diritto dell’azienda, ma non può prevalere su quello della libertà di espressione; 3) intercettare delle comunicazioni e raccogliere dati personali è una questione molto delicata, tanto che per un’intercettazione in campo penale è necessaria l’autorizzazione di un giudice. Possibile, quindi, che per un provvedimento disciplinare non sia prevista questa stessa cautela?

Dal momento che nelle società moderne la comunicazione via internet è una forma privilegiata di espressione che coinvolge anche delle informazioni private, debbono essere applicati limiti alla sorveglianza esercitata dal datore di lavoro rispetto all’utilizzo effettuato dai propri dipendenti durante l’orario lavorativo e, ancora più strettamente, al di fuori dell’orario di lavoro, sia che la comunicazione sia effettuata attraverso le proprie strutture informatiche sia che queste vengano fornite dallo stesso datore di lavoro.

Afferma, inoltre, il giudice che qualsiasi interferenza da parte del datore di lavoro con il diritto del lavoratore al rispetto della vita privata e della libertà di espressione, compresa la mera registrazione di dati personali relativi alla sua vita privata, deve essere giustificata in una società democratica che tutela la protezione di alcuni interessi specifici sanciti dalla Convenzione dei Diritti dell’Uomo, vale a dire la tutela dei diritti e delle libertà del datore di lavoro o di altri dipendenti (art. 8 §2) o la protezione della reputazione o dei diritti del datore di lavoro o di altri dipendenti e la prevenzione della divulgazione delle informazioni ricevute dal dipendente nel rapporto fiduciario (art. 10 §2).

Pertanto, la ricerca della massima produttività e redditività della forza lavoro non è di per sé un interesse cui fanno capo l’art. 8 §2 e l’art. 10 §2, ma lo scopo è quello di garantire l’equo adempimento degli obblighi contrattuali in un rapporto di lavoro  che può giustificare talune restrizioni con riferimento ai suddetti diritti e libertà in una società democratica.

Come rilevato dal giudice Pinto de Albuquerque il datore di lavoro poteva intuire dall’oggetto del messaggio che non si trattava di una comunicazione professionale e che, in ogni caso, l’account con il nominativo del dipendente, malgrado l’utilizzo del computer aziendale, fosse del lavoratore che non aveva dato il consenso alla trascrizione del contenuto del messaggio privato. Il giudice tra l’altro, ha ritenuto che il licenziamento non fosse una misura proporzionata alla violazione contestata tanto più che non era stato provato alcun danno all’azienda.

La sentenza della CEDU di sicuro non è vincolante per i Tribunali nazionali ma, tuttavia, rappresenta un precedente nell’ambito della difficile ricerca di un punto di equilibrio tra diritto alla riservatezza e doveri contrattuali.

 

Avv. Teresa Aloi, Foro di Catanzaro

 

Fonti:  www.altalex.com;  www.garanteprivacy.it;  www.corrierecomunicazioni.it; www.mainacastellaneta.it; www.ilgiuslavorista.itwww.dirittoegiustizia.it;  www.ecodibergamo.itagendadigitale.eu